Können wir von Pablo Escobar etwas über Risikomanagement lernen?
Geschrieben von Dudley Cartwright
CEO von Soterion
Pablo Escobar ist einer der berüchtigtsten Narco-Terroristen unserer Zeit. Sein Name ist ein Synonym für illegale Drogen, brutale Morde und ein bemerkenswertes Talent, sich der Festnahme zu entziehen. Weniger bekannt ist er vielleicht als Experte für das Management von Zugangsrisiken.
In Wahrheit war die Risikominderung eine der größten Errungenschaften von Pablo Escobar, und die Art und Weise, wie er operierte, liefert uns einige großartige Prinzipien, die wir auf die SAP-Sicherheit und das Management von Zugangsrisiken anwenden können.
Ich will Escobars Eskapaden keineswegs verherrlichen, aber Tatsache ist, dass er eine milliardenschwere Industrie mit vielen beweglichen Teilen leitete - und das alles ohne die Hilfe der ausgefeilten Technologie, zu der viele von uns heute Zugang haben. Das ist keine kleine Leistung.
Auch wenn ich Ihnen nicht vorschlage, ein Verbrechen zu begehen, können Sie von Escobar einige wichtige Lehren für das Risikomanagement, die Erhöhung der SAP-Sicherheit und die Verbesserung des Zugangsrisikomanagements in Ihrem Unternehmen ziehen.
Die drei Verteidigungslinien der SAP-Sicherheit
Escobars größte Angst war es, gefasst und an die USA ausgeliefert zu werden. Wie ist es also möglich, dass er 10 bis 15 Jahre lang die meistgesuchte Person der Welt war, dass jeder die Stadt kannte, in der er sich aufhielt, und dass einige der mächtigsten Regierungsbehörden ihn nicht fassen konnten?
Die Antwort ist, dass Escobar ein brillanter Risikomanager war. Er hatte nicht nur eine sehr klare Vorstellung von seinen Risiken, sondern er setzte auch eine Strategie um, die besser als jede andere Organisation heute ist, um diese Risiken zu mindern.
Escobar schätzte und perfektionierte die drei Verteidigungslinien. Auch im Geschäftsleben gibt es drei Verteidigungslinien, wenn es um die SAP-Sicherheit geht:
- Erste Linie: Operative/geschäftliche Nutzer
- Zweite Linie: Risiko-/Compliance-Abteilungen
- Dritte Linie: Audit- und Versicherungsabteilungen
Ihre erste Verteidigungslinie sollte Ihre stärkste sein
Escobar hat eine außergewöhnlich wirksame erste Verteidigungslinie eingerichtet.
In seiner Stadt Medellin war er fast unantastbar. Er erkannte, wie wichtig es ist, viele Augen und Ohren vor Ort zu haben, und so gab es alle Gesellschaftsschichten, die ihn mit Informationen versorgten, wenn es ein Risiko gab. Von Straßenkindern bis zu Großmüttern, die an Straßenecken Essen verkauften - sobald etwas verdächtig aussah, wurde Escobar informiert.
Wenn ein Westler auf dem Flughafen von Medellin ankam, nahm man an, er sei ein DEA-Agent und würde verfolgt und überwacht werden. Als die kolumbianische Armee gegen Escobar vorging, bemerkte ein Straßenverkäufer, dass viele Armeelaster die Kaserne verließen, und dachte, dass dies nur einen Grund haben konnte - und alarmierte Escobar.
Man könnte argumentieren, dass Escobars zweite Verteidigungslinie die Bestechung der Polizei und der Armee war. Seine dritte Verteidigungslinie war möglicherweise seine Armee von Attentätern. Allerdings war Escobars erste Verteidigungslinie insofern am effektivsten, als sie ihn am häufigsten aus Schwierigkeiten herausholte.
Auch für Organisationen gilt: Ihre erste Verteidigungslinie sollte immer die stärkste sein.
