Risiken erkennen und wirksam vermeiden: Integrierte Ansätze und Lösungen für IT GRC

Guten Tag, meine sehr verehrten Damen und Herren, ich begrüße sie recht herzlich zu dem Berliner Riesigen erkennen und wirksam vermeiden integrierte Ansätze und Lösungen für artiger Bahnen zwischen Management und Compliance It Easy von KuppingerCole Kohl Dieses Seminar wird unterstützt von IT Konzepts.

Sie hören heute Vorträge, Konnte Paulus, das bin ich und Marc Fischer von einzig Konzept Bevor wir zu den Inhalten kommen, möchte ich die in gewohnter Weise auch die Angebote pro KuppingerCole Kohl hinweisen, wie Sie sind in drei verschiedene Gebiete aufgeteilt zum einen richtig schönen Weise Reservist ist, wo wir Kunden spezifische vor Untersuchungen Technologie Analysen durchführen, an weitere Service des konkrete Beratungen in Technologie, intensiven und unter Unternehmens und Organisations Veränderungs Projekten und natürlich unsere Events, da möchte ich insbesondere auf die Europäer in Identity ihren Cloud Konferenz 2013 hinweisen, die ISI dieses Jahr wieder im, also nächstes Jahr wieder im Mai vom 14.

bis 17. mai wieder in Wünschen wäre. Informationen finden Sie unter www einjähriges kunst. Dort kommen einige Leitlinien für dieses folgende Seminar, die schon häufiger dabei waren, kennen das schon, die Zuhörer sind zentral stumm geschaltet, das Seminar wird aufgezeichnet und es spätestens morgen als Podcast online und Die Präsentationen werden dann ebenfalls online bereitgestellt.

Sie können jederzeit Fragen stellen, nicht mündlich eben, sondern über den Bereich Koalitions von dem gute Rabbinat Tool und wir werden dann diese Fragen versuchen am Ende des Seminars entsprechend zu beantworten. Das führt mich auch schon zur Gender des heutigen Lévinas.

In einem ersten Teil werde ich über integrierte Ansätze für it easy wir waren uns ist im Compliance referieren, in einem zweiten Teil wird Herr Fischer von Altea Konzept über Sabans oxley Firmen übernahme auf internationalem Parkett sprich der Anwendung von entsprechenden Compliance, und muss man schon zu Lösungen durch die Partnerfirma August darstellen und in einem dritten Teil werden wir dann versuchen, ihre Fragen zu beantworten ja, integrierte Ansätze für IT Risk Management und Compliance Wenn man klassischerweise in Unternehmen hineinschaut, dann findet man üblicherweise folgende Szenario vor folgende Selo artige Organisation Die verschiedenen Aspekte, die sich in die Justiz zusammenfinden, sind in der Regel noch auf verschiedene Abteilungen aufgeteilt.

Ich habe jetzt hier beispielhaft einmal hier Stück herausgepickt Zum einen die Compliance Verantwortung im Unternehmen, das Risikomanagement, die Unternehmen, Sicherheit und die IT hier Sicherheit genauer oder der Informationssicherheit haben muss, als Informations Sicherheitsabteilung schon etabliert ist. Sie complain zum Beispiel kümmert sich um Trennung von Verantwortlichkeiten, Segel, dessen Objektiv und natürlich das Einhalten von Gesetzen.

Das Risikomanagement ist primär damit befasst, Identifikation von riesigen durchzuführen, auch aus gesetzlich verpflichten Gründen und muss den Nachweis von ergriffenen Gegenmaßnahmen führen, die Unternehmen Sicherheit bekommt. Die Aufgabe, die kritischen Unternehmenswerte entsprechend zu schützen, führen dafür entsprechend Regeln ein und setzt Kontrollen auch. Und schließlich die Idee Sicherheit hatte als primäre Aufgabe den Schutz der IT ersetzt, und in der Regel wird sie dies versuchen zu realisieren, indem sie eine App Form von Grundschutz einführt.

Das Ganze ist natürlich sozusagen lokal Organisations optimiert. Jeder versucht, aus denen Aufgaben, die er hat, das Beste zu machen, jeder schaut sich auch nach entsprechenden Lösungen um. Entsprechend hat sich die Lösungs Landschaft auch sehr stark Eduard Kick entwickelt in den letzten Jahren. Es gibt viele taktische Tools.

Werkzeuge, die entsprechend in diese Silo verantwortung und hineinfallen. Das Ganze ist aber durchaus mit entsprechender Vorsicht zu genießen. Das Ergebnis ist natürlich vor vorrangig, dass es verschiedene Berichts Wege gibt Die Geschäftsleitung bekommt eben eventuell den gleichen Sachverhalt über verschiedene Wege mehrfach berichtet mit unterschiedlichen Schwerpunkten es kommt zu redundante Informationen, die aber aufgrund der unterschiedlichen Perspektive mit unterschiedlichen Lösungsansätzen angegangen werden.

Dies führt in der Regel zu Mehrausgaben zu Parallel Aktivitäten, wenn nicht sogar zu Konkurrenzsituationen. Das wiederum durch die Festigung von Projekten und Investitionen in Infrastruktur und Produkt Ausgaben werden die bestehenden Ableitung gefestigt und somit der Status quo weiter zementiert.

Das Ziel jetzt, um an der Stelle eine integrierte, effizientere Lösungen Gesamtproblematik, dabei Management Eingabe einer sicheren Compliance, wird schön typischerweise wie folgt aus Man sieht hier, dass das nicht mehr die Du artig auch Verantwortlichkeiten oder auch Bereiche oder Abteilungen ein geteilt ist, sondern nach Prozess schritten.

Und zwar nähert man sich diesem Thema auf einer integrierten Ebene, indem man in einer ersten Phase Anforderungen sammelt, in einer zweiten Phase den aktuellen Status des Risikos ermittelt, in einer dritten Phase schließlich Verbesserungs Projekte initiiert und sofern bestimmte Schwellenwerte überschritten werden, wird eine 4. Phase auch gerufen, die sich dann neben dem Management und der Behandlung von Krisen widmet.

