Organisationale Resilienz
Organisationale Resilienz
Handlungsfähig in Krisen
Handlungsfähig bleiben – auch und insbesondere in Krisensituationen – wird für Unternehmen immer wichtiger. Es gilt daher, die gesamte Organisation widerstandsfähig zu machen, ein Immunsystem aufzubauen und interne Selbstheilungskräfte zu aktivieren.
Organisationale Resilienz ist der Schlüssel dazu.
Resiliente Organisationen besitzen ein belastbares organisatorisches und betriebswirtschaftliches System und sind so gegen Marktveränderungen und Risiken wie beispielsweise Cyber-Angriffe besser gewappnet. Sie sind systematisch auf negative Einflüsse vorbereitet, so dass Schäden vermieden werden können und die Zukunftsfähigkeit aufrechterhalten wird.
Organisationale Resilienz erfordert ein Umfeld des Vertrauens, flexible Organisationsstrukturen und Abläufe, aber auch das fortlaufende Identifizieren von Verbesserungspotentialen sowie die permanente Sensibilisierung der Mitarbeiter für entsprechende Gefahren und daraus folgende Weiterbildung.
Des Weiteren gehört insbesondere eine entsprechende strategische Ausrichtung der digitalen Infrastrukturen dazu, insbesondere der Schwerpunkte Informations- und IT-Sicherheit, Business Continuity und Compliance. Aber auch die strategische Steuerung der digitalen Agenda im Einklang mit einer organisationalen Entwicklung spielt eine wichtige Rolle.
Die organisationale Resilienz wird durch geschicktes Zusammenwirken diverser Managementsysteme erreicht. Dazu zählen Informationssicherheit, Compliance, Business Continuity, Risikomanagement ebenso wie Service Management, Qualitätsmanagement, Personalmanagement sowie Innovationsmanagement.
Ein weiterer wesentlicher Part der Organisationale Resilienz ist der Umgang mit Cyber-Angriffen. Hier ist Knowhow zur IT-Architektur, IT-Infrastruktur, IT-Sicherheitsarchitekturen etc. essenziell. Zudem gilt es, Unternehmen im richtigen Verhalten in Notfall-Situationen und im Wissensaufbau zu grundlegenden regulatorischen Rahmenbedingungen (Schutz der Privatsphäre, Geheimhaltung) zu unterstützen. Auch die nicht-technische Kommunikation zu Geschäftsführung, PR und Mitarbeitervertretungen sollte gegeben sein. Diese Maßnahmen betreffen die Knowhow-Träger wie technische Analysten, IT-Manager und IT-Administratoren, Compliance-Verantwortliche, Notfall- und Krisenmanager, Kommunikationsexperten sowie die Geschäftsleitung, Vorstände und Business Manager.
Organisationale Resilienz ist somit eine strategische Querschnittsaufgabe in der gesamten Organisation, bei der die Experten der CARMAO GmbH Ihnen gerne zur Seite stehen.
Die CARMAO ist Spezialist für Organisationale Resilienz und unterstützt Unternehmen dabei, Risiken zu erkennen und Fähigkeiten zu stärken. CARMAO beleuchtet, welche Aufgaben sich diesbezüglich für Unternehmen stellen und welche Qualifikationen erworben werden sollten und unterstützt beim Aufbau von technischem Wissen, Compliance-Wissen, methodischem und prozessualen Vorgehen sowie der direkten Arbeit im Projekt. Zudem stehen die CARMAO-Experten für Interims-Aufgaben im Unternehmen zur Verfügung.
KRITIS
Der Begriff „Kritische Infrastrukturen“ (KRITIS) bezeichnet Organisationen und Einrichtungen, denen eine hohe Bedeutung für das staatliche Gemeinwesen beigemessen wird. Ihre Beeinträchtigung oder gar ihr Ausfall hätten nachhaltige Versorgungsengpässe, weitreichende Störungen der öffentlichen Sicherheit oder andere dramatische Konsequenzen zur Folge.
