Weiter zum Inhalt

8 Aspekte des ServiceNow Washington DC Release für IRM

#Cybersecurity#IRM#ServiceNow#Washington DC Release
8 Aspects of the ServiceNow Washington DC Release for IRM

ServiceNow’s neuestes Release Washington DC ist da und bringt eine Reihe von aufregenden neuen Funktionen für die Integrated Risk Management (IRM) Anwendung. Die neue Version bietet eine Reihe von Innovationen, die darauf abzielen, Risikobewertungen zu rationalisieren, Genehmigungen zu automatisieren und tiefere Einblicke in die IT-Nachhaltigkeit zu gewinnen. Im Folgenden werden einige der wichtigsten Funktionen vorgestellt, die die Art und Weise, wie Sie Risiken und Compliance in Ihrem Unternehmen verwalten, verändern werden.

Richtlinien- und Compliance-Management

Dynamische Genehmigungskonfiguration für einen Richtliniendatensatz

Mit dieser neuen Funktion können Sie eine dynamische Genehmigungskonfiguration für einen Richtliniendatensatz einrichten. Sie können mehrere Genehmigungsstufen auf der Grundlage von Faktoren wie Policentyp, Standort oder Eigentümer definieren. Dadurch entfällt die manuelle Konfiguration für jede einzelne Richtlinie. Das System identifiziert automatisch die geeigneten Prüfer auf der Grundlage vordefinierter Regeln, um sicherzustellen, dass die richtigen Personen beteiligt sind.

Die wichtigsten Vorteile:

  • Verringerung des Verwaltungsaufwands im Vergleich zum früheren manuellen Ansatz
  • Mehrere Genehmigungsebenen für Richtliniendokumente.
  • Workflow-gesteuerter Prozess zur Überprüfung/Genehmigung von Richtlinien.

Das Tolle daran ist, dass der Genehmigungskonfigurator auch in anderen GRC-Datensätzen verwendet wird, z. B. bei der Genehmigung von Ausnahmeregelungen und Risikobewertungen, so dass der Administrator das gleiche Tool für das gesamte Modul verwenden kann.

Dynamische Genehmigungskonfiguration für einen Richtliniendatensatz, Quelle: ServiceNow

Richtlinien als Dokument in Google Drive

Eigentümer, Prüfer und Genehmiger von Richtlinien können in der vertrauten Umgebung von Google Drive gemeinsam am Entwurf, der Überarbeitung und der Genehmigung von Richtlinien arbeiten. Google Drive speichert automatisch verschiedene Versionen Ihrer Richtliniendokumente und sorgt so für eine klare Historie. Der Richtlinientext muss nicht manuell aktualisiert werden. Sie können einfach die neueste Version des Google Drive-Dokuments mit dem Richtlinieneintrag verknüpfen, und der Richtlinientext wird automatisch aktualisiert. Es ist auch möglich, die gleiche Funktionalität mit Microsoft OneDrive zu nutzen (freigegeben in Vancouver).

Hinweis: Die Integration mit Google Drive für die Erstellung und das Redlining von Richtlinien ist erforderlich.Fordern Sie zunächst ein Integration Hub-Abonnement an, aktivieren Sie dann die Google Drive-Speiche und richten Sie schließlich eine Verbindung zwischen ServiceNow und Google Drive ein.

Risiko

Parallele Überprüfung und Rückmeldung

Eine neue Funktion – „Parallele Überprüfung und Feedback“, die mit der Version Washington DC eingeführt wurde, existiert als unabhängige Store-Anwendung, die es Kunden ermöglicht, einen parallelen Überprüfungs- und Feedback-Workflow in IRM für die Zusammenarbeit zwischen der ersten und zweiten Linie zu aktivieren. Sie ermöglicht es den Managern der zweiten Linie, Feedback zu allen ServiceNow- und Nicht-ServiceNow-Datensätzen zu geben.

