Compliance as a Service (CaaS) AWS Enterprise Summit Ein Produkt der direkt gruppe in Zusammenarbeit mit TÜV Trust IT Frankfurt, 30. Juni 2016
Ängste hemmen das Effizienzpotenzial der eigenen IT
Cloud-spezifische Befürchtungen
Mit CaaS von der direkt gruppe sind Sie sicher
60% befürchten unberechtigten Zugriff auf sensible Daten
Verschlüsselung bewegter und ruhender Daten auch in der Cloud
56% sorgen sich um die Einhaltung eigener Compliance-Anforderungen
Umfassender Compliance Radar sorgt für Einhaltung von Standards und Branchenanforderungen
8% berichten von Compliance-Vorfällen in der Cloud
Gebündeltes Know-how von der direkt gruppe und TÜV Trust IT sorgt dafür, dass Ihnen das NICHT passiert
Sicherheitsbedenken sind weiterhin das größte Hemmnis für die Cloud Nutzung in Unternehmen. Statistische Erhebungen von KPMG AG in Zusammenarbeit mit Bitkom Research GmbH
Seite
2
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Inhalt
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis §
Ausgangslage einer Versicherung
§
Vier Schritte zum Erfolg
§
Ergebnisdokumente
3. Resümee und Lessons Learned
Seite
3
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
§ BSI Grundschutz § ISO 27000 Family
§ Pharma-, Finanz- und Energie Gesetzgebung
§ COBIT § Trusted Cloud
§ PCI DSS § Solvency II, MaRisk
INFORMATION
SECURITY
COMPLIANCE
§ StGB § GoB
DATENSCHUTZ
§ Seite
4
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
§ BDSG/EU-DSGVO § EU Model Clauses
Inhalt
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis §
Ausgangslage einer Versicherung
§
Vier Schritte zum Erfolg
§
Ergebnisdokumente
3. Resümee und Lessons Learned
Seite
5
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Compliance as a Service – vier Schritte zum Erfolg
COMPLIANCE RADAR
AUDITIERUNG
Seite
6
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
INDIVIDUALISIERUNG
ORCHESTRIERUNG
CaaS – Beispiel aus der Versicherungsbranche
Projektauftrag
Aufgabenstellung International agierender Versicherungskonzern beauftragt die direkt gruppe: § Implementierung einer AWS-Umgebung und Transformation wichtiger Anwendungen für Finanzen und Risikomanagement in die AWS-Cloud.
COMPLIANCE RADAR
§ Voraussetzungen: Entsprechung der Anforderungen, hohe und sichere Verfügbarkeit, Wahrung der Vertraulichkeit
INDIVIDUALISIERUNG Erwartung und Ergebnisse § COMPLIANCE RADAR Integrationsleitfaden mit Beschreibung von Maßnahmen zur Abdeckung branchenüblicher Compliance Anforderungen liegt bei Projektstart vor.
ORCHESTRIERUNG
§ INDIVIDUALISIERUNG Der Integrationsleitfaden wird auf den Bedarf des Kunden zugeschnitten.
AUDITIERUNG
§ ORCHESTRIERUNG Die Implementierung erfolgt gemäß den Anforderungen des Kunden. § AUDITIERUNG Es wird bestätigt, dass der Betrieb compliant zu den Anforderungen erfolgt.
