Öffentlich | Public
Innovation durch Integration Konsolidierung unterschiedlicher prozessualer und regulatorischer
Anforderungen in einem softwaregestützten Managementansatz
Dr. Christian Ritter
ibi systems GmbH Regensburg, 18.05.2017
© ibi systems GmbH Seite 2
Öffentlich | Public
I. Vorstellung ibi systems GmbH
II. Prozessuale und regulatorische Anforderungen an Unternehmen
III. Status quo: Wildwuchs statt Management
IV. Softwaregestützte Integration zur Steigerung der Effizienz
V. Ausblick auf zukünftige Entwicklungen
Inhalt
© ibi systems GmbH Seite 4
Öffentlich | Public
Geschäftszweck und Gründung
Entwicklung und Einführung von Software zur nachhaltigen Geschäftsprozessoptimierung. ibi systems GmbH wurde 2012 als Spin-Off
der Universität Regensburg und der ibi research an der Universität Regensburg gegründet.
Geschäftsführung
– Dr. Stefan Wagner, Diplom Wirtschaftsinformatiker (Univ.), Verantwortlichkeitsbereiche: Finanzen, Personal, Beratung und Vertrieb
– Pascal Jonietz, Wirtschaftsinformatiker (M.Sc.), Verantwortlichkeitsbereiche: Produkt- und Softwareentwicklung, IT und Organisation
Mitgliedschaften bei der Allianz für Cyber-Sicherheit, einer Initiative des Bundesamtes
für Sicherheit in der Informationstechnik (BSI), sowie beim Bayerischen IT-Sicherheitscluster e.V.
Referenzen (Auszug)
Vorstellung ibi systems GmbH
© ibi systems GmbH Seite 6
Öffentlich | Public
Unternehmen
Strafzahlungen
Konkurrenzfähigkeit / EffizienzAuftragsverlust
Unternehmen im Spannungsfeld
Gesetze
Branchenspezifische Standards
Branchenübergreifende Standards
© ibi systems GmbH Seite 7
Öffentlich | PublicVielfältige Anforderungen an Unternehmen
SecurityIT-Grundschutz
BSI 100-1, 100-2, 100-3
Cyber Security für KMU
(VdS 3473)
ISMS
ISO/IEC 27001/2
IT-Sicherheitskatalog
ISO/IEC 27019
IT-Dokumentation
und Strukturanalyse
RiskSchadensfall
Datenbanken
Operationelles
Risikomanagement
IT-Risiko
Management
ISO/IEC 27005
BSI 100-3 Standard
Bedrohungs-/
Gefährdungsanalysen
Governance Internes KontrollsystemCOBIT / COSO
Weisungswesen /
Management von
Ausnahmen
Compliance BDSGIKS
PS 951 / ISAE 3402
Verfahrensverzeichnis
GoBD
AuditProzess- und
AnwendungsprüfungenVDA ISA Interne Audits
Business Continuity IT-Desaster
Recovery
Wiederanlaufs-
Wiederherstellungspläne
BSI
100-4 Standard
ISO/IEC
22301
Notfallsimulation/
Notfallmanagement
EU-DSGV
© ibi systems GmbH Seite 9
Öffentlich | PublicStatus quo: Wildwuchs statt Management
Konzern
Tochter 1 Tochter 2Tochter 3
(Ausland)
IS Legal IS Legal IS Legal
ISO 27k GS-Tool BDSG ISO 27kVDA ISA BDSG GDPRGS-Tool
IKS
© ibi systems GmbH Seite 10
Öffentlich | PublicBeispiel 1: ISMS-Zyklus nach ISO 27k mittels in-house Excel-Lösung
1 Excel pro Prozess/Asset
pro Einheit pro Periode
Komplexität bei der Erfassung,
Konsolidierung und Auswertung
Hoher Erhebungsaufwand
Mangelhafte Datenqualität und -
Konsistenz
Keine Kontrolle der Zugriffsrechte und
oftmals Versand per E-Mail
>100 Excel-Dateien
pro Zyklus!
