iStock

Governance, Risiko-Management & Compliance mit ganzheitlichem Ansatz

Jede der drei GRC-Disziplinen bringt Informationen hervor, die für die anderen wichtig sind. Integrierte Tools helfen die Daten zusammen zu führen.

Mit Governance, Risiko-Management und Compliance, oder kurz GRC, verhält es sich wie mit Feuerlöschern oder Verbandskästen: Geld verdienen können Unternehmen damit nicht. Dennoch wird niemand bezweifeln, dass die Aufgaben im Bereich Governance, Risiko-Management und Compliance essentiell sind.

Es geht darum, Schadensfälle aller Art vom Unternehmen abzuwenden oder zumindest einzugrenzen. Also darum, das Geld, das an anderen Stellen verdient wird, zu schützen, was ja kein unwesentlicher Beitrag zur Wertschöpfung ist.

Governance, Risiko-Management und Compliance

Hier noch einmal kurz zusammengefasst, mit was sich die drei Disziplinen beschäftigen:

Governance beschreibt den gesamten Management-Ansatz, nach dem Führungskräfte das Unternehmen unter Verwendung von Verwaltungsdaten und innerhalb von hierarchischen Verwaltungs- und Kontrollstrukturen lenken. Governance-Maßnahmen stellen sicher, dass der Geschäftsführung umfassende, genaue und zeitnahe Informationen zur Verfügung steht. Dabei werden Kontrollmechanismen eingerichtet, die dafür sorgen, dass Strategien, Vorgaben und Anweisungen der Geschäftsführung systematisch und effektiv ausgeführt werden.

Risiko-Management umfasst Prozesse zur Identifizierung, Analyse und angemessenen Reaktion auf Risiken, die ein Unternehmen am Erreichen ihrer Geschäftsziele hindern könnten. Die Reaktion auf Risiken hängt davon ab, welches Risikopotenzial ihnen zugemessen wird. Reaktionen können im Eindämmen, Umgehen oder Annehmen der Risiken, aber auch im Einschalten Dritter bestehen. Während Unternehmen routinemäßig mit einer breiten Palette an Risiken umgehen müssen, stellt im GRC-Bereich in der IT das Risiko der Nichteinhaltung externer gesetzlicher und behördlicher Vorgaben das wesentliche Problem dar.

Compliance ermöglicht es, durch Verwaltungs- und Management-Prozesse vorgegebene Anforderungen einzuhalten. Die betreffenden Prozesse müssen geltende Anforderungen ermitteln, die Ist-Situation, die Risiken und die potenziellen Kosten der Nichteinhaltung von Regelungen beurteilen sowie erforderliche Korrekturmaßnahmen priorisieren, finanzieren, einleiten und überwachen.


In jüngster Zeit ist die eingangs genannte Aufgabe dieser drei Disziplinen deutlich anspruchsvoller geworden: Erstens verändern sich die relevanten Prozesse und Strukturen im Unternehmen sehr viel schneller. Zweitens werden die Risiken größer, beispielsweise durch Cyberkriminalität oder volatile Märkte. Drittens werden die externen und – meist in vorbeugender Reaktion darauf – auch die internen Regelwerke immer umfassender, ausgefeilter und strenger.

Reduzierung von Komplexität

Vor diesem Hintergrund setzt sich mehr und mehr die Auffassung durch, dass die komplexen GRC-Aufgaben nur in einem ganzheitlichen Ansatz erfolgreich zu bewältigen sind. Jede der drei GRC-Disziplinen bringt Informationen hervor, die für die anderen beiden wichtig sind. Es kommt also darauf an, Informationen und Aktivitäten in den Teilgebieten aufeinander abzustimmen, um so die jeweiligen Prozesse effizienter zu organisieren, einen besseren Informationsaustausch zu ermöglichen, das Berichtswesen zu straffen und Überschneidungen zu vermeiden. Im Kern geht es also auch hier um die Reduzierung von Komplexität.

Dabei befassen sich die drei Disziplinen mit denselben Technologien, Prozessen und Informationen. Wird die Verantwortung für die Governance, das Risiko-Management und die Compliance in unterschiedliche Hände gelegt und werden diese Bereiche nicht gemeinsam betrachtet, kommt es unvermeidlich zu Überschneidungen und Abstimmungsproblemen. Dies beeinträchtigt die Betriebskosten und die GRC-Kennzahlen, mithin also die Gesamtsicherheit. Deshalb erschweren es auch die mittlerweile berüchtigten „Silos“, also voneinander isolierte Unternehmens- oder IT-Strukturen, die GRC-Anforderungen zu erfüllen. Hier können integrierte Tools helfen, die Silos zumindest „virtuell“ aufzubrechen und Daten zusammenzuführen.

