Geschäftskritische Anwendungen und Compliance: Warum Brian Tremblay zu Onapsis kam

Von:

2. März 2020

Manchmal gibt es im Leben einen Moment, der die Sichtweise auf den eigenen Karriereweg grundlegend verändert. Genau das ist mir kürzlich bei einem Mittagessen mit Sergio Abraham, dem Leiter der Innovationsabteilung bei Onapsis, passiert. Wir sprachen über eine Vielzahl von Themen rund um Cybersicherheit und Compliance, und am Ende blieb mir ein einziger Gedanke im Kopf: „Ich muss mehr über Onapsis erfahren.“

Sergio und ich haben uns intensiv mit verschiedenen Compliance-Herausforderungen auseinandergesetzt, darüber gesprochen, wie Unternehmen mit Audits umgehen, und welche Rolle Onapsis auf dem Markt spielt. Wir waren uns beide einig, dass Compliance im Allgemeinen nicht immer als Priorität angesehen wird (obwohl sie es sein sollte). Sie existiert aus einem bestimmten Grund: damit Unternehmen ihre Kunden, Mitarbeiter, Partner und Investoren schützen sowie Geschäftsrisiken mindern können. Wenn Unternehmen diese Richtlinien nicht einhalten, können die Folgen – typischerweise in Form von finanziellen und/oder rechtlichen Sanktionen und dem damit verbundenen Verlust an Markenruf – erheblich sein.

Seit mehr als 10 Jahren leite ich Revisionsabteilungen in globalen Unternehmen, und was mir daran am besten gefällt, ist, dass Compliance das gesamte Unternehmen beeinflusst und unterstützt. Wenn man eine Compliance-Initiative begleitet, arbeitet man funktionsübergreifend mit vielen Abteilungen zusammen, lernt deren Arbeitsweise kennen und bringt diese Erfahrungen zurück ins Compliance-Team. Das schafft ein tiefes Verständnis für die Herausforderungen und Chancen, mit denen ein Unternehmen täglich konfrontiert ist. Und es ermöglicht den Audit- und Compliance-Teams zu verstehen, wie sie die gesamte Organisation am besten unterstützen, absichern und die Branchenstandards erfüllen können.

Unternehmen müssen sich jedoch bewusst sein, dass sie möglicherweise nie alle Vorschriften vollständig einhalten können. Fast immer gibt es mehrere Compliance-Standards, die ein Unternehmen erfüllen muss, und es wäre ein enormer Verwaltungsaufwand, diese jederzeit vollständig einzuhalten. Oftmals lässt die Motivation nach, sobald ein Unternehmen ein Audit abgeschlossen hat, was dazu führt, dass das Thema bis zum nächsten Audit in Vergessenheit gerät.

Aus diesem Grund reagiert praktisch jedes Unternehmen nur reaktiv auf Änderungen im Compliance-Bereich. Für den Erfolg ist es entscheidend, die Umsetzung neuer Compliance-Programme (oder Änderungen an bestehenden Programmen aufgrund von Gesetzesänderungen) in kleinen, überschaubaren Schritten zu planen. Beginnen Sie frühzeitig und richten Sie innerhalb Ihres Unternehmens einen Lenkungsausschuss ein, der die Verantwortung für das Projekt und dessen langfristigen Erfolg übernimmt. Sorgen Sie für regelmäßige Treffen und messen Sie den Fortschritt anhand der zu erreichenden Ziele. Auf diese Weise habe ich die Umsetzung von Standards wie SOX mehrfach angegangen, und das Endergebnis ist oft eine wesentlich reibungslosere Erfahrung für alle bei der Inbetriebnahme sowie die Fähigkeit, das Programm langfristig aufrechtzuerhalten.

Wenn ich an mein Gespräch mit Sergio während der Mittagspause zurückdenke, hat mich vor allem fasziniert, wie dieses wachstumsstarke Cybersicherheitsunternehmen, Onapsis, ein unschätzbares Tool bereitstellt, das nicht nur die Einhaltung von Vorschriften vereinfacht, sondern auch sensible Geschäftsdaten schützt.

