Die Digitalisierung ist allgegenwärtig und betrifft verschiedene Unternehmen, darunter auch und insbesondere Finanzinstitute. Da die Kunden all dieser Institute bei ihren Digitalisierungsbemühungen eine Vorreiterrolle spielen, stehen die Finanzinstitute im Wettbewerb um die digitale Transformation. Gleichzeitig sind Finanzunternehmen in hohem Maße einer Vielzahl von Vorschriften ausgesetzt. Mit der zunehmenden Verbreitung digitaler Technologien steigen auch die Risiken für die Informationssicherheit.
Eine große Hürde der digitalen Transformation in der Finanzbranche besteht daher darin
die rasche digitale Transformation mit der Informationssicherheit und der Einhaltung von Vorschriften in Einklang zu bringen und sie so effizient wie möglich zu gestalten.
Wie sieht der Vereinbarkeitsprozess aus? In dieser Blogserie werden wir die wichtigsten Schritte auf dem Weg zu einem vollständig digitalisierten Informationssicherheitsrahmen erörtern. Beginnen wir mit Teil 1 oder besser gesagt mit Schritt 1 dieses Prozesses.
Informationssicherheit kann erst dann beginnen, wenn Sie ein klares Verständnis davon haben, was sicherheitsrelevant oder schützenswert ist. Aber wie genau entwickeln Sie dieses Verständnis? In kurzen und einfachen Worten:
Verstehen Sie Ihre Geschäftsprozesse und die Daten, die in diesen Prozessen verarbeitet oder erzeugt werden.
Besonders wichtig ist die Relevanz der Daten für verschiedene rechtliche Aspekte, einschließlich, aber nicht beschränkt auf die Allgemeine Datenschutzverordnung. Unsere Berater verfügen über ein breites und tiefes Fachwissen in Bezug auf weltweit anerkannte Standards wie ISO27001, NIST, SOC 2, die Ihnen bei dieser Analyse helfen werden. Aber warum ist diese sogenannte Strukturanalyse notwendig?
Die Strukturanalyse schafft Transparenz und liefert Ihnen die Grundlage für eine zunehmende Automatisierung im Rahmen Ihrer Bemühungen um ein hohes Niveau der Informationssicherheit.
Komplexe Zusammenhänge zwischen den Assets, die Ihrem Unternehmen manchmal vorher nicht bekannt waren, werden so identifiziert und dokumentiert. Eine Datenbank dient als Basis, um genau diese komplexen Zusammenhänge abzubilden. Wir haben die nötige Erfahrung im Aufbau einer vollständigen, exakten Abbildung des Asset-Netzwerks als Teil der genannten Datenbank, der sogenannten Configuration Management Database (CMDB).
Eine CMDB wird von einer Organisation verwendet, um Informationen über Hardware- und Software-Assets zu speichern, die oft als Configuration Items (CI) bezeichnet werden. Es ist nützlich, die CIs in logische Schichten zu unterteilen. Diese Datenbank fungiert als Data Warehouse für das Unternehmen, in dem Informationen über die Beziehungen zwischen den Assets gespeichert werden. Die CMDB bietet ein Mittel zum Verständnis der kritischen Vermögenswerte des Unternehmens und ihrer Beziehungen, wie z.B. IT-Systeme und Abhängigkeiten von CIs.
Laut ITIL 4 sind CIs "alle Komponenten, die gemanagt werden müssen, um einen IT Service bereitstellen zu können". Dabei kommen die neuesten digitalen Technologien zum Einsatz, so dass wartungsintensive und nicht automatisierte, tabellenbasierte Lösungen (z.B. Excel) vollständig obsolet werden.
Nun wissen wir wofür eine CMDB da ist und welchen Bezug sie zum IT Asset Management hat. Nun gilt es die wesentlichen funktionalen Merkmale einer CMDB abzuleiten.
1. Nahtlose Dashboards mit CI-Metriken und Analysen, die es einfach machen, den Zustand von CIs, deren Beziehungen, die Auswirkungen von Änderungen, die zu Vorfällen oder Problemen führen, sowie den Aufwand in Form von Geld und Ressourcen für den Aufbau und die Verwaltung jedes Service innerhalb eines Unternehmens zu verfolgen.
2. Compliance-Funktionen: Damit ist gemeint, dass Prüfer detaillierte Aufzeichnungen und transparente Einblicke nicht nur in den aktuellen Zustand von CIs, sondern auch in deren bisherige Änderungen, Prüfungen, gegenseitige Kontrollen, Vorfälle usw. erhalten können.
3. Erstellung von CIs und die rechtzeitige Aktualisierung relevanter Daten: Unterstützung von (a) manuelle Eingaben, (b) Integrationen (API-gesteuert, SCCM) und (c) Erkennungstools, die automatisierte Scans aller IP-Adressen im Netzwerk eines Unternehmens durchführen, um Software- und Hardwareinformationen zu sammeln und den Bestand jedes physischen und virtuellen Geräts im Unternehmen effektiv erfassen.
4. Unterstützung für föderierte Datensätze, einschließlich Normalisierung und Abstimmung von CIs und deren Daten.
5. IT-Servicezuordnung in Form einer grafische Darstellung von Beziehungen und Abhängigkeiten.
6. Zugriffskontrollen, mit denen bei Bedarf verschiedene Personen oder Teams unterschiedliche Zugriffsebenen zugeteilt werden und Änderungen bei auftretenden Fragen oder Vorfällen zu ihrem Ursprung zurückverfolgen können.