Auf sechs Säulen basiert die HiScout GRC Suite Plattform. GRC steht für Governance, Risk & Compliance. Business Continuity, Information Security, Operational Risk, Compliance, Quality und IT-Service lauten die wichtigen und mächtigen Management-Komplexe.
Zum Modell des Brandenburger Tores der Berliner Software-Schmiede HiScout GmbH gehört neben diesen Säulen das einheitliche Datenmodell, quasi als Fundament.
Auch eine Quadriga fehlt nicht. Sie verkörpert den PDCA-Zyklus, häufig Demingkreis genannt: Plan – Do – Check – Act (Planen – Umsetzen – Prüfen – Handeln). Der Demingkreis steht für einen ständigen iterativen Prozess im Sinne der Qualitätssicherung, dem sich das agil arbeitende HiScout-Entwickler-Team verschrieben hat.
Jedes Modul kann eigenständig eingesetzt werden. Den umfassendsten Schutz für Unternehmen und Einrichtungen bietet natürlich die komplette Suite.
Einheitliche Datenbasis
Das One Data Model mit der ganzheitlichen Datensicht ist ein großer Vorteil des integrierten Managementsystems. Alle relevanten Daten müssen nur einmal erfasst bzw. referenziert werden und stehen dann in allen Modulen jedem berechtigen Mitarbeiter zur Verfügung. Das bedeutet nicht nur eine erhebliche Zeit- und damit Kosteneinsparung gegenüber der bisher heute noch oft anzutreffenden Praxis, bei der Mitarbeiter oft ihr eigenes System pflegen, nicht selten auf Basis von Tabellen-Datenbanken.
Es bedeutet zudem eine erhebliche Verbesserung der Datenintegrität in der Organisation. Damit „vagabundieren“ nicht zig Versionen wichtiger Daten herum, sondern es gibt einen konsolidierten Datenbestand an zentraler Stelle.
Mitarbeiter der Qualitätssicherung, Datenschutzbeauftragte, Zuständige für den Grundschutz oder Business Continuity Manager – alle haben gemäß ihren Rollen und Rechten über ihre Oberflächen Zugriff auf die gemeinsame Datenbasis.
Die Daten werden bei der Konfiguration der HiScout-Plattform einmalig erfasst oder über Schnittstellen eingelesen. Ein Großteil der für die Hiscout GRC Suite benötigten Daten sind bereits in anderen Managementsystemen im Unternehmen vorhanden.
Zum Beispiel ist eine mächtige Datenbank die Configuration Management Database (CMDB). Dort ist die Gesamtheit aller Betriebsmittel erfasst. Andere Managementsysteme von denen die Daten per Schnittstelle übernommen werden können, sind das Active Directory (AD) oder das Issue-Tracking-System des Helpdesk.
Automatisierung der Prozesse
Im Managementsystem sollten Workflows und viele Prozesse möglichst automatisiert ablaufen. So wird einerseits (manuelle) Arbeit eingespart, andererseits werden Fehler vermieden. HiScout unterstützt mit dem Workflow-Tool HiScout Business Logic Engine die Automatisierung der Prozesse. Dabei kann das Werkzeug neben einstufigen Workflows, wie das Erstellen von Wiedervorlagen, die Abbildung von spezialisierten Freigabeverfahren abhängig von ihrem Status, auch komplexe, mehrstufige Prozesse abbilden. Beispielsweise ein Security Incident Management, die lückenlose Bearbeitung von Beschwerden oder das Automatisieren von Krisenstabsübungen.
Für Mitarbeiter, die selten mit den Management-Tools arbeiten, wurde der HiScout Questionnaire geschaffen. Der HTML-basierte Fragenbogen wird per E-Mail zugesandt und unterstützt sie dabei, ohne Schulungsaufwand, Abfragen zu beantworten. Sie müssen sich nicht mit der Oberfläche der Tools vertraut machen.
Werden nicht alle Ausführungen vom zuständigen Manager akzeptiert bzw. sind weitere Ergänzungen notwendig, erhalten die Mitarbeiter nur diese entsprechenden Punkte zur erneuten Vorlage. Das verringert den Zeitaufwand und hilft Fehler zu vermeiden, u. a. weil nach einer erneuten Bearbeitung nicht wieder alle Daten geprüft werden müssen.
