Compliance as a Service (CaaS) AWS Enterprise Summit

Transkript

1 Compliance as a Service (CaaS) AWS Enterprise Summit Ein Produkt der direkt gruppe in Zusammenarbeit mit TÜV Trust IT Frankfurt, 30. Juni 2016

2 Ängste hemmen das Effizienzpotenzial der eigenen IT Cloud-spezifische Befürchtungen Mit CaaS von der direkt gruppe sind Sie sicher 60% befürchten unberechtigten Zugriff auf sensible Daten Verschlüsselung bewegter und ruhender Daten auch in der Cloud 56% sorgen sich um die Einhaltung eigener Compliance-Anforderungen 8% berichten von Compliance-Vorfällen in der Cloud Umfassender Compliance Radar sorgt für Einhaltung von Standards und Branchenanforderungen Gebündeltes Know-how von der direkt gruppe und TÜV Trust IT sorgt dafür, dass Ihnen das NICHT passiert Sicherheitsbedenken sind weiterhin das größte Hemmnis für die Cloud Nutzung in Unternehmen. Statistische Erhebungen von KPMG AG in Zusammenarbeit mit Bitkom Research GmbH 2

3 Inhalt 1. Entwirrung in der Terminologie Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis Ausgangslage einer Versicherung Vier Schritte zum Erfolg Ergebnisdokumente 3. Resümee und Lessons Learned 3

4 Entwirrung in der Terminologie Eingrenzung & Abgrenzung BSI Grundschutz ISO Family COBIT Trusted Cloud INFORMATION SECURITY COMPLIANCE Pharma-, Finanz- und Energie Gesetzgebung PCI DSS Solvency II, MaRisk StGB GoB DATENSCHUTZ BDSG/EU-DSGVO EU Model Clauses direkt gruppe 2016 direkt gruppe und TÜV Trust IT - Compliance as a Service

5 Inhalt 1. Entwirrung in der Terminologie Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis Ausgangslage einer Versicherung Vier Schritte zum Erfolg Ergebnisdokumente 3. Resümee und Lessons Learned 5

6 Compliance as a Service vier Schritte zum Erfolg 6

7 CaaS Beispiel aus der Versicherungsbranche Projektauftrag Aufgabenstellung International agierender Versicherungskonzern beauftragt die direkt gruppe: Implementierung einer AWS-Umgebung und Transformation wichtiger Anwendungen für Finanzen und Risikomanagement in die AWS-Cloud. Voraussetzungen: Entsprechung der Anforderungen, hohe und sichere Verfügbarkeit, Wahrung der Vertraulichkeit Erwartung und Ergebnisse Ergebnisdokumente Integrationsleitfaden mit Beschreibung von Maßnahmen zur Abdeckung branchenüblicher Compliance Anforderungen liegt bei Projektstart vor. Der Integrationsleitfaden wird auf den Bedarf des Kunden zugeschnitten. Die Implementierung erfolgt gemäß den Anforderungen des Kunden. Es wird bestätigt, dass der Betrieb compliant zu den Anforderungen erfolgt. Resümee & Lessons Learned 7

8 Compliance as a Service Compliance Radar Security & Compliance Framework Branchenstandards Framework zur Cloud Integration und Auditierung Internationale Normen 8

9 Branc henstandards Framework zurcloudintegrationund Auditierung In te rn a tio n a len o rm e n Compliance Radar Vorbereitung der direkt gruppe Projektauftrag Regularien: Kontinuierliche Aufrechterhaltung der Aktualität (Radar) Prinzipielle Implementation typischer Standards in die Beratungs- und Service-Leistungen Versicherungsspezifische Aufnahme von Anforderungen aus Regularien Aufnahme geeigneter Maßnahmen in den Integrationsleitfaden Implementationsleitfaden CaaS Projekt-Spezifika Versicherungskunde COMPLIANCE RADAR Security & Compliance Fr am ewor k Standards realisiert ISO 27001/27002 Aufnahme Projekt Spezifika: Dokumente: BSI Grundschutz Solvency II Ergebnisdokumente TÜV Trust IT Trusted Cloud MaRisk (BaFin) AWS best practices Resümee & Lessons Learned 9

10 Compliance as a Service Individualisierung Zielorientierte Analyse Schutzbedarfsfeststellung Ableitung TOMs und Anforderungen an Verträge Cloud Integrations Leitfaden 10

