SlideShare ist ein Scribd-Unternehmen logo
Compliance as a Service (CaaS)
AWS Enterprise Summit
Ein Produkt der direkt gruppe in Zusammenarbeit mit TÜV Trust IT
Frankfurt, 30. Juni 2016
© direkt gruppe 2016Seite
Ängste hemmen das Effizienzpotenzial der eigenen IT
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service2
Sicherheitsbedenken sind weiterhin das größte Hemmnis für die Cloud Nutzung in Unternehmen.
Cloud-spezifische Befürchtungen
60% befürchten unberechtigten
Zugriff auf sensible Daten
Statistische Erhebungen von KPMG AG in Zusammenarbeit mit Bitkom Research GmbH
56% sorgen sich um die Einhaltung
eigener Compliance-Anforderungen
8% berichten von Compliance-Vorfällen
in der Cloud
Mit CaaS von der direkt gruppe sind Sie sicher
Verschlüsselung bewegter und ruhender Daten
auch in der Cloud
Umfassender Compliance Radar sorgt für
Einhaltung von Standards und
Branchenanforderungen
Gebündeltes Know-how von der direkt gruppe
und TÜV Trust IT sorgt dafür, dass Ihnen das
NICHT passiert
© direkt gruppe 2016Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service3
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
2. Compliance as a Service in der Praxis
§ Ausgangslage einer Versicherung
§ Vier Schritte zum Erfolg
§ Ergebnisdokumente
3. Resümee und Lessons Learned
© direkt gruppe 2016Seite
Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
direkt gruppe und TÜV Trust IT - Compliance as a Service27.06.164
§
INFORMATION
SECURITY
DATENSCHUTZ
§ BSI Grundschutz
§ ISO 27000 Family
§ COBIT
§ Trusted Cloud
§ Pharma-, Finanz- und
Energie Gesetzgebung
§ PCI DSS
§ Solvency II, MaRisk
§ StGB
§ GoB
§ BDSG/EU-DSGVO
§ EU Model Clauses
COMPLIANCE
© direkt gruppe 2016Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service5
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
2. Compliance as a Service in der Praxis
§ Ausgangslage einer Versicherung
§ Vier Schritte zum Erfolg
§ Ergebnisdokumente
3. Resümee und Lessons Learned
© direkt gruppe 2016Seite
Compliance as a Service – vier Schritte zum Erfolg
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service6
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
© direkt gruppe 2016Seite
CaaS – Beispiel aus der Versicherungsbranche
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service7
Aufgabenstellung
International agierender Versicherungskonzern beauftragtdie direktgruppe:
§ Implementierung einer AWS-Umgebung und Transformation wichtiger Anwendungen für Finanzen und
Risikomanagementin die AWS-Cloud.
§ Voraussetzungen:Entsprechung der Anforderungen,hohe und sichere Verfügbarkeit,Wahrung der
Vertraulichkeit
Erwartung und Ergebnisse
§ COMPLIANCE RADAR
Integrationsleitfaden mitBeschreibung von Maßnahmen zur Abdeckung branchenüblicher Compliance
Anforderungen liegtbei Projektstartvor.
§ INDIVIDUALISIERUNG
Der Integrationsleitfaden wird aufden Bedarfdes Kunden zugeschnitten.
§ ORCHESTRIERUNG
Die Implementierung erfolgtgemäßden Anforderungen des Kunden.
§ AUDITIERUNG
Es wird bestätigt, dass der Betrieb compliantzu den Anforderungen erfolgt.
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
© direkt gruppe 2016Seite
Compliance as a Service – „Compliance Radar“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service8
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Security &
Compliance
Framework
Branchen-
standards
Internationale
Normen
Framework zur
Cloud Integration
und Auditierung
© direkt gruppe 2016Seite
Compliance Radar – Vorbereitung der direkt gruppe
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service9
Regularien: Kontinuierliche Aufrechterhaltung derAktualität (Radar)
§ Prinzipielle Implementation typischer Standards in die Beratungs- und Service-Leistungen
§ Versicherungsspezifische Aufnahme von Anforderungen aus Regularien
§ Aufnahme geeigneter Maßnahmen in den IntegrationsleitfadenCOMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
Implementationsleitfaden CaaS –
Projekt-Spezifika Versicherungskunde
Standards realisiert
§ ISO 27001/27002
§ BSI Grundschutz
§ TÜV Trust IT Trusted
Cloud
Aufnahme Projekt
Spezifika:
§ Solvency II
§ MaRisk (BaFin)
§ AWS best practices
Dokumente:
COMPLIANCE
RADAR
Security &
Compliance
Framework
B ra n c h e n -
s ta n d a rd s In te rn a tio n a le N o rm e nF ra m e w o rk z u rC lo u dIn te g ra tio nu nd A ud itie ru ng
© direkt gruppe 2016Seite
Compliance as a Service – „Individualisierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service10
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Schutzbedarfs-
feststellung
Cloud
Integrations
Leitfaden
Ableitung TOMs
und Anforderungen
an Verträge
Zielorientierte
Analyse
© direkt gruppe 2016Seite
Individualisierung – Aufnahme der kundenspezifischen Anforderungen
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service11
Feststellung speziellerAnforderungen aus Prozessen und Applikationen
§ Stakeholder: Konzern Security, Datenschutz,Revision,Compliance,Legal
§ Schutzbedarfsfeststellungen für Applikationen und Daten
