Von IAM-GRC über SIEM bis BSM

Darunter finden sich viele spezifische »GRCs«, wie beispielsweise die Lösungen für die Attestierung und Rezertifizierung von Zugriffsberechtigungen, die man als »IAM-GRC« (Identity und Access Management-bezogenes GRC) bezeichnen könnte, aber auch einige SIEM-Lösungen (Security Incident and Event Management), manche BSM-Ansätze (Business Service Management) und mehr. Solche Lösungen adressieren typischerweise wenige Controls, diese aber dafür sehr detailliert und mi hohem Automatisierungsgrad.

Die fehlende Klarheit über die Verantwortlichkeiten für GRC und deren Aufteilung auf mehrere Schultern ist auch die Ursache dafür, dass oft unkoordiniert an verschiedenen Stellen mit GRC-Lösungen begonnen wird und dass auch die Hersteller nur langsam die Integration zwischen Produkten auf verschiedenen Ebenen vorantreiben. Das aber wäre nötig, um die Verknüpfung zwischen Business-Controls und zugehörigen IT-Controls und einen hohen Automatisierungs- und Detaillierungsgrad bei den Controls zu erreichen – über die verschiedenen Ebenen einer Organisation hinweg.

Um das zu adressieren, sind CIOs gefordert. Denn CIOs sind diejenigen, die am ehesten eine Gesamtsicht haben. Sie müssen sich um die IT-Controls bis hin zu Detaillösungen kümmern, sie müssen aber auch die business-getriebenen Lösungen bis hoch zum Enterprise GRC umsetzen und betreiben. Deshalb können sie auch am besten die Notwendigkeit integrierter Lösungen und den Weg dorthin aufzeigen – und das Business-/IT-Alignment im Unternehmen damit signifikant voranbringen.

*Martin Kuppinger ist Gründer des Analystenunternehmens Kuppinger Cole, das sich im Schwerpunkt mit den Themenbereichen Identity und Access Management, Governance, Risk Management, Compliance sowie Cloud Computing und Virtualisierung beschäftigt.