Die Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie) aus dem Jahr 2009 definiert neun Sektoren der Kritischen Infrastrukturen:
- Energie
- Gesundheit
- Informationstechnik und Telekommunikation
- Transport und Verkehr
- Medien und Kultur
- Wasser
- Finanz- und Versicherungswesen
- Ernährung
- Staat und Verwaltung
Alle Organisationen aus diesen Sektoren zählen unabhängig von ihrer Größe zu den Kritischen Infrastrukturen (KRITIS).
Mit dem BSI-Gesetz wurden weitere Definitionskriterien eingeführt. Danach zählt zur Kritischen Infrastruktur, wer zu einem der oben genannten Sektoren (außer Medien und Kultur sowie Staat und Verwaltung) gehört bzw. kritische Dienstleistungen gem. § 1 Absatz 3 BSI-Kritisverordnung erbringt und dabei die in der BSI-Kritisverordnung definierten Schwellenwerte überschreitet. Das BSI-Gesetz und die BSI-Kritisverordnung verpflichten Betreiber Kritischer Infrastrukturen zu folgenden Maßnahmen:
- Benennung einer Kontaktstelle für die betriebene Kritische Infrastruktur
- Meldung von IT-Störungen oder erheblichen Beeinträchtigungen
- Umsetzung von IT-Sicherheit auf dem „Stand der Technik“
- Nachweis der Maßnahmen alle zwei Jahre gegenüber dem BSI
Insbesondere die Absicherung der IT-Systeme ist häufig hochkomplex. Erschwerend kommt hinzu, dass die Systeme der Informationsinfrastruktur zum Teil einen langen Lebenszyklus haben und häufig nicht oder nicht zeitnah mit Sicherheitsupdates versorgt werden können.
Und auch wenn Sie die kritischen Schwellenwerte noch nicht überschreiten, kann es sinnvoll sein, sich rechtzeitig Gedanken über bestimmte Sicherheitsstandards zu machen. Unsere Berater stehen Ihnen in allen Fragen kompetent zur Seite.
Informationssicherheit als strategisches Instrument
Um ein an den Unternehmenszielen orientiertes Informationssicherheitsniveau zu erreichen, ist mehr erforderlich als die Anschaffung technischer Infrastrukturen und Produkte, wie z.B. Firewalls oder Antivirensoftware. Eine in die Unternehmensstrukturen integrierte Sicherheitsarchitektur ist Bestandteil des Unternehmensrisikomanagements. Mit diesem soll die Verfügbarkeit von Abläufen, Anwendungen, IT-Systemen und den darin verarbeiteten Informationen sowie deren Integrität und Vertraulichkeit sichergestellt werden. Organisatorische und technische Maßnahmen ergänzen sich und werden in Ihre betrieblichen Abläufe, in der Verwaltung, der Produktion und der IT integriert.
Unsere Consultants verfügen für anspruchsvolle Projektziele über ein Set an intelligenten Vorgehensmethoden, verbunden mit einem umfassenden Know-how in allen relevanten Teildisziplinen der Applikationssicherheit. Und sie können sich auf einen breiten Erfahrungsschatz stützen, resultierend aus vielfältigen Projekten in Mittelstands- und Großunternehmen unterschiedlicher Branchen.
CHARISMA
Der Beratungsumfang von CARMAO für die Informationssicherheit ist von einem ganzheitlichen Ansatz geprägt und in dem Methodenframework CHARISMA Information Security Management abgebildet. Das Framework basiert auf der ISO/IEC 27001 und weiteren international anerkannten Best Practice-Ansätzen. Sie erhalten damit ein ISMS, das präzise Ihren individuellen Anforderungen entspricht und sich dynamisch weiterentwickeln lässt. Gleichzeitig ist es so konzipiert, dass die Prozesse im operativen Alltag sehr schlank bleiben.
