bluebay2014 - stock.adobe.com
Wie Sie GRC-Systeme in 7 Schritten automatisieren
Das Management der Risikominimierung, der Einhaltung von Auflagen und der unternehmerischen Verantwortung ist so komplex geworden, dass Automatisierungslösungen notwendig werden.
GRC – Governance, Risk, Compliance – ist der Begriff, der in den Unternehmen in letzter Zeit eine immer größere Rolle spielt. Wenn Ihre IT-Organisation die Themen Governance, Risiko und Compliance manuell mit Tabellenkalkulationen verwaltet, ist es vielleicht an der Zeit für eine GRC-Automatisierung. Wenn Sie bereits ein automatisiertes GRC-Tool verwenden, aber nicht zufrieden damit sind, könnte es an der Zeit sein, ein Upgrade oder einen kompletten Austausch des Systems zu prüfen. Welche Projektphasen werden für die Einführung einer automatisierten Lösung benötigt?
7 Phasen der Planung und Implementierung einer GRC-Automatisierung
Wie vor jeder größeren IT-Initiative müssen Sie zu Beginn die Genehmigung und Finanzierung von der Geschäftsleitung einholen. Dazu ist es wahrscheinlich erforderlich, einen Business Case und eine Rechtfertigung für die GRC-Initiative anzulegen.
Die personelle Ausstattung ist der nächste wichtige Punkt. Bei der Vorplanung muss ein GRC-Automatisierungsteam oder ein internes Planungsteam gebildet werden. Es ist auch wichtig, sich mit dem IT-Team abzustimmen, um sicherzustellen, dass die Ressourcen für die Einführung eines neuen GRC-Systems vorhanden sind, um es zu unterstützen. Unabhängig davon, ob das System nun Cloud-basiert und remote verwaltet oder vor Ort implementiert wird, ist sicherzustellen, dass das System von der IT unterstützt werden kann.
Nun erfolgt die Nutzung des Software Development Lifecycle (SDLC) für die Planung und Implementierung von automatisiertem GRC zum Tragen. Die folgende Liste erläutert jede Planungsphase des SDLC und beschreibt die jeweils erforderlichen Schritte.
Phase 1: Planung
Sammeln Sie Informationen, um die Kriterien für die Automatisierung von GRC-Aktivitäten zu definieren. Befragen Sie aktuelle GRC-Analysten, um zu verstehen, wie GRC derzeit durchgeführt wird. Identifizieren Sie dann den gewünschten Zustand für das GRC-Management.
Befragen Sie auch die Mitglieder des IT-Teams, die derzeit Daten aus den bestehenden GRC-Aktivitäten nutzen. Identifizieren Sie die zusätzlichen Informationen, die jede Person benötigt, da diese zur Definition der Spezifikationen für das neue oder aktualisierte GRC-System verwendet werden.
Phase 2: Analyse
Nachdem die Basisdaten über die GRC-Aktivitäten identifiziert wurden, werden in dieser Phase die Probleme untersucht, die mit dem Erreichen des von der Organisation benötigten GRC-Leistungsniveaus verbunden sind. Diese Anforderungen werden zu den Designkriterien für das GRC-System.
Für etablierte oder neue GRC-Programme kann ein System zur besseren Unterstützung von GRC-Funktionen eine strategische Investition sein. Achten Sie auf Systeme, die eine breite Palette von Kontrollen und Metriken erfassen und analysieren können und diese dann auf einem leicht verständlichen Dashboard anzeigen. Auch die Erstellung von Berichten kann wichtig sein, insbesondere bei der Präsentation von Erkenntnissen und empfohlenen Aktivitäten für das Senior Management.
Phase 3: Design
Bei der Entwicklung einer eigenen GRC-Software in einem Unternehmen ist diese Phase besonders wichtig. Die zuvor definierten Kriterien bestimmen das Design des GRC-Systems, die Plattform, Input und Output, die Benutzeroberfläche und andere Richtlinien.
Fiel die Entscheidung zugunsten eines kommerziell erhältlichen GRC-Automatisierungs-Tools – was wahrscheinlich das häufigere Ergebnis der Vorüberlegungen ist – können die Designkriterien Teil der Angebotsanfrage oder der Ausschreibung sein. Zusätzliche Überlegungen zum Design enthalten Systemmanagement, Wartung und Leistungsüberwachung und andere Merkmale für die Service Level Agreements (SLA).
Phase 4: Aufbau
Sind die Designkriterien verabschiedet, beginnt die Bau-Phase. Es wird das Projektteam gebildet und ein Projektplan entwickelt. Auch hier gilt: Wenn es sich um eine Initiative handelt, die mit eigenen Mitteln und Ressourcen umgesetzt werden soll, werden Programmierer und Analysten benötigt.
Deren Verfügbarkeit muss in den Gesamtzeitplan des Projekts und in die Unternehmensstrategie einkalkuliert werden. Die Kapazitäten zur Umsetzung müssen eingeplant beziehungsweise beschafft werden – es sei denn, es steht eine separate F&E-Abteilung mit eigener Infrastruktur zur Verfügung – und viele andere Aktivitäten wie die Testzeit müssen eingeplant werden. Keiner dieser Schritte ist notwendig, wenn ein GRC-Produkt von der Stange in Betracht gezogen wird. Dann sollte die für eine Aufbau-Phase einzuplanende Zeit jedoch genutzt nutzen, um das ausgewählte Produkt zu Testen und noch vor dem Einsatz gründlich zu untersuchen, um mögliche Probleme von vorn herein zu identifizieren.
