Öffentlich | Public

Innovation durch Integration Konsolidierung unterschiedlicher prozessualer und regulatorischer

Anforderungen in einem softwaregestützten Managementansatz

Dr. Christian Ritter

ibi systems GmbH Regensburg, 18.05.2017

© ibi systems GmbH Seite 2

Öffentlich | Public

I. Vorstellung ibi systems GmbH

II. Prozessuale und regulatorische Anforderungen an Unternehmen

III. Status quo: Wildwuchs statt Management

IV. Softwaregestützte Integration zur Steigerung der Effizienz

V. Ausblick auf zukünftige Entwicklungen

Inhalt

I. Vorstellung ibi systems GmbH

© ibi systems GmbH Seite 4

Öffentlich | Public

Geschäftszweck und Gründung

Entwicklung und Einführung von Software zur nachhaltigen Geschäftsprozessoptimierung. ibi systems GmbH wurde 2012 als Spin-Off

der Universität Regensburg und der ibi research an der Universität Regensburg gegründet.

Geschäftsführung

– Dr. Stefan Wagner, Diplom Wirtschaftsinformatiker (Univ.), Verantwortlichkeitsbereiche: Finanzen, Personal, Beratung und Vertrieb

– Pascal Jonietz, Wirtschaftsinformatiker (M.Sc.), Verantwortlichkeitsbereiche: Produkt- und Softwareentwicklung, IT und Organisation

Mitgliedschaften bei der Allianz für Cyber-Sicherheit, einer Initiative des Bundesamtes

für Sicherheit in der Informationstechnik (BSI), sowie beim Bayerischen IT-Sicherheitscluster e.V.

Referenzen (Auszug)

Vorstellung ibi systems GmbH

II. Prozessuale und regulatorische Anforderungen an Unternehmen

© ibi systems GmbH Seite 6

Öffentlich | Public

Unternehmen

Strafzahlungen

Konkurrenzfähigkeit / EffizienzAuftragsverlust

Unternehmen im Spannungsfeld

Gesetze

Branchenspezifische Standards

Branchenübergreifende Standards

© ibi systems GmbH Seite 7

Öffentlich | PublicVielfältige Anforderungen an Unternehmen

SecurityIT-Grundschutz

BSI 100-1, 100-2, 100-3

Cyber Security für KMU

(VdS 3473)

ISMS

ISO/IEC 27001/2

IT-Sicherheitskatalog

ISO/IEC 27019

IT-Dokumentation

und Strukturanalyse

RiskSchadensfall

Datenbanken

Operationelles

Risikomanagement

IT-Risiko

Management

ISO/IEC 27005

BSI 100-3 Standard

Bedrohungs-/

Gefährdungsanalysen

Governance Internes KontrollsystemCOBIT / COSO

Weisungswesen /

Management von

Ausnahmen

Compliance BDSGIKS

PS 951 / ISAE 3402

Verfahrensverzeichnis

GoBD

AuditProzess- und

AnwendungsprüfungenVDA ISA Interne Audits

Business Continuity IT-Desaster

Recovery

Wiederanlaufs-

Wiederherstellungspläne

BSI

100-4 Standard

ISO/IEC

22301

Notfallsimulation/

Notfallmanagement

EU-DSGV

III. Status quo: Wildwuchs statt Management

© ibi systems GmbH Seite 9

Öffentlich | PublicStatus quo: Wildwuchs statt Management

Konzern

Tochter 1 Tochter 2Tochter 3

(Ausland)

IS Legal IS Legal IS Legal

ISO 27k GS-Tool BDSG ISO 27kVDA ISA BDSG GDPRGS-Tool

IKS

© ibi systems GmbH Seite 10

Öffentlich | PublicBeispiel 1: ISMS-Zyklus nach ISO 27k mittels in-house Excel-Lösung

1 Excel pro Prozess/Asset

pro Einheit pro Periode

Komplexität bei der Erfassung,

Konsolidierung und Auswertung

Hoher Erhebungsaufwand

Mangelhafte Datenqualität und -

Konsistenz

Keine Kontrolle der Zugriffsrechte und

oftmals Versand per E-Mail

>100 Excel-Dateien

pro Zyklus!

