Um die eigenen IT-Kosten drastisch zu senken, entwickelte ein Konzern mithilfe namhafter Beratungsgesellschaften eine grundlegende Sourcing-Strategie. Bei der näheren Betrachtung dieser Sourcing-Konzepte stellte sich jedoch sehr schnell heraus, dass wesentliche Security-Fragen außen vor geblieben waren.
Security-Aspekte einer globalen Sourcing-Strategie
Branche
Industrie
Projekt-Sponsor
CIO
Herausforderung
- Massiver Kostendruck über die gesamte IT-Organisation hinweg
- Umfangreiche Document-Management-, Collaboration- und Messaging-Lösungen im Eigenbetrieb
- Bereits konzipierte Managed-Service- und Cloud-Lösungen konnten aufgrund fehlender Datenschutz- und Compliance-Maßnahmen nicht realisiert werden
Gründe
- Völlig heterogene Lösungen, keine einheitliche Strukturen
- Fehlende Dokumentationen
- Teilweise völlig vernachlässigte Security-Aspekte
- Grundsätzlich keine einheitliches Security-Konzept, keine auf IT-Sicherheit ausgerichtete Architektur
- Unkonsolidierte Dokumente, Datenbestände etc. der Tochtergesellschaften unterschiedlicher Länder
Vision
- Implementierung eines weitgehend standardisierten Sicherheitskonzepts mit branchen- und regionalspezifischen Aspekten
- Aktives, reaktionsschnelles und den gesetzlichen Anforderungen in den jeweiligen Ländern genügendes Sicherheitsmanagement
- Kosteneinsparungen bei gleichzeitig effizienteren, leistungsfähigeren und flexibleren IT-Strukturen
Unser Beitrag
- Durchführung eines Security-Audits
- Identifikation und Analyse von Security-Aspekten in der Gesamtstrategie
- Risiko- und Security-Prozess-Analysen sowie entsprechende Bewertungen
- Gap-Analyse sowie Erarbeitung einer Metrik zur Bewertung und Ableitung des Schutzbedarfs im Rahmen der Gesamtstrategie
- Vorschläge zu einzelnen Lösungsansätzen sowie Empfehlungen und Priorisierung der Maßnahmen
- Entwicklung entsprechender Ausschreibungsmodelle und -passagen
Resultate
- Anpassung der Gesamt-IT-Strategie unter Berücksichtigung wesentlicher IT-Sicherheitsanforderungen
- Schaffung von Grundlagen für eine spätere ISO 27001-Zertifizierung, gemäß BSI-Standard
- Initiierung und Priorisierung von Security-Maßnahmen, die zu einer wirtschaftlich sinnvollen und angemessen sicheren Lösung geführt haben
- Weiteren Vorgehensweise zur Erarbeitung und Umsetzung eines umfassenden Sicherheitskonzepts