Ausgangslage IT-GRC: woher kommst du, wohin gehst du?
IT-GRC umfasst laut Gartners Definition unternehmensweite GRC-Funktionen, die auf IT-spezifische Belange gerichtet sind. Blickt man auf das letzte Jahrzehnt zurück, so wurden Anforderungen in diesem Bereich ursprünglich sehr stiefmütterlich von den GRC-Softwareanbietern im Markt berücksichtigt und abgedeckt. Erst in den letzten Jahren wurde der IT-GRC ein Platz in diesen Plattformen eingeräumt – mehr oder weniger.
Oft wird IT-GRC als Teil eines integrierten GRC-Ansatzes in Unternehmen betrachtet und angegangen. Während Gartner‘s Analyst Paul Proctor von einer sich im Markt abzeichnenden Spaltung der IT-GRC in IT-bezogene GRC-Funktionen und die Sicherheitsfunktionen spricht, sind diese beiden Bereiche in meinen Augen weniger Ausdruck einer Spaltung, sondern eher der Entwicklung hin zu einem neuen, integrierten Fokus auf Informationssicherheit.
IT-GRC unterstützt Kontroll- und Governance-Funktionen, die eine Brücke von den Fachbereichen zu IT-Informationen schlagen und die die IT- und Geschäftsleitung in puncto Berichtswesen sowie in ihrer Entscheidungsfindung unterstützen. Dieser Nutzen wird zunehmend erkannt und ausgeschöpft. Darüber hinaus unterstützt der Ansatz aber eben auch Informationssicherheitsfunktionen über die Zentralisierung von Daten aus Sicherheitstechnologien (Beispiel Vulnerability Management). In diesem Zusammenhang interessant zu erwähnen finde ich die Feststellung des IT-GRC-Experten Michael Rasmussen, demnach ein bedeutender Anteil von Informationssicherheits-Verstößen in Lieferantenbeziehungen gründet, was uns die Verflechtung der verschiedenen (IT-)GRC-Bereiche wieder vor Augen führt.
IT-Governance steht nach Gartner für „die Prozesse, die den effektiven und effizienten Einsatz von IT für die Erreichung der Unternehmensziele sicherstellen.“ Es geht hierbei auch (und vor allem) um Konformität. Geschäftsprozesse schaffen die entscheidende Verbindung zwischen den Geschäftszielen und der Erfüllung damit einhergehender Vorschriften, zwischen der IT und den Fachbereichen. Informationen und Technologie unterstützen das effektive Management dieser Geschäftsprozesse und bilden die Schnittstelle von IT und GRC.
Wie gehen Unternehmen IT-GRC an?
Unternehmen müssen finanzielle, operationelle, reputations- und IT-bezogene Risiken erfassen, messen, verhindern und bewältigen, die auf Schwächen in Systemen, Prozessen und menschlichem Verhalten zurückgehen.
Anstelle der weiter oben gennannten „Brandbekämpfung“ wird sich das Augenmerk mit zunehmenden aufgedeckten Cyber-Angriffen und angerichteten finanziellen sowie reputationsbezogenen Schäden mehr auf die Prävention und Detektion solcher Angriffe und die Erreichung höchstmöglicher Resilienz richten müssen.
Ausgehend von unseren langjährigen Erfahrungen, Beobachtungen und Berichten unserer Kunden und Partner, findet man nicht selten dieselbe Ausgangslage vor:
- Die IT-Landschaft ist von vielen verschiedenen Softwareanbietern und Anwendungen geprägt
- Kontrollen werden oft manuell durchgeführt, automatisierte Kontrollen gibt es kaum
- Die IT-Governance behauptet ihre Existenz von anderen Systemen getrennt
- Das IT-Risikomanagement basiert auf einem Modell der „Brandbekämpfung“ – es wird erst dann reagiert, wenn der Schaden da ist
- Die IT-Compliance hat kaum Sichtbarkeit und es gibt zu viele Vorschriften, die in verschiedenen Ordnern abgelegt sind; es gibt keinen formalisierten Prozess
IT-GRC umfasst Bereiche wie Risiko der Non-Compliance, Bedrohungen (Hacker, Viren, Patches), IT-Richtlinien-und Compliance Management, Business Continuity Management, IT Operations Risk Management, IT-Audit, IT Continuous Monitoring, Zertifizierungen (SAS-70, ISO-27001), Lieferantenmanagement, Vorfallsmanagement.
Anstelle der weiter oben gennannten „Brandbekämpfung“ wird sich das Augenmerk mit zunehmenden aufgedeckten Cyber-Angriffen und angerichteten finanziellen sowie reputationsbezogenen Schäden mehr auf die Prävention und Detektion solcher Angriffe und die Erreichung höchstmöglicher Resilienz richten müssen.
Ein effektives Management der Informationssicherheit und eine effektive Umsetzung der IT-GRC-Initiativen sind hierfür eine solide Grundlage. Wie der Prozess dahinter aussehen kann, zeigt die untere Abbildung.
