[Assessments] GDPR Detailed Assessment
Update: Mittlerweile existiert die V.5 der Assessments, die inhaltlich noch sehr ähnlich zu den vorangegangenen Versionen ist, aber insb. mittlerweile eine Reihe an weiteren Sprachen beinhaltet!
Aus der Serie "Microsoft Security Assessments" diesmal das Thema GDPR Detailed Assessment:
Ziel:
Durch gezielte Fragen bei den richtigen (!) Ansprechpartnern wird der Ist-Zustand eines Unternehmens herausgearbeitet mit dem Ziel eine Prioritäten Liste zu erstellen um diese im Nachgang/Folgeprojekt abarbeiten zu können.
Inhalt:
- 00 - Microsoft GDPR Detailed Assessment - Delivery Guide - v2.0.docx
Eine detaillierte Anleitung für die Auslieferung. - 01 - Microsoft GDPR Detailed Assessment - Pre Engagement Presentation - v2,0.pptx
Präsentation um dem Kunden darzulegen, was das GDPR Detailed assessment ist. - 02 - Microsoft GDPR Detailed Assessment - Kickoff Presentation - v2.0.pptx
Präsentation für das Kickoff Meeting zum GDPR Detailed Assessment - 03 - Microsoft GDPR Detailed Assessment - Input - v2.0.xlsx
Der eigentliche Fragebogen, dessen Ziel ist die Maturity des Kunden beim Thema GDPR zu erfassen. - 03 - Microsoft GDPR Detailed Assessment - Results - v2,0 .pbix
Das PowerBI Template, welches mit dem ausgefüllten "03 - Microsoft GDPR Detailed Assessment - Input - v2.0.xlsx" befüllt wird um automatisiert die Exec-Summary und die Recommendation Liste zu generieren - 04 - Microsoft GDPR Detailed Assessment - Close-Out Presentation - v2.0.pptx
Präsentation für die CxO Ergebnis Präsentation. - 10 - Microsoft GDPR Detailed Assessment - How to deliver - v2.0.pptx
Vorgehen
FYI: Ich habe im Modern Workplace ChampCall im Februar (ab ca. 2:45min) das Vorgehen kurz gezeigt, also schaut es euch gerne an, denn dort gebe ich auch ein, zwei Tipps, die aus der Doku nicht hervorgehen! ;)
Das Wichtigste bei dem GDPR Detailed Assessment ist, dass die *RICHTIGEN* Personen an der Befragung teilnehmen. Das sind insb. (sofern vorhanden) der Data Protection Officer (DPO) und der Chief Information Security Officer (CISO) oder vergleichbare Rollen. Schaden tut eine Teilnahme von Chief Information Officer bzw. IT Leiter sicher nicht, ohne die erst-genannten wird das Assessment aber sicher kein Erfolg. Daher ist es zwingend erforderlich, dass das befragte Unternehmen die Dringlichkeit und Notwendigkeit verstanden hat, dass mind. diese Rollen daran teilnehmen.
Das Assessment startet mit der Vorstellung "was ist das GDPR Detailed Assessment" mit dem Ziel das Commitment des Kunden/Ansprechpartners einzuholen das Assessment durchzuführen und, dass er die richtigen Personen für die Durchführung an den Tisch bringen wird.
Im Kickoff Meeting sollten alle beteiligten Personen teilnehmen, da dies der Zeitpunkt ist an dem alle auf das gemeinsame Ziel "eingeschworen" werden und vor allem alle auf das selbe Wissenslevel gehoben werden sollen. Hier kann und sollte noch einmal das klare Commitment aller Beteiligten eingeholt werden alles Notwendige zu tun um das Assessment zu einem Erfolg zu führen. Die Gefahr, die besteht, ist, dass mancher Beteiligter fürchten könnte, dass bei einer wahrheitsgemäßen Beantwortung u.U. seine Fehlleistungen und/oder Versäumnisse zu Tage kommen. Dies ist sicherlich oft nicht unbegründet, jedoch sollte vorher sichergestellt sein, dass dies natürlich nicht zu einer personellen Konsequenz führt, denn Ziel ist es ja, dass hinterher an den notwendigen Punkten gearbeitet wird um diese in Zukunft besser zu machen und nicht um mit dem Finger auf einen der Beteiligten zu zeigen.
Nun ist es an der Zeit das eigentliche Doing durchzuführen: der Fragebogen.
Der Fragebogen besteht aus 162 Fragen, die in die bekannten 4 Kategorien "Discover", "Manage", "Protect" und "Report" unterteilt sind. Im Fragebogen und auch der Dokumentation ist aufgeführt, wer für welche Frage/Kategorie der optimale Ansprechpartner ist.
Wichtig bei den Fragen ist, dass wenn die übergeordnete Frage, z.B. im Screenshot die D2.0, mit "No"/"Nein" beantwortet wurde, dass die daraus abgeleiteten Fragen alle mit "No"/"nein" zu bewerten sind. D.h. nur wenn die ".0" Frage mit "Yes"/"Ja" beantwortet wurde, sollten die darunterliegenden Fragen gestellt werden.
Wenn nun alle Fragen von allen Beteiligten beantwortet wurden (Merke: oben rechts steht, wie viele Fragen noch unbeantwortet sind, man vergisst gerne mal eine Kategorie aufzuklappen! ;) ), so nutzt man das Dokument um dies als Datenquelle in PowerBI darzustellen. (Die genaue Anleitung dazu ist im Assessment enthalten und spare ich mir an dieser Stelle).
Wenn nun die Datenquelle in dem beigelegten PowerBI Template geändert worden ist (es ist übrigens schon vorgekommen, dass die Ansichten nicht automatisch upgedated worden sind, in dem Fall einfach das Template mit der geänderten Datenquelle abspeichern, PowerBI schließen und erneut öffnen), können insb. in den Reitern "Executive Summary", "Executive Summary 2" und "All Recommendation" die notwendigen Sichten betrachtet werden und diese gemäß der Anleitung in die Abschlusspräsentation eingefügt werden.
Die dringendsten Empfehlungen werden in der "Executive Summary 2" angezeigt und sollten dem entsprechend auch priorisiert werden [dies sind die Fragen, die mit "Starting" bewertet worden sind]:
In jedem Reiter zu den einzelnen (Unter)Kategorien werden außerdem die jeweiligen Recommendations dargestellt und in dem Reiter "All Recommendation" die gesammelte Macht der Empfehlungen:
Ergebnis/Outcome:
D.h., dass das Ergebnis eine (ggf. lange) Liste mit Empfehlungen ist. Neben dem Durchführen der Fragen ist die zweite wichtige Aufgabe des Durchführenden nun anhand der Recommendationliste einen sinnhaften Fahrplan für das betroffene Unternehmen aufzustellen und natürlich sich mit den Verantwortlichen auf ein weiterführendes Projekt zu einigen.
Call to action:
Wenn ihr als Microsoft Partner dieses (oder auch die anderen) Assessments durchführen möchtet und benötigt dazu (technische) Unterstützung, so sprecht bitte eure entsprechenden Partner Development Manager und Partner Technical Strategists an.
Last but not least hier die Links auf die Downloads der Assessments:
- GDPR Detailed Assessment (en-US)
- GDPR Detailed Assessment (de-DE)
Und nicht vergessen im "Microsoft Security Assessments" Post habe ich noch drei weitere Assessments beschrieben/verlinkt.