Unternehmensresilienz

Unternehmensresilienz

Handlungsfähig in Krisen

Handlungsfähig bleiben – auch und insbesondere in Krisensituationen – wird für Unternehmen immer wichtiger. Es gilt daher, die gesamte Organisation widerstandsfähig zu machen, ein Immunsystem aufzubauen und interne Selbstheilungskräfte zu aktivieren.

Unternehmensresilienz ist der Schlüssel dazu.

Resiliente Organisationen besitzen ein belastbares organisatorisches und betriebswirtschaftliches System und sind so gegen Marktveränderungen und Risiken wie beispielsweise Cyber-Angriffe besser gewappnet. Sie sind systematisch auf negative Einflüsse vorbereitet, so dass Schäden vermieden werden können und die Zukunftsfähigkeit aufrechterhalten wird.

Unternehmensresilienz erfordert ein Umfeld des Vertrauens, flexible Organisationsstrukturen und Abläufe, aber auch das fortlaufende Identifizieren von Verbesserungspotentialen sowie die permanente Sensibilisierung der Mitarbeiter für entsprechende Gefahren und daraus folgende Weiterbildung.

Des Weiteren gehört insbesondere eine entsprechende strategische Ausrichtung der digitalen Infrastrukturen dazu, insbesondere der Schwerpunkte Informations- und IT-Sicherheit, Business Continuity und Compliance. Aber auch die strategische Steuerung der digitalen Agenda im Einklang mit einer organisationalen Entwicklung spielt eine wichtige Rolle.

Die organisationale Resilienz wird durch geschicktes Zusammenwirken diverser Managementsysteme erreicht. Dazu zählen Informationssicherheit, Compliance, Business Continuity, Risikomanagement ebenso wie Service Management, Qualitätsmanagement, Personalmanagement sowie Innovationsmanagement.

Ein weiterer wesentlicher Part der Unternehmensresilienz ist der Umgang mit Cyber-Angriffen. Hier ist Knowhow zur IT-Architektur, IT-Infrastruktur, IT-Sicherheitsarchitekturen etc. essenziell. Zudem gilt es, Unternehmen im richtigen Verhalten in Notfall-Situationen und im Wissensaufbau zu grundlegenden regulatorischen Rahmenbedingungen (Schutz der Privatsphäre, Geheimhaltung) zu unterstützen. Auch die nicht-technische Kommunikation zu Geschäftsführung, PR und Mitarbeitervertretungen sollte gegeben sein. Diese Maßnahmen betreffen die Knowhow-Träger wie technische Analysten, IT-Manager und IT-Administratoren, Compliance-Verantwortliche, Notfall- und Krisenmanager, Kommunikationsexperten sowie die Geschäftsleitung, Vorstände und Business Manager.

Unternehmensresilienz ist somit eine strategische Querschnittsaufgabe in der gesamten Organisation, bei der die Experten der CARMAO GmbH Ihnen gerne zur Seite stehen.

Die CARMAO ist Spezialist für organisationale Resilienz und unterstützt Unternehmen dabei, Risiken zu erkennen und Fähigkeiten zu stärken. CARMAO beleuchtet, welche Aufgaben sich diesbezüglich für Unternehmen stellen und welche Qualifikationen erworben werden sollten und unterstützt beim Aufbau von technischem Wissen, Compliance-Wissen, methodischem und prozessualen Vorgehen sowie der direkten Arbeit im Projekt. Zudem stehen die CARMAO-Experten für Interims-Aufgaben im Unternehmen zur Verfügung.

KRITIS

Der Begriff „Kritische Infrastrukturen“ (KRITIS) bezeichnet Organisationen und Einrichtungen, denen eine hohe Bedeutung für das staatliche Gemeinwesen beigemessen wird. Ihre Beeinträchtigung oder gar ihr Ausfall hätten nachhaltige Versorgungsengpässe, weitreichende Störungen der öffentlichen Sicherheit oder andere dramatische Konsequenzen zur Folge.

Die Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) aus dem Jahr 2009 definiert neun Sektoren der Kritischen Infrastrukturen:

  • Energie
  • Gesundheit
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Medien und Kultur
  • Wasser
  • Finanz- und Versicherungswesen
  • Ernährung
  • Staat und Verwaltung

Alle Organisationen aus diesen Sektoren zählen unabhängig von ihrer Größe zu den Kritischen Infrastrukturen (KRITIS).

