IT Security Consulting am Beispiel Automatisierung SBA

    Reduktion des manuellen Aufwands durch Prozessautomatisierung

    Reduktion des Komplexitätsaufwands der Schutzbedarfsanalyse (SBA) durch optimale Tool-Unterstützung


    Industry

    Banking icon

     

    Anforderungen

    Erfüllung der BAIT in Bezug auf die SBA-Durchführung

    Status Quo

    Kunde nutzt MS Excel Lösung, die nur eine beschränkte Auswertungskapazität erlaubt

     

    Ziel

    Aufbau eines automatisierten SBA-Workflows inkl. Dashboard, welche die Arbeitszeit erheblich reduzieren wird  

    Projektscope

    Die BaFin verlangt laut BAIT 3.3, dass "das Institut [...] regelmäßig und anlassbezogen den Schutzbedarf für die Bestandteile seines definierten Informationsverbundes, insbesondere im Hinblick auf die Schutzziele Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität, zu ermitteln" hat. Der Kunde nutzt derzeit MS Excel für die SBA-Dokumentation. Eine einfache und schnelle Auswertung ist derzeit nur eingeschränkt möglich. 

    Da der Informationsverbund in der Regel hinsichtlich Interrelationen und Anzahl von Assets komplex ist, kann eine technische Umsetzung Abhilfe leisten, um den SBA-Prozess zu digitalisieren und übersichtliche Dashboards zu erstellen. Die technische Umsetzung ist Hauptgegenstand des Projekts.  

    SRC IT Security Consulting in Aktion

    1
    Challenge
    Die Ausgangslage bildet die Prozessaufnahme der gegenwärtigen SBA-Aufläufe, um Vereinfachungen und den optimalen Tool-Einsatz zu ermitteln. Idealerweise ist das existierende Anwendungs- bzw. Technologiestack zu verwenden.
    2
    Solution
    Abbildung der SBA-Abläufe als Workflows zur Ablösung des bestehenden Excel-basierten Vorgehens.
    3
    Results
    Schlanke SBA-Prozesse, insbesondere Selbstbefähigung der Fachabteilungen einerseits sowie Gewährleistung der Revisionssicherheit inkl. übersichtlichtes Dashboarding sind die wesentlichen Resultate der technischen Lösung.
    THE CHALLENGE

    SRC IT Security Consulting: Challenge

    Um eine adäquate Lösung anbieten zu können, ist eine Identifikation des Ist-Prozesses der Schutzbedarfsanalyse und damit einhergehend die der "Pain Points" erforderlich. Dies macht erst Vereinfachungen von SBA-Abläufen und somit die optimale Tool-Unterstützung möglich. Die folgende Abbildung veranschaulicht unser Verständnis des SBA-Prozesses. 

    THE TECHNICAL SOLUTION

    SRC IT Security Consulting: Solution

    Digitale Lösungen und Custom-Made Automatismen wurden im Rahmen dieses Projekts implementiert und aufgesetzt. Die programmierten Automatismen überprüfen u.a. Dateneinträge auf Konsistenz, führen Schutzbedarfseinwertungen und Vererbungen in automatisierter Form durch. Durch die Digitalisierung und Automatisierung des SBA Prozesses konnte

    der operative Aufwand weitestgehend durch einen "Self-Service" für die Fachbereiche ersetzt werden. Beim Informationssicherheitsbeauftragten liegt nun die Steuerung und das Tracking des Prozessfortschritts. Dokumentation - technisch und fachlich - initiieren ein Self-Empowerment der Fachabteilungen. 

    THE FINAL PRODUCT

    SRC IT Security Consulting: Result

    Kurzum die technische Lösung schafft innerhalb des dem Kunden zur Verfügung stehenden Anwendungs- bzw. Technologiestacks einen hohen Automatisierungsgrad. Fachbereiche sind in der Lage per Self-Service die für sie relevanten Bestandteile des Informationsverbundes selbstständig zu bewerten. Die Schutzbedarfseinwertung erfolgt komplett automatisch.  

    Dashboards erlauben kritische Assets in Echtzeit zu identifizieren. Technische und fachliche Handbücher wurden dem Kunden zur Selbstbefähigung bereitgestellt. Insgesamt ergab sich so für den Kunden eine relative Arbeitszeitreduktion von mehr als 50%. 

    Design Kontrollframework
    IT Health Check

    Fragen? Vereinbaren Sie ein Meeting mit uns