Innovation durch Integration Konsolidierung unterschiedlicher prozessualer und regulatorischer Anforderungen in einem softwaregestützten Managementansatz Dr. Christian Ritter ibi systems GmbH Regensburg, 18.05.2017
Inhalt I. Vorstellung ibi systems GmbH II. Prozessuale und regulatorische Anforderungen an Unternehmen III. Status quo: Wildwuchs statt Management IV. Softwaregestützte Integration zur Steigerung der Effizienz V. Ausblick auf zukünftige Entwicklungen ibi systems GmbH Seite 2
I. Vorstellung ibi systems GmbH
Vorstellung ibi systems GmbH Geschäftszweck und Gründung Entwicklung und Einführung von Software zur nachhaltigen Geschäftsprozessoptimierung. ibi systems GmbH wurde 2012 als Spin-Off der Universität Regensburg und der ibi research an der Universität Regensburg gegründet. Geschäftsführung Dr. Stefan Wagner, Diplom Wirtschaftsinformatiker (Univ.), Verantwortlichkeitsbereiche: Finanzen, Personal, Beratung und Vertrieb Pascal Jonietz, Wirtschaftsinformatiker (M.Sc.), Verantwortlichkeitsbereiche: Produkt- und Softwareentwicklung, IT und Organisation Mitgliedschaften bei der Allianz für Cyber-Sicherheit, einer Initiative des Bundesamtes für Sicherheit in der Informationstechnik (BSI), sowie beim Bayerischen IT-Sicherheitscluster e.v. Referenzen (Auszug) ibi systems GmbH Seite 4
II. Prozessuale und regulatorische Anforderungen an Unternehmen
Unternehmen im Spannungsfeld Strafzahlungen Gesetze Branchenspezifische Standards Unternehmen Branchenübergreifende Standards Auftragsverlust Konkurrenzfähigkeit / Effizienz ibi systems GmbH Seite 6
Vielfältige Anforderungen an Unternehmen Security ISMS ISO/IEC 27001/2 IT-Sicherheitskatalog ISO/IEC 27019 Cyber Security für KMU (VdS 3473) IT-Grundschutz BSI 100-1, 100-2, 100-3 IT-Dokumentation und Strukturanalyse Risk IT-Risiko Management ISO/IEC 27005 BSI 100-3 Standard Operationelles Risikomanagement Schadensfall Datenbanken Bedrohungs-/ Gefährdungsanalysen Governance COBIT / COSO Weisungswesen / Management von Ausnahmen Internes Kontrollsystem Compliance IKS PS 951 / ISAE 3402 Verfahrensverzeichnis GoBD BDSG EU-DSGV Audit VDA ISA Interne Audits Prozess- und Anwendungsprüfungen Business Continuity BSI 100-4 Standard ISO/IEC 22301 Wiederanlaufs- Wiederherstellungspläne IT-Desaster Recovery Notfallsimulation/ Notfallmanagement ibi systems GmbH Seite 7
III. Status quo: Wildwuchs statt Management
Status quo: Wildwuchs statt Management IKS Konzern Tochter 1 Tochter 2 Tochter 3 (Ausland) IS Legal IS Legal IS Legal ISO 27k GS-Tool BDSG VDA ISA GS-Tool BDSG ISO 27k GDPR ibi systems GmbH Seite 9
Beispiel 1: ISMS-Zyklus nach ISO 27k mittels in-house Excel-Lösung Komplexität bei der Erfassung, >100 Excel-Dateien pro Zyklus! Konsolidierung und Auswertung Hoher Erhebungsaufwand Mangelhafte Datenqualität und - 1 Excel pro Prozess/Asset pro Einheit pro Periode Konsistenz Keine Kontrolle der Zugriffsrechte und oftmals Versand per E-Mail ibi systems GmbH Seite 10
Beispiel 2: IS-Audit mittels VDA ISA Häufige inhaltliche Anpassungen Umständliche Anpassung an eigene Bedürfnisse Keine zentrale Datenhaltung und Historisierung ibi systems GmbH Seite 11
Beispiel 3: EU-DSGV (GDPR) - Datenschutzfolgeabschätzung Schutzziele Bedrohungskatalog Risikobewertung Schutzmaßnahmen ibi systems GmbH Quelle: White Paper DATENSCHUTZFOLGENABSCHÄTZUNG - Ein Werkzeug für einen besseren Datenschutz 2016 Seite 12