Mit dem BSI-Gesetz wurden weitere Definitionskriterien eingeführt. Danach zählt zur Kritischen Infrastruktur, wer zu einem der oben genannten Sektoren (außer Medien und Kultur sowie Staat und Verwaltung) gehört bzw. kritische Dienstleistungen gem. § 1 Absatz 3 BSI-Kritisverordnung erbringt und dabei die in der BSI-Kritisverordnung definierten Schwellenwerte überschreitet. Das BSI-Gesetz und die BSI-Kritisverordnung verpflichten Betreiber Kritischer Infrastrukturen zu folgenden Maßnahmen:

  1. Benennung einer Kontaktstelle für die betriebene Kritische Infrastruktur
  2. Meldung von IT-Störungen oder erheblichen Beeinträchtigungen
  3. Umsetzung von IT-Sicherheit auf dem „Stand der Technik“
  4. Nachweis der Maßnahmen alle zwei Jahre gegenüber dem BSI

Insbesondere die Absicherung der IT-Systeme ist häufig hochkomplex. Erschwerend kommt hinzu, dass die Systeme der Informationsinfrastruktur zum Teil einen langen Lebenszyklus haben und häufig nicht oder nicht zeitnah mit Sicherheitsupdates versorgt werden können.

Und auch wenn Sie die kritischen Schwellenwerte noch nicht überschreiten, kann es sinnvoll sein, sich rechtzeitig Gedanken über bestimmte Sicherheitsstandards zu machen. Unsere Berater stehen Ihnen in allen Fragen kompetent zur Seite.

Informationssicherheit als strategisches Instrument

Um ein an den Unternehmenszielen orientiertes Informationssicherheitsniveau zu erreichen, ist mehr erforderlich als die Anschaffung technischer Infrastrukturen und Produkte, wie z.B. Firewalls oder Antivirensoftware. Eine in die Unternehmensstrukturen integrierte Sicherheitsarchitektur ist Bestandteil des Unternehmensrisikomanagements. Mit diesem soll die Verfügbarkeit von Abläufen, Anwendungen, IT-Systemen und den darin verarbeiteten Informationen sowie deren Integrität und Vertraulichkeit sichergestellt werden. Organisatorische und technische Maßnahmen ergänzen sich und werden in Ihre betrieblichen Abläufe, in der Verwaltung, der Produktion und der IT integriert.

Unsere Consultants verfügen für anspruchsvolle Projektziele über ein Set an intelligenten Vorgehensmethoden, verbunden mit einem umfassenden Know-how in allen relevanten Teildisziplinen der Applikationssicherheit. Und sie können sich auf einen breiten Erfahrungsschatz stützen, resultierend aus vielfältigen Projekten in Mittelstands- und Großunternehmen unterschiedlicher Branchen.

CHARISMA

Der Beratungsumfang von CARMAO für die Informationssicherheit ist von einem ganzheitlichen Ansatz geprägt und in dem Methodenframework CHARISMA Information Security Management abgebildet. Das Framework basiert auf der ISO/IEC 27001 und weiteren international anerkannten Best Practice-Ansätzen. Sie erhalten damit ein ISMS, das präzise Ihren individuellen Anforderungen entspricht und sich dynamisch weiterentwickeln lässt. Gleichzeitig ist es so konzipiert, dass die Prozesse im operativen Alltag sehr schlank bleiben.

Eine gute Alternative: Externe Informationssicherheits-Beauftragte

Die Position des Informationssicherheits-Beauftragten, auch als Chief Information Security Officer (CISO) bezeichnet, hat inzwischen eine zentrale Bedeutung in den Sicherheitskonzepten der Unternehmen erlangt. Und sie wird durch das IT-Sicherheitsgesetz nochmals wichtiger. Doch nicht für jedes Unternehmen besteht ein dauerhafter Bedarf an einem CISO. Gerade bei der Zuordnung einer Teilzeit-Verantwortung ist die beständige Weiterbildung und der Aufbau von Erfahrungswissen im Umgang mit sicherheitsrelevanten Situationen oftmals schwierig zu realisieren.