Mandantenfähigkeit von Tools ist entscheidendes Kriterium
Viele Verantwortliche scheuen die Investitionen in Personal und Sicherheitsinfrastrukturen, weil sie in der Regel sehr kostenintensiv sind. Daher zögern Kommunen und Unternehmen teilweise noch mit den notwendigen Maßnahmen.
Als ressourcenschonender Weg bietet sich die Zusammenarbeit mit anderen Behörden und Rechenzentrumsdienstleistern an. Ein erhebliches Sparpotenzial – ohne Sicherheitseinbußen – liegt in der gemeinsamen Nutzung von Methoden und Infrastrukturkomponenten bei einem Dienstleister.
Beispiel Anwendungsfall Grundschutz: Folgen die Verantwortlichen der Rechenzentrumsdienstleister dem BSI-Grundschutz (BSI - Bundesamt für Sicherheit und Informationstechnik) sind sie methodisch auf dem richtigen Weg. Hierbei muss bedacht werden, dass man sich im Detail aber auch auf gleiche Verfahren, beispielsweise für die Schutzbedarfsfeststellung, festlegt. Mit der Mandantenfähigkeit der Tools zum IT-Grundschutz lässt sich IT-Sicherheit durch die externen Rechenzentren zentral für alle Mandanten als Service bereitstellen.
Die HiScout GmbH verfolgt drei verschiedene Ansätze zur Abbildung eines Mandantenkonzepts in Abhängigkeit des Grades der Zusammenarbeit.
Das ist zum ersten die Nutzung einer gemeinsamen Instanz und Trennung durch Rollen-und Rechtekonzept über Rubriken. Rubriken sind vergleichbar mit der Ordnerstruktur von Microsoft Windows.
Oder die Nutzung jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf identischen Systemen.
Zum dritten die Nutzung jeweils einer eigenen Instanz mit Replikation gemeinsam genutzter Modelle/Daten auf unterschiedlichen Systemen.
Effektiver Datenschutz nur Tool-gestützt möglich
Am 25. Mai 2018 treten die EU-Datenschutz-Grundverordnung (EU-DSGVO) und das neue Bundesdatenschutzgesetz in Kraft. Wer das Thema bisher halbherzig oder sogar gar nicht angegangen ist, sollte sich sputen und die Anforderungen der Gesetze umsetzen sowie die Compliance-Regeln entsprechend anpassen. Denn die Befugnisse der Datenschutzbehörden werden mit den neuen Gesetzen gestärkt. Sie können bei Verstößen u.a. Bußgelder in erheblicher Höhe verhängen.
Die vielen Aspekte der Datenschutzregelungen lassen sich aufgrund ihrer enormen Komplexität nur toolgestützt effizient umsetzen.
HiScout bietet mit HiScout Datenschutz die Komplettübersicht über alle Assets eines Unternehmens bzw. einer Einrichtung. Sämtliche relevanten Daten stehen unter einer einheitlichen Oberfläche allen für den Datenschutz verantwortlichen Mitarbeitern und Managern mit einem entsprechenden Rollenkonzept zur Verfügung. Die Gesamtheit aller Daten von Systemen, Anwendungen und Datenbeständen sind an einer zentralen Stelle in einer Datenbank erfasst.
In HiScout Datenschutz können Workflows hinterlegt werden, die bei Einrichtung des Moduls an im Unternehmen vorhandene Vorgaben angepasst werden können.
Damit die Aufgaben dezentral von verschiedenen Mitarbeitern, bei Bedarf auch externen, bearbeitet werden können, verfügt HiScout Datenschutz über eine Schnittstelle zum Microsoft Exchange Server mit seinem ausgeklügelten Rollen- und Rechte-Konzept. Damit lässt sich genau festlegen, wer welche Informationen erhält und welche Aufgaben zu bearbeiten hat.
Die HiScout GRC Suite ist Made in Germany, konkret Made in Berlin. Es gibt keine ausgelagerten Entwicklungsabteilungen im Ausland. Alle Experten arbeiten unter einem Dach unweit der Berliner City. HiScout kann durch die Zusammenarbeit mit führenden Beratungsunternehmen auch sehr große Installationsprojekte stemmen. Diese Partner liefern zudem wertvollen Input für die fachliche Weiterentwicklung der integrierten Plattform.