Wenn wir etwas genauer hinschauen, dann findet sich im Anforderung Snatch nennt eben speziell das Inszenieren von Polizist, von Unternehmen zweiten Richtigen, was typischerweise sehr nah an der Corporate Security und auch an der Compliance ist. Dort werden natürlich sowohl externe anderen Forderungen wie gesetzliche Compliance Vorgaben als auch intern Regelungen aufgenommen. Miteinander integriert and eventuell werden dort auch entsprechende Widersprüche aufgelöst. Und diese Politik muss natürlich dann entsprechend mit con sogenannten Controls in der Organisation umgesetzt werden.

Man spricht dabei von einer Orchestrierung der Policy compliance controls und daher alles die complain und Stroh logistisch in der Risiko Status vermittlung. Dann wird herausgefunden wo stehen wir denn heute? Wäre das Anforderungsniveau Schmand sozusagen sagt, da müssten wir hin, da wollen wir hin, und so wollen wir das erreichen. Diesen complain, risikoarmen, sicheren Status geht es bei der Risiko Status, Ermittlungen eben herauszufinden. Wie ist die aktuelle Situation?

Dazu muss man die Risiko Landschaft im Unternehmen herausfinden Wann muss die Bedrohungssituation von außen entsprechend hinzuziehen und externe Quellen für Informationen zur Einschätzung der Risiko Lage mit betrachten? Auf dieser Grundlage geht man dann in die Organisation hinein und sammelt auf verschiedenen Wegen dann entsprechend den Status der Controls ein, also der der Vorgaben der Prozess, Veränderungen im Prozess Elemente oder auch der technischen Elemente, die dafür sorgen sollen, Risiko entsprechend zu beschränken.

Dieses Bild wird dann entsprechend ausgewertet und zusammengefasst und zu einer Gesamt Risiko Sicht aggregiert, und zwar über Compliance Risiko Security einerseits, also über die Themen sie los sozusagen und natürlich auch über die verschiedenen Organisationsformen und Abteilungen des Unternehmens hinweg so verliert der Staat ist ein Bekanntes, gibt es natürlich entsprechend Bereiche, wo man die Vorgaben gut erfüllt und in der Regel auch Bereiche, wo man sie nicht so gut erfüllt, dann ist es erforderlich, entsprechend Projekte zu initiieren, um den Status zu verbessern.

Das macht man dann typischerweise mit einem Projekt Polio speziell eben jetzt ausgerichtet auf Projekt Portfolio Management und die Durchführung dieses dieser Tätigkeiten, dieses dieser Verbesserungs Aktivitäten werden natürlich von klassischen Projektmanagement begleitet Hier bietet es sich an, aus organisatorischer sich, dass eine überwachungs Funktionen bei einer Giusti Gruppe entsprechend liegt für diese Projekte aber die Umsetzung in der Regel natürlich in den Fachabteilungen, die, wo auf die Maßnahme seien sie jetzt Prozess verändern oder sei die Einführung einer neuen Technologie entsprechend kommuniziert werden kann schließlich in Für den Fall der Fälle, dass die Kontrollen nicht ausreichend greifen und bestimmte Regie Nico und Bedrohungs Schwellenwerte überschritten werden, muss ein Krisenmanagement Prozess angestoßen werden.

Dort muss vorbereiten, es eine entsprechende Inseln Händen klinge, die den Umgang mit Vorfällen in entsprechenden Abteilungen Regel, aber auch auf größerer Ebene träger. Top Business Continuity Maßnahmen entsprechend angestoßen werden müssen, gegebenenfalls natürlich oder Schlüssel den Bereich der Entschädigung erreichen könnte. Alle diese vier Bereiche haben natürlich ihre eigene Perspektive, die man aus einer einer Geschäftsführung seiner Vorstand Sicht entsprechend aufbauen kann.

Die sieht man in der untersten Reihe auf diesem Bild, wo das Compliance der Sport da legt, welche Vorgaben interner, externe Art gesetzt sind. Das Operation riss der Sport, das einen Schlepper Schott gibt, über die aktuelle Risikosituation und das Tier, die Projektil Sport, das entsprechend anstehende oder zu im Laufe befindliche Projekte darlegt und deren Status aufzeigt, der ergänzt wird das durch eine entführtes der Sport, wenn man so möchte, nämlich eine Art virtuelles Krisenzentrum, das die aktuelle Situation zur Bewältigung, zur Bearbeitung von Krisen artigen Situationen aufzeigt.

So wäre der reine Lehrender ein integriertes GPS, sie Management auch aufzusetzen. Wichtig hier, nochmal zusammenfassend, dass dies sozusagen nicht lino artig passiert nach den verschiedenen Themenbereichen, sondern entlang eines gemeinschaftlichen integrierten Prozesses eines Management Systems analog zum Qualitätsmanagement, das sich vielleicht kennen, und natürlich auch zum Information Sicherheitsmanagement. Wie sind nun die Schnittstellen zwischen Business und Aktiv?

Was ich jetzt gerade dargelegt habe, ist natürlich sehr stark ausgerichtet an einem chinesischen, die Easy Management, was über die alte hinaus geht. Wenn man die Schnittstellen zwischen Wissens und seit sie sich noch einmal anschaut, dann sieht man, dass sie nur einen Teil sozusagen der Kommunikation zwischen dem Management Unterhalt hier Abteilung übernimmt, übernimmt sozusagen dadurch, dass bestimmte Standard und Kontroll fremd wirkt, dafür verwendet werden können.

Dort sind natürlich die Etablierten solche wie grobe TCO so is und 27 101 aber auch indirekt durch die Vorgaben an die IT, das Business übereilt entsprechend mit einer gleich bleibenden Qualität entsprechend zu unterstützen. Zusätzlich sind hier sie gibt es natürlich das klassische Business Service Management, was dort weiterhin das Management direkt unterstützt bei der Kontrolle und der Gestaltung der entsprechenden Geschäftsprozesse und Service, dass die dafür erbracht werden.

Ich möchte jetzt ein Beispiel bringen, wie man das einmal mit und einmal ohne IT hier ist sie entsprechend umsetzen könnte am Beispiel bringe und die Weiß bringe und die weiß ist ja ein ganz aktuelles Thema, was viele Unternehmen bewegt.

