Organisationale Resilienz

Organisationale Resilienz

Handlungsfähig in Krisen

Handlungsfähig bleiben – auch und insbesondere in Krisensituationen – wird für Unternehmen immer wichtiger. Es gilt daher, die gesamte Organisation widerstandsfähig zu machen, ein Immunsystem aufzubauen und interne Selbstheilungskräfte zu aktivieren.

Organisationale Resilienz ist der Schlüssel dazu.

Resiliente Organisationen besitzen ein belastbares organisatorisches und betriebswirtschaftliches System und sind so gegen Marktveränderungen und Risiken wie beispielsweise Cyber-Angriffe besser gewappnet. Sie sind systematisch auf negative Einflüsse vorbereitet, so dass Schäden vermieden werden können und die Zukunftsfähigkeit aufrechterhalten wird.

Organisationale Resilienz erfordert ein Umfeld des Vertrauens, flexible Organisationsstrukturen und Abläufe, aber auch das fortlaufende Identifizieren von Verbesserungspotentialen sowie die permanente Sensibilisierung der Mitarbeiter für entsprechende Gefahren und daraus folgende Weiterbildung.

Des Weiteren gehört insbesondere eine entsprechende strategische Ausrichtung der digitalen Infrastrukturen dazu, insbesondere der Schwerpunkte Informations- und IT-Sicherheit, Business Continuity und Compliance. Aber auch die strategische Steuerung der digitalen Agenda im Einklang mit einer organisationalen Entwicklung spielt eine wichtige Rolle.

Die organisationale Resilienz wird durch geschicktes Zusammenwirken diverser Managementsysteme erreicht. Dazu zählen Informationssicherheit, Compliance, Business Continuity, Risikomanagement ebenso wie Service Management, Qualitätsmanagement, Personalmanagement sowie Innovationsmanagement.

Ein weiterer wesentlicher Part der Organisationale Resilienz ist der Umgang mit Cyber-Angriffen. Hier ist Knowhow zur IT-Architektur, IT-Infrastruktur, IT-Sicherheitsarchitekturen etc. essenziell. Zudem gilt es, Unternehmen im richtigen Verhalten in Notfall-Situationen und im Wissensaufbau zu grundlegenden regulatorischen Rahmenbedingungen (Schutz der Privatsphäre, Geheimhaltung) zu unterstützen. Auch die nicht-technische Kommunikation zu Geschäftsführung, PR und Mitarbeitervertretungen sollte gegeben sein. Diese Maßnahmen betreffen die Knowhow-Träger wie technische Analysten, IT-Manager und IT-Administratoren, Compliance-Verantwortliche, Notfall- und Krisenmanager, Kommunikationsexperten sowie die Geschäftsleitung, Vorstände und Business Manager.

Organisationale Resilienz ist somit eine strategische Querschnittsaufgabe in der gesamten Organisation, bei der die Experten der CARMAO GmbH Ihnen gerne zur Seite stehen.

Die CARMAO ist Spezialist für Organisationale Resilienz und unterstützt Unternehmen dabei, Risiken zu erkennen und Fähigkeiten zu stärken. CARMAO beleuchtet, welche Aufgaben sich diesbezüglich für Unternehmen stellen und welche Qualifikationen erworben werden sollten und unterstützt beim Aufbau von technischem Wissen, Compliance-Wissen, methodischem und prozessualen Vorgehen sowie der direkten Arbeit im Projekt. Zudem stehen die CARMAO-Experten für Interims-Aufgaben im Unternehmen zur Verfügung.

KRITIS

Der Begriff „Kritische Infrastrukturen“ (KRITIS) bezeichnet Organisationen und Einrichtungen, denen eine hohe Bedeutung für das staatliche Gemeinwesen beigemessen wird. Ihre Beeinträchtigung oder gar ihr Ausfall hätten nachhaltige Versorgungsengpässe, weitreichende Störungen der öffentlichen Sicherheit oder andere dramatische Konsequenzen zur Folge.

Die Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) aus dem Jahr 2009 definiert neun Sektoren der Kritischen Infrastrukturen:

  • Energie
  • Gesundheit
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Medien und Kultur
  • Wasser
  • Finanz- und Versicherungswesen
  • Ernährung
  • Staat und Verwaltung

Alle Organisationen aus diesen Sektoren zählen unabhängig von ihrer Größe zu den Kritischen Infrastrukturen (KRITIS).