Risikomanagement-Teams erhalten eine ganzheitliche Dokumentation und eine Begründung, warum eine Bewertung oder eine Maßnahme von der ersten Linie festgelegt wurde. Darüber hinaus erhält das Unternehmen eine fortlaufende Schulung zur risikobasierten Analyse.Der parallele Überprüfungs- und Feedback-Workflow ist flexibel in Bezug auf den Einsatzort und die Person, die ihn nutzt. Er ist nicht obligatorisch, kann aber zu einer Vielzahl von IRM-Workflows hinzugefügt werden. Die Benutzererfahrung ermöglicht eine geteilte Bildschirmansicht von Feedback und dem zu bewertenden Datensatz.

Anwendungsfälle

  • Als 2nd-Line-Specialist (z. B. Risk Manager / Compliance Manager) sollten Sie in der Lage sein, Folgendes zu tun:
    • Feedback zu einem gesamten Datensatz (sowohl ServiceNow als auch Non-ServiceNow) oder zu einem bestimmten Feld im Datensatz geben (in einem einzigen Feedback-Workflow kann es auch beides sein) und Vorschläge machen, was verbessert werden kann. Bitten Sie den Datensatzeigentümer beispielsweise darum, zusätzliche Schadenseinträge für ein Risikoereignis zu erfassen, während es bei einem einzelnen Feld um die Erfassung der Grundursache desselben Ereignisses gehen könnte.
    • Sie können an jedem Punkt des Arbeitsablaufs Feedback geben und mehrere solcher Rückmeldungen senden.
    • Geben Sie Feedback direkt aus dem Quelldatensatz über die Seitenleistenfunktion.
    • Überprüfen Sie die Änderungen vor und nach dem Feedback im Quelldatensatz auf der Registerkarte Verlauf.
    • Verschieben Sie das Feedback zurück in den Entwurfsstatus, wenn die Antwort des Befragten nicht zufriedenstellend ist.
    • Überwachen und melden Sie alle von mir abgegebenen Rückmeldungen und setzen Sie sich proaktiv mit den Datensatzbesitzern über ein zentrales Dashboard in Verbindung.
    • Zusammenarbeit mit den Befragten über eine Chatfunktion in der Seitenleiste, um bei Bedarf Klarstellungen und Vorschläge zu machen.
    • Schließen Sie den Feedback-Workflow mit/ohne Ergebnis ab, z. B. mit einem Problem usw.
  • Als Teil des Eigentümers oder der Eigentümergruppe des Datensatzes (Eigentümer des Risikoereignisses, ARA-Bewerter usw.) sollten Sie Folgendes tun können:
    • Sie können die Rückmeldungen überprüfen und sie entweder annehmen, d. h. die entsprechenden Änderungen vornehmen, oder sie mit einer Begründung über eine Seitenleiste oder eine Datensatzseite ablehnen.
    • Möglichkeit der Zusammenarbeit mit den relevanten Interessengruppen im Falle von Anleitungen oder Klarstellungen.
    • Einsicht in den Änderungsverlauf des Datensatzes auf der Grundlage des gegebenen Feedbacks.
    • Möglichkeit, von der Aufgabenseite aus auf das Feedback zu reagieren.

Geschäftsergebnis

  • Digitalisierung des Überprüfungsprozesses ohne erhebliche Arbeitsbelastung für die Benutzer der zweiten Reihe, wodurch die Organisation bei der Bewältigung der ständig wachsenden Risiken und Compliance-Anforderungen unterstützt wird.
  • Verbessern Sie die Prozesseffizienz und reduzieren Sie den mit Workflows verbundenen Arbeitsaufwand. Dadurch wird das Vertrauen der ersten Linie in die Verwaltung ihrer Risiko- und Compliance-Anforderungen gestärkt, ohne dass die Governance-Effektivität signifikant sinkt.
  • Vereinfachen und Automatisieren – Sparen Sie Zeit, indem Sie das Rauschen herausfiltern und die zweite Linie dabei unterstützen, sich schnell auf die Bereiche zu konzentrieren, die ihrer Aufmerksamkeit bedürfen, wodurch die Produktivität der zweiten Linie verbessert wird.

HINWEIS: Die Funktion „Parallele Überprüfung und Feedback“ ist nur für Kunden von IRM Enterprise und IRM Pro verfügbar.