Ergebnisdokumente Resümee & Lessons Learned Seite
7
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Compliance as a Service – „Compliance Radar“
COMPLIANCE RADAR
Branchenstandards
Framework zur Cloud Integration und Auditierung
AUDITIERUNG
Seite
8
27.06.16
© direkt gruppe 2016
INDIVIDUALISIERUNG
Security & Compliance Framework
direkt gruppe und TÜV Trust IT - Compliance as a Service
Internationale Normen
ORCHESTRIERUNG
Compliance Radar – Vorbereitung der direkt gruppe
Projektauftrag
Regularien: Kontinuierliche Aufrechterhaltung der Aktualität (Radar) § Prinzipielle Implementation typischer Standards in die Beratungs- und Service-Leistungen § Versicherungsspezifische Aufnahme von Anforderungen aus Regularien
COMPLIANCE RADAR
§ Aufnahme geeigneter Maßnahmen in den Integrationsleitfaden
INDIVIDUALISIERUNG
Implementationsleitfaden CaaS – Projekt-Spezifika Versicherungskunde
COMPLIANCE RADAR
Secur ity & Com pliance Fr am ewor k B ra n c h e n s ta n d a rd s
ORCHESTRIERUNG Standards realisiert AUDITIERUNG
Ergebnisdokumente
§ ISO 27001/27002
Aufnahme Projekt Spezifika:
§ BSI Grundschutz
§ Solvency II
§ TÜV Trust IT Trusted Cloud
§ MaRisk (BaFin) § AWS best practices
Resümee & Lessons Learned Seite
9
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Dokumente:
F ra m e w o rk z u rC lo u d In te g ra tio n u n d Au d ite ru n g
In te rn a tio n a le N o rm e n
Compliance as a Service – „Individualisierung“
COMPLIANCE RADAR
Ableitung TOMs Schutzbedarfsund Anforderungen feststellung an Verträge
AUDITIERUNG
Seite
10
27.06.16
© direkt gruppe 2016
INDIVIDUALISIERUNG
Zielorientierte Analyse
direkt gruppe und TÜV Trust IT - Compliance as a Service
Cloud Integrations Leitfaden
ORCHESTRIERUNG
Individualisierung – Aufnahme der kundenspezifischen Anforderungen
Projektauftrag
Feststellung spezieller Anforderungen aus Prozessen und Applikationen § Stakeholder: Konzern Security, Datenschutz, Revision, Compliance, Legal § Schutzbedarfsfeststellungen für Applikationen und Daten § Ableitung individueller Anforderungen und Aufnahme von Maßnahmen
COMPLIANCE RADAR
§ Anpassung des Leitfadens in Abstimmung auf Kunden- und Teamseite
Individualisierung Implementationsleitfaden
INDIVIDUALISIERUNG
§ Konzern Policies: Informationssicherheit, Datenschutz, Compliance § Applikationen: Prophet Professional 8, FIRM, Igloo, (weitere Applikationen)
ORCHESTRIERUNG
§ Verträge
AUDITIERUNG
Schutzbedarfe:
Ergebnisse:
§ Vertraulichkeit
§ Verfügbarkeit:
§ Integrität § Verfügbarkeit
Ergebnisdokumente
§ Nachvollziehbarkeit
Schutzniveaus: Resümee & Lessons Learned Seite
11
27.06.16
© direkt gruppe 2016
§ 4-stufig
- sehr hoch = Ausfall < 4 Stunden § Vertraulichkeit: - Hoch/sehr hoch = Verschlüsselung § Sichere Anbindung, kein direkter InternetZugang
direkt gruppe und TÜV Trust IT - Compliance as a Service
Dokumente:
Compliance as a Service – „Orchestrierung“
COMPLIANCE RADAR
Umsetzung TÜV Best Practices
Cloud Implementierung und Automatisierung
AUDITIERUNG
Seite
12
27.06.16
© direkt gruppe 2016
INDIVIDUALISIERUNG
Implementierung der Trusted Procedures
direkt gruppe und TÜV Trust IT - Compliance as a Service
Know-how Transfer
ORCHESTRIERUNG
Orchestrierung – technische und organisatorische Umsetzung der Maßnahmen
Projektauftrag
Ablauf Orchestrierung § Abnahme des Integrationsleitfadens zur Umsetzung des Compliance konformen Betriebs Beteiligt: Projektteam Kunde, direkt gruppe: Team „Compliance & Security“, Team „Orchestrierung“ § Technische Maßnahmen werden durchgängig automatisiert
COMPLIANCE RADAR
§ Roadmap schafft Transparenz und Verbindlichkeit für alle Stakeholder
