Deutsch-flag Deutsch
Englisch-flag
Englisch en
News > GRC – Autonomous Assurance
4 Min reading time

GRC – Autonomous Assurance

12. 08. 2024

Bill Bensing’s Approach to GRC

Bill Bensing’s Ansatz integriert Governance-, Risiko- und Kontrollprozesse direkt in den Softwareentwicklungszykslus und den Systembetrieb und automatisiert diese, um den Gesamtaufwand der Governance drastisch zu reduzieren und den Releaseprozess zu beschleunigen. Zusammen mit CROZ unterstüzt er Unternehmen bei der Einführung und Umsetzung dieses Ansatzes.

Why?

Moderne IT-Umgebungen sind dynamisch und die Zeiten eines einzigen Major Releases pro Jahr sind lange vorbei. Sicherheitslücken müssen sofort gepatcht werden, und dank CI/CD-Pipelines werden kontinuierlich Produkt- und Prozessverbesserungen implementiert.

Aufwendige End-to-End-Tests, die Wochen dauern, sind in modernen, dezentralen (Micro-)Service-Architekturen nicht mehr praktikabel. Steigende Regulierungsanforderungen, die unzweifelhaft ihre Berechtigung haben, führen zu immer riesigeren Datenmengen.

Die klassische Stichprobe über Stichproben ist für eine interne Revision und Wirtschaftsprüfer weder kosteneffektiv noch personell machbar. Die Revision wird somit unweigerlich zu einem Bottleneck/ Engpass in Bezug auf sicherheitsrelevante Softwarereleases.

What?

  • Autonomous Assurance:
    Bensing schlägt die Automatisierung von Governance-Aufgaben vor, um den manuellen Arbeitsaufwand und Reibungsverluste zu verringern, die traditionell mit diesen Prozessen verbunden sind.

    Durch die Automatisierung von Compliance-Prüfungen und Kontrollaktivitäten wie Sicherheitsaudits, Risikobewertungen, materiellrechtliche Prüfungen und andere Fieldwork-Tätigkeiten, können Organisationen sicherstellen, dass diese Aspekte kontinuierlich und konsistent während des gesamten Entwicklungsprozesses angewendet werden. Zu GitOps und DevOps gesellt sich RegOps.
  • Governance Engineering:
    Governance Engineering ist ein Teamansatz, der zeigt wie die Brücke zwischen Tech-, Audit-, GRC- und Compliance-Funktionen geschlagen werden kann, indem neue Arbeitsweisen definiert werden, ohne dass die Organisation neu geschaffen oder restrukturiert werden muss.

    Die Art und Weise der Zusammenarbeit muss sich zu einer kollaborativen Umgebung wandeln, in der Entwickler, Betriebs- und Governance-Experten zusammenarbeiten, um Systeme zu entwickeln und zu pflegen, die von vornherein auch gesetzeskonform sind.

    Dieser Ansatz beschleunigt nicht nur den Entwicklungsprozess, sondern stellt auch sicher, dass Governance ein integraler Bestandteil der Entwicklungspipeline ist und nicht eine separate, hinderliche Phase. Das Ziel des Governance Engineering für die GRC- und Audit-Experten sollte darin bestehen, ihre Fähigkeiten und Aufwände auf die Identifizierung und Mitigierung neuer Risiken zu konzentrieren, während Softwareentwicklung und -betrieb sich auf die Ausführung fokusieren. Das Ergebnis für Unternehmen sind Governance-Prozesse, die zu einem festen Bestandteil der täglichen Arbeit werden und keine ab und zu auszuführende Tätigkeit mehr abbilden.
  • Continuous Approval To Operate (cATO):
    In der neuen Welt werden Softwareänderungen in Echtzeit automatisch auf Einhaltung von Compliance- und Sicherheitsstandards überprüft. Diese kontinuierliche Betriebsgenehmigung (cATO) und Überwachung stellt sicher, dass Abweichungen von den Standards sofort erkannt und behoben werden und so eine schnelle und dennoch konforme Softwarebereitstellung ermöglicht wird.

Die IT-Revision fokusiert sich statt auf Abnahmetests auf die Prüfunng eines adäquaten Ablaufs – den effizienteren, transparenteren und GRC-konformen Softwareentwicklungsprozess – und die Prozessänderungen.

How?

