IT Security Consulting am Beispiel Automatisierung SBA
Reduktion des Komplexitätsaufwands der Schutzbedarfsanalyse (SBA) durch optimale Tool-Unterstützung
Industry
Anforderungen
Erfüllung der BAIT in Bezug auf die SBA-Durchführung
Status Quo
Kunde nutzt MS Excel Lösung, die nur eine beschränkte Auswertungskapazität erlaubt
Ziel
Aufbau eines automatisierten SBA-Workflows inkl. Dashboard, welche die Arbeitszeit erheblich reduzieren wird
Projektscope
Die BaFin verlangt laut BAIT 3.3, dass "das Institut [...] regelmäßig und anlassbezogen den Schutzbedarf für die Bestandteile seines definierten Informationsverbundes, insbesondere im Hinblick auf die Schutzziele Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität, zu ermitteln" hat. Der Kunde nutzt derzeit MS Excel für die SBA-Dokumentation. Eine einfache und schnelle Auswertung ist derzeit nur eingeschränkt möglich.
Da der Informationsverbund in der Regel hinsichtlich Interrelationen und Anzahl von Assets komplex ist, kann eine technische Umsetzung Abhilfe leisten, um den SBA-Prozess zu digitalisieren und übersichtliche Dashboards zu erstellen. Die technische Umsetzung ist Hauptgegenstand des Projekts.
SRC IT Security Consulting in Aktion
SRC IT Security Consulting: Challenge
Um eine adäquate Lösung anbieten zu können, ist eine Identifikation des Ist-Prozesses der Schutzbedarfsanalyse und damit einhergehend die der "Pain Points" erforderlich. Dies macht erst Vereinfachungen von SBA-Abläufen und somit die optimale Tool-Unterstützung möglich. Die folgende Abbildung veranschaulicht unser Verständnis des SBA-Prozesses.
SRC IT Security Consulting: Solution
Digitale Lösungen und Custom-Made Automatismen wurden im Rahmen dieses Projekts implementiert und aufgesetzt. Die programmierten Automatismen überprüfen u.a. Dateneinträge auf Konsistenz, führen Schutzbedarfseinwertungen und Vererbungen in automatisierter Form durch. Durch die Digitalisierung und Automatisierung des SBA Prozesses konnte
der operative Aufwand weitestgehend durch einen "Self-Service" für die Fachbereiche ersetzt werden. Beim Informationssicherheitsbeauftragten liegt nun die Steuerung und das Tracking des Prozessfortschritts. Dokumentation - technisch und fachlich - initiieren ein Self-Empowerment der Fachabteilungen.
SRC IT Security Consulting: Result
Kurzum die technische Lösung schafft innerhalb des dem Kunden zur Verfügung stehenden Anwendungs- bzw. Technologiestacks einen hohen Automatisierungsgrad. Fachbereiche sind in der Lage per Self-Service die für sie relevanten Bestandteile des Informationsverbundes selbstständig zu bewerten. Die Schutzbedarfseinwertung erfolgt komplett automatisch.
Dashboards erlauben kritische Assets in Echtzeit zu identifizieren. Technische und fachliche Handbücher wurden dem Kunden zur Selbstbefähigung bereitgestellt. Insgesamt ergab sich so für den Kunden eine relative Arbeitszeitreduktion von mehr als 50%.