Analog hätte man auch sehr gut ein Beispiel für so schön Computer nehmen können, wo man den Einsatz von entsprechenden sozialen Netzwerken und entsprechenden Infrastrukturen im Rahmen des Unternehmens einsetzt, und zwar durch die Mitarbeiter ähnlich ist das ja, wenn beibringen die weiß auch, dass dort sozusagen die Initiative und die lokale Entscheidungshoheit über die Nutzung und Integration und die Migrations dich bitte sehr stark bei Mitarbeiter liegt oder liegen kann, und entsprechend gibt es unterschiedliche Sichtweisen darauf, wie jetzt diese Mitarbeiter diesen Problemen oder dieser Fragestellung begegnen sollen, je nachdem, welche Brille man auch hat.

Nehmen wir zum Beispiel mal die reine Risikomanagement Brille. Dann würde man typischerweise als Ergebnis einer Risikoanalyse im Rahmen eines Risikomanagement Prozesses entweder feststellen, dass das Risiko des Einsatzes von Bringe uni weiß unter der kritischen Schwelle für das Unternehmen liegt dann wäre typischerweise die Empfehlung, das Risiko zu akzeptieren und keine Maßnahme einzusetzen, während wenn die das Risiko bringe und die weiß im Unternehmen einzusetzen, über einer bestimmten Schwelle liegt.

Dann wäre wahrscheinlich die Empfehlung, dann bringe und die weiß, generell zu verbieten und über alternative Möglichkeiten nachzudenken, den Mitarbeitern mobile Geräte zur Verfügung zu stellen, also sehr schwarz. Zwei sozusagen. Die zweite Perspektive aus der complain Sicht hat natürlich eine sehr starke rechtliche Perspektive. Dort liegt bei Bringe und Ewald typischerweise der Schwerpunkt gerade in Europa.

Auch dem Datenschutz nämlich stellt sich dort die Frage Was darf das Unternehmen auch den Geräten des Mitarbeiters tun typischerweise sehr wenig, weil ja eben dort die personenbezogenen Daten des Mitarbeiters liegen. Dort müsste man sozusagen dann genau prüfen, welche Rechtssysteme bei der Verwendung von bestimmten Geräten im Unternehmen unter Einbeziehung von Cloud Service das berührt werden so typischerweise würde man zum Beispiel bei einem Apple Gerät oder auch bei einem ein Droid Gerät zumindestens die deutschen und die amerikanischen Rechts Thema berühre.

Zudem käme vielleicht noch das Rechtssystem der Unternehmung hinzu, Und dann würde aus einer complain Sicht eine juristische Abwägung statt finden, wie unter welchen Gesichtspunkten und Nebenbedingungen die Geräte erlaubt werden rein auf einer Einschätzung des Rechtssystems typischerweise r lautet hier dann die Empfehlung, keine Verwendung von bringe. Und sie weiß auch speziell in Europa, weil eben den Firmen die Möglichkeit genommen ist, dort Kontrolle auch über die Geräte Auszügen eine alte IT Security Perspektive als drittes Beispiel habe ich hier gebracht hat ja schon viel.

Die It is sitzt der Unternehmung entsprechend zu schützen. Dies führt speziell dazu, dass der der Anspruch ist, die Infrastruktur kontrollieren zu können, sicherstellen zu können, dass dort keine Schad Software eingebracht wird oder andere Schäden stattfinden. Dies führt in der Regel dazu, dass eine alte Sie Idiot die Abteilung hier ein Verbot für bringe und die weiß aussprechen würde. Oder alternativ Wenn die IT Security sich sehr cloud nahe positioniert, sagt die schützenswerten IT Infrastruktur Elemente.

Sind alles Server seitlich gelagert, finden wir die Geräte gerne einen Wir sorgen für eine sichere Authentifizierung des Gerätes. Am letzter aber wir kontrollieren auf der Content Ebene keine Unternehmensinformationen, das ist die Verantwortung der Mitarbeiter, dafür hat die IT nicht den Schuh an oder was ich auch schon gesehen habe bei entsprechenden Kunden, das eben dann die IT Security empfiehlt beziehungsweise. Auch vorschreibt, dass bestimmte Kontrollsoftware auf Geräten initial installiert werden muss, um die Kontrolle über die Geräte zu erlangen.

Dort ergibt sich dann eben die, die PO, die Problematik, die Diskussion, ob der Datenschutz da entsprechend eingehalten werden kann. Eins geht hier sie vom Ansatz her, also die AR Der Einsatz von Governance Risk in complain im Bereich von IT. Jeder Lösungen als integrierte Prozess Vorgehensweise würde hier den gordischen Knoten ein bisschen zerschlagen können, in dem hier eine Prozess Vorgehensweise umgesetzt wird.

Im ersten Schritt würde man die Anforderungen an den Schutz von den Unternehmen Informationen, denn das wovor man ja Angst hat, bei Bringe und die weiß, dass dieses Unternehmen verlassen würde man erstmal identifizieren analog zu den ersten Schritt im Dias. Sie dort eine Aufnahme zu durchzuführen der Anforderungen in einem zweiten Schritt würde man das aktuelle Risiko einschätzen. Unter einem dritten Schritt würde man geeignete Risiko Senke Maßnahmen identifizieren und implementieren.

Hier ist wichtig, dass das nicht ausschließlich von der IT eben durchgeführt werden kann oder muss und es somit sozusagen zu einem selektiven und keinem ganzheitlichen Plattform weiten oder Schwarz Weiß Gedanken Ansatz führen kann, sondern eben sehr selektiv ein kontrollierter Einsatz von Green Johnny Weiß möglich ist. Das ist ein Beispiel, wie man diesen It is die Prozess anders nutzen kann, um auch mit diesem zurzeit in der Diskussion befindlichen Ansätzen zu einer besseren Lösung zu kommen.

Vielen Dank an der Stelle für Ihre Aufmerksamkeit für meinen Vortrag unter an der Stelle würde ich gerne weitergeben an Herrn Fischer schönen Tag noch Fischer von der verleiht die Konzept. Ich begrüsse sie hinten zu dem zweiten Teil des vor die neueste und gehe jetzt auf die Präsentation gut, damit sie mich und unsere Firma, die im Bereich, an der Sie und echtes Management und auch im Bereich Sicherheit sowie auch diesen Service Management tätig ist, sich den Eindruck vermitteln können, möchte ich ganz kurz auf die verneinen gehen, das recht schnell gehen.

