May
27
2012

Nachlese zum Security CAST e.V Workshop: Enterprise Security

Am 24. Mai 2012 war ich für die SAPERION AG das erst Mal bei einem Workshop vom  Competence Center for Applied Security Technologie (CAST) als Referentin dabei. Das Thema der Veranstaltung war “Enterprise Security – Compliance die unbekannte Größe der Unternehmenssteuerung”, was sich als gute Chance ergab, etwas über das Thema Internes Kontrollsystem (IKS) , (Artikelserie IKS) und SAPERION und seine Mission zum Thema Compliance vorzutragen.

Über den CAST sollte man wissen, dass dies das größte Kompetenznetzwerk zum Thema IT-Sicherheit ist und seinen Mitglieder und externen Interessenten Weiterbildung und regelmäßige Workshops anbietet. Unter den Mitgliedern sind viele Unternehmen aus der Verwaltung, Forschung und Wirtschaft, was es natürlich noch interessanter macht, einen Wissensaustausch mit IBM, KPMG, PWC, Deutsche Lufthansa AG, T-Systems etc. durchzuführen.

Hier nun folgend eine kleine Zusammenfassung von 3 Vorträgen.

Die Vortragsreihe eröffnete Dr. Christoph E. Hauschka (pwc) mit einem Beitrag über die Entwicklung und seine langjährige Erfahrung über Compliance Management in der Wirtschaft und Industrie. Seine Kernaussage war, dass jedes Unternehmen, egal welcher Größe, ein Compliance Management beziehungsweise ein Compliance-Programm braucht, und damit Compliance Officer, die folgende Aufgaben wahrnehmen:

  • Analyse und Struktur von Regelwerken,
  • Überwachung und Berichtswesen (Whistel Blower Hotline, Statusberichte, Ansprechpartner für Wirtschaftsprüfer oder Aufsichtsbehörden),
  • Schulung und Kommunikation (Compliance Handbuch, E-Learning).

Dabei bezieht er sich auf den Prüfungsstandard des IDW PS 980 Compliance Management System.

Vor der Mittagspause gab es noch einen Vortag von Markus Gaulke (KPMG), welcher auch als Mitglied der ISACA die neuen Vorteile vom Cobit 5 zur Einführung von umfassender IT-Covernance erläuterte. Dabei enthält der verbesserte Standard eine überarbeitete Zielkaskade und bietet neue Frameworks namentlich Business, Implementierung und Enabling Processes. Als Buch empfiehlt er als Autor “Praxiswissen Cobit Val IT und Risk IT” zur besseren Erläuterung des Themas.

Es gab noch eine Handvoll weitere Vorträge, doch möchte ich hier zuletzt nur noch kurz den von Michael Kranawetter (Microsoft) zusammenfassen, da mich natürlich die Hinweise von Microsoft zur Einführung von Compliance besonders interessierte. Herr Kranawetter berichtete über “Compliance V-Next – Hilfe zur Entwicklung von Compliance-Reifegradmodellen”.

Erst einmal sei zu erwähnen, dass Compliance für Gruppen wie Endanwender (Produktivität und Anforderungen sichern), Entwickler (offene Standards), Entscheider (Überblick), IT-Professionals (Zentralisierung des Managements und Visualisierung) wichtig ist. Dabei lasse sich die folgenden Governance Risk Compliance (GRC) Erfolgsfaktoren ausmachen:

  • die Automatisierung und Integration,
  • der Einsatz von flexiblen Tools,
  • die End to End Betrachtung.

Dabei beziehen sich die Faktoren auf die Einhaltung Regulatory Compliance, Data Governance, Security Compliance.

Im vorgestellten Modell stehen die Anforderungen (regulatorische und geschäftliche ) auf der obersten Ebene, gefolgt von den Zielen wie Schutz,Verfügbarkeit, Nachvollziehbarkeit, Transparenz und Sorgfalt. Auf der dritten Ebene sind die aufgelisteten Kernbereiche Informationsschutz, Risikomanagement, Informationsmanagement, Internes Kontrollsystem und die Reifegrade bei der Einführung zu finden. Dabei sind auf den Ebenen verschieden Einführungsschritte notwendig, um in die nächste Ebene der Reifegrade (Basis–>Standardisiert–>Rationalisiert–>Dynamisch) zu gelangen.

Zur Verdeutlichung sei hier nachfolgend ein Beispiel für den Kernbereich Informationsschutz und dessen Reifegrade gegeben. Im ersten Schritt sollte zur Basis und Standardisierung ein Datenklassifizierungsschema eingerichtet und dessen Verantwortlichkeiten zugewiesen, Basistechnologien im Sicherheitsbereich standardisiert und technische Trainings für Mitarbeiter im IT-Bereich organisiert werden.

Weiterhin sollte dann im nächsten Schritt für die Rationalisierung  die Datenklassifizierung unternehmensweit ausgerollt  und ein umfassendes Rahmenwerk für Sicherheitsrichtlinien, Investitionen für Schutzmaßnahmen und Risikoanalysen, Informationsaustausch von Führungsebene und Geschäftsbereichen sowie IT eingerichtet werden.

Um das Ganze dynamisch und aktuell mit seinen Maßnahmen zu halten, sollte ein Chief Information Security Officer (CISO) sowie ein Sicherheitsausschuss etabliert sein. Sämtliche IT-Prozesse sollten automatisiert und Zugriffsrichtlinien sollten festgelegt sein.

Zusammenfassend war die Veranstaltung sehr gelungen, da interessante Diskussionen angeregt wurden durch die Vielfalt der Teilnehmer aus den unterschiedliche Bereichen. Außerdem auch durch die gute Moderation durch die Veranstaltung.

 

 

Post to Twitter Post to Delicious Post to Digg Post to Facebook Post to MySpace

Download PDF
Written by Christine Mummert in: company,Compliance,deutsch,general | Tags: , ,

No Comments »

RSS feed for comments on this post. TrackBack URL

Leave a comment


nine − 7 =

Theme: TheBuckmaker.com Web Templates | Bankwechsel Umschuldung, Iplexx IT Solutions