Post on 19-Jan-2017
Compliance as a Service (CaaS) AWS Enterprise Summit
Ein Produkt der direkt gruppe in Zusammenarbeit mit TÜV Trust ITFrankfurt, 30. Juni 2016
© direkt gruppe 2016 Seite
Ängste hemmen das Effizienzpotenzial der eigenen IT
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service2
Sicherheitsbedenken sind weiterhin das größte Hemmnis für die Cloud Nutzung in Unternehmen.
Cloud-spezifische Befürchtungen
60% befürchten unberechtigten Zugriff auf sensible Daten
Statistische Erhebungen von KPMG AG in Zusammenarbeit mit Bitkom Research GmbH
56% sorgen sich um die Einhaltung eigener Compliance-Anforderungen
8% berichten von Compliance-Vorfällen in der Cloud
Mit CaaS von der direkt gruppe sind Sie sicher
Verschlüsselung bewegter und ruhender Daten auch in der Cloud
Umfassender Compliance Radar sorgt für Einhaltung von Standards und Branchenanforderungen
Gebündeltes Know-how von der direkt gruppe und TÜV Trust IT sorgt dafür, dass Ihnen das NICHT passiert
© direkt gruppe 2016 Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service3
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
2. Compliance as a Service in der Praxis§ Ausgangslage einer Versicherung
§ Vier Schritte zum Erfolg
§ Ergebnisdokumente
3. Resümee und Lessons Learned
© direkt gruppe 2016 Seite
Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
direkt gruppe und TÜV Trust IT - Compliance as a Service27.06.164
§
INFORMATIONSECURITY
DATENSCHUTZ
§ BSI Grundschutz§ ISO 27000 Family§ COBIT§ Trusted Cloud
§ Pharma-, Finanz- und Energie Gesetzgebung
§ PCI DSS§ Solvency II, MaRisk§ StGB§ GoB
§ BDSG/EU-DSGVO§ EU Model Clauses
COMPLIANCE
© direkt gruppe 2016 Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service5
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
2. Compliance as a Service in der Praxis§ Ausgangslage einer Versicherung
§ Vier Schritte zum Erfolg
§ Ergebnisdokumente
3. Resümee und Lessons Learned
© direkt gruppe 2016 Seite
Compliance as a Service – vier Schritte zum Erfolg
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service6
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
© direkt gruppe 2016 Seite
CaaS – Beispiel aus der Versicherungsbranche
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service7
Aufgabenstellung
International agierender Versicherungskonzern beauftragt die direkt gruppe:
§ Implementierung einer AWS-Umgebung und Transformation wichtiger Anwendungen für Finanzen und Risikomanagement in die AWS-Cloud.
§ Voraussetzungen: Entsprechung der Anforderungen, hohe und sichere Verfügbarkeit, Wahrung der Vertraulichkeit
Erwartung und Ergebnisse
§ COMPLIANCE RADARIntegrationsleitfaden mit Beschreibung von Maßnahmen zur Abdeckung branchenüblicher Compliance Anforderungen liegt bei Projektstart vor.
§ INDIVIDUALISIERUNGDer Integrationsleitfaden wird auf den Bedarf des Kunden zugeschnitten.
§ ORCHESTRIERUNGDie Implementierung erfolgt gemäß den Anforderungen des Kunden.
§ AUDITIERUNGEs wird bestätigt, dass der Betrieb compliant zu den Anforderungen erfolgt.
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
© direkt gruppe 2016 Seite
Compliance as a Service – „Compliance Radar“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service8
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Security &ComplianceFramework
Branchen-standards
Internationale Normen
Framework zur Cloud Integration und Auditierung
© direkt gruppe 2016 Seite
Compliance Radar – Vorbereitung der direkt gruppe
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service9
Regularien: Kontinuierliche Aufrechterhaltung der Aktualität (Radar)§ Prinzipielle Implementation typischer Standards in die Beratungs- und Service-Leistungen
§ Versicherungsspezifische Aufnahme von Anforderungen aus Regularien § Aufnahme geeigneter Maßnahmen in den IntegrationsleitfadenCOMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
Implementationsleitfaden CaaS –Projekt-Spezifika Versicherungskunde
Standards realisiert§ ISO 27001/27002
§ BSI Grundschutz§ TÜV Trust IT Trusted
Cloud
Aufnahme Projekt Spezifika:§ Solvency II
§ MaRisk (BaFin)§ AWS best practices
Dokumente:
COMPLIANCE RADAR
Security &ComplianceFramework
B ra n c h e n -s ta n d a rd s In te rn a tio n a le N o rm e nF ra m e w o rk z u r C lo u d In te g ra tio n u nd A ud itie ru ng
© direkt gruppe 2016 Seite
Compliance as a Service – „Individualisierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service10
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Schutzbedarfs-feststellung
Cloud IntegrationsLeitfaden
Ableitung TOMsund Anforderungen
an Verträge
ZielorientierteAnalyse
© direkt gruppe 2016 Seite
Individualisierung – Aufnahme der kundenspezifischen Anforderungen
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service11
Feststellung spezieller Anforderungen aus Prozessen und Applikationen§ Stakeholder: Konzern Security, Datenschutz, Revision, Compliance, Legal