In solchen Fällen stellt der externe Informationssicherheits-Beauftragte eine komfortable Lösung dar. Als externer Spezialist bringt er den Vorteil mit, abseits des Tagesgeschäfts die Informationssicherheit konzentrierter forcieren zu können, und dies mit einem neutraleren Blick als interne Mitarbeiter und ohne interne Abhängigkeiten. Auf diese Weise lassen sich nicht nur ganzheitliche Lösungsansätze einfacher realisieren, sondern auch wirkungsvoller einen Kulturwandel in der Sicherheitsmentalität von Unternehmen vollziehen. Und die erfahrenen Informationssicherheits-Beauftragten von CARMAO bringen hierfür genau diese Voraussetzungen mit.

Risiko Management. Qualität durch Risikostreuung

Die zuverlässige und vertrauliche Informationsverarbeitung ist heute unabdingbar bei der Steuerung von Geschäftsabläufen, in Produktionsprozessen und vielem mehr. IT-Risikomanagement ist daher sowohl für Unternehmen aus wirtschaftlichem Interesse sinnvoll, aber gleichzeitig eine Verpflichtung. Denn zum einen verlangen Kunden beispielsweise von Unternehmen der Finanzbranche entsprechende Prävention gegen bestandsbedrohende Risiken. Auch der Gesetzgeber verpflichtet Geschäftsführungen dazu, bestehende bzw. potenzielle Risiken zu erkennen, zu überwachen und abwehren zu können.

Der Beratungsumfang von CARMAO für das Informationsrisikomanagement ist von einem ganzheitlichen Ansatz geprägt und in dem Methodenframework CHARISMA Information Risk Management abgebildet. Das Framework basiert auf der ISO 31000 sowie der ISO/IEC 27005 und weiteren international anerkannten Best Practise-Ansätzen. Sie erhalten damit ein Risk Management System, das präzise Ihren individuellen Anforderungen entspricht und sich dynamisch weiterentwickeln lässt. Gleichzeitig ist es so konzipiert, dass die Prozesse im operativen Alltag sehr schlank bleiben.

Unsere Consultants verfügen für anspruchsvolle Projektziele über ein Set an intelligenten Vorgehensmethoden, verbunden mit einem umfassenden Know-how in allen relevanten Teildisziplinen der Applikationssicherheit. Und sie können sich auf einen breiten Erfahrungsschatz stützen, resultierend aus vielfältigen Projekten in Mittelstands- und Großunternehmen unterschiedlicher Branchen.

Business Continuity Management

Fallen zeitkritische Geschäftsprozesse und/oder deren unterstützende Ressourcen, wie Personal, Gebäude, Lieferanten oder gar die IT-Infrastruktur aus, ist die Aufrechterhaltung der Betriebsfähigkeit und somit das Erreichen der Geschäftsziele bereits bei kurzfristigen Unterbrechungen stark gefährdet. Ein ganzheitliches, auf Prozesssicht aufsetzendes Notfallmanagement, im Fachjargon als Business Continuity Management bezeichnet, unterstützt durch individuelle Notfallkonzepte bei der Vermeidung, respektive der Bewältigung von Ausnahmesituationen.

Fallen wesentliche Systeme der technischen Infrastruktur längerfristig aus, ist im Regelfall der Produktions- und Geschäftsbetrieb unmittelbar davon betroffen. Um die wirtschaftlichen und weiteren Auswirkungen solcher Probleme zu minimieren, bedarf es eines wirkungsvollen Business Continuity Managements (BCM), das die Ausfallzeiten der Geschäftsprozesse minimiert.

Im Zuge des Business Continuity Managements stimmt CARMAO einen Vorsorgeplan exakt auf Ihr Unternehmen und Ihre Geschäftsziele ab. Handlungsempfehlungen zur Notfallvorsorge, deren Handhabung und die Nachsorge basieren auf den Erkenntnissen umfangreicher Ermittlungen. Kontinuitäts- und Wiederherstellungspläne mit selektiven Tests sorgen für eine jederzeitige Funktionsfähigkeit des individuellen Notfallmanagements. CARMAO richtet sich dabei (am) an der internationalen (Standard) Norm ISO 22301 sowie am Standard 100-4, des BSI sowie an Best Practices aus.

Zum breiten Beratungsportfolio gehört aber nicht nur die Konzeption und Implementierung von Business Continuity Management Systemen (BCMS), sondern ebenso die Reifegradbestimmung bestehender Notfallkonzepte. Jeweils mit großem Branchenverständnis und mit Methoden für eine aufwandsschonende Projektrealisierung.