Wir haben die Gründung im Jahr 2000 hat und angesprochen, die Geschäfts fertige schon grob im Vorfeld haben Standpunkte Standorte in Deutschland, der Schweiz, in den USA. Unsere Support sitzt zum Beispiel auch in Indien, so dass wir 1 24 Stunden Abdeckungen bieten können. Das unserem Herz uns Mord am Land Mitarbeiterzahlen grob, dass sie sehen können, mit welche Größe wir operieren und hier kleine Auflistung unserer Partner in dem Fall auch prominent links oben Auges das Produkt, auf das ich nachher auch noch am Beispiel einleitend durch seit er ins Obstler eingehen werde.

Wir haben unser unsere Firmenstruktur nach Kompetenzzentren gegliedert und wie man auch sehen kann in dem Fall recht nahe beieinander, denn auch hier haben wir eine komplette eins Thematik als die Security Haltet die Axis Mensch, schwimmt das in dem Fall dazu gut. Zu dem August Security Life zeigt Managements Tour voll Folgendes Wir haben verschiedene Compliance Richtlinien. Viele sind sicher Bekannte, einige wurden jedenfalls schon von meinem Vorsprechen, dem Professor Doktor Paulus, angesprochen. Ich möchte den Einstieg über das habe er über den Serbiens Oxley Akt machen.

Und die Frage ist Es geht um ein Projekt Erfahrungen. Wir haben ein einfaches Szenario gehabt Wir hatten oder haben einen Kunden ist eine Bank in Deutschland, die nur auf dem deutschen Markt gehandelt wird, und diese wurde durch eine größere Deutsche Bank übernommen, die aber in dem Fall auch in den USA tätig ist und das von der Tatsache, dass sie dort an der Börse gehandelt wird.

Ist es so, dass seit der Krise 2002 als der Solvenz Oxley Akt beschlossen wurde, um letzten Endes das Vertrauen der Anleger in die Richtigkeit und Verlässlichkeit der veröffentlichen Finanzdaten von den Unternehmen wiederherzustellen, ist es nun so, dass aufgrund der Tatsache, dass in dem Fall hier die Rote Bank die blaue Bank verkauft hat, das plötzlich nun auch diese Ansprüche des selber ins Aufseher Aktes hier für die Banken in Deutschland werden, obwohl sie nicht am Parkett in zum Beispiel jetzt nicht gehandelt wird.

Typische Fragen, die bei Sox aufkommen ist zum Beispiel, wenn es um mit Schuss geht, wie oft und den Projekte über das Video hinaus und wie viel vor allen Dingen auch, dass sich das quantifizieren kann, dann andere Fragen, die zum Beispiel im Meer an das Management gerichtet sind. Was wurde getan, um diese Risiken abzumildern? Diesen Risiken zu begegnen? Ich halt hier sitzt, sind da und werden Wie werden sie auch gemanagt? Wird das Mord auch regelmäßig über die Risiken gebrieft, inwiefern das Unternehmen Sie sich hier ausgesetzt ist?

Wenn man dann vor Ort bei den Kunden ist und sich die Prozesse anschaut, was gewonnenes Westen Vereins anbelangt, wies, bis dafür gehandhabt wird. Dann ist es so, dass sie aus mannigfaltigen Quellen haben wir waren über bildet dies gerne haben wir manuelle im Kurz aus verschiedensten Quellen mit Daten konfrontiert sind und sehr häufig auch noch in der Realität solche SS Manns mit Expert Schiedsrichters wird werden diese mögen ist sicher sehr gut ausgearbeitet sein, aber ich habe keinen zentralen Prozess. Es gibt immer wieder Verzögerungen.

Es gibt, da die Verschleppung an ein wenig einkalkulieren möchte, was in kleinere Quest bedeutet, dass ich eine Priorität dafür hochsetzen und ja, der Ansatz sollte also sein Ich möchte es vereinheitlicht haben, ich möchte einen einfachen intuitiven für mich auch Interesse entsprechend aufbereitet, dass es jetzt sehr primär an die Exec Tiefs gedacht, die IT Ansicht, die das das darf man, was die dementsprechend, die es herzen, durchführen, darauf werde ich nicht groß eingehen. Und bei gerade großen und auch global agierende Unternehmen.

Es ist eben so, dass es auch hier wieder zuträglich ist, wenn ich eine zentrale Stelle habe, in der ich die Risikoanalyse habe, in der ich auch meine Schwester und habe, in der ich die Projektplanung habe, in der ich die Zusammenführung der Daten haben kann. Und das ist der Unterschied darin und Fristen Kleines Produkte gibt es schon länger am Markt.

Die erste Generation hat sehr viele Funktionalitäten geboten, aber das war auch in dem Fall, der Fallstrick ist Man kam nicht voran, und man wollte einen schlankeren Ansatz haben, der einlädt, mitzuarbeiten und das alles in einer Oberfläche integriert haben. Und auch Redundanzen möchte man abschalten, zum Beispiel, wenn ich verschiedene richtigen Standards habe, den ich entsprechen muss. Ist es nicht, Sie sind voll, das mehrfach zu tun.

Ferner möchte ich auch natürlich SS Münster ich durchgeführt habe in der Zukunft verwenden, weiter vergleichen können, um auch entsprechende vor passt zu erstellen, wie in Entwicklung ist, wie eine Entwicklung abzusehen sein wird. Was Sie hier sehen ist, sind jetzt zwei Report haben einmal links oben den qualitativen Zustand. Das bedeutet, ich befasse mich wirklich damit in den verschiedenen Sektoren. Man kann es zum Beispiels sehen Bereich Die City sieht alles ganz gut aus und könnte aber auch hier wirklich auf für sämtliches Kenndaten.

Ob ich dort im cooles Zeug übernehme, ich kann wirklich auf die auf das Letzte Es wird, wenn ich das denn möchte runter mich warte, vertiefen gut, wenn ich mich also nehmen und hält, letzten Endes bewege und versuche, dem zu begegnen, dann gibt es eine Geschichte.