Erweitertes Risiko: O365 Reporting Experience

Diese Funktion ermöglicht es Ihnen, Visualisierungen oder Daten direkt aus ServiceNow in MS Word zu ziehen, um Berichte für Führungskräfte zu erstellen. 2nd-Line-Teams können technische Schulden vermeiden, indem sie die Daten von der Plattform abrufen und mit Microsoft Word Berichte erstellen, die ihren individuellen Anforderungen entsprechen.

Geschäftsergebnis

  • Mit dieser Anwendung können 2nd-Line-Manager Berichte in MS Word erstellen, indem sie ServiceNow-Datensätze verwenden und sie regelmäßig mit den erforderlichen Stakeholdern teilen.
  • Der Bericht kann Komponenten wie Tabellen, Diagramme, Grafiken oder beschreibende Feldtexte usw. enthalten. Darüber hinaus können die Benutzer ihre eigenen statischen Inhalte für zusätzliche Begründungen oder Kontexte definieren.
  • Es verbessert die Effizienz der zweiten Linie bei der Erstellung von wiederkehrenden Berichten für die Geschäftsleitung, indem die Berichtsdaten mit einem einzigen Klick von der ServiceNow-Plattform aus aktualisiert werden.

Lizenzierung und Paketierung – Eine neue Anwendung mit dem Namen „Management Reporting for Risk“ ist für alle IRM-Kunden verfügbar.

Audit Management

Dokumente mit Microsoft OneDrive

Mit Audit Management können Sie sich jetzt mit dem Cloud-Speicheranbieter Microsoft OneDrive verbinden, so dass Sie Dokumente und Arbeitspapiere als Cloud-Dateien direkt in Audit Workspace verwalten können. Damit entfällt die Notwendigkeit, sie an einzelne Datensätze anzuhängen.

Es werden sowohl Auftrags- als auch Prüfungsaufgabendatensätze unterstützt, wodurch die Dokumentenverwaltung speziell für diese Datensatztypen innerhalb des Audit Workspace verbessert wird.

Was sind die Vorteile für die Nutzer?

  • Stellen Sie eine Verbindung zu den vorhandenen Dokumenten auf Microsoft OneDrive her, z. B. zu Excel, Microsoft PowerPoint-Präsentationen und Microsoft Word-Dokumenten.
  • Kennzeichnen Sie ein Dokument als vertraulich.
  • Steuern Sie den Zugriff auf die Cloud-Dateien anhand konfigurierbarer Berechtigungen.
  • Bearbeiten und lesen Sie die Dokumente und Arbeitsunterlagen mit Microsoft OneDrive
  • Verknüpfen Sie die Cloud-Dateien mit einem beliebigen GRC-Datensatz und teilen Sie eine einzelne Cloud-Datei mit mehreren Datensätzen.

Hinweis: Um Cloud-Dateien mit Microsoft OneDrive zu aktivieren, ist die Integration von Microsoft OneDrive erforderlich. Die folgenden Anwendungen sind obligatorisch:

  • Dokumentenverwaltung (com.snc.platform_document_management)
  • Microsoft OneDrive Spoke for Document Service Framework (sn_docs_onedrive)

Compliance Case Management

Die Anwendung Compliance Case Management (CCM) wurde bereits in Vancouver veröffentlicht, und Washington DC brachte uns eine wichtige Verbesserung, die erwähnenswert ist.

Als PDF exportieren

Jetzt können Sie PDFs für Compliance-Fälle oder -Anfragen aus vordefinierten Vorlagen erstellen und so den Zugriff der Beteiligten auch ohne Anwendungsanmeldung sicherstellen. Auf diese Weise lassen sich wichtige Informationen sofort per E-Mail weitergeben, was die Zusammenarbeit mit Prüfungsteams, Partnern und internen Gremien erleichtert. Darüber hinaus ermöglichen PDF-Berichte auch den Offline-Zugriff zur bequemen Überprüfung und zum Nachschlagen.

Der Hauptvorteil für Unternehmen besteht darin, dass die Beteiligten, die keinen Zugang zum CCM haben, trotzdem auf die Daten zugreifen können, die mit dem Compliance-Fall bzw. der Anfrage zusammenhängen.

