Suchen

IT-Security und Organisation Kompetenzen bündeln im Security Center of Excellence

| Autor / Redakteur: Dipl. Betriebswirt Otto Geißler / Peter Schmitz

Die volatile IT-Sicherheitslage erfordert schnelle Reaktionen. Ein Kompetenzzentrum für Cyber-Sicherheit bietet Unternehmen mit mehreren Standorten nicht nur die Möglichkeit, Tools und Kompetenzen für alle Bedürfnisse rund um die IT-Security zu zentralisieren, sondern auch hochqualifizierte Experten zu gewinnen und zu halten.

Firmen zum Thema

Cloud Computing, mobiler Datenaustausch, Industrie 4.0, IoT sowie schnellere Entwicklungszyklen fordern auch für die IT-Security schnellere Reaktionsfähigkeiten.
Cloud Computing, mobiler Datenaustausch, Industrie 4.0, IoT sowie schnellere Entwicklungszyklen fordern auch für die IT-Security schnellere Reaktionsfähigkeiten.
(Bild: gemeinfrei / Pixabay )

In den meisten Unternehmen und Niederlassungen werden häufig nur IT-Spezialisten beschäftigt, die zusätzliche für IT-Security verantwortlich sind. Experten der IT-Security möchten wiederum nicht in einer Organisation arbeiten, in der die IT-Security nur als notwendiges Übel angesehen wird.

Nicht zuletzt um auch die besten Talente anzuziehen, sollten Unternehmen eine Kultur der Cyber-Sicherheit etablieren, die in Menschen investiert und der IT-Security die notwendigen Instrumente an die Hand gibt, die für eine erfolgreiche Arbeit benötigt werden. Daher bietet der Aufbau eines Security Centers of Excellence (CoE) eine ideale Möglichkeit, nicht nur die IT-Security zu optimieren, sondern auch Experten für Cyber-Sicherheit zu gewinnen und zu halten.

Standardisierung von IT-Security-Maßnahmen

Mit einem CoE wäre es dann möglich, dass die jeweiligen Standort-Manager auf eine zentrale Abteilung von Security-Spezialisten, Services und Lösungen zugreifen könnten, um lokale Anforderungen an die IT-Security zu erfüllen. Das CoE entwickelt und harmonisiert übergreifende Maßnahmen für die Sicherheitsziele an den jeweiligen Standorten. Dies reduziert letztlich auch die Kosten für IT-Security.

Falls notwendig, lassen sich auf den standardisierten Maßnahmen zusätzliche individuelle Zusatzmaßnahmen für einzelne Standorte erarbeiten. Da viele verschiedene länderspezifische Datensicherheitsvorgaben sowie lokale brancheneigene Sicherheitsstandards zu berücksichtigen sind, ist dies vor allem für international operierende bzw. größere Unternehmen erforderlich.

Vorteile eines Kompetenzzentrums für IT-Security

Ein CoE kann für Lösungen von Problemen auf unterschiedlichen Ebenen bieten. Beispielsweise lässt sich Know-how gut bündeln und Engpässe im Personalbereich beheben. Da Spezialisten für IT-Security sehr gefragt sind, müssen für die einzelnen Standorte keine eigenen Spezialisten ausgebildet oder eingestellt werden. Zudem lassen sich Security-Tools und Services professioneller und kostengünstiger implementieren, betreiben und weiterentwickeln.

Statt einer mehrfachen Einrichtung wird ein einheitlicher Dienst angeboten, der den Sicherheitsanforderungen des Konzerns entsprechen. Ein Center of Excellence ist jedoch mehr. Es gewährleistet als steuernde Abteilung die Konsistenz aller Security-Lösungen durch Spezialisten sowie standardisierte Prozesse für alle Standorte.

Dazu gehören Infrastruktur- und Security Operations-Services wie Identity- und Access Management-Lösungen, zentrale Authentisierungs-Services, Privileged Account Management, Data Leakage Prevention, Endpoint Security, Vulnerability Management oder SIEM.

Darüber hinaus bietet ein CoE auch organisatorische Services wie zum Beispiel Assurance (Zertifizierungen), Third Party Management (Prüfung bestehender und neuer Service Provider) und Sicherheitsarchitektur-Support wie beispielsweise sichere Netzwerk-Blueprints für Produktionsstandorte, Cyber Risk Management, Training und Awareness.

Weitere Security Services wie Service Continuity, Disaster Recovery, Secure Information Lifecycle Management (z. B. Anonymisierung, Pseudonymisierung und Verschlüsselung), Forensik oder Code Security zählen ebenfalls zu den Aufgaben eines CoE.

Implementierung eines Kompetenzzentrums

Ein CoE muss genau auf das Unternehmen zugeschnitten sein. Die speziellen Anforderungen sollten zu diesem Zweck in den Ressourcen, Kompetenzen und Werkzeugen festgelegt und abgebildet sein. Der Aufbau und Betrieb eines CoE sollte immer vom Geist der Standardisierung und Vereinfachung getragen sein. Dabei dürfen Komplexität bzw. Defizite in der Standardisierung des Unternehmens nie von dem Kompetenzzentrum übernommen werden.

Aus diesem Grunde müssen die Prozesse und Instrumente in den Standorten angepasst und nicht jeder Prozess, jedes Tool und jede firmeninterne Eigenheit sollte ins CoE übertragen werden. Sonst werden die Kosten und die Anzahl der Sicherheitstools unnötig in die Höhe getrieben.

Beim Aufbau eines Kompetenzzentrums ist es auch angezeigt, alle wichtigen dezentralen Abteilungen des Unternehmens in die Einrichtung miteinzubeziehen. Alle Beschäftigten sollten darüber informiert werden, welche Aufgaben zentralisiert und welche weiterhin dezentral gelöst werden. Gleichzeitig müssen die Stakeholder in den Standorten davon überzeugt werden, dass die Services eines CoE einen deutlichen Mehrwert bieten als die dezentralen Services.

Mit dem Aufbau eines CoE für IT-Security sind natürlich einige Kosten verbunden, aber der Aufwand wird sich letztlich lohnen, da ein Kompetenzzentrum einen starken ROI erzielen wird. Was wäre die Alternative? Ein unterbesetztes und überlastetes IT-Security-Team, hohe Abnutzungsraten und ein erhöhtes Risiko für verheerende Datenverletzungen. Da jedes Unternehmen von einer starken IT-Security profitieren kann, müsste dieser Weg begehbar sein.

Ausbau zu „Security as a Service“

Ein Kompetenzzentrum für IT-Security könnte sich in den kommenden Jahren durchaus auch zu einem Angebot als „Security as a Service“ entwickeln. Dabei müsste man den Fokus darauf legen, dass die IT-Security in Cloud-basierten Lösungen trotzdem agil bleibt und nicht als Hemmschuh oder Blockade empfunden wird.

Solche Cloud-Services müssten dann natürlich beim Authentifizieren oder Mikrosegmentieren von Quellcode oder Sicherheitslücken auch automatisch verfügbar und schnell einzurichten sein. Dieser Aspekt sollte beim Aufbau eines Kompetenzzentrums schon jetzt berücksichtigt werden.

(ID:46798471)

Über den Autor