inma & observeit - ibv-solutions.com · inma & observeit der umgang mit elektronischen...
Post on 20-Jul-2018
216 Views
Preview:
TRANSCRIPT
FINMA & ObserveIT
Der Umgang mit elektronischen Kundendaten zur Erfüllung der FINMA Regulationen.
Einleitung Vertrauliche elektronische Kundendaten stellen für Banken grundsätzlich ein Risiko dar, da der Verlust dieser Daten
zu enormen Reputationsschäden sowie Kosten für die Bewältigung des Verlustes nach sich ziehen. In einer Welt in
der Information das wertvollste Gut ist, ist es für Finanzinstitute in der Schweiz essentiell, dass diese Informationen
nachweislich nach den besten Möglichkeiten geschützt werden. Oder anders gesagt, dass Risiken im Umgang mit
sensiblen Kundendaten minimiert werden.
Langjährige Erfahrung mit IT Security in der Finanzbranche ermöglichen es uns, unsere Kunden kosteneffizient bei der
Umsetzung der FINMA Regulationen zu unterstützen. In diesem Papier zeigen wir Ihnen, wie wir mit ObserveIT einen
signifikanten Mehrwert für Ihr Unternehmen schaffen.
Management Summary
Mit ObserveIT schulen Sie Ihre
Mitarbeiter direkt im Daily Business
per Meldung auf dem Desktop.
ObserveIT hilft Ihnen dabei, frühzeitig risikoreiches
Mitarbeiterverhalten zu erkennen.
Mit ObserveIT handeln Sie rational und informieren Ihre User per Nachricht auf den Bildschirm.
Grundsatz 5, Teil b) Punkt 32
Interne und externe Mitarbeiter müssen im Rahmen gezielter Schulungen in Bezug auf die Kundendatensicherheit
sensibilisiert werden.
Hypothese 1: ObserveIT unterstützt Sie mit einem
innovativen Ansatz bei der Schulung Ihrer Mitarbeiter.
ObserveIT geht sogar soweit, dass eine kontinuierliche
Schulung spezifischer Sicherheitsaspekte möglich ist, ohne
dass der Arbeitsplatz einmal verlassen werden muss.
Ergebnis: ObserveIT eignet sich hervorragend um diesen
Grundsatz erfolgreich, effizient und kostengünstig
umzusetzen.
Grundsatz 5, Teil d) Punkt 35
Vorkehrungen, wie z.B. das Führen von Log-Dateien, sind einzuführen, um die Identifizierung von Benutzern, die
auf Massen-CID zugreifen zu ermöglichen. Dabei sind einzelne Transaktionen bzw. Zugriffe dem jeweiligen
Benutzer zuzuordnen.
Hypothese 2: Mit ObserveIT identifizieren Sie Mitarbeiter,
die auf CID zugreifen. Einzelne Transaktionen und
Aktivitäten können einfach und schnell den jeweiligen
Benutzern zugeordnet werden.
Ergebnis: Die Identifikation ist einer der wichtigsten
Grundsätze der FINMA Regulationen, was diese Funktion für
eine Bank unentbehrlich macht.
Grundsatz 5, Teil d) Punkt 35
Vorkehrungen, wie z.B. das Führen von Log-Dateien, sind einzuführen, um die Identifizierung von Benutzern, die
auf Massen-CID zugreifen zu ermöglichen. Dabei sind einzelne Transaktionen bzw. Zugriffe dem einzelnen Benutzer
zuzuordnen.
Hypothese 3: ObserveIT zeichnet anhand einer
Videoaufnahme sämtliche Nutzeraktivitäten auf und bietet
dank zahlreich erfasster Metadaten eine umfassende Suche
um schnell die einzelnen Aktionen einem Benutzer zuordnen
zu können.
Grundsatz 7, Punkt 39
Identifizierte Risiken müssen überwacht und angemessen minimiert werden. Dies gilt namentlich in Verbindung
mit Datenbearbeitungsaktivitäten, bei denen grossen Mengen von CID verändert oder migriert werden müssen.
Bei strukturellen Veränderungen (z.B. bedeutende Reorganisation) muss sich die Bank frühzeitig und vertieft mit
Sicherheitsmassnahmen der Vertraulichkeit von CID befassen.
Ergebnis: ObserveIT bietet Ihnen ein modernes
Dashboard, mit dem eine Reaktion in Echtzeit so simpel
wie grandios ist. Mit ObserveIT ergreifen Sie
Massnahmen, bevor es zu spät ist.
Hypothese 4: Mit ObserveIT agieren Sie schnell und
treten gegenüber Mitarbeitern hochprofessionell auf.
