03775 IT Security Outsourcing mit Methode – das OMIT-Referenzmodell
|
Die zielführende Gestaltung einer Sourcing-Beziehung für Sicherheitsdienstleistungen (Managed Security Services, MSS) ist elementar für den Erfolg einer jeden Auslagerungsmaßnahme. Der Beitrag führt in die Grundlagen des Outsourcing-Projektmanagements anhand des OMIT-Referenzmodells ein. Der typische Ablauf einer professionellen MSS-Auslagerung wird mit seinen wesentlichen Meilensteinen und Aufgaben dargestellt. Die häufigsten Fehler, Risiken und Herausforderungen werden aufgezeigt und konkrete Empfehlungen gegeben, diese im Projektverlauf frühzeitig zu erkennen und gezielt zu minimieren.
Die hohe Komplexität des Themas ITO-Projektmanagement erlaubt in diesem Beitrag indes nur die Thematisierung der wesentlichsten Schwerpunkte als Leitfaden. Arbeitshilfen: von: |
1 Einleitung
Sourcing von IT-Sicherheit
Im Zuge einer fundierten Strategie einzelne IT-Aufgaben, wenn nicht sogar alle operativen IT-Aktivitäten, an externe Dienstleister auszulagern (IT Outsourcing – ITO), beschäftigt große wie mittelständische Unternehmen gleichermaßen. Analog zu dieser Entwicklung betrachten sie zunehmend auch die Vergabe von Teilaufgaben bzw. des gesamten IT-Sicherheitsmanagements (Managed Security Services – MSS) an einen spezialisierten Anbieter als eine Möglichkeit zur Verbesserung ihres operativen IT-Risikomanagements. Insbesondere für Organisationen, die erkannt haben, dass zwischen ihren konkreten Sicherheitsbedürfnissen und ihren eigenen Sicherheitsmaßnahmen eine erhebliche Lücke klafft, kann dies eine Alternative darstellen. Immer öfter wird deshalb auch im Bereich IT-Sicherheitsmanagement die Frage „Make or Buy” erörtert, d. h. interne oder externe (komplette bzw. nur in Teilbereichen) Gewährleistung des Sicherheitsmanagements.
Im Zuge einer fundierten Strategie einzelne IT-Aufgaben, wenn nicht sogar alle operativen IT-Aktivitäten, an externe Dienstleister auszulagern (IT Outsourcing – ITO), beschäftigt große wie mittelständische Unternehmen gleichermaßen. Analog zu dieser Entwicklung betrachten sie zunehmend auch die Vergabe von Teilaufgaben bzw. des gesamten IT-Sicherheitsmanagements (Managed Security Services – MSS) an einen spezialisierten Anbieter als eine Möglichkeit zur Verbesserung ihres operativen IT-Risikomanagements. Insbesondere für Organisationen, die erkannt haben, dass zwischen ihren konkreten Sicherheitsbedürfnissen und ihren eigenen Sicherheitsmaßnahmen eine erhebliche Lücke klafft, kann dies eine Alternative darstellen. Immer öfter wird deshalb auch im Bereich IT-Sicherheitsmanagement die Frage „Make or Buy” erörtert, d. h. interne oder externe (komplette bzw. nur in Teilbereichen) Gewährleistung des Sicherheitsmanagements.
Aktives Beziehungsmanagement
Unternehmen müssen für eine externe Beauftragung von IT-Sicherheitsaufgaben deutlich gesteigerte Sorgfalt auf die Ausgestaltung eines (pro-)aktiven Beziehungsmanagements legen (vgl. Abbildung 1) – nicht zuletzt aufgrund der gesetzlichen Vorgaben aus dem Kontroll- und Transparenzgesetz (KonTraG, § 91 Abs. 2 AktG), die hier besonders zu beachten sind. Gerade die Übertragung von Verantwortlichkeit im oft sensiblen Bereich der IT-Sicherheit erfordert eine solide Basis der Zusammenarbeit mit dem MSS-Dienstleister – in prozessualer und vertraglicher Hinsicht, also vor allem messbare Leistungsdefinitionen, klare Berichtspflichten sowie die Sicherung von Transparenz, aktiver Maßnahmenfähigkeit und Steuerbarkeit.
Unternehmen müssen für eine externe Beauftragung von IT-Sicherheitsaufgaben deutlich gesteigerte Sorgfalt auf die Ausgestaltung eines (pro-)aktiven Beziehungsmanagements legen (vgl. Abbildung 1) – nicht zuletzt aufgrund der gesetzlichen Vorgaben aus dem Kontroll- und Transparenzgesetz (KonTraG, § 91 Abs. 2 AktG), die hier besonders zu beachten sind. Gerade die Übertragung von Verantwortlichkeit im oft sensiblen Bereich der IT-Sicherheit erfordert eine solide Basis der Zusammenarbeit mit dem MSS-Dienstleister – in prozessualer und vertraglicher Hinsicht, also vor allem messbare Leistungsdefinitionen, klare Berichtspflichten sowie die Sicherung von Transparenz, aktiver Maßnahmenfähigkeit und Steuerbarkeit.
Erfolgreiche MSS-Partnerschaften werden zielsicher und konsequent im Vorfeld einer Vertragsunterzeichnung ausgestaltet. Drei von vier bestehenden Vereinbarungen jedoch sind nachteilig für die auslagernden Unternehmen. Ihnen fehlen wirksame Instrumente für eine transparente, steuerbare und effiziente Kooperation. Erhoffte Vorteile wie eine nachhaltige Senkung ihrer IT-Kosten und/oder eine Verbesserung der Qualität und Flexibilität ihrer IT bleiben dann aus.
