Exklusiv im #ConfareBlog: Governance, Risk & Compliance
Wenn die Komplexität steigt, verliert sich so mancher in den Details. Ein anderer sieht den Wald vor lauter Bäumen nicht mehr und ein dritter nimmt´s gelassen und akzeptiert, dass er es nicht mehr im Griff hat. Die Schwierigkeit liegt darin, die richtige Flughöhe zu erreichen, um die Zusammenhänge zu erkennen, ohne die Einzelheiten aus den Augen zu verlieren. Nur wer die Gesamtlage überblickt, kann Effektivität (das Richtige zu tun) und Effizienz (es richtig zu tun) unter einen Hut bringen. Die Confare IT-Community hat drei Faktoren identifiziert, die dafür entscheidend sind.
Mehr als 500 CIOs und CISOs aus Top-Unternehmen treffen Sie auf dem Confare #CIOSUMMIT, dem größten und mit dem CIOAWARD bedeutendsten IT-Management Treffpunkt in Österreich.
Mehr zum Thema Cybersecurity gibt es im Confare Factsheet, bei dem IT-Entscheider aus Top-Unternehmen Erfahrungen, Tipps und Wissen weitergeben: Cybersecurity Infocenter von Confare powered by T-Systems
1. Tools & Prozesse
Ein ganzheitlicher Blick zahlt sich aus. Man kann Synergien nutzen und verhindert gleichzeitig, dass Probleme an unterschiedlichen Stellen des Unternehmens mehrmals gelöst werden müssen. Glücklicherweise muss man dazu nicht immer alles neu erfinden. Es gibt einen reichhaltigen Fundus an Standards, auf die man zurückgreifen kann sowie bewährte Vorgehensmodelle und gut erprobte Tools.
Es ist zielführend, ein zentrales Tool zu implementieren, in dem alle GRC Informationen holistisch abgelegt und verwaltet werden können. Dafür ist ein ausreichendes Budget an Zeit und Ressourcen erforderlich. GRC kann je nach Zertifizierungswunsch recht aufwändig und intensiv werden. Wer das unterschätzt, droht auf halbem Weg zu scheitern. Daher braucht es die entsprechende Unterstützung der Geschäftsleitung. Für den Start eines GRC Projektes empfiehlt es sich zudem, professionelle Hilfe zu holen. Auf längere Sicht wird man so Zeit und Geld sparen.“
Ronny Fischer, Security Chief Technology Officer, T-Systems Switzerland
Das entscheidende Element ist eine zentrale Steuerungseinheit über alle Bereiche hinweg. Diese
Einheit überwacht alle drei GRC-Teilbereiche, verknüpft und koordiniert Maßnahmen aus den
Bereichen und stellt eine ganzheitliche Sichtweise sicher.“
Gottfried Tonweber, Leitung Cyber Security und Data Privacy, EY
Dabei sollte man auf Prozesshygiene nicht vergessen und existierende Prozesse permanent
hinterfragen, ablösen oder verbessern.”
Wolfgang Mayer, HOERBIGER
2. Kennzahlen & Metriken
Ohne Messgrößen kann man nicht steuern. Allerdings ist entscheidend, dass man die Dinge misst, die wirklich etwas über die Zielerreichung aussagen. Allzu oft werden Kennzahlen erhoben, mit denen man nachher gar nichts anfängt. Es ist daher ratsam, die KPIs, sorgfältig auszuwählen und ihre Anzahl eher schlank zu halten.
Nur mit den richtigen KPIs erreicht man die richtige Flughöhe. Diese Kennzahlen können dann sowohl einzeln betrachtet als auch zu einem großen ‚Lagebild‘ zusammengeführt werden. Wichtig dabei ist, dass man nicht der Versuchung erliegt, hier Mikromanagement zu betreiben sondern immer das ganzheitliche Bild als primäres Ziel im Fokus hat. Ein Drilldown in einen der Bereiche ist dann, ausgehend von der ganzheitlichen Betrachtung, immer noch möglich.“
Walter Hölblinger, Security Evangelist
Aussagekräftige Metriken und Prozesse zu schaffen, stellen viele Unternehmen vor eine Herausforderung. Diese Metriken und Metainformationen sind aber absolut notwendig. Sie werden korreliert und zu Lagebildern in Dashboards mit verschiedenen Sichten verdichtet.”
Wolfgang Mayer, HOERBIGER
3. Kommunikation & Mehrwert
GRC ist kein Selbstzweck. Dienstanweisungen, die im Befehlston erteilt werden und deren Sinn weder ersichtlich ist, noch ausreichend erklärt wird, verfehlen ihre Wirkung. Nur wer das „Warum“ versteht, entscheidet im Zweifelsfall richtig. Daher ist Kommunikation für GRC Experten längst zum entscheidenden Erfolgsfaktor geworden. Auf der einen Seite gilt es, den wahren Zweck von Maßnahmen zu vermitteln. Wichtig ist aber auch der Nutzen, der für den Einzelnen dadurch generiert wird. Dazu gehört, dass rechtliche Stolperfallen rechtzeitig erkannt, Risiken vermieden werden und ein positives Unternehmensimage entsteht.
Es braucht gut vernetzte Mitarbeiter, die mit Verstand und Ziel die Datenlage analysieren, interpretieren und dokumentieren. Grundvoraussetzung dazu sind: klar geregelte Verantwortlichkeiten und Kompetenzen.“
Wolfgang Mayer, HOERBIGER
GRC darf nicht nur verwaltet, sondern muss aktiv und branchen- wie unternehmensspezifisch
gestaltet werden.“
Jürgen Renfer, CISO, Kommunale Unfallversicherung Bayern
*Zur besseren Lesbarkeit wird in diesem Beitrag das generische Maskulinum verwendet. Die in diesem Beitrag verwendeten Personenbezeichnungen beziehen sich – sofern nicht anders kenntlich gemacht – auf alle Geschlechter.