Eine gute Alternative: Externe Informationssicherheits-Beauftragte
Die Position des Informationssicherheits-Beauftragten, auch als Chief Information Security Officer (CISO) bezeichnet, hat inzwischen eine zentrale Bedeutung in den Sicherheitskonzepten der Unternehmen erlangt. Und sie wird durch das IT-Sicherheitsgesetz nochmals wichtiger. Doch nicht für jedes Unternehmen besteht ein dauerhafter Bedarf an einem CISO. Gerade bei der Zuordnung einer Teilzeit-Verantwortung ist die beständige Weiterbildung und der Aufbau von Erfahrungswissen im Umgang mit sicherheitsrelevanten Situationen oftmals schwierig zu realisieren.
In solchen Fällen stellt der externe Informationssicherheits-Beauftragte eine komfortable Lösung dar. Als externer Spezialist bringt er den Vorteil mit, abseits des Tagesgeschäfts die Informationssicherheit konzentrierter forcieren zu können, und dies mit einem neutraleren Blick als interne Mitarbeiter und ohne interne Abhängigkeiten. Auf diese Weise lassen sich nicht nur ganzheitliche Lösungsansätze einfacher realisieren, sondern auch wirkungsvoller einen Kulturwandel in der Sicherheitsmentalität von Unternehmen vollziehen. Und die erfahrenen Informationssicherheits-Beauftragten von CARMAO bringen hierfür genau diese Voraussetzungen mit.
Risiko Management. Qualität durch Risikostreuung
Die zuverlässige und vertrauliche Informationsverarbeitung ist heute unabdingbar bei der Steuerung von Geschäftsabläufen, in Produktionsprozessen und vielem mehr. IT-Risikomanagement ist daher sowohl für Unternehmen aus wirtschaftlichem Interesse sinnvoll, aber gleichzeitig eine Verpflichtung. Denn zum einen verlangen Kunden beispielsweise von Unternehmen der Finanzbranche entsprechende Prävention gegen bestandsbedrohende Risiken. Auch der Gesetzgeber verpflichtet Geschäftsführungen dazu, bestehende bzw. potenzielle Risiken zu erkennen, zu überwachen und abwehren zu können.
Der Beratungsumfang von CARMAO für das Informationsrisikomanagement ist von einem ganzheitlichen Ansatz geprägt und in dem Methodenframework CHARISMA Information Risk Management abgebildet. Das Framework basiert auf der ISO 31000 sowie der ISO/IEC 27005 und weiteren international anerkannten Best Practise-Ansätzen. Sie erhalten damit ein Risk Management System, das präzise Ihren individuellen Anforderungen entspricht und sich dynamisch weiterentwickeln lässt. Gleichzeitig ist es so konzipiert, dass die Prozesse im operativen Alltag sehr schlank bleiben.
Unsere Consultants verfügen für anspruchsvolle Projektziele über ein Set an intelligenten Vorgehensmethoden, verbunden mit einem umfassenden Know-how in allen relevanten Teildisziplinen der Applikationssicherheit. Und sie können sich auf einen breiten Erfahrungsschatz stützen, resultierend aus vielfältigen Projekten in Mittelstands- und Großunternehmen unterschiedlicher Branchen.
Business Continuity Management
Fallen zeitkritische Geschäftsprozesse und/oder deren unterstützende Ressourcen, wie Personal, Gebäude, Lieferanten oder gar die IT-Infrastruktur aus, ist die Aufrechterhaltung der Betriebsfähigkeit und somit das Erreichen der Geschäftsziele bereits bei kurzfristigen Unterbrechungen stark gefährdet. Ein ganzheitliches, auf Prozesssicht aufsetzendes Notfallmanagement, im Fachjargon als Business Continuity Management bezeichnet, unterstützt durch individuelle Notfallkonzepte bei der Vermeidung, respektive der Bewältigung von Ausnahmesituationen.
