Umfassendes IT-Governance, Risk and Compliance steigert die Qualität der IT-Infrastruktur

(openPR) novum online - das online Magazin der noventum consulting GmbH (http://www.noventum.de/de/novum-artikel/umfassendes-it-governance-risk-and-compliance-steigert-die-qualitaet-der-it-infrastruktur.html)

Die IT-Infrastrukturen von Unternehmen unterschiedlicher Branchen, insbesondere Unternehmen des Finanzsektors, müssen einer steigenden Anzahl interner und externer Anforderungen genügen. Dazu zählen Anforderungen aus gesetzlichen Vorschriften und Regulierungen (Sarbanes-Oxley Act), Standards (PCI DSS, COBIT), Normen (ISO/IEC 27001) und internen Vorgaben. Diese müssen im Rahmen der IT-Governance auf strategischer Ebene berücksichtigt und über entsprechende Prozesse, Ressourcen und Richtlinien auf operativer Ebene umgesetzt werden. Zur Bewertung der Effektivität der gewählten Maßnahmen und der Einhaltung der zuvor genannten Anforderungen aus Sicht der IT-Compliance wird ein umfangreiches internes Kontrollsystem vorausgesetzt. Die Qualität dieses Kontrollsystems und die enge Verzahnung mit Prozessen des IT-Risikomanagements sind entscheidend. Einerseits soll damit die Qualität der IT-Infrastruktur kontinuierlich gesteigert werden, indem IT-Risiken identifiziert, analysiert, bewertet und mit geeigneten Maßnahmen behandelt werden. Andererseits wird die Effektivität und Effizienz von Auditierungen maßgeblich beeinflusst, was immer mehr Unternehmen motiviert, in eine umfassende, integrierte und Tool-gestützte IT-Governance, Risk and Compliance (IT GRC) Lösung zu investieren.

Die Symantec Control Compliance Suite bietet umfassende Möglichkeiten

Der Hersteller Symantec bietet mit der Symantec Control Compliance Suite (CCS) ein umfangreiches modulares IT GRC Toolset mit einer hochgradig skalierbaren Architektur. Die insgesamt sieben Module decken unterschiedliche Funktionsbausteine ab. Diese sind über eine einheitliche CCS-Infrastrukturkomponente, ein zentral definiertes Asset System und ein einheitliches Kontrollsystem flexibel kombinierbar und integrierbar.

So lassen sich über die Infrastrukturkomponente Daten unterschiedlicher Module und Daten von Drittanbietern zusammenführen und ergeben letztlich ein Gesamtbild mit vielfältigen Auswertungsmöglichkeiten für Risiko- und Compliance-Bewertungen. Gegenstand dieser Bewertungen sind IT und Business Assets, die über das Asset System verwaltet werden. Das Kontrollsystem definiert die Gesamtheit aller Kontrollen. Eine Kontrolle kann mit mehreren Mandaten (gesetzliche Vorschriften, Regulierungen, Standards, Normen, etc.) in Beziehung gesetzt werden. So wird einerseits ein mandatsbezogenes Berichtswesen ermöglicht, andererseits werden Redundanzen auf Kontrollebene vermieden, welche durch das direkte Ableiten von Kontrollen aus redundanten Anforderungen unterschiedlicher Mandate auftreten können. Die detaillierte Umsetzung einer Kontrolle wird durch Zuweisung von technischen oder organisatorischen Prüfungen spezifiziert.

Ein mehrschichtiges Kontrollsystem hilft, kostspielige Redundanzen zu vermeiden

Einer Kontrolle können mehrere zielsystemspezifische Prüfungen zugeordnet werden, um Konfigurationen auf Zielsystemen unterschiedlicher Betriebssysteme und Betriebssystemversionen ermitteln und auswerten lassen zu können. Neben der Definition der Zielwerte und -intervalle einzelner Prüfungen lassen sich zudem Risikofaktoren pflegen, um das Risiko bei auftretenden Abweichungen bewerten zu können.

Organisatorische Prüfungen lassen sich Tool-gestützt über das Erstellen, Verteilen, Sammeln und Auswerten von Fragebögen durchführen. Die technischen Prüfungen hingegen werden über konfigurierbare und planbare Prozesse automatisiert. Zunächst werden die Rohdaten bzgl. der relevanten Systemkonfigurationen über einen oder mehrere CCS-Server agentenbasiert (über eine auf dem Zielsystem installierte Agentensoftware) oder agentenlos (über einen privilegierten funktionellen Benutzer) von den Zielsystemen ermittelt und abgespeichert. Anschließend werden sie über einen Auswertungsprozess gemäß der in den Prüfungen definierten Zielvorgaben und Risikofaktoren evaluiert.

Vielfältige Auswertungen über Dashboards und Berichte

Die Auswertungsergebnisse können am Ende über vordefinierte sowie kundenindividuelle Berichte und Dashboards adressatengerecht auf unterschiedlichem Detaillierungsniveau und bezogen auf unterschiedliche Mandate ausgegeben und veröffentlicht werden.

Folgeaktivitäten, wie das Akzeptieren von Abweichungen bei Risikoübernahme durch eine dazu autorisierte Partei (Exception Management) oder das Einleiten von Maßnahmen zur Behebung von Abweichungen (Remediation), werden im Tool oder durch Integrationsmöglichkeiten, wie z.B. Programmierschnittstellen zur Anbindung von Ticketsystemen, unterstützt.

noventum unterstützt Einführung der Symantec Control Compliance Suite

noventum unterstützt ein international tätiges Unternehmen der Telekommunikationsbranche bei der Einführung der Symantec Control Compliance Suite. CCS soll künftig ein zentraler Bestandteil eines neuen IT-Service sein, der die Compliance und die Risiken der IT-Infrastruktur in den betriebenen Rechenzentren bewertet. Die aufgedeckten Handlungsbedarfe sollen zu Maßnahmen und kontinuierlichen Verbesserungen der in den Rechenzentren betriebenen IT-Services führen. Ein weiteres hoch priorisiertes Ziel ist es, die Nachweise für Auditierungen im Rahmen des Sarbanes-Oxley Act (SOX) und des Payment Card Industry Data Security Standards (PCI DSS) effektiver und effizienter bereitstellen zu können.

Zur Datenbewirtschaftung des Asset Systems der Control Compliance Suite mit IT und Business Assets wurde auf Basis des Microsoft SQL Servers und der Microsoft SQL Server Integration Services (SSIS) eine Schnittstelle entwickelt. ...

Lesen Sie den vollständigen Artikel auf novum online, dem online Magazin der noventum consulting GmbH:

http://www.noventum.de/de/novum-artikel/umfassendes-it-governance-risk-and-compliance-steigert-die-qualitaet-der-it-infrastruktur.html