Was die erste Generation der Gabeln ins Bettchen Compliance Tour zu einem Land im College in dem Fall, der in den Staaten arbeitet, hat Projekt gehabt bei der größten Bank der USA, die auch bei der letzten Krise nicht gut abgeschnitten hat, hat erzählt Das ist Compliance Vorgang, was sie innerhalb der Firma lief, keine wirklichen verfolgbaren Ergebnisse und Ziele definieren konnte.

Es gab Dutzende von Standards, die letzten Endes beachtet werden mussten, es wurden dementsprechend auch so weiß aus nach rausgeschickt, teilweise wöchentlich in dem anderen Format, und da haben wir wieder das Problem Wir haben es nicht verdichtet an einem Ort. Und hätte man Zentrale eine integrierte Lösung gehabt, wäre wahrscheinlich der Verlauf für diese Bank anders gewesen. Somit ich möchte nicht die Leute aus alter Operations zum Beispiel mit so etwas übermäßig belasten, ich muss letzten Endes auch die klare Adressaten haben.

Und Zuständigkeiten werden dementsprechend auch ganz klar definiert. Anschluss an entsprechende Verzeichnis Diensten Helder sind überhaupt kein Problem. Rollen Strukturen kann ich übernehmen, aber auch natürlich selbst in einem solchen Programm definieren und einrichten. Das ist der erste Blick, dass man sich das vorstellt. Hier sieht man auch grob die Aufgliederung sie von Herrn Professor Doktor Paulus vorher erwähnt wurden. Wir haben das ist erstens wir haben das erste der Männern schön, wir haben die Gefährdungsanalyse und die Risikoanalyse.

Und dann gestaltet sich letzten Endes die Oberfläche immer sehr ähnlich, und man sieht auch schon deutlich eine gute Risikoanalyse basiert setzen das auf soliden Eingaben hin, plötzlich bekommen, das kann in dem Fall durch Kontrollen zu testen und sein, die ich frei definieren kann, wenn ich möchte, aber auch letzten Endes über achthundert Standards hier dementsprechend zurückgreifen kann eben über das sogenannte jene Freiheit von Kleins dreimal mit dem Alters zusammenarbeitet Ferne kann ich aufs Kenndaten zugreifen, was mir dann die Möglichkeit gibt, das Risiko zu analysieren.

Auch letzten Endes dann mir Entwicklungen verstand schau lichen müssen. In dem Fall sieht man zum Beispiel, wie sich ein Parlament in dem Fall des Aus dem Off ist. Aus dem doch angestrebten gleich noch weiter verbessert hingegen Boston leicht in das Programm gewandert. Auch hier wieder wohnen möchte ich darauf hinweisen, dass es möglich ist, wenn ich dort am Rechner bin Ich kann das Ganze über einen ganz mein Wort Browser, jeder von jedem Ort abrufen, aufzugreifen mit den Tarieren.

Ich kann kommentieren ich kann, so ku mente intern hin, der integrierten Lösung auch direkt an den zuständigen einer Mitarbeiter zukommen lassen, und die Risikoanalyse basiert in dem Fall auf Mist Standards. Dass ein neues Team die letzten wissen, nicht was die Vorhersage Park vor sagten Vorhersagbarkeit nebenbei ist auch für US Behörden zuständig. Letzten Endes dann für sie sich noch machen kann, wenn sie sehen wollen, woran es genau in Boston denn nun hab an Mark, dann ist es möglich, auf die erste Struktur unterzugehen. Kann auch eingreifen.

Wenn ich die entsprechenden Berechtigungen habe und das führt dann letzten Endes dann zu der Bewertung, sieht es mit der Compliance aus.

Bei der Konferenz ist es so, dass sie in effiziente Kontrollen finden möchten und auch letzten Endes was den work schlau hier angelangt, sehr benutzerfreundlich es ist eben die zweite Generation, die erste Generation hat durchaus sicher das ein oder andere Schritte mehr zu bieten, aber letzten Endes führt es dazu, dass man zwar schöner, in Portionen aber nicht wirklich Fortschritte verzeichnen konnte und Standards einfach die hier unterstützt hat, als man um Dinge zu benennen Kurses natürlich auch dabei volle gesprochen, eitel auch, aber Standards wie Krupp zum Beispiel, Themen treu, der Nestor ist Sabines Orks legen jedenfalls auch der kleinen ist multi liegen überall per die fort, ist er für die Eingabe verschiedener Sprachen freigeschaltet, eine Anpassung der Oberfläche ist noch in Arbeit, geplant sind Deutsch und Spanisch.

Gut, jetzt haben wir doch den Punkt Redundanzen gehabt, was letzten auch letzten Endes auch wieder Kosten sind. Wenn ich verschiedenen Standards als Anforderungen entsprechen möchte, dann habe ich die Möglichkeit, vorher bei der Planung schon zu sehen, wo ich eventuell Überschneidungen habe. Das ist das entsprechende Meeting, und durch standardisierte Bewertungskriterien können auch Orte Daten von einem früheren Orden für einen schweren Ordnet als Referenzpunkt herangezogen werden Dann die GERB Analyse ebenfalls, auch hier zu sehen, wie weit er mordet.

an einem Ausgangswert zu messen ist und können so dann demzufolge sehen, wie Leute hier und Ziel der Compliance zu entsprechen näher gekommen sind oder vielleicht schon erreicht haben, was in dem Fall die Sonnenbrille sie Analyse angelangt ist so sie sehen, egal, wo ich mich in dem Programm befinden, ich habe immer den Gleichen aufbauen, man kann auch sehen, wie der Ablauf ist, ich habe zum Beispiel sten Daten, Nehmen wir Kolles, nehmen wir ein, 12 € und das ist mein Rohmaterial, auf dem das Ganze auch letzten Endes fußt.

In der Planung kann ich privatisieren, es kann ja sein, dass ich letzten ist ein vollkommen unwichtigen System, die keinerlei signifikante Gefährdungen darstellen, in der Priorität ganz hinten anstellen und dann über meine Sportrecht gehts weiter. Die Zuständigkeiten, die ich unter vorher auch schon in den Geschäfts einhalten, nicht festlegen kann wissen, dass sie mit zugeteilt werden bei jedem einzelnen Schritt an jedem einzelnen erste das ist möglich, auch den entsprechenden Ansprechpartner direkt zu kontaktieren.

