Corporate Security Management – Unternehmenswerte effizient und wirksam sichern

Der Begriff Unternehmenssicherheit umschließt die physische Sicherheit der Unternehmenswerte, die Arbeitssicherheit der Mitarbeiter, die Informationssicherheit sowie auch das Notfall- und Krisenmanagement. Der Verantwortungsbereich umfasst dabei ein breites Spektrum an Gefahren und Risiken mit unterschiedlichen Wahrscheinlichkeiten und Auswirkungen bis hin zur Bewältigung existenzgefährdender Situationen. Um möglichst frühzeitig über negative Entwicklungen in der Organisation zu erfahren, ist eine enge Zusammenarbeit des Sicherheitsmanagements mit den Managementsystemen entlang der 2nd Line of Defence unerlässlich. Wir zeigen auf, was es braucht, um Ihr Corporate Security Management effizient und integriert aufzusetzen.

Fähigkeiten (oder auch Capabilities) entstehen durch die Kombination von Mitarbeitern, Prozessen, Technologien und Informationen. Die Unternehmenssicherheit umfasst dabei jene Capabilities, die ein Unternehmen proaktiv verwalten muss, um den kontinuierlichen Bestand und Fortschritt zu sichern, wie z. B.:

• Die Sicherung der Unternehmenswerte,
• die Sicherheit von Informationen und Daten,
• die Sicherung der Arbeitsplätze und Mitarbeiter,
• die vorausschauende Planung etwaiger Notfälle und Krisen,
• Maßnahmen zur Unterbindung beziehungsweise Aufklärung von Verbrechen und Betrug sowie
• die Sicherung der Umwelt und weiterer Assets.

Das Corporate Security Management beschäftigt sich mit allen organisatorischen Maßnahmen und Mitteln zur systematischen Identifikation, Analyse, Bewertung und Kontrolle sicherheitsrelevanter Aspekte, wie beispielsweise die Wahrung der Vertraulichkeit von Information sowie Zugriffsbeschränkungen auf schützenswerte Assets.

Der Aufbau des Sicherheitsmanagements gliedert sich, wie auch bei allen anderen Governance-Systemen, in die folgenden 3 Ebenen:

• Governance
• Strategie
• Operative Umsetzung

In Anlehnung an das Modell der 3 Lines of Defence obliegen die Aufgaben hinsichtlich Governance und Strategie der Security-Funktion eines Unternehmens (2nd Line of Defence). Die operative Umsetzung der Vorgaben nehmen die Führungskräfte in den Fachbereichen der Organisation wahr (1st Line of Defence). Die Überwachung und Prüfung auf Angemessenheit sowie Wirksamkeit obliegt der internen Revision (3rd Line of Defence).

Zu den Governance-Tätigkeiten des Sicherheitsmanagements zählen die normativen Festlegungen des Managementsystems sowie die Definition dessen Ziels und Zwecks. Normen, Standards und Frameworks für das Corporate Security Management helfen dabei, den verstärkten Sicherheitsbedarf proaktiv und systematisch zu adressieren. Diese umfassen unter anderem:

• Archimate
• COSO
• ISM3
• ISO 22301
• ISO 27000
• ISO 27001
• ISO 31000
• ITIL
• ÖNORM S 2400
• TOGAF

Der Geltungsbereich (oder auch Scope) des Managementsystems ergibt sich aus den individuellen Unternehmensanforderungen. Anhand der definierten Kriterien werden die relevanten Assets identifiziert. Dies erfolgt ausgehend von der Prozesslandkarte, da die Prozesse Bezug auf Vorgaben, Normen und Standards nehmen und direkt aufzeigen, welche IT-Systeme, Rollen und Dokumente relevant sind. Die GRC-Suite der BOC Group – ADOGRC – bietet eine Reihe vorkonfigurierter Sichten und Analysen, die Sie bei all diesen Aufgaben unterstützen.

Abbildung 1: Abhängigkeitsanalyse eines geschäftskritischen Prozesses zu seinen Assets mit Bezug auf Risiken und Kontrollmaßnahmen in der GRC-Suite ADOGRC

Das Sicherheitsmanagement ist keine einmalige Tätigkeit. Es geht darum, ein operatives System zu betreiben, das sich selbst sowie seine Inhalte dynamisch entwickelt und dessen aktive Gestaltung dedizierte Vorgaben für Planung, Umsetzung, Monitoring sowie Verbesserungen erfordert.

Da das Corporate Security Management nach dem „Top-down“-Prinzip im Unternehmen eingebracht wird, ist es unabdingbar vorab das „Buy-In“ des Managements sicherzustellen, in dem man dessen Notwendigkeit und Mehrwert aufzeigt. Hierzu kann in ADOGRC eine Analyse über die betroffenen, sicherheitsrelevanten Assets und deren aktueller Risikobewertung (inklusive Handlungsbedarf) durchgeführt werden.

Abbildung 2: Matrix kritischer Assets und deren Risikobewertung in ADOGRC

In Form einer Policy werden die Begriffe, der Geltungsbereich und die Einordnung des Sicherheitsmanagements in das integrierte Managementsystem zusammengefasst. Bei der Erstellung der Policy muss ebenso Bezug auf andere Managementsysteme, wie Risikomanagement, IKS oder Compliance-Management genommen werden. Das ist essentiell, da alle diese Disziplinen im Zusammenhang mit Risiken, Kontrollen bzw. Maßnahmen stehen und ein gemeinsames Verständnis darüber bei der Integration entlang der Three Lines of Defence unerlässlich ist. Sonst läuft man Gefahr, dass die Disziplinen aneinander vorbeireden.

