Umfassend, modular und flexibel konfigurierbar
Auf sechs Säulen basiert die HiScout GRC Suite Plattform. GRC steht für Governance, Risk & Compliance. Business Continuity, Information Security, Operational Risk, Compliance, Quality und IT-Service lauten die wichtigen und mächtigen Management-Komplexe.
Zum Modell des Brandenburger Tores der Berliner Software-Schmiede HiScout GmbH gehört neben diesen Säulen das einheitliche Datenmodell, quasi als Fundament.
Auch eine Quadriga fehlt nicht. Sie verkörpert den PDCA-Zyklus, häufig Demingkreis genannt: Plan – Do – Check – Act (Planen – Umsetzen – Prüfen – Handeln). Der Demingkreis steht für einen ständigen iterativen Prozess im Sinne der Qualitätssicherung, dem sich das agil arbeitende HiScout-Entwickler-Team verschrieben hat.
Jedes Modul kann eigenständig eingesetzt werden. Den umfassendsten Schutz für Unternehmen und Einrichtungen bietet natürlich die komplette Suite.
Einheitliche Datenbasis
Das One Data Model mit der ganzheitlichen Datensicht ist ein großer Vorteil des integrierten Managementsystems. Alle relevanten Daten müssen nur einmal erfasst bzw. referenziert werden und stehen dann in allen Modulen jedem berechtigen Mitarbeiter zur Verfügung. Das bedeutet nicht nur eine erhebliche Zeit- und damit Kosteneinsparung gegenüber der bisher heute noch oft anzutreffenden Praxis, bei der Mitarbeiter oft ihr eigenes System pflegen, nicht selten auf Basis von Tabellen-Datenbanken.
Es bedeutet zudem eine erhebliche Verbesserung der Datenintegrität in der Organisation. Damit „vagabundieren“ nicht zig Versionen wichtiger Daten herum, sondern es gibt einen konsolidierten Datenbestand an zentraler Stelle.
Mitarbeiter der Qualitätssicherung, Datenschutzbeauftragte, Zuständige für den Grundschutz oder Business Continuity Manager – alle haben gemäß ihren Rollen und Rechten über ihre Oberflächen Zugriff auf die gemeinsame Datenbasis.
Die Daten werden bei der Konfiguration der HiScout-Plattform einmalig erfasst oder über Schnittstellen eingelesen. Ein Großteil der für die Hiscout GRC Suite benötigten Daten sind bereits in anderen Managementsystemen im Unternehmen vorhanden.
Zum Beispiel ist eine mächtige Datenbank die Configuration Management Database (CMDB). Dort ist die Gesamtheit aller Betriebsmittel erfasst. Andere Managementsysteme von denen die Daten per Schnittstelle übernommen werden können, sind das Active Directory (AD) oder das Issue-Tracking-System des Helpdesk.
Automatisierung der Prozesse
Im Managementsystem sollten Workflows und viele Prozesse möglichst automatisiert ablaufen. So wird einerseits (manuelle) Arbeit eingespart, andererseits werden Fehler vermieden. HiScout unterstützt mit dem Workflow-Tool HiScout Business Logic Engine die Automatisierung der Prozesse. Dabei kann das Werkzeug neben einstufigen Workflows, wie das Erstellen von Wiedervorlagen, die Abbildung von spezialisierten Freigabeverfahren abhängig von ihrem Status, auch komplexe, mehrstufige Prozesse abbilden. Beispielsweise ein Security Incident Management, die lückenlose Bearbeitung von Beschwerden oder das Automatisieren von Krisenstabsübungen.
Für Mitarbeiter, die selten mit den Management-Tools arbeiten, wurde der HiScout Questionnaire geschaffen. Der HTML-basierte Fragenbogen wird per E-Mail zugesandt und unterstützt sie dabei, ohne Schulungsaufwand, Abfragen zu beantworten. Sie müssen sich nicht mit der Oberfläche der Tools vertraut machen.
Werden nicht alle Ausführungen vom zuständigen Manager akzeptiert bzw. sind weitere Ergänzungen notwendig, erhalten die Mitarbeiter nur diese entsprechenden Punkte zur erneuten Vorlage. Das verringert den Zeitaufwand und hilft Fehler zu vermeiden, u. a. weil nach einer erneuten Bearbeitung nicht wieder alle Daten geprüft werden müssen.
Mandantenfähigkeit von Tools ist entscheidendes Kriterium
Viele Verantwortliche scheuen die Investitionen in Personal und Sicherheitsinfrastrukturen, weil sie in der Regel sehr kostenintensiv sind. Daher zögern Kommunen und Unternehmen teilweise noch mit den notwendigen Maßnahmen.
