Thought Leadership
Ein ausgefeiltes Projektmanagement ist bei der erfolgreichen Umsetzung von Projekten unumgänglich – und dies unabhängig davon, ob es sich um Projekte im IT- oder aus anderen Bereichen handelt.
Zur Orientierung gibt es zahlreiche Prozesse, Reifegradmodelle, Werkzeuge und Erkenntnisse sowie dokumentierte Best Practices. Ein etabliertes Projektmanagement-Framework stellt sicher, dass während der Umsetzung nichts verloren geht. Darüber hinaus unterstützt es dabei, neben dem Gesamt-Output, auch reale und konkrete Aufwände zu verfolgen. Insbesondere in Sachen Cybersecurity – ein von komplexen Technologien geprägter Bereich – ist ein Projektmanagement für die erfolgreiche Durchführung unerlässlich. Allerdings müssen einzelne Projektmanagement-Praktiken angepasst werden, da die Anforderungen sich von regulären Maßnahmen unterscheiden: Cybersecurity ist für das Security Management von Natur aus komplex ist und umfasst systematische Prozesse. Darüber hinaus befasst sie sich mit allen Aspekten der Geschäftstätigkeit eines Unternehmens, angefangen bei der Identifizierung und Rekrutierung von qualifizierten Sicherheitsexperten bis hin zum Risikomanagement von Lieferanten. Ebenso schützt Cybersecurity Computersysteme, Netzwerke und Daten vor Diebstahl oder Beschädigung – und gewährleistet auf diese Weise die Geschäftskontinuität. Um all dies im Auge zu behalten, ist ein Projektmanager in der Regel – neben gängigen Verantwortlichkeiten und Prioritäten – auch für zahlreiche einmalige und wiederkehrende Cybersecurity-Aufgaben verantwortlich. Ein komplexes Feld, das Wachsamkeit und Flexibilität erfordert.
Die Lösung ist ein umfassendes Projektmanagement-Framework: Dies stellt sicher, dass sich Projekte reibungslos, ohne Überschreitung des Budgets und innerhalb des festgelegten Zeitrahmens durchführen lassen. Für die erfolgreiche Umsetzung müssen zudem Rollen und Verantwortlichkeiten sowie ein detaillierter Aktionsplan und zu erreichende Meilensteine definiert werden.
Die meisten Standard-Praktiken des Projektmanagements gelten auch für Cybersecurity-Programme; allerdings gibt es einige Cybersecurity-spezifische Aspekte, die besonders sorgfältig und adhärent behandelt werden müssen. Im Folgenden findet sich ein Leitfaden für Cybersecurity-Manager, der zusätzlich zu den regulären, bewährten Projektmanagement-Prinzipien empfohlen wird:
1. Maximale „In-Scope“-Inklusion:
Bei den meisten Verträgen liegt der Fokus normalerweise auf der Definition der „Out-of-Scope“-Elemente – und dies unabhängig von der Art des Projekts. Bei der Cybersecurity ist „In-Scope“ jedoch wichtiger, da die Kontrollen zu 100 Prozent auf das gesamte Unternehmen angewendet werden müssen. Es kann niemals nur eine Teilsicherheit geben. Selbst wenn nur ein einziger kritischer Server ausgeschlossen wird, kann dies zu verheerenden Sicherheitsverletzungen führen.
2. Grundlegende Sicherheitslage im Ist-Zustand:
Zuerst muss der Ist-Zustand der Sicherheitslage (aktueller Sicherheitsstatus) ermittelt werden – insbesondere im Zeitalter der digitalen Transformation ist dies unumgänglich und notwendig. Die Analyse unterstützt Organisationen, die aktuelle Bedrohungslage zu verstehen und einzuschätzen. Um diese zu adressieren sowie Cyber-Bedrohungen und -Risiken zu minimieren, lassen sich dann gezielt geeignete Kontrollen entwickeln. Der sogenannte TO-BE-Sicherheitsstatus sollte in Zusammenarbeit mit allen Stakeholdern entworfen und im Anschluss Initiativen priorisiert werden, um den Reifegrad der IT-Security zu erhöhen. Der richtige Reifegrad und die Kenntnis der Hotspots sind extrem wichtig, um Stakeholder aufmerksam zu machen und entsprechende Investitionen zu tätigen.
3. Secure by Design:
Secure by Design besteht aus Sicht des Cybersecurity-Managements aus zwei Teilen: Erstens muss ein Secure by Design-Bewusstsein und -Kultur im gesamten Unternehmen geschaffen werden. Darüber hinaus sollten Organisationen einen gesicherten Software Development Lifecycle (SDLC) einführen – und zwar in allen laufenden IT-Programmen. An zweiter Stelle steht die Identifizierung aller bestehenden Schwachstellen, einschließlich derer, die gerade gepatcht werden. Diese müssen wiederum sorgfältig behoben werden, damit nichts ungeschützt bleibt. Dies ist ein kontinuierlicher Prozess, um sicherzustellen, dass eine Organisation frei von Schwachstellen ist.
4. Cyber-Zertifizierung:
Jede Migration bestehender Anwendungen in die digitale Welt bringt neue Komplexität und Risiken mit sich. Werden Risiken und Schwachstellen von Legacy-Anwendungen übernommen, sollten sie an die Anforderungen der Cybersecurity angepasst werden. Darüber hinaus müssen alle Produktionsbewegungen Cybersecurity-zertifiziert sein.