§ Ableitung individueller Anforderungen und Aufnahme von Maßnahmen
§ Anpassung des Leitfadens in Abstimmung aufKunden- und Teamseite
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
Individualisierung Implementationsleitfaden
§ Konzern Policies: Informationssicherheit,Datenschutz,Compliance
§ Applikationen: ProphetProfessional 8, FIRM, Igloo,(weitere Applikationen)
§ Verträge
Schutzbedarfe:
§ Vertraulichkeit
§ Integrität
§ Verfügbarkeit
§ Nachvollziehbarkeit
Schutzniveaus:
§ 4-stufig
Ergebnisse:
§ Verfügbarkeit:
- sehr hoch = Ausfall < 4 Stunden
§ Vertraulichkeit:
- Hoch/sehr hoch = Verschlüsselung
§ Sichere Anbindung,kein direkter Internet-
Zugang
Dokumente:
© direkt gruppe 2016Seite
Compliance as a Service – „Orchestrierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service12
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Umsetzung TÜV
Best Practices
Know-how
Transfer
Cloud Implemen-
tierung und
Automatisierung
Implementierung
der Trusted
Procedures
© direkt gruppe 2016Seite
Orchestrierung – technische und organisatorische Umsetzung der Maßnahmen
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service13
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
INDIVIDUALISIERUNG
Ablauf Orchestrierung
§ Abnahme des Integrationsleitfadens zur Umsetzung des Compliance konformen Betriebs
Beteiligt:Projektteam Kunde,direktgruppe:Team „Compliance & Security“,Team „Orchestrierung“
§ Technische Maßnahmen werden durchgängig automatisiert
§ Roadmap schafftTransparenz und Verbindlichkeitfür alle Stakeholder
Orchestrierung – Besonderheiten Compliance bedingt:
§ Betrieb der AWS-Cloud erfolgtfinal am StandortFrankfurt/Main
§ Bewegte und ruhende Daten mit Vertraulichkeit= hoch sind zu verschlüsseln
§ Applikationen mitVerfügbarkeit= sehr hoch werden redundantausgelegt
Genutzte Tools:
§ AWS Web Access
§ ServiceNow
§ Microsoft SC
Orchestrator
© direkt gruppe 2016Seite
Compliance as a Service – „Auditierung“
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service14
INDIVIDUALISIERUNG
ORCHESTRIERUNG
COMPLIANCE RADAR
AUDITIERUNG
Cloud
Zertifikate
BAFIN
SOLVENCY
Compliance
ISO27001
(27017/27018)
Vorbereitung
und
Zertifizierung
© direkt gruppe 2016Seite
Auditierung: Abnahme der Umgebung mit Testaten und Zertifikaten
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service15
COMPLIANCE RADAR
AUDITIERUNG
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
INDIVIDUALISIERUNG
Auditierung: Self Assessments und externe Zertifizierung
§ In allen Projektphasen werden die eingesetzten Verfahrensanweisungen und Checklisten zur Erfüllung der
Compliance Anforderungen angepasstund aktuell gehalten.
§ Die Cloud Orchestration Platform protokolliertalle Aufträge,Zugriffe und Veränderungen automatisch.
§ Es entsteht eine revisionsfähige Dokumentation zur Vorbereitung der Zertifizierung.
Auditierung – der Kunde erhält ein zertifizierungsfähiges Ergebnis
§ KontinuierlicheAktualisierung der Verfahren liefern bei Betriebsübergabe eine solide Grundlage für
ein Testat oder ein Zertifikat zur Compliance-konformen Informationsverarbeitung.
ORCHESTRIERUNG
© direkt gruppe 2016Seite
Projektauftrag
Resümee & Lessons Learned
Schutzbedarfsfeststellung Implementationsleitfaden Application Catalog
Roadmap Überblick Applikationen Checkliste IT-Security
Automatisierung Compliance Check Zertifikate
Ergebnisdokumente
Compliance as a Service – Ergebnisdokumente
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service16
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
© direkt gruppe 2016Seite
Inhalt
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service17
1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung
2. Compliance as a Service in der Praxis
§ Ausgangslage einer Versicherung
§ Vier Schritte zum Erfolg
§ Ergebnisdokumente
3. Resümee und Lessons Learned
© direkt gruppe 2016Seite
Compliance as a Service – Resümee und Erkenntnisse
27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service18
Projektauftrag
Resümee & Lessons Learned
Ergebnisdokumente
COMPLIANCE RADAR
AUDITIERUNG
ORCHESTRIERUNG
INDIVIDUALISIERUNG
Projekterfahrungen
ü Kritische, versicherungsrelevante Anwendungen können sicher in die Cloud übertragen
werden
ü Frühe Einbindung von Revision, Datenschutz und Sicherheit erspart späteren Umbau und
damit verbundenen Mehraufwand
ü Technische Abläufe sollten durchgängig automatisiert werden, um manuelle Fehler und
Mehraufwände zu vermeiden
ü Technische und organisatorische Maßnahmen müssen revisionssicher protokolliert werden,
um den Aufwand für die Zertifizierung gering zu halten
ü Eine detaillierte Roadmap schafft Verbindlichkeit, wann entsprechende Reifegrade erreicht
werden können
direkt gruppe
Hamburg I Griegstraße 75 I Haus 26 I 22763 Hamburg
Köln I Holzmarkt 2 I 50676 Köln
München I Landaubogen 1 I 81373 München
Tel. +49 40 88155-0 I Fax +49 40 88155-5200
info@direkt-gruppe.de I www.direkt-gruppe.de
www.youtube.com/user/direktgruppe
www.facebook.com/direktgruppe
www.direkt-gruppe.de/xing
Vielen Dank für
Ihre Aufmerksamkeit!

