Informationssicherheit und skalierte, agile Umgebungen – ein Widerspruch?

Die wachsende Verbreitung und Skalierung von agilen Arbeitsweisen stellt Unternehmen vor zunehmende Herausforderungen.

Wie in unserer „Agile at Scale“-Studie ausführlich behandelt, hadern Unternehmen weiterhin mit der optimalen Umsetzung von agilen Methoden und skalierten Umgebungen. Die zunehmenden Anforderungen der Informationssicherheit, traditionell eher als bremsend und störend empfunden, verstärken diese Herausforderungen bei der Integration in skalierte, agile Umgebungen.

Gemeinsam mit der Universität zu Köln hat Capgemini Invent daher eine Studie durchgeführt, die die aktuelle Integration von Informationssicherheit analysiert und Best Practices herausstellt. Im Zuge dessen wurden mehrere „Scaled Agile“-Experten aus Deutschland, Österreich und der Schweiz nach Ihren Erfahrungen mit der Integration von Informationssicherheit in skalierten agilen Umgebungen befragt. Die hierbei gewonnenen Erkenntnisse wurden zu Bausteinen gruppiert, die die verschiedenen Aspekte und Interdependenzen einer verbesserten Integration strukturiert wiedergeben.

Wie in unserer Übersicht ersichtlich, hat die Informationssicherheits-Kultur eines Unternehmens direkten Einfluss auf die Akzeptanz und Umsetzung in Projekten und (skalierten) agilen Umgebungen. Durch eine Anpassung der Unternehmenskultur kann das Verständnis der Informationssicherheit von dem eines Stolpersteins, der den Fortschritt in skalierten, agilen Umgebungen verlangsamt, zu dem eines wichtigen Wegbereiters werden.

Ein weiterer, integraler Bestandteil ist das Selbstverständnis der Informationssicherheits-Abteilung. Dieses sollte sich von dem einer Überwachungs- und Steuerungsfunktion, zu dem eines Enablers entwickeln. Schafft eine Informationssicherheits-Abteilung den Wandel hin zu einer verstärkten Serviceorientierung, welcher skalierten, agilen Umgebungen mit angemessenen Tools, Prozessen und Expertise als aktive Unterstützung bereitsteht, können notwendige Sicherheitskonzepte und Sicherheitstests gemeinsam als Teil der agilen Projekte entwickelt werden.

Eine verstärkte Serviceorientierung geht hierbei Hand in Hand mit der kontinuierlichen Integration der Informationssicherheit und gliedert sich in drei Teilbausteine:

• Um eine notwendige Awareness für Informationssicherheits-Anforderungen zu schaffen, sollte das Thema aktiv geprägt werden. Nicht nur Führungskräfte, Scrum Master oder Product Owner, sondern auch Coaches und Berater sollten als Vorbild agieren und bereit sein, Informationssicherheit als relevantes Thema anzusehen und den Mut haben, auch unpopuläre Entscheidungen zu treffen. Inwieweit ein spezifisches Skillset erforderlich ist, hängt stark von der jeweiligen Industrie bzw. Produkt ab. Grundlegende Informationssicherheits-Schulungen sollten jedoch für alle Mitarbeitende skalierter Umgebungen obligatorisch sein. Es ist zwar nicht notwendig, dass jeder ein umfassendes Expertenwissen vorweisen kann, jedoch führen grundlegende Schulungen zu gesteigerter Awareness und reduzierten Abhängigkeiten. Da eine vollständige Unabhängigkeit zu Informationssicherheits-Experten und der entsprechenden Abteilung in den meisten Situationen jedoch unrealistisch ist, sollten „Security Champions“ als Bindeglied zwischen den agilen Umgebungen und der Informationssicherheit integriert werden und z.B. in Plannings, Reviews oder Retrospectives bei aufkommenden Fragen eingebunden werden. Um hierbei einen optimalen Nutzen zu liefern, müssen auch diese Experten über Kenntnisse agiler Arbeitsweisen verfügen und sich auf stetig verändernde Rahmenbedingungen einstellen können.
• Weitere integrale Aspekte sind adäquate Verfahren & Prozesse, die sicherstellen, dass das Thema direkt von Beginn an eingebunden wird. Anstelle eines abschließenden bzw. weit entferntem Quality Gates, sollte Informationssicherheit mit Hilfe von realistischen Beispielen greifbarer gemacht und kontinuierlich, anhand etablierter Konzepte wie Security-by-Design, DevSecOps oder Test-driven Development, integriert werden. Unternehmen sollten hierbei proaktiv hinterfragen, ob bestehende Prozesse zu Spannungen mit agilen Arbeitsweisen führen und entsprechend angepasst werden sollten. Zudem sollte bedacht werden, dass dies nicht nur die direkte agile Umgebung, sondern auch angrenzende bzw. ineinander übergehende Bereiche betreffen kann.
• Abschließend wurde durch unsere Interviews deutlich, dass eine Verifizierung & Automatisierung von Informationssicherheit in skalierten, agilen Umgebungen einen bedeutenden Baustein ausmachen und eine Überprüfung der korrekten Implementierung unabdingbar ist. Unternehmen sollten zum einen Richtlinien definieren, die eine einheitliche Verifizierung der Implementierung von Informationssicherheits-Anforderungen zulassen. Zum anderen sollten Informationssicherheits-Abteilungen Testumgebungen bereitstellen, die die Automatisierung und Standardisierung von Tests, aber auch Risikobewertungen oder Datenklassifizierungen umfassen und deren Qualität erheblich verbessern.

Auch wenn die genaue Umsetzung von Themengebieten, getreu dem agilen Gedanken, den agilen Teams obliegt, so sollten sich Unternehmen so weit wie möglich auf (skalierte) agile Arbeitsweisen einstellen und optimale Voraussetzungen schaffen. Gelingt es einem Unternehmen, Informationssicherheit und agile Arbeitsweisen aufeinander abzustimmen, kann das Thema auf eine hohe Akzeptanz treffen und nachhaltig in den Arbeitsalltag der Teams integriert werden.

Capgemini Invent liefert Ihnen für die Symbiose beider Themen die passende Expertise aus einer Hand. Unsere Experten unterstützen Sie sowohl bei der Konzeption skalierter, agiler Umgebungen als auch dabei, diese sicher zu gestalten, ohne die Agilität zu gefährden. Sprechen Sie mich bei Bedarf gerne direkt an.

Vielen Dank an Dr. Janek Richter, Cologne Institute for Information Systems (CIIS) und Robin Lengsholz, Senior Consultant bei Capgemini Invent für die Zusammenarbeit bei dieser Studie.