Mit dem BSI-Gesetz wurden weitere Definitionskriterien eingeführt. Danach zählt zur Kritischen Infrastruktur, wer zu einem der oben genannten Sektoren (außer Medien und Kultur sowie Staat und Verwaltung) gehört bzw. kritische Dienstleistungen gem. § 1 Absatz 3 BSI-Kritisverordnung erbringt und dabei die in der BSI-Kritisverordnung definierten Schwellenwerte überschreitet. Das BSI-Gesetz und die BSI-Kritisverordnung verpflichten Betreiber Kritischer Infrastrukturen zu folgenden Maßnahmen:

  1. Benennung einer Kontaktstelle für die betriebene Kritische Infrastruktur
  2. Meldung von IT-Störungen oder erheblichen Beeinträchtigungen
  3. Umsetzung von IT-Sicherheit auf dem „Stand der Technik“
  4. Nachweis der Maßnahmen alle zwei Jahre gegenüber dem BSI

Insbesondere die Absicherung der IT-Systeme ist häufig hochkomplex. Erschwerend kommt hinzu, dass die Systeme der Informationsinfrastruktur zum Teil einen langen Lebenszyklus haben und häufig nicht oder nicht zeitnah mit Sicherheitsupdates versorgt werden können.

Und auch wenn Sie die kritischen Schwellenwerte noch nicht überschreiten, kann es sinnvoll sein, sich rechtzeitig Gedanken über bestimmte Sicherheitsstandards zu machen. Unsere Berater stehen Ihnen in allen Fragen kompetent zur Seite.

Informationssicherheitsmanagement als strategisches Instrument

Um ein an den Unternehmenszielen orientiertes Informationssicherheitsniveau zu erreichen, ist mehr erforderlich als die Anschaffung technischer Infrastrukturen und Produkte, wie z.B. Firewalls oder Antivirensoftware. Eine in die Unternehmensstrukturen integrierte Sicherheitsarchitektur ist Bestandteil des Unternehmensrisikomanagements. Mit diesem soll die Verfügbarkeit von Abläufen, Anwendungen, IT-Systemen und den darin verarbeiteten Informationen sowie deren Integrität und Vertraulichkeit sichergestellt werden. Organisatorische und technische Maßnahmen ergänzen sich und werden in Ihre betrieblichen Abläufe, in der Verwaltung, der Produktion und der IT integriert.

Unsere Consultants verfügen für anspruchsvolle Projektziele über ein Set an intelligenten Vorgehensmethoden, verbunden mit einem umfassenden Know-how in allen relevanten Teildisziplinen der Applikationssicherheit. Und sie können sich auf einen breiten Erfahrungsschatz stützen, resultierend aus vielfältigen Projekten in Mittelstands- und Großunternehmen unterschiedlicher Branchen.

CHARISMA

Der Beratungsumfang von CARMAO für die Informationssicherheit ist von einem ganzheitlichen Ansatz geprägt und in dem Methodenframework CHARISMA Information Security Management abgebildet. Das Framework basiert auf der ISO/IEC 27001 und weiteren international anerkannten Best Practice-Ansätzen. Sie erhalten damit ein ISMS, das präzise Ihren individuellen Anforderungen entspricht und sich dynamisch weiterentwickeln lässt. Gleichzeitig ist es so konzipiert, dass die Prozesse im operativen Alltag sehr schlank bleiben.

Eine gute Alternative: Externe Informationssicherheits-Beauftragte

Die Position des Informationssicherheits-Beauftragten, auch als Chief Information Security Officer (CISO) bezeichnet, hat inzwischen eine zentrale Bedeutung in den Sicherheitskonzepten der Unternehmen erlangt. Und sie wird durch das IT-Sicherheitsgesetz nochmals wichtiger. Doch nicht für jedes Unternehmen besteht ein dauerhafter Bedarf an einem CISO. Gerade bei der Zuordnung einer Teilzeit-Verantwortung ist die beständige Weiterbildung und der Aufbau von Erfahrungswissen im Umgang mit sicherheitsrelevanten Situationen oftmals schwierig zu realisieren.

In solchen Fällen stellt der externe Informationssicherheits-Beauftragte eine komfortable Lösung dar. Als externer Spezialist bringt er den Vorteil mit, abseits des Tagesgeschäfts die Informationssicherheit konzentrierter forcieren zu können, und dies mit einem neutraleren Blick als interne Mitarbeiter und ohne interne Abhängigkeiten. Auf diese Weise lassen sich nicht nur ganzheitliche Lösungsansätze einfacher realisieren, sondern auch wirkungsvoller einen Kulturwandel in der Sicherheitsmentalität von Unternehmen vollziehen. Und die erfahrenen Informationssicherheits-Beauftragten von CARMAO bringen hierfür genau diese Voraussetzungen mit.

Risiko Management. Qualität durch Risikostreuung

Die zuverlässige und vertrauliche Informationsverarbeitung ist heute unabdingbar bei der Steuerung von Geschäftsabläufen, in Produktionsprozessen und vielem mehr. IT-Risikomanagement ist daher sowohl für Unternehmen aus wirtschaftlichem Interesse sinnvoll, aber gleichzeitig eine Verpflichtung. Denn zum einen verlangen Kunden beispielsweise von Unternehmen der Finanzbranche entsprechende Prävention gegen bestandsbedrohende Risiken. Auch der Gesetzgeber verpflichtet Geschäftsführungen dazu, bestehende bzw. potenzielle Risiken zu erkennen, zu überwachen und abwehren zu können.

