REGULIERUNG Wenn Daten
REGULIERUNG Wenn Daten intelligent verknüpft sind, liefern sie nicht nur hilfreiche Einsichten, sondern ermöglichen es, Prozesse zu automatisieren – von SOA (Service Oriented Architecture) über Bedrohungsanalyse, Strukturanalyse und Informationsverbund bis zur Schutzbedarfsfeststellung – und entlasten somit die Organisation. Regelbasierte Daten-Repositories versehen die Daten mit einer Logik und sorgen dafür, dass alle Verknüpfungen individuell auf die Anforderungen des Unternehmens zugeschnitten sind. Liegen zum Beispiel Incident-Response-Pläne in digitaler Form vor und sind mit Kontaktdaten der entsprechenden Teams verknüpft, können automatisierte Workflows initiiert werden. Oder sind Systemdaten der eigenen Systeme mit den Live-Meldungen von Cyber-Warndiensten verknüpft, können automatisierte Alarme ausgelöst oder Regeln zu Überwachung, Bewertung, Steuerung und Kontrolle jeglicher Art angestoßen werden. Vgl. dazu die Abbildung ÿ 1. Besonders hilfreich ist es, die DORA-Richtlinie selbst digital zu erfassen und dann mit der Business-Architektur – von Prozessen und Rollen bis zu Applikationen, Kunden und Lieferanten – zu vernetzen. So können GAPs und Schwachstellen gescannt und das regulatorische Risiko ermittelt werden. Auch liegen in einem solchen Repository die Daten redundanzfrei vor. Das verringert nicht nur den Pflegeaufwand, sondern eliminiert auch Fehlerquellen. Eine Datenbank ist jedoch immer nur so gut wie ihr aktueller Pflegestand. Es ist daher wichtig, darauf zu achten, dass Daten nicht nur intelligent verknüpft, sondern auch einfach zu pflegen und zu dokumentieren sind. Liegt die Datenquelle außerhalb oder in einem anderen System, wird durch intelligente Anbindung für Konsistenz gesorgt. Benutzerfreundliche Eingabemasken, umfangreiche Schnittstellen zu Bestandssystemen und ein automatisiertes Abfragen von aktuellen Daten sind essenziell, um aktuelle und vorausschauende Analysen machen zu können. Idealerwiese ist die Infrastruktur so aufgebaut, dass die Daten auch umgekehrt fließen können, also von der Gesamtdatenbank zurück in die ursprünglichen Systeme, um auch hier den Pflegeaufwand zu reduzieren. Aussagekräftig visualisieren: ein Lagebild – viele Blickwinkel Auch wenn sich heute Vieles automatisieren lässt: Am Ende treffen Menschen die wichtigen Entscheidungen. Daten und Informationen sollten daher in „menschenlesbarer“ Form zielpublikumsgerecht vorliegen. Entscheidend ist, dass die Visualisierung auf möglichst vielfältige und individuelle Weise erfolgen kann, damit jeder Entscheider einen für seine Denk- und Arbeitsweise optimierten Input bekommt. Tabellen, Matrix-Ansichten, Workflows oder Trendcharts – je besser die Visualisierung, desto schneller und gezielter kann gehandelt werden. Aus diesem Grund ist es wichtig, dass von allen Lieferanten und Systemen die wesentlichen Eigenschaften, Kennzahlen, Daten, Fakten, Qualitätsmesswerte, Aggregationen / Konsolidierungen sowie mögliche Auswirkungen bei einem Ausfall vorliegen, sie aber dennoch so präsentiert werden, dass die Komplexität für den Nutzer reduziert wird. 42 05 | 2023
REGULIERUNG 2 | Aktuell pflegen, intelligent verknüpfen, smart visualisieren, gezielt verbessern Systeme mit leistungsfähigen Daten-Repositories unterstützen bei der nachhaltigen Umsetzung der DORA-Richtlinie Applikation Kontrolle Produkt Risiko Regulatorien Value Chain Lieferant Prozess Applikation Organisation Maßnahme Infrastruktur Information Gebäude Location Quelle: Eigene Darstellung Steuern, bewerten und kontrollieren: mehr Effizienz mit weniger Aufwand Am Ende steht und fällt die Umsetzung einer Compliance-Vorgabe immer mit der Fähigkeit, die geforderten Nachweise und Prüfungen zu erbringen. Immer häufiger überschneiden sich Anforderungen verschiedener Richtlinien. So finden sich in DORA viele Vorgaben, die aus bestehenden Regularien wie MaRisk/BAIT, bsi 200 1-4 oder den Guidelines der EBA zu Outsourcing Arrangements ICT and Security Risk Management bekannt sind. Ein strukturiertes, vernetztes und intelligentes Kontroll-Assessment ist also auch hier hilfreich. Ein regelbasiertes und konfigurierbares Analyse- und Berichtswesen kann mehrere Assessments, von DORA bis zur Datenschutz- Grundverordnung GDPR, miteinander vernetzen und mit einer Antwort mehrere Vorgaben bedienen – spontan, periodisch oder permanent, manuell, anlassbezogen, automatisch oder intelligent. Idealerweise bildet ein strukturiertes, nachhaltiges Kontrollmanagement auch unterschiedliche Zielgruppen und Themenkreise eines Unternehmens (IT, Sicherheit, Finanz, Legal etc.) ab. ÿ 2 FAZIT Der Aufwand für eine erfolgreiche und nachhaltige Umsetzung der DORA-Richtlinie lässt sich mithilfe intelligenter Datenverknüpfungen deutlich reduzieren. Voraussetzung ist eine hohe Datenverfügbarkeit und -qualität sowie eine intelligente Vernetzung vorhandener Daten mittels Dashboards, Grafiken, Tabellen, Workflows und Alarmen. Dabei gilt für die Verantwortlichen der Hinweis: „Lassen Sie zusammen, was zusammengehört. So müssen Sie den Informationsverbund, also die Vernetzung sämtlicher relevanter Architektur-Assets der IKT, nur einmal pflegen und erhalten eine Unternehmens- DNA, die es erlaubt, alle Fragen aus einer Hand zu beantworten – von Risiko, Kontrolle, Sicherheit und Notfallvorsorge bis hin zu Auslagerung, Wiederanlauf, Rückabwicklung, Test und Simulation Ihrer Systeme.“ Autor Dr. Roland Pulfer, Gründer der Business-DNA Solutions GmbH und GRC-Experte beim Software-as-a-Service-Anbieter F24 AG. Er teilt sein Wissen regelmäßig auch als Speaker, zuletzt beim Kölner OpRisk-Forum zum Thema „DORA – durch Digitalisierung eine Vorgabe intelligent umsetzen“. 05 | 2023 43