Datenschutz und Compliance

Durch die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) sehen sich die Unternehmen und Behörden ganz neuen Anforderungen an die Transparenz, Datenschutzorganisation sowie Dokumentations- und Meldepflichten gegenübergestellt. Doch was auf den ersten Blick äußerst umfassend anmutet, muss keineswegs zu komplexen Projekten führen. Denn wir setzen eine speziell für die EU-DSGVO entwickelte Methodik ein, die eine beschleunigte und budgetschonende Projektierung gewährleistet, also Zeit und Kosten spart.

Dazu gehört auch eine Readiness-Analyse, um zu Beginn den möglichen Handlungsbedarf zu ermitteln. Aus den Ergebnissen lassen sich dann priorisiert die notwendigen Maßnahmen ableiten. Die Dauer dieser Readiness-Analyse mit anschließend differenzierter Auswertung liegt typischerweise bei zwei bis drei Tagen. Damit ebnen Sie den Weg für hohe EU-DSGVO-konforme Rechtssicherheit, wodurch auch wirtschaftliche Risiken vermieden werden.

Und sofern Sie auch in anderen EU-Ländern tätig sind, steht uns für die europäische Beratung ein internationales Partnernetz zur Verfügung. Übrigens übernehmen unsere Experten optional auch die Funktion des externen Datenschutzbeauftragten, der nach der neuen Datenschutzverordnung zwingend bestellt werden muss.

Externe Datenschutzbeauftragte. Externe Profis.

Die gesetzlichen Anforderungen an den Datenschutz sind immer umfangreicher geworden, nicht zuletzt auch deshalb, weil er in der Öffentlichkeit eine sehr große Sensibilität erlangt hat. Eine Konformität mit den rechtlichen Erfordernissen verlangt somit umfassende Kenntnisse, die in Unternehmen bzw. Behörden mitunter nicht vorhanden sind – beispielsweise weil es an den entsprechenden Ressourcen fehlt.

Die Lösung: Unser bedarfsgerechter Service mit einem externen Datenschutzbeauftragten, die nach Best Practice-Methoden optimale und trotzdem aufwandsschonende Realisierung gewährleisten. Dazu gehören beispielsweise die Erstellung der Dokumentation zum Datenschutz, Durchführung von Datenschutz-Checks, die Beratung der Geschäftsleitung zu diesem Thema oder die Unterstützung und Beratung Ihres Datenschutzbeauftragten.

Dass die Datenschutz-Experten von CARMAO dabei Ihre Sprache sprechen und ein schnelles Verständnis Ihrer individuellen Erfordernisse und Bedingungen entwickeln, gehört zu unseren marktbekannten Selbstverständlichkeiten. Sie sind also datenschutzrechtlich auf der sicheren Seite, und ohne dass sich an Ihren vertrauten Arbeitsabläufen und Technologien etwas wesentlich verändert.

Die Vielfalt der gesetzlichen Vorschriften und Haftungsrisiken für die Unternehmen nimmt kontinuierlich zu, aber auch gesellschaftliche Anforderungen werden in wachsendem Maß an sie herangetragen. Das macht Compliance zu einer sehr bedeutungsvollen Aufgabe. Insbesondere die Sicherstellung der Integrität, Vertraulichkeit und Authentizität sowie die Verfügbarkeit von Informationen bei der Durchführung unternehmenskritischer Geschäftsprozesse gehören zu den Grundlagen eines effektiven Compliance Managements. Dazu gehören auch Risikoanalysen zur Ermittlung von Gefahren in den wertschöpfenden Aktivitäten aufgrund von Abweichungen gegenüber externen und internen Vorgaben und Richtlinien, ebenso wie präventive Maßnahmen zu deren systematischer Vermeidung. Strategien zur Bewältigung von Auffälligkeiten runden das Gesamtbild ab und sichern so die Stabilität des Unternehmens.

 

Doch was im Regelfall wie eine formale Pflichtübung klingt, kann sich zu einer Aufgabe entfalten, die facettenreiche Nutzeneffekte verspricht: Denn wir konzipieren die Compliance als ein wirksames Steuerungsinstrument, mit dem kontinuierlich die möglichen Schwächen offengelegt und beseitigt werden. Vor allem: Eine intelligent konzipierte und von den Mitarbeitern gelebte Compliance-Methode stellt letztlich ein wertvolles Früherkennungssystem dar. Dafür sorgen die erfahrenen Compliance-Consultants von CARMAO. Sie identifizieren mögliche Schwachstellen und den Handlungsbedarf in Ihrem Unternehmen. Geleitet von einem strukturierten Vorgehensmodell setzen wir anschließend gemeinsam mit Ihnen konkrete Verbesserungsmaßnahmen zur nachhaltigen Steigerung der Compliance um.