Die erste Verteidigungslinie eines Unternehmens sind in der Regel die Mitarbeiter (Super-/Schlüsselanwender), die seit 15 bis 20 Jahren im Unternehmen tätig sind. Sie kennen ihren Unternehmensbereich und ihre Geschäftsprozesse besser als jeder andere.
Leider ist dies in den meisten Unternehmen die schwächste Verteidigungslinie. Das liegt nicht daran, dass diese Mitarbeiter die Risiken in ihrem Bereich nicht kennen, sondern daran, dass die Organisation nicht die richtigen Verfahren und Lösungen eingeführt hat, um diese Nutzer in die Lage zu versetzen, sich an den Risikomanagementaktivitäten zu beteiligen.
Stärken Sie Ihre erste Verteidigungslinie mit geschäftsorientierten Lösungen
Wenn Sie über Mitarbeiter verfügen, die entweder seit vielen Jahren in Ihrem Unternehmen tätig sind und/oder über fundierte Kenntnisse ihres Geschäftsbereichs sowie ein klares Verständnis der Risiken verfügen, sind Sie in einer guten Position.
Es reicht jedoch nicht aus, diese Personen zur Verfügung zu haben.
Sie müssen sie mit den richtigen Lösungen und Prozessen ausstatten, um Zugangsrisiken zu verwalten und die SAP-Sicherheit zu stärken.
Allzu oft kommt es vor, dass Unternehmen komplexe Lösungen implementieren, die für die Geschäftsanwender zu technisch sind, was dazu führt, dass die Lösungen nicht ausreichend genutzt werden oder überflüssig sind. Bestenfalls werden diese technischen Lösungen als "Back-End"-Lösungen von der IT-Abteilung oder dem technischen Team genutzt.
Wenn dies geschieht, verlieren Sie Ihre erste Verteidigungslinie.
Mehr wie Escobar sein (ohne Drogen und Todesfälle)
Escobar führte ein System und einen Prozess ein, bei dem die Mitarbeiter vor Ort effektiv als erste Verteidigungslinie fungieren konnten. Diese "First Liner" wurden darüber informiert, was für Escobar ein Risiko darstellte. Wenn ein Risiko erkannt wurde, gab es ein klares Verfahren, mit dem die First-Liner diese Informationen an die zuständigen Personen im Unternehmen weiterleiten konnten. Escobar ermächtigte seine First-Liner, Alarm zu schlagen, wenn sie etwas bemerkten, das ein Risiko darstellte.
Auch wenn Sie vielleicht nicht über die Waffen verfügen, die Escobar hatte, so haben Sie doch eine mächtige Waffe im Risikomanagement zur Verfügung - loyale und erfahrene operative und geschäftliche Nutzer.
Indem Sie die Akzeptanz in Ihrem Unternehmen erhöhen und Ihre erste Verteidigungslinie verbessern, wird Ihr Unternehmen risikobewusster und kann Sicherheitsbedrohungen schneller erkennen und darauf reagieren.
Damit Ihr Unternehmen die besten Chancen hat, Risiken zu bekämpfen, müssen Sie Ihre Benutzer mit den richtigen Waffen ausstatten - und eine Ihrer besten Waffen ist heute eine geschäftsfreundliche GRC-Lösung. Indem Sie Ihren Mitarbeitern Werkzeuge an die Hand geben, die sie nicht nur verstehen, sondern auch ohne Scheu anwenden können, befähigen Sie sie, die Risiken Ihres Unternehmens effektiv zu verwalten.
Wie kann Soterion Ihnen helfen?
Soterion ist Marktführer im Bereich Business-zentriertes GRC. Durch die Umwandlung der technischen GRC-Sprache in eine Sprache, die die Geschäftsanwender verstehen können, erleichtern wir die Akzeptanz und Verantwortlichkeit der Unternehmen.
Sie können uns eine E-Mail schicken an [email protected]. Wir helfen Ihnen, Ihr GRC auf die nächste Stufe zu heben.
