Controlware berät Unternehmen und Behörden im GRC-Umfeld

GRC: Governance, Risk & Compliance

Controlware berät Unternehmen und Behörden im GRC-Umfeld


Vernetzung und Digitalisierung haben die Risikolandschaft der Unternehmen schnell und nachhaltig verändert, und auch die IT-Abhängigkeit nimmt über alle Unternehmensgrößen und Branchen massiv zu. Um eine Grundlage für eine sichere, stabile und effiziente IT zu schaffen, unterstützt Controlware Unternehmen dabei, Herausforderungen im Kontext der Informationssicherheitsstrategie, des Risiko-Managements und der Einhaltung von Compliance-Vorgaben zu bewältigen.

Der Dreiklang aus Governance, Risk & Compliance (GRC) bezeichnet den Ordnungsrahmen aus internen Richtlinien, risikobasiertem Handeln und einzuhaltenden gesetzlichen oder branchenspezifischen Vorgaben, in dem sich moderne Unternehmen bewegen. Umsetzung und Einhaltung dieses Rahmens gehören zu den zentralen Aufgaben der Unternehmensführung, werden in der Praxis aber oft an Mitarbeiter delegiert.

Die Informationstechnologie ist dabei in vielerlei Hinsicht von entscheidender Bedeutung, und für die Aufrechterhaltung des Unternehmensbetriebes essenziell: Einerseits unterstützt sie Innovationen und fördert aktiv die Wertschöpfung eines Unternehmens. Andererseits schafft sie neue Risiken für Informationssicherheit – etwa durch die Vergrößerung der Angriffsfläche, beispielsweise durch den Remote Access von Mitarbeitern und Partnern.

Daniel Kammerbauer, Team Lead Governance, Risk and Compliance bei Controlware, erklärt: „Informationssicherheit ist Chefsache und stellt eine risikobasierte Investition dar. Um diese Investition zielgerichtet tätigen zu können, muss ein Unternehmen erst den Rahmen schaffen, Risiken überhaupt identifizieren und managen zu können.

Hierfür eignet sich ein Managementsystem für Informationssicherheit (ISMS). Dieses stellt sicher, dass Informationssicherheit nachhaltig etabliert und kontinuierlich verbessert wird, und schafft die zentrale Voraussetzung, um erfolgreich und nachhaltig auf dem Markt zu bestehen.“

Risikobasiertes Denken ist gefragt
Gefordert, befeuert und unterstützt wird organisatorische Informationssicherheit vor allem durch staatliche Organe (NIST, BSI) und Gesetzesinitiativen (KRITIS, IT-SIG 2.0) sowie durch die Entwicklung entsprechender Normen (ISO/IEC 27000, IT-Grundschutz). Ein ISMS stellt den risikobasierten Ansatz konsequent in den Mittelpunkt. Kann ein Unternehmen die folgenden Fragen beantworten, zeigt dies, dass es Informationssicherheit nachhaltig lebt und weiterentwickelt sowie Entscheidungen ganzheitlich betrachtet und abwägt:

Welche Informationspolitik wird verfolgt – und berücksichtigt diese den Kontext der Organisation sowie die Interessen und Anforderungen der Stakeholder?
Welchen Informationssicherheitsrisiken ist das Unternehmen ausgesetzt, welche Maßnahmen wurden dagegen ergriffen und sind diese wirksam?
Welche Prozesse und Ressourcen sind unternehmenskritisch, und welche Maßnahmen wurden getroffen, um diese auch widerstandsfähig zu gestalten? Gibt es einen Plan, wenn doch etwas passiert?

„Gerade die letzten beiden Fragen stellen Verantwortliche immer wieder vor Herausforderungen. Generell tun sich die Unternehmen leicht, die technische Sinnhaftigkeit von Maßnahmen im IT-Kontext zu beurteilen. Die Bedeutung für die Informationssicherheit greifbar zu machen und in den Business-Kontext zu setzen, ist ungleich schwieriger“, so Daniel Kammerbauer. „Die organisatorische Informationssicherheit liefert mit ihrem risikobasierten Ansatz für diese Situation die Argumentation, um den Einsatz von Mitteln zu begründen und effektiv zu tätigen.“

IT-Sicherheit als Voraussetzung für Geschäftsbeziehungen und Wettbewerbsvorteil
In Geschäftsbeziehungen wird die Informationssicherheit über alle Branchen hinweg immer wichtiger: Um eigene Risiken zu minimieren, erwarten Geschäftspartner, dass Informationssicherheit nachweisbar ernst genommen wird. Ein ISMS, das von unabhängigen Dritten geprüft und zertifiziert ist, liefert eine hervorragende Basis. In diesem werden Informationssicherheitsrisiken kontinuierlich identifiziert, bewertet und Maßnahmen abgeleitet, um die Risiken zu reduzieren. Dies beugt Störungen kritischer IT vor und ermöglicht die Entwicklung belastbarer Strategien zum Umgang mit Informationssicherheitsvorfällen.

Als IT-Dienstleister und Beratungsunternehmen stehen wir Kunden pragmatisch und praxisnah bei allen Fragestellungen rund um GRC zur Seite – von der Erreichung strategischer Ziele im Bereich der Informationssicherheit über die Einführung eines ISMS bis hin zu operativen Themen wie Auditierung und Risiko-Management. Grundlage der Zusammenarbeit ist ein praxisnahes Vorgehensmodell, dass passgenau an den Bedürfnissen und am Reifegrad der Kunden ausgerichtet ist. Wir verfügen selbst bereits seit über zehn Jahren über ein nach ISO/IEC 27001 zertifiziertes ISMS.

Schlagwörter:

Das könnte Sie auch interessieren:

Mit Controlware in drei Phasen zum Software Defined Networking

Software Defined Networking Mit Controlware in drei Phasen zum Software Defined Networking Expertise Viele Unternehmen setzen nach wie vor auf veraltete IT-Infrastrukturen, die den infolge der Digitalisierung gestiegenen Anforderungen kaum noch gerecht werden. Der Betrieb dieser Netzwerke ist daher gar nicht mehr oder nur mit sehr hohem personellem Auf-wand möglich. Die Lösung: die Umstellung auf … Controlware berät Unternehmen und Behörden im GRC-Umfeld weiterlesen

Videostatement

„Das Ohr
am Markt haben“

Stefan Mutschler, Chefredakteur IT-Sicherheit, über den 10. Controlware Security Day.

Rückschau

Am 22. & 23. September luden wir renommierte Security-Experten, führende Hersteller und IT- und Sicherheitsverantwortliche aus ganz Deutschland zum 14. Controlware Security Day im Congress Park Hanau. Über 300 Gäste folgten unserer Einladung – und nutzten den etablierten Branchentreff, um sich über die wichtigsten Trends und Neuerungen in der IT-Security zu informieren.