Um die eigenen IT-Kosten drastisch zu senken, entwickelte ein Konzern mithilfe namhafter Beratungsgesellschaften eine grundlegende Sourcing-Strategie. Bei der näheren Betrachtung dieser Sourcing-Konzepte stellte sich jedoch sehr schnell heraus, dass wesentliche Security-Fragen außen vor geblieben waren.

Security-Aspekte einer globalen Sourcing-Strategie

Branche

Industrie

Projekt-Sponsor

CIO

Herausforderung

  • Massiver Kostendruck über die gesamte IT-Organisation hinweg
  • Umfangreiche Document-Management-, Collaboration- und Messaging-Lösungen im Eigenbetrieb
  • Bereits konzipierte Managed-Service- und Cloud-Lösungen konnten aufgrund fehlender Datenschutz- und Compliance-Maßnahmen nicht realisiert werden

Gründe

  • Völlig heterogene Lösungen, keine einheitliche Strukturen
  • Fehlende Dokumentationen
  • Teilweise völlig vernachlässigte Security-Aspekte
  • Grundsätzlich keine einheitliches Security-Konzept, keine auf IT-Sicherheit ausgerichtete Architektur
  • Unkonsolidierte Dokumente, Datenbestände etc. der Tochtergesellschaften unterschiedlicher Länder

Vision

  • Implementierung eines weitgehend standardisierten Sicherheitskonzepts mit branchen- und regionalspezifischen Aspekten
  • Aktives, reaktionsschnelles und den gesetzlichen Anforderungen in den jeweiligen Ländern genügendes Sicherheitsmanagement
  • Kosteneinsparungen bei gleichzeitig effizienteren, leistungsfähigeren und flexibleren IT-Strukturen

Unser Beitrag

  • Durchführung eines Security-Audits
  • Identifikation und Analyse von Security-Aspekten in der Gesamtstrategie
  • Risiko- und Security-Prozess-Analysen sowie entsprechende Bewertungen
  • Gap-Analyse sowie Erarbeitung einer Metrik zur Bewertung und Ableitung des Schutzbedarfs im Rahmen der Gesamtstrategie
  • Vorschläge zu einzelnen Lösungsansätzen sowie Empfehlungen und Priorisierung der Maßnahmen
  • Entwicklung entsprechender Ausschreibungsmodelle und -passagen

Resultate

  • Anpassung der Gesamt-IT-Strategie unter Berücksichtigung wesentlicher IT-Sicherheitsanforderungen
  • Schaffung von Grundlagen für eine spätere ISO 27001-Zertifizierung, gemäß BSI-Standard
  • Initiierung und Priorisierung von Security-Maßnahmen, die zu einer wirtschaftlich sinnvollen und angemessen sicheren Lösung geführt haben
  • Weiteren Vorgehensweise zur Erarbeitung und Umsetzung eines umfassenden Sicherheitskonzepts