Weitere ähnliche Inhalte Ähnlich wie „Compliance as a Service“ auf der AWS Enterprise Summit 2016 (20) „Compliance as a Service“ auf der AWS Enterprise Summit 20161. Compliance as a Service (CaaS)
AWS Enterprise Summit
Ein Produkt der direkt gruppe in Zusammenarbeit mit TÜV Trust IT
Frankfurt, 30. Juni 2016
2. © direkt gruppe 2016Seite
Ängste hemmen das Effizienzpotenzial der eigenen IT
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service2
Sicherheitsbedenken sind weiterhin das größte Hemmnis für die Cloud Nutzung in Unternehmen.
Cloud-spezifische Befürchtungen
60% befürchten unberechtigten
Zugriff auf sensible Daten
Statistische Erhebungen von KPMG AG in Zusammenarbeit mit Bitkom Research GmbH
56% sorgen sich um die Einhaltung
eigener Compliance-Anforderungen
8% berichten von Compliance-Vorfällen
in der Cloud
Mit CaaS von der direkt gruppe sind Sie sicher
Verschlüsselung bewegter und ruhender Daten
auch in der Cloud
Umfassender Compliance Radar sorgt für
Einhaltung von Standards und
Branchenanforderungen
Gebündeltes Know-how von der direkt gruppe
und TÜV Trust IT sorgt dafür, dass Ihnen das
NICHT passiert
3. © direkt gruppe 2016Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service3
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
2. Compliance as a Service in der Praxis
§ Ausgangslage einer Versicherung
§ Vier Schritte zum Erfolg
§ Ergebnisdokumente
3. Resümee und Lessons Learned
4. © direkt gruppe 2016Seite
Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
direkt gruppe und TÜV Trust IT - Compliance as a Service27.06.164
§
INFORMATION
SECURITY
DATENSCHUTZ
§ BSI Grundschutz
§ ISO 27000 Family
§ COBIT
§ Trusted Cloud
§ Pharma-, Finanz- und
Energie Gesetzgebung
§ PCI DSS
§ Solvency II, MaRisk
§ StGB
§ GoB
§ BDSG/EU-DSGVO
§ EU Model Clauses
COMPLIANCE
5. © direkt gruppe 2016Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service5
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
2. Compliance as a Service in der Praxis
§ Ausgangslage einer Versicherung
§ Vier Schritte zum Erfolg
§ Ergebnisdokumente
3. Resümee und Lessons Learned
6. © direkt gruppe 2016Seite
Compliance as a Service – vier Schritte zum Erfolg
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service6
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
7. © direkt gruppe 2016Seite
CaaS – Beispiel aus der Versicherungsbranche
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service7
Aufgabenstellung
International agierender Versicherungskonzern beauftragtdie direktgruppe:
§ Implementierung einer AWS-Umgebung und Transformation wichtiger Anwendungen für Finanzen und
Risikomanagementin die AWS-Cloud.
§ Voraussetzungen:Entsprechung der Anforderungen,hohe und sichere Verfügbarkeit,Wahrung der
Vertraulichkeit
Erwartung und Ergebnisse
§ COMPLIANCE RADAR
Integrationsleitfaden mitBeschreibung von Maßnahmen zur Abdeckung branchenüblicher Compliance
Anforderungen liegtbei Projektstartvor.
§ INDIVIDUALISIERUNG
Der Integrationsleitfaden wird aufden Bedarfdes Kunden zugeschnitten.
§ ORCHESTRIERUNG
Die Implementierung erfolgtgemäßden Anforderungen des Kunden.
§ AUDITIERUNG
Es wird bestätigt, dass der Betrieb compliantzu den Anforderungen erfolgt.
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
8. © direkt gruppe 2016Seite
Compliance as a Service – „Compliance Radar“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service8
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Security &
Compliance
Framework
Branchen-
standards
Internationale
Normen
Framework zur
Cloud Integration
und Auditierung
9. © direkt gruppe 2016Seite
Compliance Radar – Vorbereitung der direkt gruppe
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service9
Regularien: Kontinuierliche Aufrechterhaltung derAktualität (Radar)
§ Prinzipielle Implementation typischer Standards in die Beratungs- und Service-Leistungen
§ Versicherungsspezifische Aufnahme von Anforderungen aus Regularien
§ Aufnahme geeigneter Maßnahmen in den IntegrationsleitfadenCOMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
Implementationsleitfaden CaaS –
Projekt-Spezifika Versicherungskunde
Standards realisiert
§ ISO 27001/27002
§ BSI Grundschutz
§ TÜV Trust IT Trusted
Cloud
Aufnahme Projekt
Spezifika:
§ Solvency II
§ MaRisk (BaFin)
§ AWS best practices
Dokumente:
COMPLIANCE
RADAR
Security &
Compliance
Framework
B ra n c h e n -
s ta n d a rd s In te rn a tio n a le N o rm e nF ra m e w o rk z u rC lo u dIn te g ra tio nu nd A ud itie ru ng
10. © direkt gruppe 2016Seite
Compliance as a Service – „Individualisierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service10
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Schutzbedarfs-
feststellung
Cloud
Integrations
Leitfaden
Ableitung TOMs
und Anforderungen
an Verträge
Zielorientierte
Analyse
11. © direkt gruppe 2016Seite
Individualisierung – Aufnahme der kundenspezifischen Anforderungen
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service11
Feststellung speziellerAnforderungen aus Prozessen und Applikationen
