Ausgangslage
Die fortdauernde Zentralisierung von IT-Systemen und immer komplexere regulatorische Anforderungen erhöhen die Risiken für IT-Sicherheit und Datenschutz. Traditionelle, oftmals manuelle Ansätze stossen zunehmend an ihre Grenzen, weshalb Unternehmen die Einführung einer zentrale Lösung (GRC-Software) für unternehmensweite Verwaltung von Governance-, Compliance- und Risikomanagementprozesse prüfen sollten.
Vorgehen
Durch eine umfassende Marktanalyse wurde die wachsende Nachfrage nach GRC-Lösungen im Schweizer Markt bestätigt. Basierend auf den identifizierten Bedürfnissen potenzieller Kunden wurde mittels Brainstorming eine Vorauswahl von sechs Software-Lösungen getroffen. Die Auswahl der geeignetsten Variante erfolgte schrittweise durch mehrere Bewertungsvefahren und wurde abschliessend durch eine Sensitivitätsanalyse auf ihre Robustheit geprüft. Im Anschluss erfolgte eine konzeptionelle Kosten-Nutzen Analyse und es wurde ein dynamisches Konzept zur möglichen Implementierung ausgearbeitet.
Methodik
Die Auswahl erfolgte mittels verschiedener Analyse- und Bewertungsmethoden. Zuerst wurden die in der Marktanalyse identifizierten Anforderungskriterien an GRC-Tools priorisiert und dadurch die Variantenbildung auf vier Softwarelösungen reduziert. Anschliessend wurden die vier GRC-Tools mittels einer Präferenzmatrix und einer Nutzwertanalyse bewertet, wodurch sich feststellen liess, welches der vier Tools die wesentlichen Anforderungen bestmöglich erfüllt.
Durch das entwickelte Konzept wird Unternehmen die Möglichkeit geboten, durch individuelle Anpassung der Kriterien und deren Gewichtung ihre jeweiligen Anforderungen an eine Software zu präzisieren und dadurch eine passende Softwarelösung zu evaluieren. Zudem wurde ein 4-phasiges Implementierungskonzept erarbeitet, dass sich an "PDCA" orientiert und somit eine dynamische Implementation ermöglicht.
Ausblick
Durch die kontinuierlichen Innovationen im Bereich "Künstliche Intelligenz" und "Machine Learning" werden die Effizienz und Funktionsumfang von GRC-Tools laufend verbessert. Durch eine Integration mit anderen unternehmenspezifischen Systemen wird die Hebelwirkung zudem verstärkt und erleichtert die unternehmensweite Verwaltung von GRC-Anforderungen stetig.
Meilensteine im Projekt
Fazit und Danksagung
Die Diplomarbeit ermöglichte es mir, vertiefte Einblicke in das Thema IT-Sicherheit und Risikomanagement zu gewinnen. Durch die Anwendung des 4-Phasen-Modells des Projektmanagements, hatte ich zu jeder Zeit den Überblick über den Fortschritt der Diplomarbeit und konnte dynamisch auf Veränderungen und Herausforderungen reagieren. Zudem vereinfachte die Projekstrukturplanung das Bearbeiten dieses grossen Projekts, durch das Herunterbrechen in kleinere Arbeitspakete, massiv.
Mein besonderer Dank gilt dem engagierten Fachexperten, welcher mit seinen konstruktiven Feedbacks wesentlich zur Qualität meiner Diplomarbeit beigetragen hat.
Hinweis:
Die Diplomarbeit wurde nicht veröffentlicht. Bei Interesse an den Inhalten kann gerne eine Anfrage per E-Mail gestellt werden.