Als ressourcenschonender Weg bietet sich die Zusammenarbeit mit anderen Behörden und Rechenzentrumsdienstleistern an. Ein erhebliches Sparpotenzial – ohne Sicherheitseinbußen – liegt in der gemeinsamen Nutzung von Methoden und Infrastrukturkomponenten bei einem Dienstleister.
Beispiel Anwendungsfall Grundschutz: Folgen die Verantwortlichen der Rechenzentrumsdienstleister dem BSI-Grundschutz (BSI – Bundesamt für Sicherheit und Informationstechnik) sind sie methodisch auf dem richtigen Weg. Hierbei muss bedacht werden, dass man sich im Detail aber auch auf gleiche Verfahren, beispielsweise für die Schutzbedarfsfeststellung, festlegt. Mit der Mandantenfähigkeit der Tools zum IT-Grundschutz lässt sich IT-Sicherheit durch die externen Rechenzentren zentral für alle Mandanten als Service bereitstellen.
Die HiScout GmbH verfolgt drei verschiedene Ansätze zur Abbildung eines Mandantenkonzepts in Abhängigkeit des Grades der Zusammenarbeit.
Das ist zum ersten die Nutzung einer gemeinsamen Instanz und Trennung durch Rollen-und Rechtekonzept über Rubriken. Rubriken sind vergleichbar mit der Ordnerstruktur von Microsoft Windows.
Oder die Nutzung jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf identischen Systemen.
Zum dritten die Nutzung jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf unterschiedlichen Systemen.
Effektiver Datenschutz nur Tool-gestützt möglich
Am 25. Mai 2018 treten die EU-Datenschutz-Grundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz in Kraft. Wer das Thema bisher halbherzig oder sogar gar nicht angegangen ist, sollte sich sputen und die Anforderungen der Gesetze umsetzen sowie die Compliance-Regeln entsprechend anpassen. Denn die Befugnisse der Datenschutzbehörden werden mit den neuen Gesetzen gestärkt. Sie können bei Verstößen u.a. Bußgelder in erheblicher Höhe verhängen.
Die vielen Aspekte der Datenschutzregelungen lassen sich aufgrund ihrer enormen Komplexität nur toolgestützt effizient umsetzen.
HiScout bietet mit HiScout Datenschutz die Komplettübersicht über alle Assets eines Unternehmens bzw. einer Einrichtung. Sämtliche relevanten Daten stehen unter einer einheitlichen Oberfläche allen für den Datenschutz verantwortlichen Mitarbeitern und Managern mit einem entsprechenden Rollenkonzept zur Verfügung. Die Gesamtheit aller Daten von Systemen, Anwendungen und Datenbeständen sind an einer zentralen Stelle in einer Datenbank erfasst.
In HiScout Datenschutz können Workflows hinterlegt werden, die bei Einrichtung des Moduls an im Unternehmen vorhandene Vorgaben angepasst werden können.
Damit die Aufgaben dezentral von verschiedenen Mitarbeitern, bei Bedarf auch externen, bearbeitet werden können, verfügt HiScout Datenschutz über eine Schnittstelle zum Microsoft Exchange Server mit seinem ausgeklügelten Rollen- und Rechte-Konzept. Damit lässt sich genau festlegen, wer welche Informationen erhält und welche Aufgaben zu bearbeiten hat.
Die HiScout GRC Suite ist Made in Germany, konkret Made in Berlin. Es gibt keine ausgelagerten Entwicklungsabteilungen im Ausland. Alle Experten arbeiten unter einem Dach unweit der Berliner City. HiScout kann durch die Zusammenarbeit mit führenden Beratungsunternehmen auch sehr große Installationsprojekte stemmen. Diese Partner liefern zudem wertvollen Input für die fachliche Weiterentwicklung der integrierten Plattform.
Als einer der führenden Lösungsanbieter für IT-gestützte GRC-Management-Tools im deutschsprachigen Raum zählen namhafte Institutionen aus dem Dienstleistungs-, Finanz- und Industriesektor sowie der öffentlichen Verwaltung zu unseren Kunden.
