itestro - Fotolia
Governance, Risk, Compliance: Das bringt Automatisierung
Viele Unternehmen haben die wichtigsten GRC-Informationen rechtlichen Informationen nur in einer Tabelle auf dem Computer – dabei müssten diese Themen längst digitalisiert sein.
GRC – Governance, Risk, Compliance – sind ein Thema, das schon längst nicht mehr auf große, internationale Konzerne beschränkt ist. Unabhängig von der Größe müssen Unternehmen die Bedeutung eines strukturierten und kontinuierlichen GRC-Ansatzes verstehen. Dabei kann es durchaus sinnvoll sein, diese Aktivitäten zu automatisieren.
Aber wo soll man anfangen? Und warum überhaupt automatisieren? Lassen Sie uns einige grundlegende Überlegungen zur Automatisierung von GRC-Aktivitäten untersuchen und einige der Vorteile nennen, die sich daraus ergeben können.
Die meisten Daten und Messgrößen rund um die Compliance, Betriebsrisiken und Governance entstehen heute bereits in IT-Systemen. Ob Zustandsdaten aus dem IT-Betrieb, Status-Informationen zu geschäftlichen Transaktionen oder Meta-Informationen wie zum Beispiel über das Löschen der persönlichen Daten eines Kunden werden in den IT-Systemen des Unternehmens generiert. Es gibt also keinen Grund manuell einige Werte in eine Tabelle einzutragen oder in Formulare zu übertragen. Auch ein PDF-Formular, obgleich digitalisiert, ist nur ein Formular, sofern die Daten nicht durch eine Softwarelösung eingetragen und ausgewertet werden. GRC-Automatisierung ist ein beachtenswerter Ansatz.
Wie passt GRC in die Sicherheitsstrategie eines Unternehmens?
GRC kann sich auf praktisch jeden Aspekt des Geschäftsbetriebs beziehen, von der strategischen Planung bis zum operativen Management. Aus der IT-Perspektive ist GRC ein integraler Bestandteil, um die bestmögliche Infrastruktur und Betriebsumgebung zu erreichen.
Eine gute Governance des IT-Betriebs stellt sicher, dass die verschiedenen Funktionen gemäß den festgelegten Richtlinien und Verfahren ausgeführt werden, wobei die Funktionen bei Bedarf überwacht, überprüft, bewertet und aktualisiert werden. Das Management von Risiken ist ein wesentliches Element des IT-Managements, insbesondere angesichts der immer häufigeren und schwerwiegenderen Bedrohungen der Cybersicherheit. Die Identifizierung und Verwaltung von Betriebsrisiken, Bedrohungen und Schwachstellen ist heute vielleicht die wichtigste IT-Aktivität. IT-Organisationen, die regelmäßig auditiert werden, müssen absichern, dass die zahllosen Vorschriften und Standards eingehalten werden. Auch Regeln für gute IT-Praxis, wie ITIL Service Management, müssen befolgt werden. Das Erreichen von Audit-Complianceumfasst auch die Entwicklung und Genehmigung von IT-Richtlinien und -Verfahren, die eine breite Palette von Aktivitäten abdecken.
Warum GRC automatisieren?
Je größer und komplexer die IT-Organisationen werden, desto sinnvoller ist die GRC-Automatisierung. Sie bietet eine systematische, vorhersehbare und einfach zu verwaltende Umgebung für alle GRC-Themen. Tabellenkalkulationen können zur Verwaltung von GRC-Aktivitäten verwendet werden und lassen sich so programmieren, dass ein Dashboard erstellt wird, das wichtige GRC-Daten anzeigt. Da Unternehmen jedoch mit der effektiven Verwaltung einer ständig wachsenden Anzahl von GRC-Themen zu kämpfen haben, ist eine Automatisierung sinnvoll. Ein GRC-Automatisierungs-Framework kann viel mehr Transaktionen verarbeiten, eine größere Analyse von GRC-Kennzahlen bieten und Warnungen ausgeben, wenn diese Kennzahlen die normalen Leistungsgrenzen überschreiten.