Der Beratungsumfang von CARMAO für das Informationsrisikomanagement ist von einem ganzheitlichen Ansatz geprägt und in dem Methodenframework CHARISMA Information Risk Management abgebildet. Das Framework basiert auf der ISO 31000 sowie der ISO/IEC 27005 und weiteren international anerkannten Best Practise-Ansätzen. Sie erhalten damit ein Risk Management System, das präzise Ihren individuellen Anforderungen entspricht und sich dynamisch weiterentwickeln lässt. Gleichzeitig ist es so konzipiert, dass die Prozesse im operativen Alltag sehr schlank bleiben.

Unsere Consultants verfügen für anspruchsvolle Projektziele über ein Set an intelligenten Vorgehensmethoden, verbunden mit einem umfassenden Know-how in allen relevanten Teildisziplinen der Applikationssicherheit. Und sie können sich auf einen breiten Erfahrungsschatz stützen, resultierend aus vielfältigen Projekten in Mittelstands- und Großunternehmen unterschiedlicher Branchen.

KI-Management.
KI im Unternehmen sicher, transparent und ethisch gestalten.

Die Künstliche Intelligenz (KI) ist ein Beschleuniger zur Digitalisierung und Automatisierung von Prozessen, doch Regulierungen sind notwendig, um sicherzustellen, dass sie ethisch, sicher und fair eingesetzt wird. Und, dass somit etwaige negative Auswirkungen wie beispielsweise Datenschutzverletzungen, algorithmische Voreingenommenheit und die Verstärkung sozialer Ungleichheiten minimiert werden. Mit dem kürzlich eingeführten AI Act der EU wird ein klarer Rechtsrahmen geschaffen, der Innovation fördert und gleichzeitig die Grundrechte der Bürger:innen schützt. Ein entscheidender Hebel für Unternehmen zur Umsetzung der Anforderungen ist die Implementierung eines AI Management Systems (AIMS) gemäß ISO/IEC 42001. AIMS sind essenziell, um den Einsatz von KI in Unternehmen sicher, transparent und ethisch zu gestalten. Die ISO/IEC 42001 bietet hierfür einen strukturierten Rahmen, der sicherstellt, dass potenzielle Risiken identifiziert, bewertet und durch geeignete Maßnahmen minimiert werden.

Fördert Sicherheit und Vertrauen in KI-Systeme

Die ISO/IEC 42001 fordert einen risikobasierten Ansatz, der darauf abzielt, die Sicherheit und Vertrauenswürdigkeit von KI-Systemen zu gewährleisten. Dieser beinhaltet die kontinuierliche Bewertung von Risiken und die Implementierung von Maßnahmen zur Risikominderung. Durch diese systematische Vorgehensweise können Unternehmen sicherstellen, dass ihre KI-Anwendungen nicht nur den rechtlichen Anforderungen entsprechen, sondern auch ethische Standards einhalten – beides fördert auch das Vertrauen der Anwendenden.

Sinnvolle Integration in bestehende Managementsysteme

Die Struktur der ISO/IEC 42001 ist kompatibel mit anderen Managementsystemnormen wie ISO/IEC 27001 und ISO 9001. Dies erleichtert die Integration in bestehende Systeme und ermöglicht Unternehmen, ihre bereits vorhandenen Prozesse für Informationssicherheit, Risiko- und Qualitätsmanagement sinnvoll zu erweitern. Für Unternehmen, die bereits nach diesen Normen zertifiziert sind, bedeutet dies eine reibungslose Anpassung und Erweiterung ihrer Managementsysteme um KI-spezifische Anforderungen.

Unterstützung bei der Implementierung

Die Implementierung eines AI Management Systems (AIMS) gemäß ISO/IEC 42001 stellt Unternehmen vor verschiedene Aufgaben. Dazu gehören die Identifizierung und Bewertung von Risiken, die Entwicklung und Implementierung geeigneter Sicherheitsstrategien sowie die kontinuierliche Überwachung und Verbesserung der KI-Systeme. CARMAO als Spezialist für organisationale Resilienz unterstützt Sie dabei, diese Herausforderungen zu meistern. Durch maßgeschneiderte Dienstleistungen helfen wir, ein robustes und effektives AIMS zu entwickeln und zu implementieren, das den Anforderungen der ISO/IEC 42001 entspricht.

