Eine Beobachtung ist ein Compliance-Ergebnis oder ein Mangel, der während der Überwachung von Kontrollen identifiziert wird. Sie stellt eine Lücke dar zwischen dem, was Sicherheitskontrollen leisten sollten, und dem, was sie tatsächlich leisten. Beobachtungen können aus Designmängeln, Problemen mit der operativen Wirksamkeit oder Beweislücken resultieren. Das GitLab Security Team verwaltet diese Beobachtungen durch einen Lebenszyklusprozess von der Identifizierung bis zur Behebung, was eine transparente Statusmeldung in Echtzeit ermöglicht. Die Lebenszyklusphasen umfassen Identifizierung, Validierung, in Bearbeitung, behoben und Abschluss. Ein effektives Beobachtungsmanagement sollte keine Detektivarbeit erfordern, um grundlegende Informationen wie Zuständigkeit, Status oder Priorität zu ermitteln. Das Security Compliance Team bei GitLab nutzte anfangs ein dediziertes GRC-Tool, hatte jedoch keine Sichtbarkeit für wichtige Stakeholder, was zu minimalen Behebungen führte. Sie verlagerten das Beobachtungsmanagement auf GitLab-Issues und verwandelten Beobachtungen in sichtbare, umsetzbare Arbeitsposten, die in Entwicklungs- und Betriebsworkflows integriert sind. Dieser Ansatz schafft Transparenz und Verantwortlichkeit, sodass Stakeholder sehen können, was Aufmerksamkeit erfordert, an Behebungsplänen zusammenarbeiten und den Fortschritt in Echtzeit verfolgen können. Das Team verwendet Labels und Issue Boards, um Beobachtungen zu kategorisieren, kritische Ergebnisse zu priorisieren und die Behebung zertifizierungsspezifischer Beobachtungen zu verfolgen. Durch die Nutzung der Rohdaten von GitLab-Issues können Organisationen aussagekräftige Erkenntnisse gewinnen und die Effektivität des Beobachtungsmanagements anhand wichtiger Kennzahlen und Berichte messen.