Regulatorik
Compliance
Governance
Gute Compliance macht kein Geräusch.
Sie wirkt und hilft, während gearbeitet wird.
Wie ich arbeite
Cybersecurity hat zwei Verteidigungslinien: gegen Angriffe, das ist die wichtigste, und gegen Durchsetzungsbehörden. Die zweite Linie zwingt Unternehmen dann zu handeln, wenn sie die erste nicht selbst im Griff hatten. Im Zentrum steht immer das Kerngeschäft. Es soll geschützt werden und es muss zugleich die Mittel für Cybersecurity erwirtschaften. Gute Cybersecurity revanchiert sich: durch weniger Reibung, weniger Störungen, durch Einsparpotenziale, die im Alltag spürbar werden.
Für Compliance haben Sie zwei Möglichkeiten und beide haben ihre Berechtigung: Nur Papier, das Sie jemandem zeigen können, damit die zweite Verteidigungslinie hält. Und: Prozesse und Kultur, aus denen das Papier zum Vorzeigen entsteht. Letzteres ist die Variante, die trägt und sicher macht. Gerade für die erste Verteidigungslinie.
Von mir bekommen Sie die Analyse, wo Sie stehen – wertfrei. Sie bekommen ein Konzept der Möglichkeiten und Notwendigkeiten. Man kann mit Papier anfangen und es später mit Leben füllen. Ich schaue, wo man anfangen muss. Wo ist ein Deich schon morsch oder gebrochen, das Wasser ist nur noch nicht dort angekommen?
Projekte mit diesem Impact auf das Daily Business haben selten freie Köpfe. Das gehört ins Konzept: Den Umsetzungsplan so austarieren, dass er zu den verfügbaren Ressourcen in Personal, Geld und Zeit passt. Über allem steht: Es muss begonnen werden.
Von mir bekommen Sie das Playbook, wie Sie es umsetzen können – und die Kapazitäten, die das auch tun. Meine, die Ihrer Leute und, wenn nötig, Spezialisten aus meinem Netzwerk. Ihre Wahl, derselbe Anspruch.
Fehlerkultur entscheidet zwischen Abwehrmaßnahmen und verschlüsselt zu sein.
Eine E-Mail zur Abstimmung über Homeoffice kommt rein. Zugang über Username, Passwort, eingegeben, geklickt, nichts. Page 404 not found.
Vielleicht war das die falsche Seite? Nee. Ist unser Logo sonst nicht an anderer Stelle und kleiner? Nochmal. Geht nicht. Na ich lasse das mal.
Und die Gedanken beginnen zu kreisen. Das Gewissen wird lauter. Verdammt. Die IT-Hotline anrufen? Die fragen doch sofort, wie ich darauf geklickt habe. Die denken, ich bin zu dumm für meinen Job.
Scham kommt dazu. Was, wenn doch was passiert ist? Lieber nichts sagen. Wird schon nichts sein. Jetzt ab ins Oster-Wochenende.
Dienstag ist das Unternehmen verschlüsselt. Donnerstag hätte die IT noch eindämmen können. So hatten Hacker 4 volle Tage und Nächte Zeit.
Cybercrime IST Trickbetrug. Unterschätzen Sie niemals Schuldgefühl, Scham und schlechtes Gewissen von jemandem, der darauf reingefallen ist.
Sie brauchen eine Meldestelle, die rund um die Uhr erreichbar ist. Die jeden Verdacht ernst nimmt. Die nie urteilt. Bei der auch kein blöder Spruch fällt. Eine Meldestelle, die sich darum kümmert.
Wenn die Software-Entwicklung schon erfüllt, was der Auditor später prüft
DORA gilt ab Januar 2025. Finanzdienstleister und ihre kritischen IT-Dienstleister müssen compliant sein. Das bedeutet: 5 Säulen müssen stehen.
Die 5 Säulen von DORA:
- Eigenes Risk Management
- Melderegime bei Vorfällen
- Resilienz Testing
- 3rd Party Risiko-Management
- Informationsaustausch
Die übliche Herangehensweise: Erst entwickeln, dann versuchen, die Compliance-Anforderungen irgendwie drüberzustülpen. Das endet in Excel-Listen, manuellen Prozessen und der Hoffnung, dass der Auditor es durchgehen lässt.
Der andere Weg: Compliance by Design. Die Lösung wird auf Basis von MS Dynamics bzw. MS Power Platform entwickelt. Von Anfang an auf die 5 DORA-Säulen hin customized. Risk Management-Prozesse laufen im System. Meldeprozesse sind automatisiert. Resilienz-Tests dokumentieren sich selbst. 3rd Party Risiken werden erfasst und bewertet. Informationsaustausch passiert strukturiert.
Am Ende prüft ein Jurist die implementierte Lösung auf Erfüllung der DORA-Anforderungen. Schriftlich. Bestätigt. Ein Asset bei externen Prüfungen.
Sie haben dann eine Software, die DORA kann. Statt einer Software und einem Ordner voller Workarounds.