Weitere ähnliche Inhalte

Andere mochten auch

SCHROEDINGER’S NET NEUTRALITY
SCHROEDINGER’S NET NEUTRALITYSCHROEDINGER’S NET NEUTRALITY
SCHROEDINGER’S NET NEUTRALITY
Thomas Lohninger
 
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Danube University Krems, Centre for E-Governance
 
No World in Conflict? Konfligierende Menschenbilder im Computerspiel.
No World in Conflict? Konfligierende Menschenbilder im Computerspiel.No World in Conflict? Konfligierende Menschenbilder im Computerspiel.
No World in Conflict? Konfligierende Menschenbilder im Computerspiel.
Felix Schröter
 
Alles neu beim Thema Compliance
Alles neu beim Thema ComplianceAlles neu beim Thema Compliance
Alles neu beim Thema Compliance
Bankenverband
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert
 
Netzpolitik fh st-pölten
Netzpolitik fh st-pöltenNetzpolitik fh st-pölten
Netzpolitik fh st-pöltenThomas Lohninger
 

Andere mochten auch (6)

SCHROEDINGER’S NET NEUTRALITY
SCHROEDINGER’S NET NEUTRALITYSCHROEDINGER’S NET NEUTRALITY
SCHROEDINGER’S NET NEUTRALITY
 
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
Datenschutzbeauftragte werden in Zukunft eine wichtige Rolle im Unternehmen s...
 