Für weitere Informationen und eine individuelle Beratung stehen wir gerne unter 06431-2196-0 oder per E-Mail unter kontakt@carmao.de zur Verfügung. Informieren Sie sich auch gerne in unserem Resilience Webtalk zum EU AI Act unter https://goto.carmao.de/Webtalk-EU-AI-Act

Business Continuity Management

Fallen zeitkritische Geschäftsprozesse und/oder deren unterstützende Ressourcen, wie Personal, Gebäude, Lieferanten oder gar die IT-Infrastruktur aus, ist die Aufrechterhaltung der Betriebsfähigkeit und somit das Erreichen der Geschäftsziele bereits bei kurzfristigen Unterbrechungen stark gefährdet. Ein ganzheitliches, auf Prozesssicht aufsetzendes Notfallmanagement, im Fachjargon als Business Continuity Management bezeichnet, unterstützt durch individuelle Notfallkonzepte bei der Vermeidung, respektive der Bewältigung von Ausnahmesituationen.

Fallen wesentliche Systeme der technischen Infrastruktur längerfristig aus, ist im Regelfall der Produktions- und Geschäftsbetrieb unmittelbar davon betroffen. Um die wirtschaftlichen und weiteren Auswirkungen solcher Probleme zu minimieren, bedarf es eines wirkungsvollen Business Continuity Managements (BCM), das die Ausfallzeiten der Geschäftsprozesse minimiert.

Im Zuge des Business Continuity Managements stimmt CARMAO einen Vorsorgeplan exakt auf Ihr Unternehmen und Ihre Geschäftsziele ab. Handlungsempfehlungen zur Notfallvorsorge, deren Handhabung und die Nachsorge basieren auf den Erkenntnissen umfangreicher Ermittlungen. Kontinuitäts- und Wiederherstellungspläne mit selektiven Tests sorgen für eine jederzeitige Funktionsfähigkeit des individuellen Notfallmanagements. CARMAO richtet sich dabei (am) an der internationalen (Standard) Norm ISO 22301 sowie am Standard 100-4, des BSI sowie an Best Practices aus.

Zum breiten Beratungsportfolio gehört aber nicht nur die Konzeption und Implementierung von Business Continuity Management Systemen (BCMS), sondern ebenso die Reifegradbestimmung bestehender Notfallkonzepte. Jeweils mit großem Branchenverständnis und mit Methoden für eine aufwandsschonende Projektrealisierung.

Retter in der Not: Disaster Recovery

Wenn die IT-Infrastruktur eines Unternehmens nach einem Störungs- oder Katastrophenfall in wichtigen Teilen lahmgelegt ist, dann bedarf es schneller Rettung. „Disaster Recovery“ als wichtiger Baustein der Unternehmensresilienz hilft dabei, wieder Zugriff zu erlangen bzw. die Funktionsfähigkeit wiederherzustellen. Als Spezialist für Unternehmensresilienz zeigen wir auf, welche Maßnahmen notwendig sind, um zum Normalzustand zurückzukehren.

Weiterlesen…

Unterstützung bei Engpässen: Externe BC Manager

Ein wichtiger Managed Service im Sinne der Organisationalen Resilienz ist das Business Continuity Management (BCM). Es bereitet Unternehmen auf Zwischenfälle bzw. Krisen vor. Dabei setzt es auf Maßnahmen, welche die Fortführung der Unternehmensprozesse im Ernstfall absichern.
Verantwortlich dafür ist der Business Continuity Manager (BC Manager). Er prüft, an welchen Punkten das Unternehmen verletzlich ist und erarbeitet einen Notfallplan. Der BC Manager entwickelt das BCM-Programm gemäß den Richtlinien weiter. Damit ist die Widerstandsfähigkeit des Unternehmens gestärkt, und die Betriebsfähigkeit kann in Krisensituationen aufrechterhalten werden.
Wenn einem Unternehmen die Kapazität oder das Know-how fehlt, einen BC Manager zu installieren, kann ein externer BC Manager als Service gebucht werden. Dieser kann vielfältige Aufgaben übernehmen, die im Wesentlichen vom Kontext der Organisation, ihren etablierten Prozessen und der Aufgabenverteilung abhängig sind. Die unterschiedlichen Leistungspakete richten sich nach Komplexität und Größe des zu betreuenden BC Managementsystems.
Zum Aufgabenspektrum zählen in der Regel unter anderem das Konzeptionieren, Implementieren und Optimieren des Business Continuity Managements sowie des Krisenmanagements. Der BC Manager entwickelt zudem operativ anwendbare Strategien für die Notfallversorgung sowie -bewältigung. Auch für die nachhaltige Umsetzung und Einhaltung der konzernweiten Vorgaben ist er zuständig. Zum Aufgabenfeld kann ebenso die Planung und Umsetzung von allgemeinen Schulungs- und Sensibilisierungsmaßnahmen gehören. Mit einem Experten der CARMAO sind Sie dabei auf der sicheren Seite.