ESG

Dashboard für nachhaltige IT – IT-Fußabdruck

Mit der Veröffentlichung in Washington DC wurde eine neue Registerkarte „IT-Fußabdruck“ als Teil des Dashboards für nachhaltige IT eingeführt. Sie zeigt den CO2-Fußabdruck von Unternehmensrechenzentren, Büros und Gebäuden auf einer Weltkarte und hebt die energieeffizientesten Einrichtungen hervor. Wenn Sie auf die Einrichtungen auf der Karte zeigen, können Sie die neuesten metrischen Daten und zugehörige Informationen sehen. Es hilft bei der Verwaltung und Überwachung der von Ihren Hardwareanlagen erzeugten Emissionen.

<Quelle: https://store.servicenow.com>

Was ist das Geschäftsergebnis?

  • Datengestützte Nachhaltigkeitsentscheidungen
  • Proaktives Kostenmanagement

Hinweis: Für die Registerkarte Hardware-Assets und die Registerkarte Datenzentren auf dem Dashboard müssen Sie das Plugin Hardware Asset Management (sn_hamp) aktivieren. Um die Registerkarte IT-Footprint zu aktivieren, müssen Sie außerdem das Plugin Geo Map (sn_geo_map) aktivieren.

Bewertung von ESG-Risiken mit der erweiterten Risikobewertung

Die Risikobewertungsmethoden geben Ihnen die Möglichkeit, die ESG-Risiken auf die gleiche Weise zu bewerten wie im IRM. Es ist möglich, qualitative (Rating-Typ, schnell durchführbar) und quantitative (faktenbasiert, messbar) Typen zu verwenden, und die Bewertung kann sowohl für Unternehmen als auch für wesentliche Themen konfiguriert werden.

Mit der Flexibilität einer fortschrittlichen Risikobewertungsmaschine und der gleichen Benutzeroberfläche für ESG- und IRM-Risiken hilft diese Funktion bei der effektiven und schnellen Identifizierung der kritischsten ESG-Risiken.

Hinweis: Um die Risikobewertungsfunktion zu nutzen, müssen Sie das Plugin:sn_esg_risk_mgmt installieren und aktivieren.

TPRM (Third-Party Risk Management)

TPRM: Ereignisgesteuerte Beurteilungen

Die ereignisgesteuerte Risikobewertung von Drittanbietern ist eine Fähigkeit, die dem Risikomanagementteam für Drittanbieter bei der Überwachung des gesamten Ökosystems von Drittanbietern große Vorteile bringt.

Durch die Definition von Ereignissen/Änderungen in Drittanbieter-bezogenen Ereignissen oder Aktionen über die gesamte Plattform hinweg, ist die Automatisierung entscheidend für die Beseitigung manueller Bemühungen durch das Drittanbieter-Team.

Der einmalige Start einer Massenbewertung verschafft dem Drittanbieterteam zusätzliche Zeit, um auf ein externes Ereignis mit Auswirkungen zu reagieren.

Geschäftsergebnis

  • Kunden können Ereignisse definieren, die Änderungen an den Metadaten eines Drittanbieters überwachen und automatisch eine Risikobewertung auslösen.
  • Risikoteams von Drittparteien können effizient arbeiten, indem sie automatisiert festlegen, wann und welche Bewertungen an Drittparteien gesendet werden, basierend auf definierten Ereignissen, die kontinuierlich überwacht werden.
  • Die automatische Ausgabe einer Bewertung kann für einen einzelnen Dritten oder eine Gruppe von Dritten (Bulk) erfolgen.

Verbessern Sie den Due-Diligence-Prozess durch die automatische, ereignisgesteuerte Auslösung von Bewertungen:

  • Es können Ereignisregeln zur Überwachung von Attributen aktiver Dritter definiert werden.
  • Sobald ein Ereignis/eine Änderung im Attribut erkannt wird, kann automatisch eine IRQ- oder externe Risikobewertung an den definierten Dritten ausgegeben werden.
  • Wenn das Ereignis als einmaliger Lauf definiert ist, kann die Massenausgabe von Beurteilungen für eine Gruppe von Drittparteien abgeschlossen werden.