Die Möglichkeit gezielt auf Mitarbeiter zuzugehen
und gemeinsam Lösungen zu erarbeiten, hebt
Mitarbeiterführung auf ein modernes Level.
Ergebnis: Sie sparen sich wertvolle Zeit im Handling und
der Kommunikation von Insider Threats. Minuten und gar
Stunden, die Ihrer Bank neben Zeit auch sehr viel Geld
sparen kann.
Grundsatz 7, Teil a) Punkt 40
Die Datenbearbeitung, die im Produktionsumfeld mit nicht anonymisierten, nicht verschlüsselten und nicht
pseudonymisierten Massen-CID durchgeführt wird, muss geeigneten Verfahren unterliegen (z.B. Vieraugenprinzip
oder Log-Dateien), einschliesslich der Benachrichtigung der für die Datensicherheit und -vertraulichkeit
zuständigen Einheit.
Hypothese 5: ObserveIT benachrichtigt Sie über unautorisierte Vorgänge im Zusammenhang mit Kundendaten
stets in Echtzeit und zeichnet diese als Videodateien auf.
Ergebnis: ObserveIT bietet unseren Kunden anhand von Video- und Metadatenaufzeichnungen die optimale Lösung
für das Vieraugenprinzip und somit die korrekte Einhaltung dieser Regulation.
Grundsatz 8, Punkt 42
Von den Banken wird erwartet dass sie vordefinierte Prozesse einführen, um rasch auf Vorfälle in Verbindung mit der
Vertraulichkeit zu reagieren, einschliesslich einer klaren Strategie zur Kommunikation schwerwiegender Vorfälle.
Zudem müssen Ausnahmen, Vorfälle, Kontroll- und Prüfergebnisse überwacht, analysiert und in geeigneter Form dem
obersten Management gemeldet werden. Dies muss zur laufenden Verfeinerung der Massnahmen zur Sicherstellung
der Vertraulichkeit von CID beitragen.
Hypothese 6: Schweizer Banken stehen unter einem enormen Druck, geeignete Verfahren zu entwickeln, die einem
Datenklau vorbeugen und Fehlverhalten der Mitarbeiter im Umgang mit Kundendaten akribisch aufzeichnen. Die rasche
Kommunikation solcher Vorfälle an das Management ist für eine Lösungsfindung essentiell.
Ergebnis: ObserveIT bietet dem C-Level Ihres Unternehmens ein Verfahren mit simplen Methoden, bei kritischem
Mitarbeiterverhalten entsprechende Schritte einzuleiten und somit Kundendatenmissbrauch zu vermeiden.
Grundsatz 9, Teil c) Punkt 50
Die Bank muss für jede ausgelagerte Aktivität, die Zugriff auf CID beinhaltet, mindestens einen internen
Mitarbeitenden bestimmen, der dafür verantwortlich ist, dass die Sicherheits- und Vertraulichkeitsstandards in
Bezug auf die Verantwortlichkeit von CID eingehalten werden.
Hypothese 7: Externe Mitarbeiter und Partner fordern oft uneingeschränkten Zugriff auf IT-Systeme, um Ihren Auftrag erfolgreich absolvieren zu können. Hierbei ist ein Unternehmen in Zukunft verpflichtet, mindestens einen Mitarbeiter mit der Kontrolle externer Parteien zu beauftragen.
Ergebnis: ObserveIT unterstützt nicht nur Ihre internen Prozesse zur Einhaltung dieses Grundsatzes, sondern übernimmt gar ganze Aufgaben, wie z.B. die Überprüfung der Tätigkeiten externer Mitarbeiter.
ObserveIT und die IBV pflegen seit über 5 Jahren eine intensive Partnerschaft. Die IBV betreut zahlreiche Kunden der
Finanzindustrie in der Schweiz und in Liechtenstein. Dank über 30 ObserveIT Implementationen haben wir ein
weitreichendes und detailliertes Wissen über ObserveIT und Insider Threat Management.
Im Zusammenhang mit der Umsetzung von FINMA Richtlinien mit ObserveIT bieten wir folgende Dienstleistungen an:
Ihr ObserveIT Spezialist in der Schweiz
Wir bieten lokalen Support aus der Schweiz und Deutschland
Wir schulen Ihre Mitarbeiter im Umgang mit ObserveIT
Wir schulen Ihre Mitarbeiter im Umgang mit elektronischen Kundendaten
Wir bieten alles aus einer Hand—Von der Erstinstallation bis ins Detail
Mit uns überstehen Sie jedes Security Audit ohne Kratzer
IBV Informatik AG, Stallikerstrasse 1, 8906 Bonstetten, 044 745 92 92
top related