Mannheim, 20. April 2023 – Das Risikomanagement ist eine umfangreiche und abstrakte Aufgabe, die oft viele Kapazitäten bindet. Für einen schnelleren und transparenten Prozess bietet die JobRouter AG jetzt das JobRouter® GRC Portal. Mit der Lösung können Unternehmen bedeutsame Risiken gemäß den Grundsätzen der Governance, Risk and Compliance (GRC) erkennen, bewerten und dokumentieren. Der Softwarehersteller hat das GRC-Portal speziell für das digitale Informationssicherheits-Risikomanagement nach ISO 27001 entwickelt, es lässt sich aber auch unabhängig von einem Zertifizierungsprozess verwenden. „Wir spüren eine hohe Nachfrage, und erste Kunden sind bereits an Bord. Mit der Weiterentwicklung des Portals werden wir auch unser Partnernetzwerk ausbauen“, sagt Axel Ensinger, Co-CEO der JobRouter AG.
Digitale Durchführung zu 100 Prozent
Bei einer typischen Risikoanalyse muss jede Abteilung 30 oder mehr Unternehmenswerte, sogenannte Assets, erfassen sowie hinsichtlich ihres Risikopotenzials bewerten und behandeln. Anstatt – wie meist üblich – unübersichtliche, fehleranfällige Excel-Listen zu führen, können Anwender mit dem GRC-Portal von JobRouter alle Unternehmensrisiken in einer einzigen Webapplikation managen. Jennifer Schmalbach, JobRouter-Informationssicherheitsbeauftragte, führt aus: „Die Risikoanalyse erfolgt deutlich schneller und spart zeitliche sowie personelle Ressourcen.“ So ist auf dem Dashboard der JobRouter®-Lösung der Bearbeitungsstatus je Fachabteilung immer aktuell einsehbar, was den Prozess transparent gestaltet. Identifizierte Risiken inklusive dazugehöriger Maßnahmen lassen sich jederzeit als Snapshots für Audits exportieren.
Zeitersparnis: wenige Stunden statt zwei Monate
JobRouter hat das GRC-Portal auf Basis seiner branchenübergreifenden Low-Code-Digitalisierungssoftware JobRouter® entwickelt. Das Portal nutzt alle dort vorhandenen Funktionalitäten für Prozesse, Daten und Dokumente. Schmalbach: „Die Entwicklung ist einem Eigenbedarf entsprungen. Das jährlich wiederkehrende Risikomanagement im Rahmen unserer ISO 27001-Zertifizierung hat enorm viel Zeit beansprucht.“ Um Abhilfe zu schaffen, entwickelte Schmalbach das Grundgerüst des Portals mittels Low-Code binnen weniger Tage. Den Zeitraum für die Risikoanalyse konnte JobRouter so von rund zwei Monaten auf vier bis maximal acht Stunden pro Fachabteilung verkürzen. Das GRC-Team bei JobRouter baut das Portal seitdem weiter aus und arbeitet zum Beispiel aktuell an einem Dokumentenerstellungs- und Freigabeprozess sowie am Business Continuity Management. Auch Kunden-Feedback fließt in die weitere Entwicklungsarbeit mit ein, um eine möglichst anwenderfreundliche Lösung zu schaffen.
In drei Schritten zur erfolgreichen Risikoanalyse
1. Asset-Bewertung: Bei einer Risikoanalyse werden zunächst Assets wie Geschäftsprozesse, Personen, Dokumente oder IT-Infrastruktur gesammelt. Verantwortliche im Unternehmen definieren, ermitteln und dokumentieren Bedrohungen und führen eine Schutzbedarfsanalyse durch.
2. Risikobeurteilung und -behandlung: In der Risikobeurteilung bewertet der Asset Owner die gesammelten Assets, ohne dass er bereits vorhandene Maßnahmen miteinbezieht. Er ermittelt die Schwachstellen der einzelnen Risiken, die Schadenshöhe und definiert die jeweilige Eintrittswahrscheinlichkeit. Im nächsten Schritt hinterlegt der Asset Owner Maßnahmen, um die Risiken zu beseitigen und das Restrisiko zu ermitteln. Dieses kann ein Unternehmen zum Beispiel mit einer Versicherung übertragen.
3. Prüfung Risikoanalyse: Im letzten Schritt prüft der (Chief) Information Security Officer, ob die Risikobeurteilung und -behandlung vollständig und inhaltlich korrekt ist.