§ Schutzbedarfsfeststellungen für Applikationen und Daten§ Ableitung individueller Anforderungen und Aufnahme von Maßnahmen
§ Anpassung des Leitfadens in Abstimmung auf Kunden- und TeamseiteCOMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
Individualisierung Implementationsleitfaden§ Konzern Policies: Informationssicherheit, Datenschutz, Compliance
§ Applikationen: Prophet Professional 8, FIRM, Igloo, (weitere Applikationen)§ Verträge
Schutzbedarfe:§ Vertraulichkeit
§ Integrität§ Verfügbarkeit
§ Nachvollziehbarkeit
Schutzniveaus:§ 4-stufig
Ergebnisse:§ Verfügbarkeit:
- sehr hoch = Ausfall < 4 Stunden§ Vertraulichkeit:
- Hoch/sehr hoch = Verschlüsselung§ Sichere Anbindung, kein direkter Internet-
Zugang
Dokumente:
© direkt gruppe 2016 Seite
Compliance as a Service – „Orchestrierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service12
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Umsetzung TÜV Best Practices
Know-how Transfer
Cloud Implemen-tierung und
Automatisierung
Implementierungder TrustedProcedures
© direkt gruppe 2016 Seite
Orchestrierung – technische und organisatorische Umsetzung der Maßnahmen
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service13
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
INDIVIDUALISIERUNG
Ablauf Orchestrierung§ Abnahme des Integrationsleitfadens zur Umsetzung des Compliance konformen Betriebs
Beteiligt: Projektteam Kunde, direkt gruppe: Team „Compliance & Security“, Team „Orchestrierung“§ Technische Maßnahmen werden durchgängig automatisiert
§ Roadmap schafft Transparenz und Verbindlichkeit für alle Stakeholder
Orchestrierung – Besonderheiten Compliance bedingt:§ Betrieb der AWS-Cloud erfolgt final am Standort Frankfurt/Main
§ Bewegte und ruhende Daten mit Vertraulichkeit = hoch sind zu verschlüsseln§ Applikationen mit Verfügbarkeit = sehr hoch werden redundant ausgelegt
Genutzte Tools:§ AWS Web Access
§ ServiceNow§ Microsoft SC
Orchestrator
© direkt gruppe 2016 Seite
Compliance as a Service – „Auditierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service14
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
CloudZertifikate
BAFIN SOLVENCY Compliance
ISO27001(27017/27018)
Vorbereitungund
Zertifizierung
© direkt gruppe 2016 Seite
Auditierung: Abnahme der Umgebung mit Testaten und Zertifikaten
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service15
COMPLIANCE RADAR
AUDITIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
INDIVIDUALISIERUNG
Auditierung: Self Assessments und externe Zertifizierung§ In allen Projektphasen werden die eingesetzten Verfahrensanweisungen und Checklisten zur Erfüllung der
Compliance Anforderungen angepasst und aktuell gehalten.§ Die Cloud Orchestration Platform protokolliert alle Aufträge, Zugriffe und Veränderungen automatisch.
§ Es entsteht eine revisionsfähige Dokumentation zur Vorbereitung der Zertifizierung.
Auditierung – der Kunde erhält ein zertifizierungsfähiges Ergebnis§ Kontinuierliche Aktualisierung der Verfahren liefern bei Betriebsübergabe eine solide Grundlage für
ein Testat oder ein Zertifikat zur Compliance-konformen Informationsverarbeitung.
ORCHESTRIERUNG
© direkt gruppe 2016 Seite
Projektauftrag
Resümee & Lessons Learned
Schutzbedarfsfeststellung Implementationsleitfaden Application Catalog
Roadmap Überblick Applikationen Checkliste IT-Security
Automatisierung Compliance Check Zertifikate
Ergebnisdokumente
Compliance as a Service – Ergebnisdokumente
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service16
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
© direkt gruppe 2016 Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service17
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
2. Compliance as a Service in der Praxis§ Ausgangslage einer Versicherung
§ Vier Schritte zum Erfolg
§ Ergebnisdokumente
3. Resümee und Lessons Learned
© direkt gruppe 2016 Seite
Compliance as a Service – Resümee und Erkenntnisse
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service18
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
Projekterfahrungenü Kritische, versicherungsrelevante Anwendungen können sicher in die Cloud übertragen
werdenü Frühe Einbindung von Revision, Datenschutz und Sicherheit erspart späteren Umbau und
damit verbundenen Mehraufwandü Technische Abläufe sollten durchgängig automatisiert werden, um manuelle Fehler und
Mehraufwände zu vermeidenü Technische und organisatorische Maßnahmen müssen revisionssicher protokolliert werden,
um den Aufwand für die Zertifizierung gering zu haltenü Eine detaillierte Roadmap schafft Verbindlichkeit, wann entsprechende Reifegrade erreicht
werden können
direkt gruppe Hamburg I Griegstraße 75 I Haus 26 I 22763 Hamburg Köln I Holzmarkt 2 I 50676 KölnMünchen I Landaubogen 1 I 81373 MünchenTel. +49 40 88155-0 I Fax +49 40 88155-5200info@direkt-gruppe.de I www.direkt-gruppe.de
www.youtube.com/user/direktgruppe
www.facebook.com/direktgruppe
www.direkt-gruppe.de/xing
Vielen Dank für Ihre Aufmerksamkeit!