Es ist auch möglich, natürlich auch hier bei ihm er dementsprechend die Adressaten zu erreichen. Aber der Vorteil ist einfach hier Ich habe alles wegen einer Oberfläche, ich muss mich nicht um Formate für mann und ich kann auch nebenbei der Tat Schutz anfügen auch das ist möglich. Das geht natürlich auch bei smt. Dann wenn nicht verschiedenen standards entsprechen muss, können die Werte auch normalisiert werden, um Torten vergleich wiederherzustellen. Und das führt mich dann auch schon zum punkt, dass ich dann auch Trends erkennen kann.

Zum beispiel wäre das jetzt auf der Zeitachse, das ich mir anschaue wie sieht es aus? Ich bin konferenz oder ich bin nicht vom feind virus das risiko das ich eingehen ich sehe der trend ist die richtige richtung. Uns wird direkt visualisiert auch hier wieder die möglichkeit egal wo ich mich befinde sollten mich filter berufsmöglichkeiten denen vorhanden aber auch die möglichkeit immer live in echtzeit auf die daten zurückgreifen zu können wissen, enormer gesehen. Ich kann an jeder zeit an jedem zeitpunkt ein projekt status feststellen. Ich kann detlef eins neu verhandeln.

Also viele sachen sehr versagen. Scream meint und können daten, die vorgehalten werden im hintergrund läuft eine msn sql datenbank steht als referenz herangezogen werden. Ich kann natürlich auch wie vorhin erwähnt nach der schwere des risikos oder der anzahl der erste dt typen letztenendes sortieren. Es kann sein ich hab eines dort habe ich eine Uhr Gefährdung oder ich habe sehr viele einzelne Sätze, auf dem meinetwegen nur ein kleiner Patch nicht eingesperrt ist der kleine sich nicht jedem Tanz bedeutet letzten endes was sollte man mitgenommen haben?

Das Problem wenn man draußen vor Ort ist ist, dass man leider sehr lange Wege hat, um an die notwendigen da hin zu gelangen, bis die Eingaben erfolgen. Man hatte abweichende formate steht sehr viel zeit verloren, was auch wieder kosten sind.

Ich kann auch bei einzelnen Prozess schritten natürlich zeit kosten, ob intern extern also was auch mit aufnehmen, das heißt auch solche Berechnungen sind möglich wie sie sehen können auch im browser lauffähig in jedem gängigen HTML fünf Browser wird das funktionieren, also auch dort glücklicherweise keinen sorry flasch wäre der kleine überblick über das produkt von auges meinerseits gewesen und würde ganz vergangen hau professor der Paris zurückgeben wollen, um dann auf fragen eingehen zu können ja vielen dank, ich habe ein paar fragen, die würde ich natürlich jetzt gerne auch zeige nicht sehr geringe gestartet, aber ja zum einen werden Juni feiert Compliance Freiburg erwähnt bin ich eine sehr, sehr lobenswerte Aktivität.

Das Mädchen von der überwiegenden Anzahl der Anbieter in den Sequenz auch mit unterstützt oder zumindestens implementiert. Manchmal, wie ist das bei den Kunden? Also Sie als Berater, Sie haben wir wahrscheinlich auch durchaus das eine oder andere Beth Beck wird das von den Kunden auch so geschätzt, wie das die Hersteller gerne sehen würden.

Es wird, bei dem konnten wir, den ich jetzt persönlich warten, darauf, mit dem ich vornehmlich beziehen wird, der Ansatz damit zuerst versucht, weil es eben doch einen Ansatz darstellt, wie ich mit einer möglichst kurzen Anfangs Liste meine Compliance erreichen kann es wird sehr häufig, und dann kommt der Punkt zum Tragen, dass sich auch eigene Standards definieren kann, dann kommt zum Tragen, dass dann Wünsche ein werden, die unter Umständen von einem Standard nicht abgedeckt sind was also der Forderungen schon genüge täte, würde man dieses erfüllen.

Aber es gibt durchaus auch Erweiterungen, die dann schon nach einem Monat Fortschritte zeigen, wenn man es mit System der ersten Generation Vielleicht haben sie teilweise Konzentrations Zyklen von mehreren Monaten was hier definitiv nicht der Fall ist. Okay, also ist das Haupt Lächeln implementiert, der orientierungs Aufwand sozusagen, wo die Kunden warum bisher sind abschreckt. Ist das richtig?

Ja, ich glaube, man hat im Ansatz das Richtige gewollt mit Mitbewerber Flug Nehmens aussenden in der Ortschaft, da die haben, aber ich glaube, der große Funktionsumfang ist hier eher kontraproduktiv, denn es würde als dementsprechend große Aufgabe wahrgenommen wollen gegen Wenn ich mich in einen eine integrierte Lösung rein Lage alles in in der Hand habe und Ford auch dementsprechend vertiefen kann, meine Reihen sicht in Sachverhalte, dann macht es das bedeutend einfacher ich muss ich mich um Ihnen Adressen kümmern, es läuft alles in der Plattform ab, und das allein schon ist ein großer zu gewinnen.

Ja, hatten wir über viel auch über die Integration von verschiedenen Aspekten gesprochen, also gerade Compliance, Risikomanagement, Management sind ja gerade auch wenn ich in der von Ihnen vorgestellten Lösung durchaus prominent vertreten. Dieser Integrations Aspekt von wen geht es denn aus? Also beim Kunden? Was ist denn ihre Erfahrungen, wer da sozusagen die besten Chancen hat, so ein integratives Projekt voranzutreiben? Der Einstieg, wo ich das beurteilen kann, ist über ein anderes Produkt gewesen, dass wir in dem Unternehmen betreut haben.

Das war in dem Fall, scheiterte die und nächstes Mensch mit Lösungen, was auch letzten Endes ein komplettes Thema ist, wenn das allein nicht um Segregation auf dir Dies geht zum Beispiel deswegen, Das sind, zieht sich meine Erkenntnis, wie ansonsten bei uns dieser Märkte eröffnet werden, okay, also muss man sich sein, wenn es um die zuständig verhält, Wenn es als Adressat geht, wenig anspreche, letzten werden, dann würde ich auf meinen Kollegen aus dem Scherz Bereich verweisen wollen. Da könnte man ein kompliziert, wenn der Rückfragen, sondern Termin vereinbaren.