© ibi systems GmbH Seite 11

Öffentlich | PublicBeispiel 2: IS-Audit mittels VDA ISA

Häufige inhaltliche Anpassungen

Umständliche Anpassung an eigene Bedürfnisse

Keine zentrale Datenhaltung und Historisierung

© ibi systems GmbH Seite 12

Öffentlich | PublicBeispiel 3: EU-DSGV (GDPR) - Datenschutzfolgeabschätzung

Schutzziele

Bedrohungskatalog

Risikobewertung

Schutzmaßnahmen

Quelle: White Paper “DATENSCHUTZFOLGENABSCHÄTZUNG - Ein Werkzeug für einen besseren Datenschutz“ 2016

IV. Softwaregestützte Integration zur Steigerung der Effizienz

© ibi systems GmbH Seite 14

Öffentlich | PublicEntwicklung der Softwareunterstützung

© ibi systems GmbH Seite 15

Öffentlich | Public

Abweichungen von den Vorgaben (Standards, Normen) werden schneller sichtbar und deren Behebung durch das Softwaresystem

aktiv überwacht

Aufbereitung der Inhalte in einer graphischen Benutzeroberfläche erleichtert den Einstieg in die Einrichtung und den Betrieb eines

ISMS

Inhaltliche Überschneidungen mit anderen Standards, wie z.B. Datenschutz oder Risikomanagement werden abgebildet

Reduktion des Aufwands für die Datenerhebung; Vermeidung von Redundanzen; Steigerung der Verfügbarkeit und Qualität der

vorhandenen Daten

Transparenz über ToDo´s, offene Maßnahmen, erledigte Maßnahmen, durchgeführte Audits

Relativ einfaches Erstellen von Auditplänen und Dokumentation von Audits

Vereinfachtes Replizieren einer Risikoanalyse bei z.B. neuen Assets

Zusammenarbeit mehrerer Personen bei Zuständigkeit für verschiedene Informationsverbünde

Einfache Skalierbarkeit über die gesamte Organisation

Steuerung der Zugriffsrechte und Historisierung der Ergebnisse

Vorteile eines toolgestützten Informationssicherheitsmanagements

© ibi systems GmbH Seite 16

Öffentlich | PublicEigenschaften eines integrierten eGRC-Systems (1/2)

Sicherheits-Management

Strukturierte und ganzheitliche Unterstützung von

Sicherheits-Audits, Schwachstellen-Management,

und Aufbau des Information-Security-Management-

System (ISMS). IT-Grundschutz

BSI 100-1, 100-2, 100-3

Cyber Security für KMU

(VdS 3473)

ISMS

ISO/IEC 27001/2

IT-Sicherheitskatalog

ISO/IEC 27019

IT-Dokumentation

und Strukturanalyse

Prüfungen und Audits

der IT-Sicherheit

Risiko-Management

Unterstützung des Risiko-Managements nach

gängigen Standards - von der Erfassung über

die Bewertung hin zur Umsetzung und Kontrolle

inklusive Schadenfall-Datenbank und Risikokennzahlen. Schadensfall

Datenbanken

Operationelles

Risikomanagement

IT-Risiko

Management

ISO/IEC 27005

BSI 100-3 Standard

Bedrohungs-/

Gefährdungsanalysen

Kennzahlen und

Risikoüberwachung

Governance-Management

Optimierung des Governance-Management sowie

des Internen Kontrollsystems und Weisungswesens

inklusive Management von Ausnahmen. Prozesse

werden individuell abgebildet und durch Standards

unterstützt.

Internes KontrollsystemCOBIT / COSO

Weisungswesen /

Management von

Ausnahmen

© ibi systems GmbH Seite 17

Öffentlich | PublicEigenschaften eines integrierten eGRC-Systems (2/2)

Compliance-Management

Begegnung der steigende Heterogenität und

Komplexität der zunehmenden rechtlichen und

regulativen Anforderungen - systematisch und

umfassend - sowie Aufbau eines Compliance-

Management-Systems.

Datenschutz

BDSG / EU-DSGV

IKS

PS 951 / ISAE 3402

Verfahrensverzeichnis

GoBD

Audit-Management

Optimierung der Prüfungen durch integrierte

Vorlagen und Kontrollen. Einfache Wieder-

Verwendbarkeit bestehender Assessments.

Umfangreiche Auswertung über verschiedenste

Prüfobjekte hinweg.