Die HiScout-Plattform integriert sämtliche GRC-Themen basierend auf einem zentralen Datenmodell. Die maximale Flexibilität ermöglicht eine individuelle, konfigurierbare Anpassungsfähigkeit an vielfältige Einsatzmöglichkeiten. Das Leistungsspektrum umfasst unter anderem:
– Business Continuity Management nach ISO 22301 und BSI 100-4
– Information Security Management nach ISO 27001
– IT-Grundschutz nach BSI 200-1 bis 200-3
– Datenschutz nach EU-DSGVO
Angelehnt an das Agile Manifest steht die Zusammenarbeit mit dem Kunden mehr im Vordergrund als langwierige Vertragsverhandlungen. Wir weichen gemeinsam mit Ihnen vom Plan ab, sofern das Projekt dies erfordert. Dadurch erschließen wir einen besseren Weg, Software zu entwickeln – 100% Made in Germany.
HiScout GmbH
Schloßstraße 1
12163 Berlin
Telefon: +49 (30) 3300888-0
Telefax: +49 (30) 3300888-99
https://www.hiscout.com
Senior Pre-Sales-Manager
Telefon: +49 (30) 33 00 888-0
E-Mail: sales@hiscout.com
Sicherheit durch Zusammenarbeit
Außerdem lässt sich das erpresste Geld sicher sinnvoller einsetzen – zum Beispiel für mehr Sicherheit in den Verwaltungen oder Unternehmen. Denn einen Ausfall, erst recht ein Totalausfall der Anwendungen und Systeme, kann sich heute niemand mehr leisten.
Sicherheit ist personal- und ressourcenintensiv
Viele Verantwortliche scheuen die Investitionen nicht nur in Sicherheitsinfrastrukturen sondern auch in Personalaufbau und -weiterbildung, weil sie in der Regel sehr kostenintensiv sind. Daher zögern Kommunen und Unternehmen teilweise noch mit den notwendigen Maßnahmen. Die erforderliche IT-Sicherheit zu gewährleisten und dennoch die Ausgaben möglichst gering zu halten, ist selbstverständlich erstrebenswert.
Aber auf keinen Fall sollte hier am Personal gespart werden. Die Bereitstellung von gut ausgebildetem Personal in ausreichender Anzahl, zum Beispiel für den Informationssicherheitsbeauftragten, ist nicht verhandelbar.
Kompetentes und motiviertes Personal ist das A und O für funktionierende (Sicherheits-)Prozesse und das Gelingen der gestellten Aufgaben. Die entsprechenden Mitarbeiter müssen vom Management gefördert und unterstützt werden, um ihre – oft undankbare – Rolle richtig ausüben zu können. Es ist auch sinnvoll, die Beauftragten nicht „outzusourcen“, um die eigene Hoheit über die Prozesse zu behalten.
Lösung durch Rechenzentrumsdienstleister
Während es am Personal keine Einsparmöglichkeiten gibt, ohne Abstriche an der Sicherheit zu riskieren, zeigen sich an anderer Stelle erhebliche Sparpotenziale auf. Denn es gibt einen ressourcenschonenden, goldenen (Mittel-)Weg – die Zusammenarbeit mit anderen Behörden und Rechenzentrumsdienstleistern. Ein erhebliches Sparpotenzial – ohne Sicherheitseinbußen – liegt dabei in der gemeinsamen Nutzung von Methoden und Infrastrukturkomponenten bei einem Dienstleister.
Schon länger lässt sich der Trend ausmachen, dass öffentliche Verwaltungen IT-Services und Fachverfahren an zentrale Rechenzentren auslagern. Dies ist eine Möglichkeit, mehr Sicherheit zu garantieren und dabei Kosten zu sparen.
Folgen die Verantwortlichen der Rechenzentrumsdienstleister dem BSI-IT-Grundschutz sind sie methodisch auf dem richtigen Weg. Hierbei muss bedacht werden, dass man sich im Detail aber auch auf die gleiche Vorgehensweise, beispielsweise für die Schutzbedarfsfeststellung, festlegen muss.
Mandantenfähigkeit von Tools ist entscheidendes Kriterium
Am Markt agiert eine Reihe von Anbietern, die Tools zum IT-Grundschutz anbieten. Die Verantwortlichen sowohl in den Rechenzentren als auch bei den Anwendern sollten darauf achten, dass diese Werkzeuge in der Lage sind, die Zusammenarbeit technisch zu ermöglichen, aber dennoch die notwendige Separierung gewährleisten können. Das bedeutet: Die Lösung muss mandantenfähig sein. Damit wird IT-Sicherheit durch die externen Rechenzentren zentral für alle Mandanten als Service bereitgestellt.