© ibi systems GmbH Seite 11
Öffentlich | PublicBeispiel 2: IS-Audit mittels VDA ISA
Häufige inhaltliche Anpassungen
Umständliche Anpassung an eigene Bedürfnisse
Keine zentrale Datenhaltung und Historisierung
© ibi systems GmbH Seite 12
Öffentlich | PublicBeispiel 3: EU-DSGV (GDPR) - Datenschutzfolgeabschätzung
Schutzziele
Bedrohungskatalog
Risikobewertung
Schutzmaßnahmen
Quelle: White Paper “DATENSCHUTZFOLGENABSCHÄTZUNG - Ein Werkzeug für einen besseren Datenschutz“ 2016
© ibi systems GmbH Seite 15
Öffentlich | Public
Abweichungen von den Vorgaben (Standards, Normen) werden schneller sichtbar und deren Behebung durch das Softwaresystem
aktiv überwacht
Aufbereitung der Inhalte in einer graphischen Benutzeroberfläche erleichtert den Einstieg in die Einrichtung und den Betrieb eines
ISMS
Inhaltliche Überschneidungen mit anderen Standards, wie z.B. Datenschutz oder Risikomanagement werden abgebildet
Reduktion des Aufwands für die Datenerhebung; Vermeidung von Redundanzen; Steigerung der Verfügbarkeit und Qualität der
vorhandenen Daten
Transparenz über ToDo´s, offene Maßnahmen, erledigte Maßnahmen, durchgeführte Audits
Relativ einfaches Erstellen von Auditplänen und Dokumentation von Audits
Vereinfachtes Replizieren einer Risikoanalyse bei z.B. neuen Assets
Zusammenarbeit mehrerer Personen bei Zuständigkeit für verschiedene Informationsverbünde
Einfache Skalierbarkeit über die gesamte Organisation
Steuerung der Zugriffsrechte und Historisierung der Ergebnisse
Vorteile eines toolgestützten Informationssicherheitsmanagements
© ibi systems GmbH Seite 16
Öffentlich | PublicEigenschaften eines integrierten eGRC-Systems (1/2)
Sicherheits-Management
Strukturierte und ganzheitliche Unterstützung von
Sicherheits-Audits, Schwachstellen-Management,
und Aufbau des Information-Security-Management-
System (ISMS). IT-Grundschutz
BSI 100-1, 100-2, 100-3
Cyber Security für KMU
(VdS 3473)
ISMS
ISO/IEC 27001/2
IT-Sicherheitskatalog
ISO/IEC 27019
IT-Dokumentation
und Strukturanalyse
Prüfungen und Audits
der IT-Sicherheit
Risiko-Management
Unterstützung des Risiko-Managements nach
gängigen Standards - von der Erfassung über
die Bewertung hin zur Umsetzung und Kontrolle
inklusive Schadenfall-Datenbank und Risikokennzahlen. Schadensfall
Datenbanken
Operationelles
Risikomanagement
IT-Risiko
Management
ISO/IEC 27005
BSI 100-3 Standard
Bedrohungs-/
Gefährdungsanalysen
Kennzahlen und
Risikoüberwachung
Governance-Management
Optimierung des Governance-Management sowie
des Internen Kontrollsystems und Weisungswesens
inklusive Management von Ausnahmen. Prozesse
werden individuell abgebildet und durch Standards
unterstützt.
Internes KontrollsystemCOBIT / COSO
Weisungswesen /
Management von
Ausnahmen
© ibi systems GmbH Seite 17
Öffentlich | PublicEigenschaften eines integrierten eGRC-Systems (2/2)
Compliance-Management
Begegnung der steigende Heterogenität und
Komplexität der zunehmenden rechtlichen und
regulativen Anforderungen - systematisch und
umfassend - sowie Aufbau eines Compliance-
Management-Systems.
Datenschutz
BDSG / EU-DSGV
IKS
PS 951 / ISAE 3402
Verfahrensverzeichnis
GoBD
Audit-Management
Optimierung der Prüfungen durch integrierte
Vorlagen und Kontrollen. Einfache Wieder-
Verwendbarkeit bestehender Assessments.
Umfangreiche Auswertung über verschiedenste
Prüfobjekte hinweg.