Fallen wesentliche Systeme der technischen Infrastruktur längerfristig aus, ist im Regelfall der Produktions- und Geschäftsbetrieb unmittelbar davon betroffen. Um die wirtschaftlichen und weiteren Auswirkungen solcher Probleme zu minimieren, bedarf es eines wirkungsvollen Business Continuity Managements (BCM), das die Ausfallzeiten der Geschäftsprozesse minimiert.
Im Zuge des Business Continuity Managements stimmt CARMAO einen Vorsorgeplan exakt auf Ihr Unternehmen und Ihre Geschäftsziele ab. Handlungsempfehlungen zur Notfallvorsorge, deren Handhabung und die Nachsorge basieren auf den Erkenntnissen umfangreicher Ermittlungen. Kontinuitäts- und Wiederherstellungspläne mit selektiven Tests sorgen für eine jederzeitige Funktionsfähigkeit des individuellen Notfallmanagements. CARMAO richtet sich dabei (am) an der internationalen (Standard) Norm ISO 22301 sowie am Standard 100-4, des BSI sowie an Best Practices aus.
Zum breiten Beratungsportfolio gehört aber nicht nur die Konzeption und Implementierung von Business Continuity Management Systemen (BCMS), sondern ebenso die Reifegradbestimmung bestehender Notfallkonzepte. Jeweils mit großem Branchenverständnis und mit Methoden für eine aufwandsschonende Projektrealisierung.
Retter in der Not: Disaster Recovery
Wenn die IT-Infrastruktur eines Unternehmens nach einem Störungs- oder Katastrophenfall in wichtigen Teilen lahmgelegt ist, dann bedarf es schneller Rettung. „Disaster Recovery“ als wichtiger Baustein der Unternehmensresilienz hilft dabei, wieder Zugriff zu erlangen bzw. die Funktionsfähigkeit wiederherzustellen. Als Spezialist für Unternehmensresilienz zeigen wir auf, welche Maßnahmen notwendig sind, um zum Normalzustand zurückzukehren.
Unterstützung bei Engpässen: Externe BC Manager
Ein wichtiger Managed Service im Sinne der Organisationalen Resilienz ist das Business Continuity Management (BCM). Es bereitet Unternehmen auf Zwischenfälle bzw. Krisen vor. Dabei setzt es auf Maßnahmen, welche die Fortführung der Unternehmensprozesse im Ernstfall absichern.
Verantwortlich dafür ist der Business Continuity Manager (BC Manager). Er prüft, an welchen Punkten das Unternehmen verletzlich ist und erarbeitet einen Notfallplan. Der BC Manager entwickelt das BCM-Programm gemäß den Richtlinien weiter. Damit ist die Widerstandsfähigkeit des Unternehmens gestärkt, und die Betriebsfähigkeit kann in Krisensituationen aufrechterhalten werden.
Wenn einem Unternehmen die Kapazität oder das Know-how fehlt, einen BC Manager zu installieren, kann ein externer BC Manager als Service gebucht werden. Dieser kann vielfältige Aufgaben übernehmen, die im Wesentlichen vom Kontext der Organisation, ihren etablierten Prozessen und der Aufgabenverteilung abhängig sind. Die unterschiedlichen Leistungspakete richten sich nach Komplexität und Größe des zu betreuenden BC Managementsystems.
Zum Aufgabenspektrum zählen in der Regel unter anderem das Konzeptionieren, Implementieren und Optimieren des Business Continuity Managements sowie des Krisenmanagements. Der BC Manager entwickelt zudem operativ anwendbare Strategien für die Notfallversorgung sowie -bewältigung. Auch für die nachhaltige Umsetzung und Einhaltung der konzernweiten Vorgaben ist er zuständig. Zum Aufgabenfeld kann ebenso die Planung und Umsetzung von allgemeinen Schulungs- und Sensibilisierungsmaßnahmen gehören. Mit einem Experten der CARMAO sind Sie dabei auf der sicheren Seite.