5. Wettbewerbsfähigkeit erhöhen und Standards einhalten:
Entsprechende Cybersecurity-Skills sind grundlegend für den Erfolg von Projekten und Programmen – darüber hinaus sind sie auf dem Markt sehr gefragt. Jeder Mangel kann zu großen Verzögerungen bei laufenden Projekten führen. Aus diesem Grund müssen Unternehmen über einen gut definierten Prozess verfügen, um die Fähigkeiten ihrer Mitarbeiter in Sachen Cybersecurity-Technologien zu verbessern oder zu schulen. Darüber hinaus sollten Cybersecurity-Manager sicherstellen, dass Standards, Richtlinien, Playbooks, Anwendungsfälle usw. als Grundlage dienen und von den Teams konsequent in die Praxis umgesetzt werden.
6. Definierte RACI-Matrix (Responsible, Accountable, Consulted and Informed) zur Analyse und Darstellung von Verantwortlichkeiten:
Cybersecurity liegt in der Verantwortlichkeit der kompletten Firma – umso wichtiger ist es deshalb, dass alle Abteilungen und Mitarbeiter mit der RACI-Matrix für ihre Organisation bekannt sind. Jedes Projektmanagement-Programm sollte eine detaillierte RACI-Matrix enthalten, um Unklarheiten zu beseitigen und präzise Ergebnisse zu erzielen.
7. Pflege eines Risk Registers:
Dieses Tool ist von grundlegendem Nutzen für alle Cybersecurity-Manager: Das Risk Register listet alle konkreten Risiken, macht sie über entsprechende Foren im Unternehmen bekannt und ermöglicht eine gemeinsame, unternehmensübergreifende Entschärfung. Das Dokument wird dabei fortlaufend weitergeführt und gepflegt. Leider führen Unternehmen zwar oftmals ebendiese Risk Registers, nutzen den Input allerdings nicht im Tagesgeschäft – so werden viele Risiken zwar identifiziert, allerdings nicht behoben. Es hat keinen Wert, Risiken zu identifizieren und sie nicht zu beseitigen!
8. Risiken in der Lieferkette:
Die meisten Organisationen arbeiten eng mit Partnern und Zulieferern zusammen – dem Risikomanagement für Drittanbieter sollte also besondere Aufmerksamkeit geschenkt werden. Eine schwierige und komplexe Aufgabe, dennoch sollten Unternehmen ihre Partner und Lieferanten davon überzeugen, in definierte und robuste Sicherheitsprogramme zu investieren. Bei Bedarf sollten klare Richtlinien und Vorgaben entwickelt werden, an die sich die externen Stakeholder halten müssen, um die Integrationen sicher zu gestalten.
9. Cyber-Metriken:
Cybersecurity lässt sich am besten anhand von Cyber-Metriken und -Trends einschätzen. Es gibt eine Vielzahl von Metriken, die im Bereich der Cybersecurity definiert sind. Daher ist es einfach, die richtigen Metriken zu identifizieren sowie einen Prozess zur Messung, Analyse und Umsetzung von Verbesserungen zu erstellen – dies ist der Schlüssel zum Erfolg eines jeden Programms.
10. Innovation:
Cybersecurity-Manager sollten auf Innovationen setzen, um Initiativen innerhalb der vorgegebenen Zeit und des Budgets erfolgreich zu managen. Es gibt viele Plattformen, die dafür genutzt werden können, sowie ergänzende, fortschrittliche Technologien wie Automatisierung, künstliche Intelligenz (KI)/ Machine Learning (ML)/Deep Learning/Data Science, Produktinnovationen und Kanban.
11. White Hat-Hacking:
Der Trick besteht darin, dem Angreifer einen Schritt voraus zu sein. Deswegen sollten Unternehmen in „Red Teaming“ oder „Penetration Testing“ investieren, um versteckte Minen aufzudecken. Es mag keinen direkten Return on Invest (ROI) geben – doch selbst, wenn nur ein potenzieller Angriff abgewendet wird, ist die Kapitalrendite enorm. Cybersecurity-Manager müssen über das passende Wissen verfügen, um Projekte effektiv verwalten zu können.
12. Security-Bewusstsein: Trotz aller fortschrittlichen technologischen Kontrollen werden „Menschen“ immer noch als das schwächste Glied in der Cyber-Kette angesehen. Cyberkriminelle versuchen Menschen dazu zu verleiten, ihre Anmeldedaten preiszugeben. Die Investition in regelmäßige „Anti-Phishing“-Kampagnen und Bewusstseins-Schulungen mit besonderem Fokus auf die Menschen ist deshalb ein absolutes Muss für jede Organisation – die Implementierung dieser Strategie in den Projektmanagementplan ist entscheidend.
Da Cyberangriffe exponentiell zunehmen und Unternehmen stark in Sicherheitskontrollen investieren, müssen Cybersecurity-Programme strategisch und effektiv verwaltet werden, um den ROI zu maximieren, potenzielle Risiken zu minimieren und das Organisationen zu schützen.
Kumar MSSRRM, AVP & Delivery Head, Infosys CyberSecurity, https://www.infosys.com/de/