Ja, das ist meine Erfahrung. Ist ein paar diskutieren jetzt ja auch Zuhörer, die noch dabei sind, die natürlich gerne eingeladen sind, auch selber Fragen zu stellen. Mein meine Erfahrung ist so ein bisschen das je weniger fachlich involviert sozusagen, dann siehst du. Wahrscheinlicher ist es, dass es eine Möglichkeit gibt, auch ein integriertes Projekt aufzusetzen, also der klassische IT Security Erteilung in der City. Sicherlich wird zwar vielleicht die Berichte liefern können, aber sie wird sicherlich nicht das Mandat haben. Auch jetzt über Jesu 27 01 hinaus.

Entsprechend auch die Kontrolle Dreamworks zu man datieren, während welches aus der complain Ecke jemand sagt Okay, ich nehme ich jetzt mal dieser Integration. Anderen ist das doch aber in der Regel wahrscheinlicher. Das ist wichtig, dass solche Projekte können. Dem ist der Teil der zuständigkeiten hier noch angelegt werden und sind sofort auf verfügbar und greifen auf die notwendigen Daten.

Wenn es bei Ebay kann man ins westliche Management und Kleinen sind, dann nehm ich halt gerne einfach immer war nur bilitis gerne was ist doch sehr anschaulich machen sofern auch interesse besteht ist auch eine kurze Demonstrationen kleinen möglich.

Verzeihen nicht in dieser Präsentation, aber dann wird vieles eingängiger sein, das sich doch wirklich sehr intuitiv sehr gestehen meint mit entsprechenden Gertz, wie Lesungen der zweiten Generation hier agieren kann, was ich wirklich voranbringen, was, weil es sehr stark verdichtet, aber auch dementsprechend aufbereitet und jederzeit eine Vertiefung in die Details ermöglicht.

Deswegen ich würde auch Metall das Ihre Sicht teilen das, dass sich das dementsprechend eher im Klein Kleins Leute Personal, das sich im vom Platz bereich, die momentan schon verfasst er als Erzeugung recht zuzuordnen, deshalb die Art, wie die alte Religion, die Museums zu sollen, darauf einstellen, dass sie sich früher oder später also wenn man das den Gedanken etwas weiterspinnt ist, damit Kunden von Tieren muss, dass es so 11 integrierte Plattform geben wird, also zumindest ist das meine Einschätzung Vielleicht wissen Sie, es ist der an ich hab so das Gefühl, wenn man Teil so sieht, wie die Projekte mit zuständig für wie Projekt ohne überlastet sind Es ist ein und Ressourcen Problem von älterer zum Teil wenn ich sehe, wie Projektmanager mit mehreren Projekten betraut sind und ich die Möglichkeit bieten kann und eben der der Vorteil der Sirenen Web scheint jeder orts auf die Daten zugreifen kann mit entsprechenden Sicherheitsrichtlinien natürlich erst 11 verschlüsselt also was dann sehe ich da im großen mehr wert und würde es nicht als noch ein Tour sehen, sondern etwas, was sich derzeit sowieso schon erledigen muss.

Und dadurch, dass sie auf das hier nicht weit Konferenz zweimal zurückgreifen kann, wird mir schon sehr viel abgenommen, was ich vorher manuell zum Teil mit Vorlagen Zeit vom Vorjahr ein Ex Passport Cheats angelegt habe. Ich habe gerade eine Frage hier reingekommen wundere bildet die Management ist vom Business Risiko weit entfernt. Wie erreicht man die Verbindung von Business Risiken zu Tier Risiken oder umgekehrt? Würde ich jetzt mal ergänzen Wie schafft man es sozusagen die Risikoeinschätzung für das Business aus den IT Bewunderer Bilitis abzuleiten?

Nehmen wir ein Beispiel sehr einfach plakativ Eine Feier waren es. Kenndaten ergeben, dass ich dort entsprechende Patches nicht eingespielt habe, vielleicht hinten dran dann noch eine SQL Datenbank habe, bei der das gleiche Problem ist und Passwörter mit hatten, war vor kurzem erst mit Prüfer blut wasser sagen angegangen werden können. Das heißt das ist die Quellen und letzten endes die bewährt von ob liegt es gibt vor definierte bewerten aber die Kategorisierung.

Der Stuhl in der der Einteilung die ob liegt mir das kann je nach dem als geringer Zeit als starker Zweiter, aber auch in der Priorität zusätzlich dann auch dementsprechend zugewiesen werden ich weiß es nicht und damit wird es dann auch dementsprechend grafisch aufbereitet oder dargestellt. Aber wie?

Wie weit denn die it, welchen Wert als testet im Wissen, dass in der in der Fachabteilung hat es wäre so zu sein wie das, also aus meiner Sicht zumindestens wenn man einmal ganz technisch betrachtet wenn man eine Risiko ein Schiff braucht man ja zwei Größen sozusagen einmal sich eintrittswahrscheinlichkeit und einmal Generation zur Herr Eintrittswahrscheinlichkeit ist ja sehr stark abhängig von den Schutzmaßnahmen und von den anderen Sektoren, das glaube ich, kann die IT die sicherlich sehr gut einschätzen und beantworten.

Doch wie kann sie sozusagen die Bedeutung eines Essens für das Business erfragen oder einschätzen. Wäre etwas, was ich gerne auch dann macht in einer präsentation des Blutes selber vorführen würde, dann wird es vielleicht leichter ersichtlich, wie ich die Zuteilung des WC darstellen. Also natürlich werde ich mal persönlich wird und als eins mit mit menschlicher Intelligenz sozusagen vornehmen, da gibt es keinen Modell hinten dran, das dann irgendwie der automatische aus Anpassung oder sowas dann ermöglicht.

