Raus aus dem Silo – Vernetzung von First und Second Line of Defense mittels IT-gestützter GRC

Die Zehnerregel der Fehlerkosten (rule of ten) besagt, dass sich die Fehlerkosten für nicht entdeckte Fehler in jeder Stufe der Wertschöpfung um den Faktor 10 erhöhen. In Produktionsbetrieben werden daher qualitative Anforderungen schon ab der Designphase berücksichtigt. Ein Ansatz, der in heutigen sicherheitsgebenden Bereichen noch nicht gänzlich angekommen zu sein scheint – die First Line of Defense agiert zu häufig “feature-getrieben”, während die Second Line of Defense auf Kontrollen fokussiert und meist reaktiv tätig wird. Durch strukturierte Verknüpfung der beiden Verteidigungslinien lässt sich ein nativer Privacy- und Security-by-Design-Ansatz im Unternehmen integrieren.

Wir setzen präventive Sicherheitsmaßnahmen im Sinne von Security-by-Design im Rahmen unseres Enterprise-Security-Architektur-Ansatzes (ESA) um, indem bestehende konzeptionelle, organisatorische, logische und physische Cyber-Fähigkeiten als Grundlage der Reifegradermittlung und -erhöhung kombiniert werden.

Die effiziente Integration dieses Ansatzes in die Kontroll-Funktionen einer GRC-Lösung führt dazu, dass sichere Standardprozesse und -komponenten von Grund auf durchgesetzt werden. Sie kann auch sicherstellen, dass IT-Standards im Verlauf von Entwicklungsprojekten eingehalten werden und dass neue Technologien nur in kontrolliertem Umfang verwendet werden.

Wir stellen vor, wie diese Integration von ESA in IT-GRC-Systeme möglich ist, dadurch Risiken besser gemanagt und Kosten reduziert werden können.

Speaker

 

Silvia Knittl
Silvia Knittl ist Director bei PwC Deutschland im Bereich Cyber & Privacy mit einem starken Fokus auf Enterprise Security Architecture sowie Identity & Access Governance. Sie unterstützt Kunden bei der Entwicklung ihrer Cyber-Fähigkeiten und leitet Projekte zur Sicherheitstransformation. Sie hat über 15 Jahre Erfahrung im Cyber-Bereich und begann ihre Karriere als IAM-Ingenieurin. Sie schloss 2012 ihre Promotion an der Technischen Universität München ab und studierte Informatik an der Ludwig-Maximilians-Universität München.

Steffen Hummel
Steffen Hummel ist Senior Manager mit über 20 Jahren IT-Branchenerfahrung – davon über 8 Jahre IT-Prüfungs- und Beratungserfahrung in der Finanzdienstleistungs- und Versicherungsbranche. Er ist Experte für integrierte Governance-, Risk- und Compliance-Lösungen, leitet die Archer IRM Practice bei PwC Deutschland und unterstützt Kunden bei der ihrer digitalen Transformation. Seine fachlichen Schwerpunkte liegen v.a. im Bereich ISMS, Informationsrisikomanagement und dem Monitoring von Key-Performance-Indikatoren. Darüber hinaus verfügt er über tiefgehende Kenntnisse von regulatorischen Anforderungen durch seine umfangreiche Prüfungserfahrung.

IT-GRC-Kongress Newsletter

Ihr möchtet über den IT-GRC-Kongress
auf dem Laufenden gehalten werden?

 

Anmelden