No World in Conflict? Konfligierende Menschenbilder im Computerspiel.
No World in Conflict? Konfligierende Menschenbilder im Computerspiel.No World in Conflict? Konfligierende Menschenbilder im Computerspiel.
No World in Conflict? Konfligierende Menschenbilder im Computerspiel.
 
Alles neu beim Thema Compliance
Alles neu beim Thema ComplianceAlles neu beim Thema Compliance
Alles neu beim Thema Compliance
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
 
Netzpolitik fh st-pölten
Netzpolitik fh st-pöltenNetzpolitik fh st-pölten
Netzpolitik fh st-pölten
 

Ähnlich wie „Compliance as a Service“ auf der AWS Enterprise Summit 2016

Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
topsoft - inspiring digital business
 
Swiss Cloud Conference 2014: GovCloud - der Weg in die transparente und siche...
Swiss Cloud Conference 2014: GovCloud - der Weg in die transparente und siche...Swiss Cloud Conference 2014: GovCloud - der Weg in die transparente und siche...
Swiss Cloud Conference 2014: GovCloud - der Weg in die transparente und siche...
topsoft - inspiring digital business
 
Lucaas 2016 08
Lucaas 2016 08Lucaas 2016 08
Lucaas 2016 08
Ralf Trautz
 
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sabrina Lamberth-Cocca
 
Innovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzenInnovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzen
Amazon Web Services
 
Frank Schlotter, Mag. Christoph Domanig (Active Business Consult – Cenit)
Frank Schlotter, Mag. Christoph Domanig (Active Business Consult – Cenit)Frank Schlotter, Mag. Christoph Domanig (Active Business Consult – Cenit)
Frank Schlotter, Mag. Christoph Domanig (Active Business Consult – Cenit)
Praxistage
 
Microsoft Environments aus der Cloud
Microsoft Environments aus der CloudMicrosoft Environments aus der Cloud
Microsoft Environments aus der Cloud
Beck et al. GmbH
 
Flexible Workplace-Environments aus der Cloud Webinar (3) der BeaS AWS Cloud ...
Flexible Workplace-Environments aus der Cloud Webinar (3) der BeaS AWS Cloud ...Flexible Workplace-Environments aus der Cloud Webinar (3) der BeaS AWS Cloud ...
Flexible Workplace-Environments aus der Cloud Webinar (3) der BeaS AWS Cloud ...
Beck et al. GmbH
 
Swiss Cloud Conference 2014: Was unterscheidet ein Cloud Service vom Outsourcing
Swiss Cloud Conference 2014: Was unterscheidet ein Cloud Service vom OutsourcingSwiss Cloud Conference 2014: Was unterscheidet ein Cloud Service vom Outsourcing
Swiss Cloud Conference 2014: Was unterscheidet ein Cloud Service vom Outsourcing
topsoft - inspiring digital business
 
Unternehmenspräsentation AVIDOK Engineering Support GmbH - SCOPE Gruppe
Unternehmenspräsentation AVIDOK Engineering Support GmbH - SCOPE GruppeUnternehmenspräsentation AVIDOK Engineering Support GmbH - SCOPE Gruppe
Unternehmenspräsentation AVIDOK Engineering Support GmbH - SCOPE GruppeAnitha Keren Doddamani
 
Fachvortrag «Cloudifizierung - produktive Nutzung von Public Clouds
Fachvortrag «Cloudifizierung - produktive Nutzung von Public CloudsFachvortrag «Cloudifizierung - produktive Nutzung von Public Clouds
Fachvortrag «Cloudifizierung - produktive Nutzung von Public Clouds
Stefan Regniet
 
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Trivadis
 
Trivadis TechEvent 2016 Der Trivadis Weg mit der Cloud von Florian van Keulen...
Trivadis TechEvent 2016 Der Trivadis Weg mit der Cloud von Florian van Keulen...Trivadis TechEvent 2016 Der Trivadis Weg mit der Cloud von Florian van Keulen...
Trivadis TechEvent 2016 Der Trivadis Weg mit der Cloud von Florian van Keulen...
Trivadis
 
Cloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
Cloud-Nutzung aus Anwendersicht, Thomas Witt, InfoparkCloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
Cloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
CloudOps Summit
 
