„Den Unternehmenswert erhalten und
nachhaltig steigern“
„Das Erkennen
von Risiken und Bedrohungen
als Chance nutzen“
Die
Anforderungen
an
Unternehmen
von
außen
sind
gewaltig,
von
den
eigenen
Anfordernungen
an
das
Unternehmen ist da noch gar nicht Rede.
Ziel
muss
sein,
dieser
Flut
an
Anforderungen
Herr
zu
werden
und
sie
neben
dem
Tagesgeschäft
effizient
und effektiv zu bewältigen. Ideal wäre es, wenn noch ein Mehrwert herauszuholen wäre.
Welche Strategie führt uns zu diesem Ziel?
Damit
die
Zielerreichung
nicht
in
weite
Ferne
rückt,
gibt
es
letztenendes
nur
einen
einzigen
nachhaltigen
Weg:
Die
externen
Anforderungen
und
auch
die
eigenen
Anforderungen
müssen
zu
unternehmenswert-
steigernden
Elementen
-
und
damit
-
zum
Teil
der
Unternehmensstrategie
und
letztenendes
ein
Teil
des
Tagesgeschäftes werden.
Governance, Risk and Compliance
(GRC)
Wie können wir all diese sich teilweise widersprechenden Anforderungen überblicken und steuern?
Risikomanagement
und
Controlling
sind
heute
bereits
in
den
meisten
Unternehmen
als
Management-
prozesse
etabliert,
in
das
Tagesgeschäft
sowie
Berichtswesen
integriert
und
aus
dem
Unternehmensalltag
nicht mehr wegzudenken.
Auch
Governance
und
Compliance-Themen
sind
oft
als
Managementprozesse
abgebildet,
auch
wenn
sie
in
den Rechts-abteilungen oft isoliert beachtet werden.
Wie
sieht
es
jedoch
mit
den
weiteren
Disziplinen
aus,
die
direkten
und
immer
massiveren
Einfluss
auf
die
Unternehmenswerte haben?
•
Informationssicherheit und IT-Sicherheit
•
Datenschutz und Datensicherheit
•
Nachweis- und Dokumentationspflichten
•
Projekte und
•
Unternehmensprozesse an sich
Informationssicherheit
-
Schutz ihrer Unternehmenswerte
Informationssicherheit / IT-Sicherheit / ISMS / AUDIT
Informationen
als
Bestandteil
oder
Grundpfeiler
ihres
Geschäftsmodells
und
elementarer
Unternehmens-
wert
ist
ständigen
Bedrohngen
ausgesetzt.
(Hier
geht
es
darum,
Ihr
Unternehmen,
ihre
geschäftsrelevanten
Informationen zu schützen und Schaden von Ihrem Unternehmen abzuwenden.)
Sabotage,
Diebstahl,
Neugierde
oder
einfach
Fehlbedienung
sowie
extremes
Wetter
oder
andere
externe
Fakturen,
von
innen,
der
Konkurrenz,
fremden
Unternehmen
sowie
Regierungen
und
auch
von
der
Natur
selbat
gehen
Risiken
aus,
welche
negative
Auswirkungen
auf
den
für
Ihr
Unternehmen
notwendigen
Umgang mit Informationen einschränken oder gar zeitweise unmöglich machen können.
Und
dann
ist
da
noch
der
Gesetzgeber,
der
on
Top
rechtliche
Anforderungen
definiert,
um
die
Unternehmen
vor
sich
selbst
zu
schützen
und
ggf.
Strafen
herhebt
oder
Kunden
bzw.
Lieferanten,
die
Zertifizierungen sowie Nachweise fordern.
Zuletzt
ist
da
auch
noch
die
Öffentlichkeit
und
Presse,
der
man
gewisse
Transparenz
schuldet
ohne
echte
Steuerungs-mechnanismen
für
Nachrichten
zu
haben,
welche
bei
der
heutigen
Geschwindigkeit
der
Kommunikation
und
Breite
der
Nachrichtenverteilung
einen
enormen
Reputationsschaden
verursachen
können.
Ist ein nicht unerheblicher Informationssicherheitsvorfall entstanden, nimmt das Unglück seinen Lauf;
die Unternehmenswerte sind jetzt in realer Gefahr.
Hier
ist
Prävention
angesagt,
Prävention,
die
ganz
ganz
vorn
beginnt,
die
kritische
Unternehmensprozesse
begleitet
oder
-
noch
besser
-
ein
Teil
des
Prozesses
ist
und
so
einen
echten
Mehrwert
für
das
Unternehmen darstellen kann.
Datenschutz
- Schutz der Ihnen anvertrauten Informationen
EU-DSGVO / GDPR / BDSG-Neu / DSMS / AUDIT
Ein
relevanter
Teil
der
Informationen,
die
Sie
für
ihr
Unternehmen
nutzen,
kommt
von
außerhalb
ihres
Unternehmens.
Für
diesen
Teil
der
Daten,
die
personenbezogenen
Daten
(d.h.
auf
bestimmte
Personen
zuordenbare
Daten
von
Mitarbeiter,
Kunden,
Partner,
Dienstleister,
etc.)
trägt
explizit
die
Unternehmensleitung die Verantwortung.
In
Bezug
auf
diese
Daten
gilt
nahezu
dasselbe
wie
schon
bei
der
Informationssicherheit
gesagte,
lediglich
mit
dem
Unterschied,
dass
das
Unternehen
hier
nicht
angehalten
wird,
primär
seine
eigenen
Unternehmenswerte
zu
schützen,
sondern
verpflichtet
wird,
die
Persönlichkeitsrechte
anderer
zu
schützen,
die im anvertraut wurden.
Auch hier gilt in besonderem Maße:
Prävention
ist
angesagt;
Prävention,
die
ganz
vorn
beginnt,
die
kritische
Unternehmensprozesse
begleitet
oder
-
noch
besser
-
ein
Teil
des
Prozesses
ist
und
so
einen
echten
Mehrwert
für
das
Unternehmen
darstellen
kann.
Neben
der
Prävention
ist
die
Geschäftsführung
explizit
in
der
Verantwortung,
nachzuweisen,
dass
der
Datenschutz
eingehalten
wird.
Dies
lässt
sich
letztenendes
nur
mit
sauberen
Prozessen
und
einer
permanenten
Dokumentation
sicherstellen.
Spätestens
jetzt
bietet
sich
ein
Managementinformationssystem an.
Nachweis
und
Dokumentationspflichten
-
Mehrwert
für
Ihr
Unternehmen
•
Management-Informationssystem
-
Überblick
und
Steuerung
ihrer
Unternehmens-
werte
•
Information
Sicherheits
Management
System
(ISMS)
-
Nachweis
über
Verfahren
zur
Informationssicherheit
•
Datenschutzmanagementsystem (DSMS) -
Nachweis über angewandten Datenschutz
Projekte und Initiativen
-
Umsetzung Ihrer Unternehmensziele
Unternehmensprozesse
- Erhaltung ihrer Unternehmenswerte