IT Sicherheit – GRC Beratung

IT GRC Beratung

Regulatorische Anforderungen und internes Kontroll System (IKS)

Ich bin Auditor, Berater, Consultant und Interim Manager im IT Sicherheits- und Risk Management Umfeld und biete die folgenden Beratungs-Leistungen an:

  • Enterprise Risk Management nach Coso Framework und ISO 31000 Risiko-Management Leitlinien (Risk Management)
  • Internal Control / internes Kontrollsystem in Anlehnung an COSO Internal Control Integrated Framework und COBIT
  • IT General Controls; ITGC
  • Testing und Auditing von Key Controls in und außerhalb der IT
  • IT Sicherheitsgesetz und IT Sicherheitsleilinien (ITSM)
  • Regulatorische Anforderungen und Datenschutz (BDSG und EU-DSGVO)
  • IT Sicherheits-Management nach ISO 27001 und 27002, sowie BSI Grundschutz
  • IT Governance, Risk and Compliance und sonstige GRC Fragen
  • Internal Audits im IT GRC Umfeld sowie Key Control Testing (Compliance Testing)
  • IT Controlling und Auslagerungsmanagement
  • Information Security Management (CISM)
  • Audit von Informationssystemen (CISA)
  • Wirtschaftlichkeit von internal control
  • Sarbanes Oxley Act (SOX)und SOX Audits
  • Einführung von Kennzahlensystemen (KRI, KPI) und Steuerung von Compliance Prozessen
  • Projektmanager und Prozessmanager für o.a. Themen

 

Meine bisherige berufliche Laufbahn war stark von IT Themen geprägt. Dazu bin ich diplomierter Betriebswirt (FH) mit langjähriger Berufs- und Führungserfahrung. Die IT Governance Risk and Compliance Beratung ist Schwerpunkt meiner Tätigkeit.

Das Interne Kontrollsystem (IKS) und die Bedeutung für IT Risiken

Das interne Kontroll-System (IKS) eines Unternehmens (auch Internal Control genannt), wird von Aspekten der Wirtschaftlichkeit geprägt, aber auch von (IT) Risiken und Risiko Management. Einen Rahmen für das Risiko Management bietet das Enterprise Risk Management Framework der Coso.

Frameworks für IT Sicherheit und Risiko Management

Das Coso Framework wird in Unternehmen eingesetzt, insbesondere wenn sie international tätig sind und dem Sarbanes Oxley Act unterliegen. Aber auch für kleine und mittelständische Unternehmen bietet es ein Rahmenwerk für die Einführung eines internen Kontroll-Systems bzw. eines Risiko Managements, ebenso wie die ISO 31000.

Das Risiko Management und das IT Sicherheits-Management bedingen sich quasi gegenseitig. Auf der einen Seite ist das Sicherheitsmanagement (ITSM) Teil der Risiko-Strategie, zum anderen müssen IT Sicherheitsfragen hinsichtlich des Risikos beurteilt werden. In meiner Beratungstätigkeit sind deswegen auch beide Aspekte miteinander verknüpft.

Sowohl Risk Management als auch IT Sicherheitsmanagement leiten sich aus der Governance ab bzw. werden von Ihr getragen. Governance, Risk, Control and Compliance sind damit zentrale Aspekte für mich als Consultant und Gegenstand meiner Unternehmensberatung

Regulatorische und gesetzliche Anforderungen an die IT

Die Verpflichtung einen IT Sicherheitsbeauftragten oder Informationssicherheitsbeauftragten zu bestellen ergibt sich als regulatorische Anforderung für Unternehmen der kritischen Infrastruktur. Ich bin hier als Consultant und Berater unterstützend tätig, ebenso wie im Bereich des Datenschutzes (BDSG und EUDSGVO). Sowohl die Kontrolle der internal Controls durch IT Audits und Controls Testing (von IT General Controls und anderen) biete ich als Certified Information Systems Auditor (CISA) an, als auch die Unterstützung bei der Implementierung und Steuerung von Komponenten des internen Kontroll-Systems (IKS).

IT Sicherheitsbeauftragter, CISA und CISM

Dies unterlege ich durch die Ausbildung zum Certified Information Security Manager (CISM), zum IT Sicherheitsbeauftragten und zum Datenschutzbeauftragten. Die Ausbildung zum CISA (Certified Information Systems Auditor) runden die Kenntnisse ab. Durch regelmäßige Weiterbildungen bleibe ich am Stand der Technik und kann sie als Kunden optimal beraten.

Sowohl die Implementierung eines Informationssicherheitskonzeptes nach ISO 27001 und 27002 als auch die Zertifizierungsvorbereitung zum BSI Grundschutz biete ich als Beratungsleistung an und kann durch meine betriebswirtschaftliche Erfahrung vor allem bei der Einrichtung und Optimierung von KRI, KPI und sonstigen Kennzahlen-Systemen punkten.

Beratung von Banken, Sparkassen und Versicherung

Der Fokus für IT GRC Beratung liegt in der Finanzindustrie, also Banken, Versicherungen, Sparkassen usw. Jedoch auch andere – meist größere Unternehmen mit internationaler Ausprägung oder die regulatorischen Anforderungen gegenüber stehen, zahlen zum Kreis der Kunden.  Anforderungen ergeben sich aus der BAIT, VAIT, KAIT, der MaRisk und anderen aufsichtsrechtlichen Rahmenbedingungen.

IT Sicherheit und Regulatorik

Die IT Sicherheit und die Regulatorik haben oft das gleiche Ziel, aber eine regulatorische Anforderung erhöht die IT Sicherheit nicht zwangsläufig. Bei IT Sicherheit geht es auch häfig um die Akzeptanz der Anwender zu schaffen und IT Systeme zu Implementieren, die im tätglichen arbeiten keine Behinderung sind. IT Sicherheits-Instrumente müssen also mit Bedacht gewählt werden und sich in das jeweilige Unternehmen integrieren um einen echten Mehrwert zu bieten.