AWS Roadshow Herbst 2013 Partnervortrag Hamburg: Direktgruppe - Data Center o...
AWS Roadshow Herbst 2013 Partnervortrag Hamburg: Direktgruppe - Data Center o...AWS Roadshow Herbst 2013 Partnervortrag Hamburg: Direktgruppe - Data Center o...
AWS Roadshow Herbst 2013 Partnervortrag Hamburg: Direktgruppe - Data Center o...
AWS Germany
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
Carsten Muetzlitz
 
Die Zukunft liegt in der Cloud
Die Zukunft liegt in der CloudDie Zukunft liegt in der Cloud
Die Zukunft liegt in der Cloud
eBusiness-Lotse Potsdam
 
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
AWS Germany
 
Webcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-BoardingWebcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-Boarding
Patric Dahse
 
Database migration
Database migrationDatabase migration
Database migration
OPITZ CONSULTING Deutschland
 

Ähnlich wie „Compliance as a Service“ auf der AWS Enterprise Summit 2016 (20)

Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
Swiss Cloud Conference 2014: Wachstum und Herausforderung im Mittelstand meis...
 
Swiss Cloud Conference 2014: GovCloud - der Weg in die transparente und siche...
Swiss Cloud Conference 2014: GovCloud - der Weg in die transparente und siche...Swiss Cloud Conference 2014: GovCloud - der Weg in die transparente und siche...
Swiss Cloud Conference 2014: GovCloud - der Weg in die transparente und siche...
 
Lucaas 2016 08
Lucaas 2016 08Lucaas 2016 08
Lucaas 2016 08
 
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
Sichere Cloud: Sicherheit in Cloud-Computing-Systemen (Umfrage des Fraunhofer...
 
Innovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzenInnovationen aus der Cloud ganz einfach nutzen
Innovationen aus der Cloud ganz einfach nutzen
 
Frank Schlotter, Mag. Christoph Domanig (Active Business Consult – Cenit)
Frank Schlotter, Mag. Christoph Domanig (Active Business Consult – Cenit)Frank Schlotter, Mag. Christoph Domanig (Active Business Consult – Cenit)
Frank Schlotter, Mag. Christoph Domanig (Active Business Consult – Cenit)
 
Microsoft Environments aus der Cloud
Microsoft Environments aus der CloudMicrosoft Environments aus der Cloud
Microsoft Environments aus der Cloud
 
Flexible Workplace-Environments aus der Cloud Webinar (3) der BeaS AWS Cloud ...
Flexible Workplace-Environments aus der Cloud Webinar (3) der BeaS AWS Cloud ...Flexible Workplace-Environments aus der Cloud Webinar (3) der BeaS AWS Cloud ...
Flexible Workplace-Environments aus der Cloud Webinar (3) der BeaS AWS Cloud ...
 
Swiss Cloud Conference 2014: Was unterscheidet ein Cloud Service vom Outsourcing
Swiss Cloud Conference 2014: Was unterscheidet ein Cloud Service vom OutsourcingSwiss Cloud Conference 2014: Was unterscheidet ein Cloud Service vom Outsourcing
Swiss Cloud Conference 2014: Was unterscheidet ein Cloud Service vom Outsourcing
 
Unternehmenspräsentation AVIDOK Engineering Support GmbH - SCOPE Gruppe
Unternehmenspräsentation AVIDOK Engineering Support GmbH - SCOPE GruppeUnternehmenspräsentation AVIDOK Engineering Support GmbH - SCOPE Gruppe
Unternehmenspräsentation AVIDOK Engineering Support GmbH - SCOPE Gruppe
 
Fachvortrag «Cloudifizierung - produktive Nutzung von Public Clouds
Fachvortrag «Cloudifizierung - produktive Nutzung von Public CloudsFachvortrag «Cloudifizierung - produktive Nutzung von Public Clouds
Fachvortrag «Cloudifizierung - produktive Nutzung von Public Clouds
 
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
Azure Days 2019: Azure@Helsana: Die Erweiterung von Dynamics CRM mit Azure Po...
 