Prozess- und
AnwendungsprüfungenVDA ISA Interne Audits
Business Continuity-Management
Unterstützung des Notfall-Managements durch
Unterstützung für Business Impact-Analysen,
Notfallhandbücher sowie Notfallsimulationen
nach gängigen Standards. IT-Desaster
Recovery
Wiederanlaufs-
Wiederherstellungs-
pläne
BSI
100-4 Standard
ISO/IEC
22301
Notfallsimulation/
Notfallmanagement
Business Impact
Analysen (BIA)
© ibi systems GmbH Seite 19
Öffentlich | PublicUSPs
Integrative Lösung
• Integrative Unterstützung über mehrere
Lösungsbereiche (einzeln und in Kombination)
• Lösungsbereiche: Governance-, Risk-, Compliance-,
Security-, Audit- und Business Continuity-
Management
Integriertes Know-how
• Integriertes Know-how zum Beispiel: Best-Practice-
Standards, Kontrollen oder Maßnahmen
• Signifikante Erhöhung der Abbildungsqualität
Nachhaltige Technologie
• ASP.NET Webanwendung
• Mandantenfähigkeit
• Neuster Stand der Technik
• Regelmäßige Bestätigung der Funktionalität,
Zuverlässigkeit und Sicherheit (Penetrationstests)
Skalierbare Prüfungen
• Umfangreiche Datenbank an Prüfungsvorlagen
• Erstellung und Durchführung von IT-
Sicherheitsprüfungen durch Verwendung (und
Wiederverwendung) angelegter Vorlagen
• Optional: Import von Prüfvorlagen basierend auf
Ihren Excel-Blättern
Intelligente Funktionen
• Unterstützung durch intelligente Funktionen in allen
Lösungsbereichen
• Beispiel: Generierung von Handlungsempfehlungen
bei der Verwaltung von Assets und Prozessen
Innovative Prozessunterstützung
• Unterstützung von Geschäftsprozessen
(z.B. Risk-Management)
• Anlage von Risiken basierend auf Bedrohungen und
Schwachstellen
• Durchführung von Risikobewertungen
• Definition von Risikobehandlungsstrategien
einschließlich durchzuführender Maßnahmen
© ibi systems GmbH Seite 20
Öffentlich | Public
ISMS
Beispiel: ISMS-Prozess in ibi systems irisO
rganis
atio
nss
trukt
ur,
Benutz
erv
erw
altung
und
Wo
rkflo
wm
anag
em
ent D
oku
mente
nab
lag
e
Unternehmensarchitektur
Prozesse Assets Modellierung Schutzbedarfsfeststellung
Planung der
PrüfungPrüfvorlagen
Durchführung der
Prüfung
Feststellungen
(Schwachstellen)
Maßnahmen Indikatoren Risiken
IST-BewertungRisikobehandlungSOLL-Bewertung
Regelwerke
Standards Gesetze Normen Interne Regelungen
Maßnahmen-
empfänger
© ibi systems GmbH Seite 21
Öffentlich | PublicIntegration auf Datensatzebene
Regelwerke
Prozesse Assets
Risiken
Feststellungen Maßnahmen
Dokumente
Organisations
einheiten
Reporting & Steuerung
© ibi systems GmbH Seite 24
Öffentlich | PublicGardner Hype Cycle for Governance, Risk and Compliance Technologies 2014
© ibi systems GmbH Seite 25
Öffentlich | PublicAusblick auf zukünftige Entwicklungen
Auf der Suche nach dem „Next Big Thing“…
– Direkte Verknüpfung von operativen Systemen mit eGRC-Lösungen?
– Standardisierte Schnittstellen & automatisierter,
unternehmensübergreifender Datenaustausch?
– Data Mining & Maschinelles Lernen?
ibi systems GmbH
Innovations- und Technologiezentrum TechBase
Franz-Mayer-Straße 1, 93053 Regensburg
Telefon +49 941 46 29 39 0 E-Mail [email protected]
Fax +49 941 46 29 39 99 Web www.ibi-systems.de
Sitz: Regensburg, HRB 13164 | Registergericht: Amtsgericht Regensburg | Geschäftsführer: Dr. Stefan Wagner, Pascal Jonietz
Wichtiger Hinweis: Diese Datei ist vertraulich und ausschließlich für von ibi systems GmbH berechtigte Personen und Firmen/Organisationen freigegeben. Wenn Sie diese Datei nicht von ibi systems GmbH erhalten haben, nehmen Sie bitte zur
Kenntnis, dass Weitergabe, Kopien, Verteilung oder Nutzung unzulässig ist. Falls Sie diese Datei irrtümlich erhalten haben, benachrichtigen Sie ibi systems GmbH bitte unverzüglich telefonisch oder durch eine E-Mail. Vielen Dank.