Ihre GRC-Lösung ist die tragende Säule Ihres Risikomanagement- und Compliance-Teams. Daher ist es von entscheidender Bedeutung, dass Ihre Technologie keine Sicherheitslücken aufweist und bei Bedarf problemlos aktualisiert werden kann.

Für das Hosting Ihrer GRC-Plattform hat Ihr Unternehmen zwei Möglichkeiten: in der Cloud und On Premises, also vor Ort. Wir analysieren die Vor- und Nachteile beider Optionen.

On Premises

Wenn Sie sich dafür entscheiden, Ihre GRC-Plattform vor Ort zu hosten, bedeutet das, dass sie unternehmensinterne Server und IT-Infrastruktur für den Betrieb der Software nutzen.

• Wartung und Speicherung. Sie sind uneingeschränkt verantwortlich für die Verfügbarkeit des Servers sowie für die Aktualisierung und Konfiguration der Anwendungen. Sie benötigen spezialisierte Techniker, die genau wissen, wie man die Server wartet und Updates verwaltet. Außerdem gibt es eine Obergrenze für die Datenmenge, die jeder Server speichern kann. Deshalb sollten Sie darauf vorbereitet sein, zusätzlich Server einzusetzen, wenn mehr Speicherplatz benötigt wird. Die Implementierung von On-Prem-Lösungen kann auch mehr Zeit in Anspruch nehmen als bei Cloud-Lösungen, weil Sie zunächst die Installation auf Ihrem Server abschließen müssen, bevor Sie sie auf den einzelnen Computerarbeitsplätzen durchführen können.
• Kosten. Sie erwerben eine Softwarelizenz, anstatt eine monatliche Nutzungsgebühr zu zahlen. Die Lizenzkosten können anfangs hoch sein. Darüber hinaus tragen Sie die laufenden Kosten der Serverwartung und die Kosten für den Energieverbrauch. Auch wenn die Lizenzgebühren unter Umständen niedriger sind als die monatlichen Kosten für einen SaaS-Dienst, kann es Jahre dauern, bis Sie kostendeckend arbeiten, um dann möglicherweise festzustellen, dass sich Ihr Softwarebedarf geändert hat.
• Sicherheit. Viele Unternehmen denken, dass eine On-Premises-Softwarelösung sicherer ist als eine cloudbasierte Lösung. Allerdings ist das nicht immer der Fall. Da On-Prem-Software nur von Ihren Mitarbeitern aktualisiert werden kann, werden Sicherheits-Patches nicht automatisch installiert, sodass Ihre Software anfällig für Hackerattacken ist. Das war auch der Grund für einen kürzlich erfolgten Angriff auf die On-Premises-Version von Microsoft Exchange Server, von dem über 30.000 Organisationen in den Vereinigten Staaten betroffen waren. Statt spezialisierter Administratoren sind in Unternehmen, die On-Premises-Software einsetzen, häufig IT-Generalisten für die Software-Updates zuständig. Das bedeutet, dass diese Tools extrem anfällig für Angriffe sind.

Cloud

Beim Wechsel zu einer Cloud-Umgebung wird Ihre Anwendung auf den Servern Ihres Anbieters gehostet, und Sie können von jedem Gerät aus darauf zugreifen, unabhängig davon, wo Sie sich gerade befinden.