IV. Softwaregestützte Integration zur Steigerung der Effizienz
Entwicklung der Softwareunterstützung ibi systems GmbH Seite 14
Vorteile eines toolgestützten Informationssicherheitsmanagements Abweichungen von den Vorgaben (Standards, Normen) werden schneller sichtbar und deren Behebung durch das Softwaresystem aktiv überwacht Aufbereitung der Inhalte in einer graphischen Benutzeroberfläche erleichtert den Einstieg in die Einrichtung und den Betrieb eines ISMS Inhaltliche Überschneidungen mit anderen Standards, wie z.b. Datenschutz oder Risikomanagement werden abgebildet Reduktion des Aufwands für die Datenerhebung; Vermeidung von Redundanzen; Steigerung der Verfügbarkeit und Qualität der vorhandenen Daten Transparenz über ToDo s, offene Maßnahmen, erledigte Maßnahmen, durchgeführte Audits Relativ einfaches Erstellen von Auditplänen und Dokumentation von Audits Vereinfachtes Replizieren einer Risikoanalyse bei z.b. neuen Assets Zusammenarbeit mehrerer Personen bei Zuständigkeit für verschiedene Informationsverbünde Einfache Skalierbarkeit über die gesamte Organisation Steuerung der Zugriffsrechte und Historisierung der Ergebnisse ibi systems GmbH Seite 15
Eigenschaften eines integrierten egrc-systems (1/2) Sicherheits-Management Strukturierte und ganzheitliche Unterstützung von Sicherheits-Audits, Schwachstellen-Management, und Aufbau des Information-Security-Management- System (ISMS). ISMS ISO/IEC 27001/2 IT-Grundschutz BSI 100-1, 100-2, 100-3 IT-Sicherheitskatalog ISO/IEC 27019 IT-Dokumentation und Strukturanalyse Cyber Security für KMU (VdS 3473) Prüfungen und Audits der IT-Sicherheit Risiko-Management Unterstützung des Risiko-Managements nach gängigen Standards - von der Erfassung über die Bewertung hin zur Umsetzung und Kontrolle inklusive Schadenfall-Datenbank und Risikokennzahlen. IT-Risiko Management Schadensfall Datenbanken ISO/IEC 27005 BSI 100-3 Standard Bedrohungs-/ Gefährdungsanalysen Operationelles Risikomanagement Kennzahlen und Risikoüberwachung Governance-Management Optimierung des Governance-Management sowie des Internen Kontrollsystems und Weisungswesens inklusive Management von Ausnahmen. Prozesse werden individuell abgebildet und durch Standards unterstützt. COBIT / COSO Weisungswesen / Management von Ausnahmen Internes Kontrollsystem ibi systems GmbH Seite 16
Eigenschaften eines integrierten egrc-systems (2/2) Compliance-Management Begegnung der steigende Heterogenität und Komplexität der zunehmenden rechtlichen und regulativen Anforderungen - systematisch und umfassend - sowie Aufbau eines Compliance- Management-Systems. IKS PS 951 / ISAE 3402 Verfahrensverzeichnis GoBD Datenschutz BDSG / EU-DSGV Audit-Management Optimierung der Prüfungen durch integrierte Vorlagen und Kontrollen. Einfache Wieder- Verwendbarkeit bestehender Assessments. Umfangreiche Auswertung über verschiedenste Prüfobjekte hinweg. VDA ISA Interne Audits Prozess- und Anwendungsprüfungen Business Continuity-Management Unterstützung des Notfall-Managements durch Unterstützung für Business Impact-Analysen, Notfallhandbücher sowie Notfallsimulationen nach gängigen Standards. BSI 100-4 Standard IT-Desaster Recovery ISO/IEC 22301 Notfallsimulation/ Notfallmanagement Wiederanlaufs- Wiederherstellungspläne Business Impact Analysen (BIA) ibi systems GmbH Seite 17