Prozess- und

AnwendungsprüfungenVDA ISA Interne Audits

Business Continuity-Management

Unterstützung des Notfall-Managements durch

Unterstützung für Business Impact-Analysen,

Notfallhandbücher sowie Notfallsimulationen

nach gängigen Standards. IT-Desaster

Recovery

Wiederanlaufs-

Wiederherstellungs-

pläne

BSI

100-4 Standard

ISO/IEC

22301

Notfallsimulation/

Notfallmanagement

Business Impact

Analysen (BIA)

© ibi systems GmbH Seite 18

Öffentlich | PublicGRC-Suite iris = integrierte IT-GRC-Plattform

© ibi systems GmbH Seite 19

Öffentlich | PublicUSPs

Integrative Lösung

• Integrative Unterstützung über mehrere

Lösungsbereiche (einzeln und in Kombination)

• Lösungsbereiche: Governance-, Risk-, Compliance-,

Security-, Audit- und Business Continuity-

Management

Integriertes Know-how

• Integriertes Know-how zum Beispiel: Best-Practice-

Standards, Kontrollen oder Maßnahmen

• Signifikante Erhöhung der Abbildungsqualität

Nachhaltige Technologie

• ASP.NET Webanwendung

• Mandantenfähigkeit

• Neuster Stand der Technik

• Regelmäßige Bestätigung der Funktionalität,

Zuverlässigkeit und Sicherheit (Penetrationstests)

Skalierbare Prüfungen

• Umfangreiche Datenbank an Prüfungsvorlagen

• Erstellung und Durchführung von IT-

Sicherheitsprüfungen durch Verwendung (und

Wiederverwendung) angelegter Vorlagen

• Optional: Import von Prüfvorlagen basierend auf

Ihren Excel-Blättern

Intelligente Funktionen

• Unterstützung durch intelligente Funktionen in allen

Lösungsbereichen

• Beispiel: Generierung von Handlungsempfehlungen

bei der Verwaltung von Assets und Prozessen

Innovative Prozessunterstützung

• Unterstützung von Geschäftsprozessen

(z.B. Risk-Management)

• Anlage von Risiken basierend auf Bedrohungen und

Schwachstellen

• Durchführung von Risikobewertungen

• Definition von Risikobehandlungsstrategien

einschließlich durchzuführender Maßnahmen

© ibi systems GmbH Seite 20

Öffentlich | Public

ISMS

Beispiel: ISMS-Prozess in ibi systems irisO

rganis

atio

nss

trukt

ur,

Benutz

erv

erw

altung

und

Wo

rkflo

wm

anag

em

ent D

oku

mente

nab

lag

e

Unternehmensarchitektur

Prozesse Assets Modellierung Schutzbedarfsfeststellung

Planung der

PrüfungPrüfvorlagen

Durchführung der

Prüfung

Feststellungen

(Schwachstellen)

Maßnahmen Indikatoren Risiken

IST-BewertungRisikobehandlungSOLL-Bewertung

Regelwerke

Standards Gesetze Normen Interne Regelungen

Maßnahmen-

empfänger

© ibi systems GmbH Seite 21

Öffentlich | PublicIntegration auf Datensatzebene

Regelwerke

Prozesse Assets

Risiken

Feststellungen Maßnahmen

Dokumente

Organisations

einheiten

Reporting & Steuerung

© ibi systems GmbH Seite 22

Öffentlich | PublicArchitektur und Systemanforderungen

V. Ausblick auf zukünftige Entwicklungen

© ibi systems GmbH Seite 24

Öffentlich | PublicGardner Hype Cycle for Governance, Risk and Compliance Technologies 2014

© ibi systems GmbH Seite 25

Öffentlich | PublicAusblick auf zukünftige Entwicklungen

Auf der Suche nach dem „Next Big Thing“…

– Direkte Verknüpfung von operativen Systemen mit eGRC-Lösungen?

– Standardisierte Schnittstellen & automatisierter,

unternehmensübergreifender Datenaustausch?

– Data Mining & Maschinelles Lernen?

ibi systems GmbH

Innovations- und Technologiezentrum TechBase

Franz-Mayer-Straße 1, 93053 Regensburg

Telefon +49 941 46 29 39 0 E-Mail info@ibi-systems.de

Fax +49 941 46 29 39 99 Web www.ibi-systems.de

Sitz: Regensburg, HRB 13164 | Registergericht: Amtsgericht Regensburg | Geschäftsführer: Dr. Stefan Wagner, Pascal Jonietz

Wichtiger Hinweis: Diese Datei ist vertraulich und ausschließlich für von ibi systems GmbH berechtigte Personen und Firmen/Organisationen freigegeben. Wenn Sie diese Datei nicht von ibi systems GmbH erhalten haben, nehmen Sie bitte zur

Kenntnis, dass Weitergabe, Kopien, Verteilung oder Nutzung unzulässig ist. Falls Sie diese Datei irrtümlich erhalten haben, benachrichtigen Sie ibi systems GmbH bitte unverzüglich telefonisch oder durch eine E-Mail. Vielen Dank.