Die Compliance bei geschäftskritischen Anwendungen, die die Platformunterstützt, unterscheidet sich von der allgemeinen Compliance. Ich meine, dies sind die zentralen Knotenpunkte der Geschäftsprozesse globaler Unternehmen – hier befinden sich Kunden-, Vertriebs-, Finanz-, Produkt-, Service- und Mitarbeiterdaten sowie Geschäftsgeheimnisse. Die meisten Unternehmen betrachten ihre geschäftskritischen Anwendungen nicht auf diese Weise – sie verlassen sich einfach darauf, dass sie funktionieren, ohne weiter darüber nachzudenken. Das heißt, bis ihnen bewusst wird, was eine Störung dieser Anwendungen sowohl für ihr Unternehmen als auch für die Stakeholder bedeutet. 

Unabhängig davon, worauf Störungen zurückzuführen sind – ob auf interne oder externe Faktoren, Sicherheits- oder Compliance-Gründe –, müssen Unternehmen über einen Plan verfügen, um das Problem zu identifizieren, zu beheben und zu verstehen, wie sich das Risiko eines erneuten Auftretens verringern lässt. Mit der richtigen Strategie und den richtigen Tools können Unternehmen sich auf den Schutz ihrer geschäftskritischen Anwendungen verlassen und gleichzeitig eine Vielzahl von Compliance-Vorschriften erfüllen.

Das ist die Chance, die mich bei Onapsis am meisten begeistert. Es gibt einen ganz klaren Zusammenhang zwischen Cybersicherheit und Compliance, über den nicht genug gesprochen oder der nicht ausreichend anerkannt wird. Es bedarf klarer Leitlinien und präziserer Erwartungen an Unternehmen, damit diese Risiken managen, Compliance-Standards erfüllen und die Sicherheit ihrer Organisation stärken können. Durch meinen Einstieg bei Onapsis werde ich Teil der Geschichte eines Unternehmens, das unsere Sichtweise auf Compliance, unser Verständnis von Risiken und sogar die Art und Weise, wie wir Audits durchführen, neu definiert. Wer würde sich diese Chance entgehen lassen wollen

Stichworte,
Über den Autor

Brian Tremblay

Brian Tremblay leitet den Bereich Compliance bei Onapsis und kann dabei auf über 20 Jahre Erfahrung in den Bereichen interne Revision und Risikomanagement zurückgreifen. Als ehemaliger Chief Audit Executive verfügt er über fundierte praktische Erfahrung bei der Vorbereitung von Unternehmen auf Börsengänge und der Umsetzung wichtiger Rahmenwerke wie SOX und DSGVO. Dank seiner fundierten Kenntnisse im Bereich IT-General Controls und der Einhaltung gesetzlicher Vorschriften kann Brian Kunden dabei unterstützen, Risiken im Zusammenhang mit ihren geschäftskritischen Anwendungen zu minimieren. Seine Tätigkeit bei globalen Unternehmen wie Raytheon und Deloitte macht ihn zu einer anerkannten Autorität für auditfähige SAP-Systeme und die Überbrückung der Kluft zwischen Sicherheit und Compliance.

Mehr über diesen Autor
Zurück zum Blog

Weiterführende Literatur

Blog

Wie der Verizon DBIR 2026 das Paradoxon bei der Behebung von Sicherheitslücken in SAP verdeutlicht

Jedes Jahr nimmt sich die Sicherheitsbranche Zeit, um den „Verizon Data Breach Investigation Report“ zu analysieren. Als maßgebliche, datengestützte Analyse darüber, wie Sicherheitsverletzungen in der Praxis ablaufen, bietet der Bericht einen unschätzbaren Realitätscheck. Für diejenigen unter uns, deren Aufgabe es ist, die zentralen Geschäftsanwendungen zu schützen, die die Weltwirtschaft am Laufen halten (insbesondere SAP- und Oracle-ERP-Systeme), ist der Mandiant…

Weiterlesen
Blog

Umsetzung der DORA-Konformität: Absicherung von SAP anhand der fünf Kernsäulen

Da das Gesetz zur digitalen Betriebsresilienz (DORA) nun aktiv durchgesetzt wird, müssen Finanzinstitute den Übergang von der theoretischen Governance zur technischen Umsetzung vollziehen. Die Einbindung dieser strengen Vorgaben in eine umfassende SAP-GRC-Strategie ist unerlässlich. Die Aufsichtsbehörden verlangen den eindeutigen Nachweis, dass kritische Infrastrukturen, einschließlich unternehmensweiter SAP-Umgebungen, schweren Cybervorfällen standhalten und sich davon erholen können. Dieser technische Leitfaden beleuchtet…

Weiterlesen