Die HiScout GmbH verfolgt drei verschiedene Ansätze zur Abbildung eines Mandantenkonzepts. Diese können abhängig von dem gewünschten Grad der Zusammenarbeit eingesetzt werden, um die notwendige Separierung zu gewährleisten
Das ist zum ersten die Nutzung einer gemeinsamen Instanz mit Trennung durch ein Rollen-und Rechtekonzept über Rubriken. Rubriken sind vergleichbar mit der Ordnerstruktur von Microsoft Windows.
Ein weiterer Weg ist die Konfiguration jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf identischen Systemen.
Zum dritten das Einrichten jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf unterschiedlichen, physisch getrennten Systemen.
Die Behörden und Kommunen können gemeinsam mit ihren Rechenzentrumsdienstleistern entscheiden, welche Lösung für Ihre Aufgabenstellungen und Sicherheitsanforderungen am besten geeignet ist. Wichtig ist auf jeden Fall, dass trotz getrennter Datenbanken auch eine inhaltliche Zusammenarbeit möglich bleibt. Dies wird durch Replikationsmechanismen erreicht, die sowohl Metadaten wie die Grundschutzkataloge verteilen können, aber auch gemeinsam genutzte IT-Services.
Diese IT-Services könnte ein Rechenzentrumsdienstleister seinen Kunden in Form von Basisdiensten zur Verfügung stellen. Ein Beispiel dafür ist die Bereitstellung eines Datenbankclusters mit definierten Schutzstufen, die über ein SLA (Service Level Agreement) geregelt sind.
Win-win-Situation für Anwender und Dienstleister
Ein Rechenzentrumsdienstleister kann damit auf Bundes-, Landes- oder kommunaler Ebene nicht nur ein Grundschutztool bereitstellen, sondern zusätzlich auch eigene IT-Services anbieten. Auf diese Weise sind die Verwaltungen um einige Sorgen ärmer. Sie müssen sich beispielsweise nur um die Sicherheit einer dezentralen Applikation kümmern, können aber als Back-End einen Dienstleister nutzen. Der Serviceanbieter muss in seinen SLAs klare Qualitätsparameter in Sachen Informationssicherheit zusichern.
Gewissermaßen ist diese Partnerschaft eine Win-win-Situation für Dienstleister, Behörden und Kommunen. Diese sind auf der sicheren Seite und sparen Investitionen in Infrastruktur und IT-Services. Die Rechenzentrumdienstleister erschließen sich neue Geschäftsfelder bei bereits vorhandener Infrastruktur. Das bedeutet für die Dienstleister zusätzliche Einnahmen bei besserer Ressourcenauslastung.
Die Zusammenarbeit lässt sich noch weiter ausbauen bzw. intensivieren. Gelingt es neben der Informationssicherheit noch verwandte Themen wie Business Continuity Management, das Risikomanagement oder die neue EU-Datenschutzgrundverordnung einzubinden, werden auch thematisch weitere Synergien gehoben. Auch das müssen diese Schutz-Tools leisten können.
Erhebliche Einsparungen ohne Abstriche an der Sicherheit sind durch das o.g. Szenario möglich. Aber bitte nicht beim Personal, denn dies ist in Sachen Informationssicherheit die wichtigste Ressource.
Als einer der führenden Lösungsanbieter für IT-gestützte GRC-Management-Tools im deutschsprachigen Raum zählen namhafte Institutionen aus dem Dienstleistungs-, Finanz- und Industriesektor sowie der öffentlichen Verwaltung zu unseren Kunden.
Die HiScout-Plattform integriert sämtliche GRC-Themen basierend auf einem zentralen Datenmodell. Die maximale Flexibilität ermöglicht eine individuelle, konfigurierbare Anpassungsfähigkeit an vielfältige Einsatzmöglichkeiten. Das Leistungsspektrum umfasst unter anderem:
– Business Continuity Management nach ISO 22301 und BSI 100-4
– Information Security Management nach ISO 27001
– IT-Grundschutz nach BSI 200-1 bis 200-3
– Datenschutz nach EU-DSGVO
Angelehnt an das Agile Manifest steht die Zusammenarbeit mit dem Kunden mehr im Vordergrund als langwierige Vertragsverhandlungen. Wir weichen gemeinsam mit Ihnen vom Plan ab, sofern das Projekt dies erfordert. Dadurch erschließen wir einen besseren Weg, Software zu entwickeln – 100% Made in Germany.
HiScout GmbH
Schloßstraße 1
12163 Berlin
Telefon: +49 (30) 3300888-0
Telefax: +49 (30) 3300888-99
https://www.hiscout.com
Senior Pre-Sales-Manager
Telefon: +49 (30) 33 00 888-0
Fax: +49 (30) 33 00 888-99
E-Mail: sales@hiscout.com