11 Individualisierung Aufnahme der kundenspezifischen Anforderungen Projektauftrag Feststellung spezieller Anforderungen aus Prozessen und Applikationen Stakeholder: Konzern Security, Datenschutz, Revision, Compliance, Legal Schutzbedarfsfeststellungen für Applikationen und Daten Ableitung individueller Anforderungen und Aufnahme von Maßnahmen Anpassung des Leitfadens in Abstimmung auf Kunden- und Teamseite Individualisierung Implementationsleitfaden Konzern Policies: Informationssicherheit, Datenschutz, Compliance Applikationen: Prophet Professional 8, FIRM, Igloo, (weitere Applikationen) Verträge Schutzbedarfe: Vertraulichkeit Ergebnisse: Verfügbarkeit: Dokumente: Integrität - sehr hoch = Ausfall < 4 Stunden Ergebnisdokumente Verfügbarkeit Nachvollziehbarkeit Vertraulichkeit: - Hoch/sehr hoch = Verschlüsselung Resümee & Lessons Learned Schutzniveaus: 4-stufig Sichere Anbindung, kein direkter Internet- Zugang 11

12 Compliance as a Service Orchestrierung Implementierung der Trusted Procedures Umsetzung TÜV Best Practices Cloud Implementierung und Automatisierung Know-how Transfer 12

13 Orchestrierung technische und organisatorische Umsetzung der Maßnahmen Projektauftrag Ergebnisdokumente Ablauf Orchestrierung Abnahme des Integrationsleitfadens zur Umsetzung des Compliance konformen Betriebs Beteiligt: Projektteam Kunde, direkt gruppe: Team Compliance & Security, Team Orchestrierung Technische Maßnahmen werden durchgängig automatisiert Roadmap schafft Transparenz und Verbindlichkeit für alle Stakeholder Orchestrierung Besonderheiten Compliance bedingt: Betrieb der AWS-Cloud erfolgt final am Standort Frankfurt/Main Bewegte und ruhende Daten mit Vertraulichkeit = hoch sind zu verschlüsseln Applikationen mit Verfügbarkeit = sehr hoch werden redundant ausgelegt Genutzte Tools: AWS Web Access ServiceNow Microsoft SC Orchestrator Resümee & Lessons Learned 13

14 Compliance as a Service Auditierung Vorbereitung und Zertifizierung Cloud Zertifikate ISO27001 (27017/27018) BAFIN SOLVENCY Compliance 14

15 Auditierung: Abnahme der Umgebung mit Testaten und Zertifikaten Projektauftrag Auditierung: Self Assessments und externe Zertifizierung In allen Projektphasen werden die eingesetzten Verfahrensanweisungen und Checklisten zur Erfüllung der Compliance Anforderungen angepasst und aktuell gehalten. Die Cloud Orchestration Platform protokolliert alle Aufträge, Zugriffe und Veränderungen automatisch. Es entsteht eine revisionsfähige Dokumentation zur Vorbereitung der Zertifizierung. Auditierung der Kunde erhält ein zertifizierungsfähiges Ergebnis Kontinuierliche Aktualisierung der Verfahren liefern bei Betriebsübergabe eine solide Grundlage für ein Testat oder ein Zertifikat zur Compliance-konformen Informationsverarbeitung. Ergebnisdokumente Resümee & Lessons Learned 15

16 Compliance as a Service Ergebnisdokumente Projektauftrag Schutzbedarfsfeststellung Implementationsleitfaden Application Catalog Roadmap Überblick Applikationen Checkliste IT-Security Automatisierung Compliance Check Zertifikate Ergebnisdokumente Resümee & Lessons Learned 16

17 Inhalt 1. Entwirrung in der Terminologie Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis Ausgangslage einer Versicherung Vier Schritte zum Erfolg Ergebnisdokumente 3. Resümee und Lessons Learned 17

18 Compliance as a Service Resümee und Erkenntnisse Projektauftrag Projekterfahrungen ü ü ü ü ü Kritische, versicherungsrelevante Anwendungen können sicher in die Cloud übertragen werden Frühe Einbindung von Revision, Datenschutz und Sicherheit erspart späteren Umbau und damit verbundenen Mehraufwand Technische Abläufe sollten durchgängig automatisiert werden, um manuelle Fehler und Mehraufwände zu vermeiden Technische und organisatorische Maßnahmen müssen revisionssicher protokolliert werden, um den Aufwand für die Zertifizierung gering zu halten Eine detaillierte Roadmap schafft Verbindlichkeit, wann entsprechende Reifegrade erreicht werden können Ergebnisdokumente Resümee & Lessons Learned 18

19 Vielen Dank für Ihre Aufmerksamkeit! direkt gruppe Hamburg I Griegstraße 75 I Haus 26 I Hamburg Köln I Holzmarkt 2 I Köln München I Landaubogen 1 I Hamburg Tel I Fax info@direkt-gruppe.de I