Bill Bensing’s Approach to GRC
Bill Bensing’s Ansatz integriert Governance-, Risiko- und Kontrollprozesse direkt in den Softwareentwicklungszykslus und den Systembetrieb und automatisiert diese, um den Gesamtaufwand der Governance drastisch zu reduzieren und den Releaseprozess zu beschleunigen. Zusammen mit CROZ unterstüzt er Unternehmen bei der Einführung und Umsetzung dieses Ansatzes.
Why?
Moderne IT-Umgebungen sind dynamisch und die Zeiten eines einzigen Major Releases pro Jahr sind lange vorbei. Sicherheitslücken müssen sofort gepatcht werden, und dank CI/CD-Pipelines werden kontinuierlich Produkt- und Prozessverbesserungen implementiert.
Aufwendige End-to-End-Tests, die Wochen dauern, sind in modernen, dezentralen (Micro-)Service-Architekturen nicht mehr praktikabel. Steigende Regulierungsanforderungen, die unzweifelhaft ihre Berechtigung haben, führen zu immer riesigeren Datenmengen.
Die klassische Stichprobe über Stichproben ist für eine interne Revision und Wirtschaftsprüfer weder kosteneffektiv noch personell machbar. Die Revision wird somit unweigerlich zu einem Bottleneck/ Engpass in Bezug auf sicherheitsrelevante Softwarereleases.
What?
- Autonomous Assurance:
Bensing schlägt die Automatisierung von Governance-Aufgaben vor, um den manuellen Arbeitsaufwand und Reibungsverluste zu verringern, die traditionell mit diesen Prozessen verbunden sind.
Durch die Automatisierung von Compliance-Prüfungen und Kontrollaktivitäten wie Sicherheitsaudits, Risikobewertungen, materiellrechtliche Prüfungen und andere Fieldwork-Tätigkeiten, können Organisationen sicherstellen, dass diese Aspekte kontinuierlich und konsistent während des gesamten Entwicklungsprozesses angewendet werden. Zu GitOps und DevOps gesellt sich RegOps.
- Governance Engineering:
Governance Engineering ist ein Teamansatz, der zeigt wie die Brücke zwischen Tech-, Audit-, GRC- und Compliance-Funktionen geschlagen werden kann, indem neue Arbeitsweisen definiert werden, ohne dass die Organisation neu geschaffen oder restrukturiert werden muss.
Die Art und Weise der Zusammenarbeit muss sich zu einer kollaborativen Umgebung wandeln, in der Entwickler, Betriebs- und Governance-Experten zusammenarbeiten, um Systeme zu entwickeln und zu pflegen, die von vornherein auch gesetzeskonform sind.
Dieser Ansatz beschleunigt nicht nur den Entwicklungsprozess, sondern stellt auch sicher, dass Governance ein integraler Bestandteil der Entwicklungspipeline ist und nicht eine separate, hinderliche Phase. Das Ziel des Governance Engineering für die GRC- und Audit-Experten sollte darin bestehen, ihre Fähigkeiten und Aufwände auf die Identifizierung und Mitigierung neuer Risiken zu konzentrieren, während Softwareentwicklung und -betrieb sich auf die Ausführung fokusieren. Das Ergebnis für Unternehmen sind Governance-Prozesse, die zu einem festen Bestandteil der täglichen Arbeit werden und keine ab und zu auszuführende Tätigkeit mehr abbilden.
- Continuous Approval To Operate (cATO):
In der neuen Welt werden Softwareänderungen in Echtzeit automatisch auf Einhaltung von Compliance- und Sicherheitsstandards überprüft. Diese kontinuierliche Betriebsgenehmigung (cATO) und Überwachung stellt sicher, dass Abweichungen von den Standards sofort erkannt und behoben werden und so eine schnelle und dennoch konforme Softwarebereitstellung ermöglicht wird.
Die IT-Revision fokusiert sich statt auf Abnahmetests auf die Prüfunng eines adäquaten Ablaufs – den effizienteren, transparenteren und GRC-konformen Softwareentwicklungsprozess – und die Prozessänderungen.
How?
Integration von IT-Governance und DevOps durch:
- Zusammenarbeit und Kommunikation:
Bensing betont den Abbau von Silos zwischen Entwicklungs-, Betriebs- und Governance-Teams. Dieser kollaborative Ansatz stellt sicher, dass alle Beteiligten die Governance-Anforderungen von Anfang an verstehen und sich daran ausrichten.
- Werkzeuge und Automatisierung:
Der Einsatz von Tools zur Automatisierung von Governance-Prozessen, speziell im Zusammenhang mit Assurance Aktivitäten wie materiellrechtliche Prüfungen, hilft dabei diese Praktiken in die CI/CD-Pipeline einzubetten, sodass jede Codeänderung konform und sicher ist, bevor sie in die Produktion gelangt. Dies verringert das Risiko von Non-Compliance und verbessert die allgemeine Softwarequalität und -sicherheit.
- Bildung und Kultur:
Bensing legt Wert darauf, die Teams über die Bedeutung von Governance aufzuklären und eine Kultur zu schaffen, in der Compliance und Sicherheit als gemeinsame Verantwortung angesehen werden und nicht nur als Aufgabe eines separaten Governance-Teams.
Don’t miss our event
Sind Sie daran interessiert, Ihre Compliance- und Audit-Kompetenzen entlang des Software Development Lifecycles zu erweitern? Möchten Sie lernen, wie Sie DevOps Prozesse von manuellen und halbautomatisierten Audits auf autonome Audits umstellen können, um den Release-Zyklus Ihres Unternehmens zu beschleunigen?
Um der Entwicklung voraus zu sein und sicherzustellen, dass Ihr Unternehmen die aktuellen und kommenden Vorschriften, z. B. DORA, einhält, empfehlen wir die Teilnahme an unserem spezialisierten Community-Meetup am 1. oder 2. Oktober in München. Für spezielle Themen sind auch direkte 1:1-Sessions möglich. Diese Workshops bieten fachkundige Anleitungen und praktische Strategien zur Umsetzung der erforderlichen Änderungen. CROZ arbeitet zu diesem Thema mit unserem guten Freund und Partner Bill Bensing zusammen, dem bekannten Autor und Vordenker im Bereich GRC&A (Governance, Risk, Compliance and Assurance).
Verbessern Sie Ihre Assurance und ermöglichen Sie es Ihren Fachleuten, sich auf strategische und taktische Aufgaben, wie Risikoidentifikation und –mitigierung statt auf statische Kontrollverfahren, zu konzentrieren!
Sind Sie an diesem Community-Meetup (1. oder 2. Oktober in München) oder einer spezifischen 1:1-Session interessiert? Kommen Sie gerne auf uns zu!
Get in touch with us
Wir unterstützen Sie von der Analyse Ihrer Potenziale bis hin zur Implementierung eines auf Sie zugeschnittenen, praktikablen Ansatzes.
Ihr Vorteil
- Unser Ansatz integriert die unterschiedlichen Herausforderungen Ihres Unternehmens.
- In unseren Workshops denken wir die organisatorische und kommunikative Wirkung im Unternehmen gleich mit.
- Unsere Methodik spiegelt die Zielbild- und Werteentwicklung in regulierten Branchen.
Gemeinsam finden wir Ihren optimalen Weg für eine bessere und effiziente Umsetzung ihrer GRC Anforderungen.
Melden Sie sich einfach bei uns. Wir sind gerne für Sie da!
Falls Sie Fragen haben, sind wir nur einen Klick entfernt.