Die Strategie-Verantwortlichen müssen die Vorgaben erarbeiten und dabei so gestalten, dass die Umsetzung möglichst effektiv und effizient durch die operativen Einheiten erfolgen kann.

Zu den Aufgaben des strategischen Sicherheitsmanagements gehört dessen Planung, das Bereitstellen der notwendigen organisatorischen und technischen Strukturen, der laufende Support der Fachbereiche, das kontinuierliche Monitoring der Umsetzung, die Evaluierung und Verbesserung sowie die regelmäßige Berichterstattung. Auch für die Strategie-Verantwortlichen und deren Tätigkeiten bietet ADOGRC umfangreiche Möglichkeiten.

Ein effizientes Sicherheitsmanagement basiert auf Risiken. Nur wenn mögliche Bedrohungen bekannt sind, kann man sich auch dagegen schützen. Um die vorhandenen Ressourcen nach der Kritikalität der Risiken einzusetzen, kann man auf die Bewertung der relevanten Risiken zurückgreifen. Eine solche einheitliche, kontinuierliche und akkurate Einschätzung der Security-Risiken ist allerdings immer im Gesamtkontext mit anderen Risikoarten zu sehen. Daher ist die Harmonisierung der Governance-Systeme von so hoher Bedeutung, um eine einheitliche und integrierte Sicht auf alle Risiken der verschiedenen Governance-Systeme zu ermöglichen.

Abbildung 3: FMEA-Matrix zur Visualisierung der Skalen in ADOGRC

Abbildung 4: Visualisierung der nächsten geplanten Durchführungsdaten in ADOGRC

Die Umsetzung des Sicherheitsmanagements in den einzelnen Fachbereichen stellt Unternehmen vor eine große Herausforderung, da die Bewertung dezentral durch die Experten in definierten Zeiträumen zu erfolgen hat. Um steuerungsrelevante Information zu gewinnen, gilt es die Entwicklung der relevanten Risiken zu verfolgen und die Qualität sowie Konsistenz der Einschätzung zu überwachen.

Dank der engen Verzahnung innerhalb des integrierten Managementsystems kann auf etablierte Workflows, Skalen sowie Strukturen zurückgegriffen werden und die Historiendaten zur Evaluation genutzt werden.

Abbildung 5: GANTT-Chart mit dem Risikobewertungsstatus in ADOGRC

Abbildung 6: Detail-Dashboard mit Verläufen in ADOGRC

Was man nicht messen kann, kann man nicht steuern. Und was man nicht steuern kann, kann man nicht verbessern. Kontinuierliche Aufzeichnungen, Transparenz und Konsistenz über die Governance-Systeme hinweg sind somit kritische Faktoren bei der Verbesserung der Security-Landschaft. Ausgehend von der Risikobewertung werden Maßnahmen abgeleitet und geeignete Kontrollen aufgesetzt. Im Corporate Security Management werden die Kontrollen und Maßnahmen hinsichtlich ihres Status und der Wirksamkeit geprüft.

Abbildung 7: Maßnahmen/Kontrollen-Dashboard in ADOGRC

Alle entwicklungsrelevanten Arbeitsschritte werden automatisch durch das Sicherheitssystem dokumentiert. Dies gewährt neben der Nachvollziehbarkeit, die Möglichkeit Ad-hoc-Auswertungen und -Analysen zu generieren. Der Datenbestand kann direkt innerhalb der Anwendung ausgewertet oder über standardisierte Schnittstellen an spezialisierte Lösungen übergeben werden, um beispielsweise die interne Revision oder Auditoren zu unterstützen.

Abbildung 8: Risiko-Kontroll-Matrix basierend auf Geschäftsprozessen in ADOGRC

In der Verantwortung der Fachbereiche liegt es, die relevanten Assets anhand der Vorgaben zu identifizieren und eine Risikobewertung abzugeben. Neben der Zuweisung eines eindeutigen Eigentümers, ist die Definition des Bewertungskontexts (bspw. eingetretene Schadensfälle, aktuelle Bedrohungen, Lifecycle der Assets, etc.) von essentieller Bedeutung. Informationen und Details zur Bewertung und den erforderlichen Arbeitsschritten werden durch ein Governance-System wie ADOGRC automatisch und personalisiert zur Verfügung gestellt und nachgehalten, was eine effiziente Aufgabenerfüllung ermöglicht.

Abbildung 9: GRC-Arbeitsplatz bzw. GRC-Dashboard

Durch den konsistenten, durchgängigen Einsatz eines integrierten Managementsystems entsteht ein Repository, das Stakeholdern aller Managementdomänen bislang ungeahnte Einblicke gewährt und zur effektiven Steuerung sowie Zielerreichung beiträgt. Dies wird erst durch die vereinheitlichte, kontinuierliche und dezentrale Bewertung ermöglicht. Der einheitliche und strukturierte Aufbau des Sicherheitsmanagements in den Ebenen Governance, Strategie und operative Umsetzung erlaubt eine klare Definition und Zuordnung der Aufgaben. Der durchgängige Einsatz eines IT-Systems auf strategischer sowie operativer Ebene ermöglicht die effiziente, dezentrale Erfüllung der Aufgaben. Durch die Verwendung der Prozesslandkarte als Basis können direkt alle relevanten Assets identifiziert und der Bezug zu den weiteren Governance-Systemen hergestellt werden.