GRC-Systeme sind auch wichtige Werkzeuge für die Cybersicherheit. Sie können Aktivitäten und Reaktionen untersuchen, Post-Event-Analysen unterstützen und die Einhaltung festgelegter Leistungsmetriken sicherstellen. So können IT-Manager feststellen, ob die Abläufe in ihrem Unternehmen optimal funktionieren, Risiken minimiert und Compliance-Standards eingehalten werden.
Vorteile und Herausforderungen der GRC-Automatisierung
Die effektive Verwaltung einer großen, komplexen IT-Organisation erfordert eine Vielzahl von Informationen. Die von GRC-Systemen erzeugten Daten zeigen auf, was gut funktioniert, was sich möglicherweise in einen „gelben“ Bereich bewegt und welche Aktivitäten nicht funktionieren, gemessen an Richtlinien, Verfahren und Leistungskennzahlen. Rechtzeitige Management- und Betriebsanpassungen sind mit den richtigen Daten leichter möglich, und GRC-Systeme können – wenn sie richtig konfiguriert sind – die Ergebnisse in einem Format präsentieren, das leicht verständlich und umsetzbar ist.
Umgekehrt haben GRC-Systeme auch einige Nachteile. Sie können für einige IT-Organisationen zu kostspielig sein, und es muss genügend Personal vorhanden sein, um sicherzustellen, dass das System korrekt verwaltet und konfiguriert werden kann. Außerdem sind manche Unternehmen mit anderen IT-Entwicklungen überfordert und finden es zu schwierig, ein GRC-Automatisierungsprojekt zu starten.
Schlussendlich ist es auch denkbar, dass die Geschäftsleitung die GRC-Initiative nicht unterstützt. Mit der richtigen Due Diligence und einer sorgfältigen Prüfung der verfügbaren GRC-Optionen kann es jedoch möglich sein, die Geschäftsleitung davon zu überzeugen, dass eine GRC-Initiative organisatorische Vorteile bringt. Ein Argument, das helfen könnte: Präsentieren Sie dem Management eine Analyse der Risiken, denen das Unternehmen ausgesetzt sein könnte, wenn es nicht in GRC-Automatisierung investiert.
Ein Beispiel für GRC-Automatisierung in Aktion
Ein großer Automobilhersteller, der SAP als ERP-Lösung einsetzt, beschloss, ein SAP-Berechtigungsmodell zu implementieren. Dazu wollte er GRC-Kontrollen für Zugriffsmanagement, Governance und Compliance einrichten. Darüber hinaus benötigte das Unternehmen flexible Berichtsfunktionen, um zukünftige IT-Audits zu verwalten.
Da das Unternehmen bereits SAP-Anwender ist, entschied es sich für die App Dynamic Authorization Management von SAP, um den Prozess zu planen und zu orchestrieren. Das System nutzt Unternehmensprozesse und -profile, um die Zugriffsberechtigung auf der Grundlage von Rollen und Verantwortlichkeiten zu gestalten. Außerdem führte der Hersteller SAP GRC Access Control ein, das den Prozess der Benutzerzugriffsverwaltung bewertet und Workflows definiert, um das Verfahren zu automatisieren. GRC erleichterte dem Unternehmen die Gestaltung von Prozessen zur Verwaltung von Superuser-Privilegien, Zugriffsregeln, Mitigation Controls und die Einrichtung von Warnmeldungen. Die Software ermöglichte es dem Anbieter auch, einen einfach zu verwaltenden Autorisierungsprozess zu erstellen, ein Schulungs- und Awareness-Programm zu starten und die Systemwartung zu vereinfachen.
Wenn sie richtig konzipiert und entsprechend den Anforderungen des Unternehmens konfiguriert sind, können GRC-Systeme Unternehmen die Überwachung komplexer IT-Aktivitäten erleichtern, insbesondere wenn es um Sicherheit geht.