Abbildung 1: Mit integrierten Tools lassen sich Aufgaben automatisieren und auch Datenmissbrauch erkennen.

Gerade unter dem Eindruck der wachsenden Risiken für die IT erkennen mehr und mehr Unternehmen, dass es nicht ausreicht, wenn sie ein Sammelsurium von Technologien und Prozessen einsetzen, die nicht ineinander greifen. Die Folge sind höhere Kosten und größere Risiken. Bei GRC geht es mit Blick auf die IT vor allem darum, die Integrität von Kontrollen und Maßnahmen sicherzustellen und so ein zusätzliches Sicherheitsnetz zu schaffen, das das Unternehmen vor risikoreichen Ereignissen schützt. Insofern sind GRC in der IT und IT-Sicherheit zwar nicht das Gleiche, sie überscheiden sich aber und durch die Einbettung in das Gesamtbild und die Abstimmung mit teilweise externen Faktoren, befördert GRC wiederum die IT-Sicherheit.

Beim Blick auf einige konkrete Herausforderungen für ein integriertes IT-GRC lassen sich Business- und Technik-Aspekte unterscheiden.

Business-Herausforderungen

  • Mangelndes Interesse in der obersten Führungsebene;
  • Widersprüchliche interne Regelungen;
  • Unzureichende abteilungsübergreifende Integration von Sicherheit und Compliance über mehrere Abteilungen hinweg;
  • Fehlende Mittel für die Automatisierung;
  • Missbrauch von Berechtigungen durch Mitarbeiter oder Partner;
  • Unzureichende beziehungsweise fehlende Pläne für die Reaktion auf sicherheitsrelevante Vorfälle;
  • Unzureichende Schulungen.

Technische Herausforderungen

  • Privilegierte Konten mit Blankovollmacht;
  • Änderungen lassen sich nur begrenzt mit nativen Protokollen granular prüfen;
  • Schwierigkeiten bei der Erzwingung der Funktionstrennung innerhalb einer Domäne;

  • Notfall-Wiederherstellungsprozesse lassen sich nicht in der Produktionsumgebung testen oder implementieren;
  • Datenintegrität und Benennungsstandards lassen sich nicht erzwingen;
  • Veraltete Verzeichnisobjekte können nicht bereinigt werden;
  • Keine automatische Korrektur bei nicht autorisierten Aktionen;
  • System-Administratoren haben Zugriff auf sensible Ressourcen.

Die Schwierigkeit bei der Realisierung eines ganzheitlichen GRC-Konzepts für die IT besteht meistens darin, dass mehr als nur eine Vorgabe eingehalten werden muss. Das wird durch die permanenten Änderungen der Anforderungen meist zusätzlich erschwert. Obwohl Unternehmen zusätzliche Budgets für GRC zur Verfügung stellen, reichen diese oft nicht aus, um mit künftigen Bedrohungen oder aktualisierten Vorgaben Schritt zu halten. Beispielsweise wenn mit der Anforderung nach PCI 3.1, ältere Verschlüsselungstechnologien unternehmensweit bis zu einem Stichtag abgeschafft werden müssen.

„Mehr und mehr Unternehmen erkennen, dass es nicht ausreicht, wenn sie ein Sammelsurium von Technologien und Prozessen einsetzen, die nicht ineinander greifen.“

Bert Skorupski, Dell Software

 

In der Praxis besteht heute nicht mehr das Problem, die nötigen Informationen zu beschaffen, sondern aus der überbordenden Fülle von Daten, die Systeme unterschiedlichster Art liefern, die richtigen herauszufinden und sie zeitnah zu einem konsistenten Gesamtbild zu vereinen. Ohne einen von vorneherein ganzheitlichen Ansatz wird es schwierig bis unmöglich, die Informationen zusammenzuführen; es wird aber auch schwierig, die entsprechenden Aufgaben durchgängig zu automatisieren. Die Automatisierung ist aber wiederum die Voraussetzung dafür, dass die erforderlichen Informationen auch in komplexen Umgebungen zeitnah und, was nicht weniger wichtig ist, an einer zentralen Stelle bereitstehen. Nur so lassen sich Risiken rechtzeitig erkennen und Gefahren wirksam abwehren.

Über den Autor:
Bert Skorupski ist Senior Manager Sales Engineering bei Dell Software.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+, Xing und Facebook!

Nächste Schritte

CISO: Die größten Herausforderungen für Sicherheitsverantwortliche.

EU-Datenschutz: Cloud-Sicherheit und die GDPR – erste Schritte für die Compliance.

Kann man einen Business-Continuity-Plan ohne Risikobewertung entwickeln?

Business-Impact-Analyse (BIA) und Risk Assessment (RA) in BC-Pläne einbeziehen.

Artikel wurde zuletzt im August 2016 aktualisiert

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close