Abbildung 1: Der Information Security Management Prozess mit Nasdaq BWise
Welchen Mehrwert kann (und muss) Technologie bringen?
In jedem der oben genannten IT-GRC-Bereiche spielen Fehlerverfolgung, Risiko- und Compliancebewertungen, Datenmonitoring, Reporting und Schulung eine zentrale Rolle. Business Impact Analysen sowie Threat & Vulnerability Assessments unterstützen die Prioritätensetzung. Die Bestimmung der grundsätzlichen Sicherheitsanforderungen und Kontrollen für ein Asset, die Entwicklung von Risikobewältigungsplänen zur Minderung von Sicherheitsrisiken sowie deren Wirksamkeitsprüfung sind weitere Schlüsselfunktionen, die es erlauben, IT-Risiken, IT-Compliance und IT-Audit rundum abzudecken.
Integrierte GRC-Technologie kann den Aufbau eines zuverlässigen, effektiven und vor allem ganzheitlichen Information Security Management Systems (ISMS) unterstützen, indem:
diesbezügliche Prozesse, Risiken und Kontrollen revisionssicher dokumentiert und überwacht werden
integrierte Datenanalyse die Prioritätensetzung erleichtert und die zeitnahe Einleitung geeigneter Maßnahmen sicherstellt
Integriertes Data Feed Management eine flexible Verbindung zu externen Anwendungen und Systemen bietet: dies erlaubt die Integration von Vulnerability Scannern, Security Incident & Event Monitoring Tools, Baseline Analyzern un dIT Ticketing Tools (wie z. B. Qualys, Tripwire, Nessus oder ServiceNow) zur Erfassung der Schwächen der Assets und der Vorfälle in einer Software.
Reporting und Dashboards dem Management einen Überblick über den Status der erfassten Parameter geben (Bsp. Vulnerability Management Dashboard)
Die Einrichtung eines ganzheitlichen ISMS hat den Anspruch, möglichst alle IT-GRC-Prozesse abzudecken. Ob und inwieweit ein Technologie-Anbieter diesen Ansatz verfolgt, hängt allein von ihm ab – und auch, ob er Informationssicherheit überhaupt mit anderen GRC-Bereichen integriert, wie in der unteren Abbildung.
Abbildung: Informationssicherheit als Teil integrierter GRC
Ausblick
Informationssicherheit bleibt eines der wichtigsten Anliegen in Unternehmen, wie zahlreiche Studien der Big Four (u.a. von PwC), der Bitkom oder des Bundesamtes für Sicherheit in der Informationstechnik zeigen. Die rasche Zunahme eingesetzter Technologie, sowohl aufseiten der Kunden als auch der Unternehmen selbst, erhöht die Wahrscheinlichkeit eintretender Risikoereignisse. Dazu kommen andere externe Faktoren wie Lieferantenbeziehungen, die Risikomanagementprogramme herausfordern: sie müssen auf dem aktuellsten Stand bleiben und das Spektrum möglichst aller Bedrohungen kodifizieren, denen ein Unternehmen gegenübersteht.
Da Konsequenzen von eintretenden IT-Complianceverstößen verheerend für die Existenz und das Ansehen von Unternehmen sein können, wollen die Geschäftsführung, Interne Revision und Compliance sicher sein, dass die (IT-)Assets hinreichend geschützt werden. IT und IT-GRC stehen mehr denn je im Fokus, und mit ihr die Notwendigkeit einer nachhaltigen GRC-Strategie und einer zukunftsfähigen Technologie, die die Wirksamkeit und Effizienz von (IT-)GRC-Initiativen steigern und die Resilienz verbessern.
Mehr Informationen darüber, wie BWise® Information Security Unternehmen darin unterstützt, ihre IT-GRC-Prozesse und ihr Informationssicherheitsprogramm zu standardisieren und kontinuierlich zu verbessern, finden Sie auf unserer Webseite www.bwise-grc.de.
Für einen Erfahrungsaustausch und eine Demonstration unserer Software steht Ihnen mein Kollege Richard Jansen jederzeit gern zur Verfügung: telefonisch unter +49 1520 909 7820 und per E-Mail richard.jansen@nasdaq.com.
Nicole Radzimska ist seit 2010 für Nasdaq BWise im Bereich Business Development tätig. Ihre detaillierten Insights zu Entwicklungen, Herausforderungen und Trends im GRC-Markt in der D-A-CH-Region tragen zu gezielten Marketing-Aktivitäten bei und schaffen Zugang zu neuen Kundenprojekten in allen Branchen und GRC-Bereichen. Seit ihrem Psychologiestudium mit dem Schwerpunkt Markt- und Konsumentenpsychologie hat sie sich u. a. in der Markt- und Markenforschung intensiv mit dem Verhalten und den Bedürfnissen von Kunden beschäftigt.Dieses Interesse verfolgt sie in ihrer Rolle bei Nasdaq BWise weiter.