GRC-Suite iris = integrierte IT-GRC-Plattform ibi systems GmbH Seite 18
USPs Integrative Lösung Integrative Unterstützung über mehrere Lösungsbereiche (einzeln und in Kombination) Lösungsbereiche: Governance-, Risk-, Compliance-, Security-, Audit- und Business Continuity- Management Skalierbare Prüfungen Umfangreiche Datenbank an Prüfungsvorlagen Erstellung und Durchführung von IT- Sicherheitsprüfungen durch Verwendung (und Wiederverwendung) angelegter Vorlagen Optional: Import von Prüfvorlagen basierend auf Ihren Excel-Blättern Integriertes Know-how Integriertes Know-how zum Beispiel: Best-Practice- Standards, Kontrollen oder Maßnahmen Signifikante Erhöhung der Abbildungsqualität Intelligente Funktionen Unterstützung durch intelligente Funktionen in allen Lösungsbereichen Beispiel: Generierung von Handlungsempfehlungen bei der Verwaltung von Assets und Prozessen Nachhaltige Technologie ASP.NET Webanwendung Mandantenfähigkeit Neuster Stand der Technik Regelmäßige Bestätigung der Funktionalität, Zuverlässigkeit und Sicherheit (Penetrationstests) Innovative Prozessunterstützung Unterstützung von Geschäftsprozessen (z.b. Risk-Management) Anlage von Risiken basierend auf Bedrohungen und Schwachstellen Durchführung von Risikobewertungen Definition von Risikobehandlungsstrategien einschließlich durchzuführender Maßnahmen ibi systems GmbH Seite 19
Organisationsstruktur, Benutzerverwaltung und Workflowmanagement Beispiel: ISMS-Prozess in ibi systems iris Regelwerke Standards Gesetze Normen Interne Regelungen Prüfvorlagen Planung der Prüfung Durchführung der Prüfung Feststellungen (Schwachstellen) Maßnahmenempfänger Maßnahmen Indikatoren Risiken Dokumentenablage SOLL-Bewertung Risikobehandlung IST-Bewertung ISMS Unternehmensarchitektur Prozesse Assets Modellierung Schutzbedarfsfeststellung ibi systems GmbH Seite 20
Integration auf Datensatzebene Reporting & Steuerung Regelwerke Prozesse Assets Organisations einheiten Risiken Feststellungen Maßnahmen Dokumente ibi systems GmbH Seite 21
Architektur und Systemanforderungen ibi systems GmbH Seite 22
V. Ausblick auf zukünftige Entwicklungen
Gardner Hype Cycle for Governance, Risk and Compliance Technologies 2014 ibi systems GmbH Seite 24
Ausblick auf zukünftige Entwicklungen Auf der Suche nach dem Next Big Thing Direkte Verknüpfung von operativen Systemen mit egrc-lösungen? Standardisierte Schnittstellen & automatisierter, unternehmensübergreifender Datenaustausch? Data Mining & Maschinelles Lernen? ibi systems GmbH Seite 25
ibi systems GmbH Innovations- und Technologiezentrum TechBase Franz-Mayer-Straße 1, 93053 Regensburg Telefon +49 941 46 29 39 0 E-Mail info@ibi-systems.de Fax +49 941 46 29 39 99 Web www.ibi-systems.de Sitz: Regensburg, HRB 13164 Registergericht: Amtsgericht Regensburg Geschäftsführer: Dr. Stefan Wagner, Pascal Jonietz Wichtiger Hinweis: Diese Datei ist vertraulich und ausschließlich für von ibi systems GmbH berechtigte Personen und Firmen/Organisationen freigegeben. Wenn Sie diese Datei nicht von ibi systems GmbH erhalten haben, nehmen Sie bitte zur Kenntnis, dass Weitergabe, Kopien, Verteilung oder Nutzung unzulässig ist. Falls Sie diese Datei irrtümlich erhalten haben, benachrichtigen Sie ibi systems GmbH bitte unverzüglich telefonisch oder durch eine E-Mail. Vielen Dank.