• Wartung und Speicherung. Erfahren Sie, wie Galvanize dazu beigetragen hat, mit einer integrierten und einheitlichen GRC-Plattform einzelne Mitarbeiter zu stärken und Unternehmen zu schützen. Der Anbieter ist auch für die Verwaltung der Updates verantwortlich, die automatisch erfolgen sollten. Und da sich Ihr Unternehmen Serverplatz mit anderen Kunden teilt, haben Sie die Möglichkeit, den Speicherplatz nach Bedarf rasch zu vergrößern oder zu verkleinern.
• Kosten. Anstatt im Voraus eine Lizenz zu erwerben, zahlen Sie für eine SaaS-Lösung in der Regel monatliche Raten. Dabei richtet sich die Gebühr nach dem Umfang der benötigten Dienste und der Anzahl der Benutzer. Vorabinvestitionskosten entfallen also und die Höhe der Gebühr wird normalerweise für einen Zeitraum von 12 bis 24 Monaten, gegebenenfalls sogar länger, garantiert. Außerdem können Sie problemlos Upgrade durchführen und zusätzliche Dienste oder Benutzer hinzufügen, ohne die Anwendung manuell aktualisieren zu müssen.
• Sicherheit. Die Sicherheit eines cloudbasierten GRC-Tools hängt zwar von der jeweiligen Software ab, viele haben jedoch höhere Sicherheitsstandards als On-Premises-Lösungen. Sicherheits-Patches werden sofort für alle Anwendungen Ihrer Benutzer installiert, sodass Sie sich bei der Durchführung von Updates nicht mehr auf interne Mitarbeiter verlassen müssen. Um ein hohes Maß an Sicherheit zu gewährleisten, sollten Sie eine Plattform wählen, die ihre Daten verschlüsselt und über eine staatliche Zertifizierung verfügt, die die Einhaltung der Sicherheitsvorschriften belegt. Die HighBond-Plattform von Galvanize erhielt beispielsweise 2019 von der US-Regierung die Genehmigung der FedRAMP Agency, da die Plattform die von den US-Behörden geforderten strengen Vorgaben zur Cybersicherheit erfüllt. In diesem Jahr haben wir eine weitere Zertifizierung bekannt gegeben—die 'Level 5 Authorization' des Verteidigungsministeriums, mit der bestätigt wird, dass unsere Plattform für die Verwaltung einsatzkritischer Arbeiten des US-Verteidigungsministeriums und andere Regierungsbehörden geeignet ist.

Bewertung Ihre Optionen

Für bestimmte Unternehmen kann On-Prem-Software aufgrund von Compliance-Anforderungen erforderlich sein. Der großen Mehrzahl der Unternehmen steht es jedoch frei, in die Cloud zu wechseln. Und da viele Anbieter von cloudbasierter Software sichergestellt haben, dass ihre Lösungen sicher und stabil genug für den Einsatz in Unternehmen und Behörden sind, ist ihre Akzeptanz sprunghaft gestiegen. Gartner prognostiziert, dass die öffentlichen Ausgaben für Cloud-Lösungen 2021 weltweit um 23 % steigen werden:

Die COVID-19-Pandemic und der Trend zu immer mehr dezentralen Teams haben gezeigt, wie gefährlich es ist, sich auf On-Premises-Lösungen und -Infrastruktur zu verlassen. Wenn Sie der digitalen Transformation gegenüber offen sind und einen sicheren Tech-Stack aus cloudbasierten Tools aufbauen, können Sie nachts gut schlafen, denn Sie wissen, dass Ihre Teams über die technischen Voraussetzungen verfügen, jederzeit und von überall arbeiten können, ohne dass dabei die Sicherheit Ihres Unternehmens gefährdet ist.

Wenn Sie ein cloudbasiertes GRC-Tool auswählen, sollten Sie sich die Zeit nehmen, das Produkt zu testen, und sicherstellen, dass es Ihren Anforderungen gerecht wird. Im Idealfall sollte es eine integrierte Plattform enthalten, auf der Ihr gesamtes Risikomanagementteam zusammenarbeiten und Daten austauschen kann. Darüber hinaus sollte es in der Lage sein, gängige Compliance-Workflows zu automatisieren und gleichzeitig visuelle Darstellungen und Echtzeit-Analysen bereitstellen, die Ihnen helfen, das Risikoniveau für die wichtigsten Risikofaktoren abzuschätzen.

Wichtig ist auch, dass die finanzielle Situation Ihres Anbieters stabil ist und er in der Vergangenheit Behörden- und Unternehmenskunden seine Dienste angeboten hat, ohne dass es zu Datenpannen kam. Achten Sie auf Zertifikationen, die sein Engagement für die Cybersicherheit belegen, wie die oben erwähnten FedRAMP- und IL5 Zertifikationen.

Der Wechsel von einer On-Premises- zu einer cloudbasierten Lösung ist Vertrauenssache. Mit dem richtigen Partner wird er Ihnen jedoch viele Vorteile bringen. Das Ergebnis liegt auf der Hand: Eine cloudbasierte GRC-Lösung ist der Weg in die Zukunft.