§ Stakeholder: Konzern Security, Datenschutz,Revision,Compliance,Legal
§ Schutzbedarfsfeststellungen für Applikationen und Daten
§ Ableitung individueller Anforderungen und Aufnahme von Maßnahmen
§ Anpassung des Leitfadens in Abstimmung aufKunden- und Teamseite
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
Individualisierung Implementationsleitfaden
§ Konzern Policies: Informationssicherheit,Datenschutz,Compliance
§ Applikationen: ProphetProfessional 8, FIRM, Igloo,(weitere Applikationen)
§ Verträge
Schutzbedarfe:
§ Vertraulichkeit
§ Integrität
§ Verfügbarkeit
§ Nachvollziehbarkeit
Schutzniveaus:
§ 4-stufig
Ergebnisse:
§ Verfügbarkeit:
- sehr hoch = Ausfall < 4 Stunden
§ Vertraulichkeit:
- Hoch/sehr hoch = Verschlüsselung
§ Sichere Anbindung,kein direkter Internet-
Zugang
Dokumente:
12. © direkt gruppe 2016Seite
Compliance as a Service – „Orchestrierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service12
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Umsetzung TÜV
Best Practices
Know-how
Transfer
Cloud Implemen-
tierung und
Automatisierung
Implementierung
der Trusted
Procedures
13. © direkt gruppe 2016Seite
Orchestrierung – technische und organisatorische Umsetzung der Maßnahmen
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service13
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
INDIVIDUALISIERUNG
Ablauf Orchestrierung
§ Abnahme des Integrationsleitfadens zur Umsetzung des Compliance konformen Betriebs
Beteiligt:Projektteam Kunde,direktgruppe:Team „Compliance & Security“,Team „Orchestrierung“
§ Technische Maßnahmen werden durchgängig automatisiert
§ Roadmap schafftTransparenz und Verbindlichkeitfür alle Stakeholder
Orchestrierung – Besonderheiten Compliance bedingt:
§ Betrieb der AWS-Cloud erfolgtfinal am StandortFrankfurt/Main
§ Bewegte und ruhende Daten mit Vertraulichkeit= hoch sind zu verschlüsseln
§ Applikationen mitVerfügbarkeit= sehr hoch werden redundantausgelegt
Genutzte Tools:
§ AWS Web Access
§ ServiceNow
§ Microsoft SC
Orchestrator
14. © direkt gruppe 2016Seite
Compliance as a Service – „Auditierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service14
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Cloud
Zertifikate
BAFIN
SOLVENCY
Compliance
ISO27001
(27017/27018)
Vorbereitung
und
Zertifizierung
15. © direkt gruppe 2016Seite
Auditierung: Abnahme der Umgebung mit Testaten und Zertifikaten
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service15
COMPLIANCE RADAR
AUDITIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
INDIVIDUALISIERUNG
Auditierung: Self Assessments und externe Zertifizierung
§ In allen Projektphasen werden die eingesetzten Verfahrensanweisungen und Checklisten zur Erfüllung der
Compliance Anforderungen angepasstund aktuell gehalten.
§ Die Cloud Orchestration Platform protokolliertalle Aufträge,Zugriffe und Veränderungen automatisch.
§ Es entsteht eine revisionsfähige Dokumentation zur Vorbereitung der Zertifizierung.
Auditierung – der Kunde erhält ein zertifizierungsfähiges Ergebnis
§ KontinuierlicheAktualisierung der Verfahren liefern bei Betriebsübergabe eine solide Grundlage für
ein Testat oder ein Zertifikat zur Compliance-konformen Informationsverarbeitung.
ORCHESTRIERUNG
16. © direkt gruppe 2016Seite
Projektauftrag
Resümee & Lessons Learned
Schutzbedarfsfeststellung Implementationsleitfaden Application Catalog
Roadmap Überblick Applikationen Checkliste IT-Security
Automatisierung Compliance Check Zertifikate
Ergebnisdokumente
Compliance as a Service – Ergebnisdokumente
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service16
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
17. © direkt gruppe 2016Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service17
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
2. Compliance as a Service in der Praxis
§ Ausgangslage einer Versicherung
§ Vier Schritte zum Erfolg
§ Ergebnisdokumente
3. Resümee und Lessons Learned
18. © direkt gruppe 2016Seite
Compliance as a Service – Resümee und Erkenntnisse
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service18
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
Projekterfahrungen
ü Kritische, versicherungsrelevante Anwendungen können sicher in die Cloud übertragen
werden
ü Frühe Einbindung von Revision, Datenschutz und Sicherheit erspart späteren Umbau und
damit verbundenen Mehraufwand
ü Technische Abläufe sollten durchgängig automatisiert werden, um manuelle Fehler und
Mehraufwände zu vermeiden
ü Technische und organisatorische Maßnahmen müssen revisionssicher protokolliert werden,
um den Aufwand für die Zertifizierung gering zu halten
ü Eine detaillierte Roadmap schafft Verbindlichkeit, wann entsprechende Reifegrade erreicht
werden können
19. direkt gruppe
Hamburg I Griegstraße 75 I Haus 26 I 22763 Hamburg
Köln I Holzmarkt 2 I 50676 Köln
München I Landaubogen 1 I 81373 München
Tel. +49 40 88155-0 I Fax +49 40 88155-5200
info@direkt-gruppe.de I www.direkt-gruppe.de
www.youtube.com/user/direktgruppe
www.facebook.com/direktgruppe
www.direkt-gruppe.de/xing
Vielen Dank für
Ihre Aufmerksamkeit!