Integration von IT-Governance und DevOps durch:

  • Zusammenarbeit und Kommunikation:
    Bensing betont den Abbau von Silos zwischen Entwicklungs-, Betriebs- und Governance-Teams. Dieser kollaborative Ansatz stellt sicher, dass alle Beteiligten die Governance-Anforderungen von Anfang an verstehen und sich daran ausrichten.
  • Werkzeuge und Automatisierung:
    Der Einsatz von Tools zur Automatisierung von Governance-Prozessen, speziell im Zusammenhang mit Assurance Aktivitäten wie materiellrechtliche Prüfungen, hilft dabei diese Praktiken in die CI/CD-Pipeline einzubetten, sodass jede Codeänderung konform und sicher ist, bevor sie in die Produktion gelangt. Dies verringert das Risiko von Non-Compliance und verbessert die allgemeine Softwarequalität und -sicherheit.
  • Bildung und Kultur:
    Bensing legt Wert darauf, die Teams über die Bedeutung von Governance aufzuklären und eine Kultur zu schaffen, in der Compliance und Sicherheit als gemeinsame Verantwortung angesehen werden und nicht nur als Aufgabe eines separaten Governance-Teams.

Don’t miss our event

Sind Sie daran interessiert, Ihre Compliance- und Audit-Kompetenzen entlang des Software Development Lifecycles zu erweitern? Möchten Sie lernen, wie Sie DevOps Prozesse von manuellen und halbautomatisierten Audits auf autonome Audits umstellen können, um den Release-Zyklus Ihres Unternehmens zu beschleunigen?

Um der Entwicklung voraus zu sein und sicherzustellen, dass Ihr Unternehmen die aktuellen und kommenden Vorschriften, z. B. DORA, einhält, empfehlen wir die Teilnahme an unserem spezialisierten Community-Meetup am 1. oder 2. Oktober in München. Für spezielle Themen sind auch direkte 1:1-Sessions möglich. Diese Workshops bieten fachkundige Anleitungen und praktische Strategien zur Umsetzung der erforderlichen Änderungen. CROZ arbeitet zu diesem Thema mit unserem guten Freund und Partner Bill Bensing zusammen, dem bekannten Autor und Vordenker im Bereich GRC&A (Governance, Risk, Compliance and Assurance).

Verbessern Sie Ihre Assurance und ermöglichen Sie es Ihren Fachleuten, sich auf strategische und taktische Aufgaben, wie Risikoidentifikation und –mitigierung statt auf statische Kontrollverfahren, zu konzentrieren!

Sind Sie an diesem Community-Meetup (1. oder 2. Oktober in München) oder einer spezifischen 1:1-Session interessiert? Kommen Sie gerne auf uns zu!

Get in touch with us

Wir unterstützen Sie von der Analyse Ihrer Potenziale bis hin zur Implementierung eines auf Sie zugeschnittenen, praktikablen Ansatzes.

Ihr Vorteil

  • Unser Ansatz integriert die unterschiedlichen Herausforderungen Ihres Unternehmens.
  • In unseren Workshops denken wir die organisatorische und kommunikative Wirkung im Unternehmen gleich mit.
  • Unsere Methodik spiegelt die Zielbild- und Werteentwicklung in regulierten Branchen.

Gemeinsam finden wir Ihren optimalen Weg für eine bessere und effiziente Umsetzung ihrer GRC Anforderungen.

Melden Sie sich einfach bei uns. Wir sind gerne für Sie da!

Written by: CROZ

Published August 12, 2024

Categories

News

Tags

AUTOMATION GRC

Abonnieren

News

Monatliche News

0800-DEVOPS Opt-In
Mighty Mainframe Opt-In
AI à la carte Opt-In
Consent(Required)
Diese Website ist durch reCAPTCHA geschützt und es gelten die Datenschutzrichtlinie und die Nutzungsbedingungen von Google.

Archiv

Entdecken Sie unser News-Archiv

News
Kontakt

Falls Sie Fragen haben, sind wir nur einen Klick entfernt.

Möchten Sie über unsere Neuigkeiten informiert werden (Opt-In)?
Consent(Required)
Diese Seite ist durch reCAPTCHA geschützt. Es gelten die Datenschutzrichtlinie und die Nutzungsbedingungen von Google.

Kontaktieren Sie uns

Vereinbaren Sie einen Termin mit einem Experten

Aktuelle News

mike-kononov-lFv0V3_2H6s-unsplash-scaled
Operations Support Strategy

DORA – New Standards for Contract Management
human-hands-thumbs-up-thumbs-down-sign-concept-header
DevOps

0800-DEVOPS #48 – Governance Engineering with Bill Bensing
investments-unlimited-480
DevOps

DevOps automated governance with Bill Bensing and John Willis
shield-header
Engineering Operations Support

A practical guide to implementing DORA (1)