News | IT-Security | Strategien

Innovative Konzepte für IT-basiertes, übergreifendes GRC

Workflowoptimierte Anwendung für ein bessere Risikomanagement, Datenschutz und Informationssicherheit. Bild: freepik

 

Unternehmen jeder Größe wissen um die wachsende Bedeutung, welche die Informationssicherheit, Datenschutz und Risikomanagement haben und suchen verstärkt nach intelligenten, leicht integrierbaren und automatisierten Lösungen, mit denen sich entsprechende Abläufe zielgerichtet und effizient steuern lassen. Eine Data-Driven-Solution wie eGRC liefert die entsprechenden Eigenschaften.

Neues Konzept – IT-basiertes GRC

Laut Definition beinhaltet GRC die Arbeit von Abteilungen wie Innenrevision, Compliance, Finanzen, IT, Personal, Recht und Risiko. Es umfasst auch den Bereich der Unternehmensführung und den Vorstand. Ein neuer Ansatz ist allerdings das »embedded Governance, Risk and Compliance« (eGRC). Er führt alle genannten Bereiche mit Unterstützung der IT zusammen, verzahnt und automatisiert sie durch Standardisierung.

Durch IT-basierte GRC sind Unternehmen in der Lage, interne Risiken noch effizienter zu managen und notwendige Sicherheitsvorkehrungen zu ergreifen. Durch Mechanismen, die der Erkennung, Steuerung, Messung und Prognose von Risiken dienen, können Geschäftsführungen Richtlinien erarbeiten und Verfahren einführen, die zur Minimierung von Risiken und ihren Auswirkungen führen.

Unternehmen wie NETO Consulting und die Goriscon GmbH, beide Teil eines Wirtschaftsverbundes der IT- und Softwarebranche, zu dem auch die Unternehmen M71 Service GmbH, partnering und ansero UG gehören, haben erkannt, dass für ein umfassendes GRC heute nicht mehr auf den Einsatz von Tools verzichtet werden kann. Auf Basis dieser Erkenntnis ist eine Data-Driven-Solution namens eGRC entstanden. Sie bietet eine Vielzahl von Features, mit denen ein Unternehmen nicht nur größere Transparenz, sondern vor allem mehr Sicherheit gewährleisten kann.

Zu den wichtigsten Features eines effizienten GRC zählen beispielsweise ein Dokumenten- und Richtlinienmanagement, eine Maßnahmenplanung und -steuerung, ein Risikoboard sowie ein Berichtswesen und verfügbare Kennzahlen. Darüber hinaus braucht es ein Security Incident Management zur Steuerung und Bearbeitung möglicher Datenschutzverletzungen, ein Asset-Management, eine Dokumentenunterstützung sowie Standard-API-Schnittstellen.

Rolle der IT-Security bei GRC-Lösungen

Die IT Sicherheit spielt bei allen GRC-Initiativen für Unternehmen eine wichtige Rolle. Der Grund sind die vielen Schnittmengen der IT-Security mit den Bereichen Risikomanagement und Compliance. Auf der einen Seite profitiert GRC von immer weiter optimierten Security-Systemen, andererseits trägt die Einführung klar definierter Prozesse in allen Bereichen der GRC zur Verbesserung der Security-Systeme bei. Beide Seiten »befruchten« sich also gegenseitig hinsichtlich der unternehmenseigenen Sicherheit.

Vor allem beim Thema Compliance zeigt sich die enge Verbindung. Es gibt im Bereich der IT-Sicherheit zahlreiche, gesetzlich vorgeschriebene Mindeststandards, die von den Security-Teams unterstützt werden müssen. Diese Unterstützung funktioniert heute nur noch durch enge Verzahnung. Anforderungen rein technisch umzusetzen, ohne die IT-Security in den gesamten GRC-Prozess einzubinden, ist nicht erfolgreich.

eGRC ermöglicht Unternehmen eine zielgerichtete und effiziente Umsetzung von Informationssicherheit, Datenschutz und Risikomanagement. © Goriscon GmbH

 

Neben dem Bereich Compliance gibt es auch eine Verbindung zwischen Risikomanagement und IT-Security. Immerhin können Schwachstellen und Sicherheitslücken in der IT heute zu einer existenziellen Bedrohung in Form finanzieller Schäden oder massiver Imageverluste für Unternehmen werden.

Technischer und organisatorischer Gleichschritt – Notwendig für erfolgreiche Implementierung

Grundlegende Veränderungen in Unternehmen müssen gut geplant sein. Vor allem bei der Einführung neuer technischer Anwendungen ist es notwendig, die gesamte Unternehmensorganisation darauf vorzubereiten. Die Konzentration auf Einzelbereiche, bei denen zudem nicht alle Mitarbeitenden in die Planungen mit einbezogen werden, ist nicht zielführend.

Möchte ein Unternehmen ein komplett integriertes und automatisiertes GRC ohne Zwischenstationen in einem Schritt einführen, wird dies aufgrund der mangelnden Vorbereitung und den nicht vorhandenen organisatorischen Voraussetzungen fehlschlagen. Zielführender ist eine Strategie, bei der die notwendigen technischen und organisatorischen Veränderungen quasi im Gleichschritt geschehen. Dabei sollten technischen Neuerungen immer zur Unterstützung organisatorischer Veränderungen dienen.

Entwickler von IT-basiertem GRC gewährleisten einen unkomplizierten und zügigen Einstieg beispielsweise durch vorbereitete Richtlinien zu einzelnen Bereichen wie Datenschutzmanagement, Informationssicherheit, Berechtigungsmanagement oder Risikomanagement. Zudem stellen sie dem Unternehmen zertifizierte Berater/-innen zur Verfügung, die den Prozess der Implementierung vom Erstkontakt bis zum Betrieb begleiten. Zudem gibt es Anwendungsschulungen sowie einen Anwendungssupport, der für Fragen bereitsteht, die sich im operativen Betrieb ergeben.

Komplettlösung für effizientes Governance, Risk und Compliance

Das große Ziel ist stets eine komplett integrierte GRC-Lösung. Aus diesem Grund sollten Unternehmen nicht auf »Insel- bzw. Silolösungen« setzen, sondern auf eine Plattform, die alle Bereiche abdeckt und in der Lage ist, ein zentrales Management sowie einheitliche Richtlinien zu gewährleisten. So stellt sie ein integriertes Managementsystem für GRC zur Verfügung, das seine Aufgabe, als Kontroll- und Managementsystem für das gesamte Unternehmen zu fungieren, effizient und zuverlässig erfüllen kann.

 

Zur Startseite →

← Zurück