Wir haben Regeln hinterlegt okay, wer hat das hat sich ein dann ist es vielleicht untergehen sollte ich einleitend dann wahrscheinlich komplett Beruf erwähnt oder ich habs einfach überhört ja dann daran schließt sich an an die Frage Könnten Sie sich denn vorstellen? Das ist sehr stark. It orientierte der Lösungs Bau satz aber aus was ich gesehen habe. Prinzipiell ist er natürlich so Vertrauen geeignet, genau für nicht als hier Aspekte mit abzudecken.

Das ist richtig, also wenn es zum Beispiel die Behörde Kutschen erwähnt, in einem anderen Standard um Regulation auf Dodis geht, das ist nicht zwingend. Drei T lustig das kann ich hier genauso abbilden, genauso wie ich aufholen erwähnt, das ich auch selber definierte Standards für andere erst als letzten Endes definieren kann und dann auch dementsprechend Assessment entsprechendes Projekt und an den Gesprächen die Analysen darauf anwenden kann.

Okay, man kann es durchaus auch können nicht die absolut sind einsetzen, wo sie sich jetzt bitte der Staat ist auf jeden Fall. Also ich würde momentan stärker noch bei der zweitliga willens und dem sehen, wenn es um weniger als die, dass diese Sachen gibt. Wir haben Kunden, die damit, wie gesagt sich auf soft und schaut schon eingestellt haben und damit auch schon gute Fortschritte machen. An dem Projekt war ich persönlich nicht beteiligt, deswegen ist das da mir Hörensagen, also das Weben von Kollegen ausgetauscht wird, aber er ist immer bis zum Einsatz und auch sehr schnell.

Nach 30 bis 40 Tagen kann man erste Ergebnisse sehen, so dass viel Berg genau ergänzend an der Stelle kommen. Noch mal eine Frage aus dem Plenum Könnte eine Bank Risiken nachweise? Zwei ab willen oder ich frage noch mal badet reichen vielleicht auch schon da schon was da ist und dann mit der IT verbinden?

Da richten Rückfragen wie die Verbindung gemeint ist das ist Rückschluss gibt an passt, die zu erfüllen sind, um dem Standard zu genügen oder was die Verbindung mit der Rechtlichen Ich würde ich verschiedene so, dass sowohl das kann meint ist, als auch dass die IT controls in der city vorhanden sind sozusagen die Abdeckung der Risiken nachweise zwei semi automatisch vorgenommen wird. Also ich hab jetzt muss ich gestehen ich jeden einzelnen standard im kopf parat, aber ich weiß das selbst. Sollte er im falschen planes nicht enthalten sein, ist das in kürze zur zeit zu realisieren.

Da das wird ist eine leistung die von august recht erbracht werden würde. Also kann ich das mit dem jahr beantworten wenngleich es sein kann, dass es vielleicht im youssef noch nicht enthalten ist, da ich eben selber auch solche standards definieren kann. Wenn ich so was die rechte auch nicht selber bestellen möchte, kann ich dies dementsprechend auch überhaupt erst recht beziehen. Mit eingerechnet werden regionale mal nachgeschaut. Es bestellen also ist besten dank wird abgedeckt.

Ja ich habe noch eine frage die er jetzt praktisch taktischer natur ist sozusagen, wo sehen sie denn den schnellsten quick win für einen kunden, der jetzt noch keine integrierte lösung hat eigentlich gerne dahin will aber aufgrund der geschilderten naja sino verantwortlichkeiten orient chorische hürden hat ihr übernehmen über überwinden muss, um überhaupt zu einer integrierten bekommen Und da ist ein typischer Ansatz, sozusagen mit einer Plattform für Staaten und über einen Krieg wenn überhaupt erst mal zu positionieren und dann zu zeigen die kann aber auch mehr kommt Lasst uns mal zusammensetzen was wir daraus machen können.

Wo sehen sie denn den in die den wahrscheinlichsten quick will? Wahrscheinlich würde ich ganz einfach it sicherheit erst mal als oberbegriff und dann je nachdem welche branche und standard dahinter etwas tan dem fallen sonst toscani, sodass kann kiss ja sein. Also ich würde sagen einfach bei der bei der art aber derart hockt er war das stück genau bei den bei der attacke analyse, denn man muss einfach sehen, dass diese daten in echtzeit vorliegen und es werden vielleicht redundanzen bekannt, was natürlich auch mein interesse ist, wenn es darum geht.

Das ist ja schön, dass ich diese ganzen lügen. Aber aufgrund der standards weise zum beispiel solvenz auf. Das ist mit aufwand verbunden, aber das ist auch wirklich für mich zum beispiel monetären vorteil bringen kann um nebst risiko exponieren okay also ich würde wahrscheinlich wirklich über diese welt und tanzen den einstieg nicht wählen. Die kontrolle die pflanzen bei den standard ok stimmt, da kann man natürlich auch direkt Einsparungspotenzial nachweisen können.

Auch das ist am einfachsten ja sehr gut super Herr Fischer, ich bedanke mich bei Ihnen für dieses interessante gespräch und auch die erläuterung des produktes, dass Sie uns gezeigt haben von ihrer partnerfirma. Organist, Herr Fischer Politikkonzept möchten Sie noch ein paar Abschluss Worte finden für unsere Zuhörer? Ich möchte mich einfach ihre Zeit und Aufmerksamkeit bedanken. Und sollten sie Fragen haben möchten, sollten Sie das Produkt live sehen wollen. Das lässt sich durchaus in 20 minuten abbilden.

Kann man einfach einem einfach den tag eines managers und was hinten dran abläuft wie die Mitarbeiter zusammen agieren, an einem Fall sehr schön sehr schnell darstellen, dann ist das ganze auch greifbarer und da ist im intuitives habe ich sehr schnell diesen aha effekt, was mich auch dazu verleitet ja ich arbeite damit wär das nicht mal anschauen möchte der kann uns das format die von selbst sehr gerne kontaktieren und wir können dementsprechend auch meeting sei es in person oder in dem entsprechenden hotel vereinbaren.

Herzlichen Dank, ich möchte mich bei den Zuhörern recht hat sich für ihre Aufmerksamkeit und Interesse bedanken. Bleiben Sie uns treu, wie er sie uns bald wieder bei einem der nächsten Seminare von KuppingerCole Kohl Ich wünsche noch eine schöne Woche