Zu den Pre-Launch-Aktivitäten gehört auch Folgendes:
- Sicherstellen, dass alle Zusatzgeräte – Server, Speicher, Stromversorgungen, Datensicherung – konfiguriert und vorhanden sind
- Sicherstellen, dass alle bestehenden GRC-bezogenen Dateien vorhanden sind und das richtige Datenformat für die Verwendung im System haben
- die Koordination mit dem Change-Management-Team
- Koordination mit dem Team für Informationssicherheit (Infosec)
- Sicherstellen, dass die Dokumentation sowohl für gehostete als auch für die Installationen On-Premises verfügbar ist
- Koordination mit dem Datenbank-Administrationsteam
- Sicherstellen, dass Platz für jegliche zu beschaffende Hardware verfügbar ist
- Überprüfung der Netzwerkanbindung, zum Beispiel der Internet-Bandbreite für gehostete Systeme
- Planen der Besprechungen vor der Einführung mit internen Teams und Anbietern
- Mitteilungen an die Leitungsebene über den Fortschritt und Status des Systems
5. Testphase
Das Testen zur Verträglichkeit ist möglicherweise die wichtigste Phase auf dem Weg zur GRC-Automatisierung. Oft wird hier inzwischen auch von Akzeptanztests – hinsichtlich der Beteiligten und ihrer Fragen zur Bedienung der Lösung wie auch hinsichtlich der vorhandenen Systeme und der Interoperabilität – gesprochen. In dieser Phase wird das neue System, ganz gleich ob selbst entwickelt oder beschafft, in einem produktionsnahen Umfeld analysiert. Dadurch lässt sich feststellen, wie die Lösung funktioniert – und wo sie nicht funktionieren.
Typische Tests sind:
- Ausführen von Sitzungen mit Echtdaten
- Herausfinden, wie das System mit den Benutzerzugriffen umgeht
- Untersuchen, wie die Daten verwaltet werden
- Testen der Sicherheitsfunktionen des Systems, um festzustellen, ob zusätzlicher Schutz erforderlich ist
Deutsche Anwender sollten beim Testen aufgrund der DSGVO anstelle von Echtdaten anonymisierte Daten verwenden. Damit die möglicherweise auf Fehlern in den Daten zurückzuführende Störungen trotz der Anonymisierung beim Testen erkannt werden, sollte dafür eine Daten-Maskierung von Echtdaten vorgenommen werden. Das heißt, bei der Ersetzung eines bleiben die Datenmerkmale (eine Zeichenfolge, eine Ziffernfolge) erhalten.
6. Deployment
Kurz bevor die Tests abgeschlossen sind und das System für den Roll-out bereit ist, sollten die Hauptbenutzer geschult, die notwendigen Ankündigungen gemacht sowie die IT-Leitung und die Führungsriege des Unternehmens informiert werden. Der vorbereitete Zeitplan für die Einführung muss penibel eingehalten werden.
Das IT-Ressourcenmanagement ist hier wichtig, da es sicherstellt, dass die IT-Infrastruktur für die neue GRC-Anwendung bereit ist. Die Einführung kann in Phasen erfolgen, beispielsweise indem das System zunächst den regelmäßigen Anwendern und dann allen anderen zur Verfügung gestellt wird. Es ist auch eine gute Idee, die Benutzer um ihr Feedback zum System zu bitten, nachdem sie es ein paar Tage lang benutzt haben.
Zu den Post-Launch-Aktivitäten gehören auch:
- die Koordinierung von Änderungen und Modifikationen am System, die aufgrund der Testergebnisse erforderlich sind
- Koordinierung von Datensicherungs- und Disaster-Recovery-Aktivitäten mit dem/den Anbieter(n)
- Koordinierung von Sicherheitsaktivitäten mit Anbietern und Infosec-Teams
- Planen und Durchführen von Schulungsaktivitäten
- Versenden von Benachrichtigungen an alle Mitarbeiter über das neue System
- Verteilung der Dokumentation – elektronisch und in Papierform – an Systemadministratoren und Benutzer
- Durchführung einer Überprüfung nach der Installation und Bereitstellung der Ergebnisse für die Geschäftsleitung
- Erstellung eines Wartungsplans mit Change-Management- und Helpdesk-Teams
- Benachrichtigung der internen Revision nach Fertigstellung und Inbetriebnahme des Systems
7. Wartungsphase
Nachdem das neue GRC-System in den Produktivbetrieb übergegangen ist, sollten Management- und Wartungszyklen den reibungslosen Betrieb sicherstellen. Initiieren Sie Metriken zur Leistungsmessung, legen Sie Patching-Zeitpläne fest und nehmen Sie Änderungen unter Verwendung des bestehenden Änderungsmanagementprozesses des Unternehmens vor. Sobald die Leistungsmetriken, wie KPIs, festgelegt wurden, planen Sie regelmäßige Überprüfungen mit dem/den Systemadministrator(en), um die Einhaltung der Metriken sicherzustellen.
Verwaltung und Überwachung der GRC-Automatisierung
Sobald das System in Betrieb genommen wurde, wird es von den Hauptanwendern verwaltet und überwacht. Weisen Sie Analysten und/oder Ingenieure in der IT-Abteilung zu, die sich um eventuell auftretende Probleme kümmern. Das interne Helpdesk-Team muss in die Entwicklung, das Testen und den Einsatz des Systems einbezogen werden, da es als erstes alle Servicewarnungen erhält. Die meisten automatisierten GRC-Systeme sind mit Tools zur täglichen Verwaltung und zur Überwachung der Systemleistung ausgestattet. Stellen Sie sicher, dass das System Leistungsberichte erstellen kann, die vom Management überprüft werden können.