Aus meinem letzten Beitrag zum IT-Sicherheitsbeauftragten (Teil 1) wissen Sie bereits, worauf wir von BRANDMAUER IT besonderen Wert legen. Um Ihnen ein noch besseres Bild von unserem IT-Sicherheitsbeauftragten zu vermitteln, will ich Ihnen nun berichten, wie unser IT-Sicherheitsbeauftragter in einem Kundenprojekt agiert hat. Die Anforderung des Kunden war eigentlich eine relativ einfache Aufgabenstellung: „Wir müssen für den Wirtschaftsprüfer eine IT-Dokumentation als Anlage zum Jahresabschluss bereitstellen!“ Die Sichtung des Anforderungskatalogs seitens des Wirtschaftsprüfers machte aber schnell deutlich, dass hier mehr verlangt wird als nur eine IT-Dokumentation. Schon die ersten Fragen konnte der Kunde nicht mit gutem Gewissen beantworten.
Schnell war klar, hier muss die IT-Organisation grundlegend überprüft und geändert werden, ansonsten läuft der Kunde Gefahr, kein uneingeschränktes Testat ausgestellt zu bekommen.
Unser IT-Sicherheitsbeauftragter hat dann zuerst die bestehenden Regelungen und Richtlinien gesichtet und diese auf Ihre Vollständigkeit und deren Anwendung in der IT-Organisation hin analysiert. Leider waren auch einige der unternehmensinternen Richtlinien nicht mehr aktuell, sodass diese an die aktuellen Gegebenheiten angepasst werden mussten. Einige Richtlinien waren leider nur sehr rudimentär ausformuliert bzw. sie waren gar nicht existent. In all diesen Fällen hat unser IT-Sicherheitsbeauftragter die Aktualisierung und Neuerstellung der Unternehmensrichtlinien übernommen.
Dabei hat er unseren BRANDMAUER IT Security EDAF Prozess (Entwurf-Diskussion-Anpassung-Finalisierung) zur Anwendung gebracht. Der EDAF Prozess sieht vor, einen Entwurf zur Diskussion zu stellen, danach die notwendigen Anpassungen zu machen und diesen anschließend zu finalisieren. Aus unserer Sicht ist das ein sehr effektiver Prozess, da er besonders fokussiert und zielgerichtet abläuft. Wilde, unstrukturierte Diskussionen und uneffektive Meetings sind nicht unser Ding.
Gemäß EDAF Prozess hat unser IT-Sicherheitsbeauftragter zunächst grob die Richtlinien ausformuliert, um diese dann in Abstimmung mit dem kaufmännischen Leiter und den IT-Verantwortlichen im Detail weiter abzustimmen und zu konkretisieren. Der so ausgearbeitete Entwurf wurde anschließend mit der Geschäftsleitung besprochen, finalisiert sowie den Mitarbeitern bekannt gemacht und vermittelt.
Auf diese Art und Weise wurden folgende Richtlinien in dem Kundenprojekt überarbeitet bzw. neu erstellt:
Welche der oben genannten Richtlinien und Vorgaben existieren in Ihrem Unternehmen?
Damit einher gingen auch einige Änderung in den Betriebsprozessen der IT. So wurde zum Beispiel die Art und Weise, wie neue User und Berechtigungen vergeben wurden, komplett neu implementiert. Unser IT-Sicherheitsbeauftragter hat die Administratoren dabei unterstützt, ein Intranet-basierendes Webformular zu erstellen, welches den Prozess des User- und Berechtigungsmanagements neu regelt. Da wir in der Vergangenheit schon häufiger solche Konzepte für unsere Kunden erarbeitet haben, konnten wir große Teile des neuen Workflows direkt zur Verfügung stellen. Die Administratoren mussten dabei nur noch die Anpassung an die Gegebenheiten des Unternehmens vornehmen. Der Kunde profitiert nun doppelt: Zum einen ist der Prozess des User- und Berechtigungsmanagements nun im Intranet digital verfügbar und der lästige Papierprozess abgelöst. Zum anderen ist der Prozess nun so gestaltet, dass er den Anforderungen des Wirtschaftsprüfers in Bezug auf Transparenz und Nachvollziehbarkeit entspricht.
Wie Sie sehen also ein recht umfangreiches Projekt, das so von Anfang an gar nicht geplant war. Am Ende des fünfmonatigen Projektzeitraums waren aber alle Beteiligten richtig begeistert darüber, dass man das in dem Umfang umgesetzt hat. Nicht zuletzt deswegen, weil der Geschäftsführer ausdrücklich betont hat, dass dieser Prozess das Unternehmen positiv weiterentwickelt hat und er jetzt das Gefühl hat, organisatorisch und im täglichen IT-Betrieb besser aufgestellt zu sein. Als besonders hilfreich hat man die Impulse, Anregungen und Zuarbeit durch den externen IT-Sicherheitsbeauftragten empfunden. Dies wäre intern so nicht leistbar gewesen, ohne dass es an anderer Stelle zu Ressourcen-Engpässen gekommen wäre.
Konnten Sie die beiden Fragestellungen zu Ihrer Zufriedenheit beantworten? Falls nicht sollten Sie den Einsatz des BRANDMAUER IT-Sicherheitsbeauftragten in Betracht ziehen.