Datacenter Solutions und Blauer Engel

Rechenzentren, egal ob eigene, outgesourcte oder in der Cloud, sind die Grundlage für einen sicheren und effizienten Geschäftsbetrieb. Bei der Planung, Realisierung und dem Betrieb von Rechenzentren (RZ) spielen viele Faktoren eine wichtige Rolle. Gerade bei der physikalischen Sicherheit sollte der aktuelle Stand der Technik eingehalten werden. Dieser ist in der europäischen Norm DIN EN 50600 definiert, mit der Verfügbarkeit, Sicherheit und Energieeffizienz von Rechenzentren einheitlich betrachtet und überprüft werden können.

Die Berater der CARMAO stehen Ihnen bei allen Fragen zu Normkonformität, Energieeffizienz sowie Vorbereitungen auf Zertifizierungen beratend zur Seite. Wenn gewünscht übernehmen wir für unsere Kunden auch die Steuerung des Projekts von der Vorbereitung, über die Planung bis hin zur Übergabe – egal ob es sich um einen RZ-Neubau oder die Optimierung bestehender Rechenzentren handelt.

Risikoanalyse nach DIN EN 50600

Eine Risikoanalyse nach EN 50600 besteht grundsätzlich aus einer übergeordneten Geschäftsrisikoanalyse, die Auswirkungen auf Standzeiten, unmittelbare finanzielle Strafen, Folgeschäden sowie langfristige Schäden für die Geschäftsreputation ermittelt sowie aus einer Ereignis-Risikoanalyse, welche zusätzlich die Auftrittswahrscheinlichkeit in verschiedenen Bereichen ermittelt. 

Die Ergebnisse aus Ereignis-Risikoanalyse und Geschäfts-Risikoanalyse werden dann mit Hilfe einer Risikomatrix ausgewertet und dienen zur Festlegung der RZ-Kategorie (Verfügbarkeitsklasse VK, Schutzklasse SK und Energieeffizienz GN). Damit sind sie unbedingte Voraussetzung für sämtliche weiteren Planungsschritte.

Hinweis

Die hier angebotene Risikoanalyse nach EN 50600 richtet sich nach dem internationalen ISO-Standard für Managementsysteme und kann somit auch als Grundlage für Implementierung eines ISMS (Informationssicherheitsmanagementsystem) nach ISO 27001 oder nach dem modernisierten BSI-Grundschutz (200-3) dienen.

DC Certification

Die Motivation, ein Rechenzentrum, Teilbereiche oder Prozesse zertifizieren zu lassen, kann sehr unterschiedlich sein: Außendarstellung, Anforderungen an die Nachhaltigkeit oder betriebswirtschaftliche Aspekte. Wichtig ist es, eine neutrale, kompetente und unabhängige Instanz zu haben, die das Prüfobjekt entsprechend definierter Vorgaben bewertet und zertifiziert.

Wir stellen immer sicher, dass die Auditoren der CARMAO von einer Zertifizierungsstelle ernannt sind und mindestens zwei Jahre vor dem vorgesehenen Audit keine Beratungsleistung oder interne Audits für die Organisation durchgeführt haben.

Zertifizierung durch den TÜV Hessen 

Geprüftes Rechenzentrum nach DIN EN 50600 ist eine Zertifizierung unseres Kooperationspartners TÜV-Hessen. Die vom TÜV-Hessen ernannten Auditoren der CARMAO prüfen in verschiedenen RZ-Fachplanungsphasen die Normkonformität und attestieren diese mit einer durch den TÜV-Hessen ausgestellten Konformitätsbestätigung als Zertifikat. Darauf aufbauend oder separat kann ein TÜV PROVICERT-plus Audit nach DIN EN 50600 Teil 1-2 durchgeführt werden. Dieses wird, nach Übergabe des Rechenzentrums an den Betreiber, als Zertifizierungsaudit, jährlich als Überwachungsaudit, oder als Re-Zertifizierungsaudit abgewickelt.

Weitere Infos „Zertifiziertes Rechenzentrum nach DIN EN 50600“ bei unserem Kooperationspartner TÜV Hessen

© 2022 by CARMAO GmbH

Impressum                    Datenschutz

Kontakt