Hauptvorteil:

Diese Funktion bringt dem Risikomanagementteam für Drittparteien Effizienzgewinne und wird in Echtzeit benachrichtigt, wenn eine Änderung oder Störung eintritt, die sich auf eine engagierte Drittpartei auswirkt.

Lizenzierung und Paketierung – TPRM Standard

BCM

BCM: Benachrichtigung über Änderungen von Unternehmensdaten

Mit nativen Integrationen in Unternehmensdaten (CMDB/Plattformtabellen) müssen BCM-Teams über Datenänderungen an Abhängigkeiten oder Attributen informiert werden, um sicherzustellen, dass der Business Continuity-Plan immer noch korrekt und genau ist.

Obwohl dies für den BCM-Betrieb von entscheidender Bedeutung ist, kann das Team während des Fluges Bewertungen, Pläne oder Übungen durchführen, bei denen es bestimmen möchte, wann die aktualisierten Unternehmensdaten im BCM-Bereich berücksichtigt werden sollten.

  • Continuity-Teams werden nun über alle Quelldatenänderungen auf der Plattform informiert, die sich auf BIAs oder BCPs auswirken.
  • Continuity-Teams benötigen die neueste Datenstruktur über Prozesse, Services, IT-Assets, Lieferanten und Einrichtungen. Wenn Attribute dieser Komponenten geändert werden, müssen die BCM-Teams in Echtzeit benachrichtigt werden, um die Genauigkeit der BIAs und BCPs zu gewährleisten.
  • Um Data Governance zu erreichen, kann das BCM-Team nach der Benachrichtigung über Quelldatenänderungen entscheiden, wann es die Datenänderungen für angemessen hält. Native Integrationen zu Unternehmensdaten ermöglichen Echtzeit-Benachrichtigungen und rechtzeitige Planung.

 
Welche Benachrichtigungen, die derzeit im BCM verwendet werden, können an das Continuity-Team gesendet werden, wenn die Quelldaten von Anlagen, Diensten, Lieferanten oder Einrichtungen geändert wurden?

  • Definieren Sie die Quelltabellen, die für BIA- und BCP-Abhängigkeiten überwacht werden sollen.
  • Definieren Sie die Benutzer, die bei Änderungen in den Abhängigkeiten eine E-Mail-Benachrichtigung erhalten sollen.
  • BIA- und Planverantwortliche können die aktualisierten Abhängigkeiten über den Snapshot überprüfen, der neu hinzugefügte, aktualisierte und gelöschte Abhängigkeiten erfasst.

Hauptvorteil:

Durch die Hinzufügung dieser Funktion wird die native Verbindung zu unternehmensweiten Daten gestärkt. BCM-Teams werden in Echtzeit benachrichtigt, wenn Aktualisierungen oder Änderungen der Abhängigkeiten vorgenommen wurden. Sie müssen nicht mehr warten, bis sie eine neue BIA oder Übung durchführen, um diese Änderungen zu entdecken.

Lizenzierung und Paketierung – BCM Standard

Gemeinsame Plattformfunktionen

Zeitlich begrenzte Rollen

Mit dieser neuen Funktion können Sie den Benutzern eine zeitlich begrenzte Rolle für einen bestimmten Zeitraum zuweisen. Es ist wichtig zu erwähnen, dass die Mindestrolle user_admin ist, um diese Funktion nutzen zu können. Es ist definitiv ein Fortschritt, denn bisher mussten Administratoren die Rolle manuell hinzufügen oder widerrufen oder einige benutzerdefinierte Automatisierungsskripte verwenden.

So navigieren Sie zu zeitlich begrenzten Rollen: User Administration > Time-Limited User Roles

——

Zögern Sie nicht und kontaktieren Sie uns, wenn Sie Fragen haben und/oder eine der oben genannten Funktionen implementieren möchten.

ServiceNow Washington DC release: Key Updates for IRM

Veröffentlichung von ServiceNow Washington DC: Wichtige Updates für IRM

Erhalten Sie in unserem kostenlosen Webinar wichtige Einblicke in das ServiceNow Washington DC Release für SecOps. In nur 30 Minuten erhalten Sie einen Überblick über die wichtigsten Änderungen für Ihr Unternehmen.

Registrieren Sie sich hier