Software-unterstütztes Framework im Zentrum

Im Zentrum des Interesses für einen CIO sollte dabei ein software-unterstütztes Framework sein, das es ermöglicht, die verschiedenen Aspekte von GRC ((IT) Security, Risk Management, Compliance management) zu integrieren. Die großen Softwarehersteller haben da naturgemäß einen Vorteil, es gibt aber auch kleinere, spezialisierte Anbieter, wie etwa MEGA. Eine solche zentrale Plattform sollte zumindest folgendes leisten können:
- Risiko management
- Internal Control Monitoring
- Policy mapping sowie eine hohe Integrationsfähigkeit mit bestehenden Tools, die ebenfalls als Kontrollen eingebunden werden können sollten (Firewalls, Intrusion Prevention Systeme, Data Leakage Prevention).

Bei der Automatisierung gilt es jedoch, Augenmaß zu behalten: zu viel Automatisierung der Internen Kontrollen macht aus einem Unternehmen eine gläserne Organisation, und dies ist der Loyalität und Motivation der Mitarbeiter nicht unbedingt zuträglich. Auch der anderen Seite ist die Herausforderung, die Kontrollen auch in der »Cloud« zu realisieren. Dabei ist GRC zwar selbst als Plattform »outsource-bar«, aber die Risiken leider nicht…

Prof. Dr. Sacher Paulus ist Senior Analyst des Analystenunternehmens Kuppinger Cole.