Orchestrierung – Besonderheiten Compliance bedingt:
INDIVIDUALISIERUNG
§ Betrieb der AWS-Cloud erfolgt final am Standort Frankfurt/Main § Bewegte und ruhende Daten mit Vertraulichkeit = hoch sind zu verschlüsseln § Applikationen mit Verfügbarkeit = sehr hoch werden redundant ausgelegt
ORCHESTRIERUNG
Genutzte Tools: AUDITIERUNG
§ AWS Web Access § ServiceNow § Microsoft SC Orchestrator
Ergebnisdokumente Resümee & Lessons Learned Seite
13
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Compliance as a Service – „Auditierung“
COMPLIANCE RADAR
Cloud Zertifikate
ISO27001 (27017/27018)
AUDITIERUNG
Seite
14
27.06.16
© direkt gruppe 2016
INDIVIDUALISIERUNG
Vorbereitung und Zertifizierung
direkt gruppe und TÜV Trust IT - Compliance as a Service
BAFIN SOLVENCY Compliance
ORCHESTRIERUNG
Auditierung: Abnahme der Umgebung mit Testaten und Zertifikaten
Projektauftrag
Auditierung: Self Assessments und externe Zertifizierung § In allen Projektphasen werden die eingesetzten Verfahrensanweisungen und Checklisten zur Erfüllung der Compliance Anforderungen angepasst und aktuell gehalten. § Die Cloud Orchestration Platform protokolliert alle Aufträge, Zugriffe und Veränderungen automatisch.
COMPLIANCE RADAR
§ Es entsteht eine revisionsfähige Dokumentation zur Vorbereitung der Zertifizierung.
Auditierung – der Kunde erhält ein zertifizierungsfähiges Ergebnis
INDIVIDUALISIERUNG
§ Kontinuierliche Aktualisierung der Verfahren liefern bei Betriebsübergabe eine solide Grundlage für ein Testat oder ein Zertifikat zur Compliance-konformen Informationsverarbeitung.
ORCHESTRIERUNG
AUDITIERUNG
Ergebnisdokumente Resümee & Lessons Learned Seite
15
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Compliance as a Service – Ergebnisdokumente
Projektauftrag
Schutzbedarfsfeststellung
Implementationsleitfaden
Application Catalog
Roadmap
Überblick Applikationen
Checkliste IT-Security
Automatisierung
Compliance Check
Zertifikate
COMPLIANCE RADAR
INDIVIDUALISIERUNG
ORCHESTRIERUNG
AUDITIERUNG
Ergebnisdokumente Resümee & Lessons Learned Seite
16
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Inhalt
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis §
Ausgangslage einer Versicherung
§
Vier Schritte zum Erfolg
§
Ergebnisdokumente
3. Resümee und Lessons Learned
Seite
17
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Compliance as a Service – Resümee und Erkenntnisse
Projektauftrag
Projekterfahrungen ü Kritische, versicherungsrelevante Anwendungen können sicher in die Cloud übertragen werden ü Frühe Einbindung von Revision, Datenschutz und Sicherheit erspart späteren Umbau und damit verbundenen Mehraufwand
COMPLIANCE RADAR
ü Technische Abläufe sollten durchgängig automatisiert werden, um manuelle Fehler und Mehraufwände zu vermeiden
INDIVIDUALISIERUNG
ü Technische und organisatorische Maßnahmen müssen revisionssicher protokolliert werden, um den Aufwand für die Zertifizierung gering zu halten ORCHESTRIERUNG
ü Eine detaillierte Roadmap schafft Verbindlichkeit, wann entsprechende Reifegrade erreicht werden können
AUDITIERUNG
Ergebnisdokumente Resümee & Lessons Learned Seite
18
27.06.16
© direkt gruppe 2016
direkt gruppe und TÜV Trust IT - Compliance as a Service
Vielen Dank für Ihre Aufmerksamkeit!
direkt gruppe Hamburg I Griegstraße 75 I Haus 26 I 22763 Hamburg Köln I Holzmarkt 2 I 50676 Köln München I Landaubogen 1 I 81373 Hamburg Tel. +49 40 88155-0 I Fax +49 40 88155-5200
[email protected] I www.direkt-gruppe.de www.direkt-gruppe.de/xing www.facebook.com/direktgruppe www.youtube.com/user/direktgruppe