Trivadis TechEvent 2016 Der Trivadis Weg mit der Cloud von Florian van Keulen...
Trivadis TechEvent 2016 Der Trivadis Weg mit der Cloud von Florian van Keulen...Trivadis TechEvent 2016 Der Trivadis Weg mit der Cloud von Florian van Keulen...
Trivadis TechEvent 2016 Der Trivadis Weg mit der Cloud von Florian van Keulen...
 
Cloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
Cloud-Nutzung aus Anwendersicht, Thomas Witt, InfoparkCloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
Cloud-Nutzung aus Anwendersicht, Thomas Witt, Infopark
 
AWS Roadshow Herbst 2013 Partnervortrag Hamburg: Direktgruppe - Data Center o...
AWS Roadshow Herbst 2013 Partnervortrag Hamburg: Direktgruppe - Data Center o...AWS Roadshow Herbst 2013 Partnervortrag Hamburg: Direktgruppe - Data Center o...
AWS Roadshow Herbst 2013 Partnervortrag Hamburg: Direktgruppe - Data Center o...
 
Einführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle DeutschlandEinführung in das Customer Success Management von Oracle Deutschland
Einführung in das Customer Success Management von Oracle Deutschland
 
Die Zukunft liegt in der Cloud
Die Zukunft liegt in der CloudDie Zukunft liegt in der Cloud
Die Zukunft liegt in der Cloud
 
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
Der erste Schritt – idealtypische Wege in die Cloud und in der Cloud für Unte...
 
Webcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-BoardingWebcast SAP Cloud Platform No. 1: On-Boarding
Webcast SAP Cloud Platform No. 1: On-Boarding
 
Database migration
Database migrationDatabase migration
Database migration
 

„Compliance as a Service“ auf der AWS Enterprise Summit 2016

  • 1. Compliance as a Service (CaaS) AWS Enterprise Summit Ein Produkt der direkt gruppe in Zusammenarbeit mit TÜV Trust IT Frankfurt, 30. Juni 2016
  • 2. © direkt gruppe 2016Seite Ängste hemmen das Effizienzpotenzial der eigenen IT 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service2 Sicherheitsbedenken sind weiterhin das größte Hemmnis für die Cloud Nutzung in Unternehmen. Cloud-spezifische Befürchtungen 60% befürchten unberechtigten Zugriff auf sensible Daten Statistische Erhebungen von KPMG AG in Zusammenarbeit mit Bitkom Research GmbH 56% sorgen sich um die Einhaltung eigener Compliance-Anforderungen 8% berichten von Compliance-Vorfällen in der Cloud Mit CaaS von der direkt gruppe sind Sie sicher Verschlüsselung bewegter und ruhender Daten auch in der Cloud Umfassender Compliance Radar sorgt für Einhaltung von Standards und Branchenanforderungen Gebündeltes Know-how von der direkt gruppe und TÜV Trust IT sorgt dafür, dass Ihnen das NICHT passiert
  • 3. © direkt gruppe 2016Seite Inhalt 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service3 1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis § Ausgangslage einer Versicherung § Vier Schritte zum Erfolg § Ergebnisdokumente 3. Resümee und Lessons Learned
  • 4. © direkt gruppe 2016Seite Entwirrung in der Terminologie – Eingrenzung & Abgrenzung direkt gruppe und TÜV Trust IT - Compliance as a Service27.06.164 § INFORMATION SECURITY DATENSCHUTZ § BSI Grundschutz § ISO 27000 Family § COBIT § Trusted Cloud § Pharma-, Finanz- und Energie Gesetzgebung § PCI DSS § Solvency II, MaRisk § StGB § GoB § BDSG/EU-DSGVO § EU Model Clauses COMPLIANCE
  • 5. © direkt gruppe 2016Seite Inhalt 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service5 1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis § Ausgangslage einer Versicherung § Vier Schritte zum Erfolg § Ergebnisdokumente 3. Resümee und Lessons Learned
  • 6. © direkt gruppe 2016Seite Compliance as a Service – vier Schritte zum Erfolg 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service6 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG
  • 7. © direkt gruppe 2016Seite CaaS – Beispiel aus der Versicherungsbranche 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service7 Aufgabenstellung International agierender Versicherungskonzern beauftragtdie direktgruppe: § Implementierung einer AWS-Umgebung und Transformation wichtiger Anwendungen für Finanzen und Risikomanagementin die AWS-Cloud. § Voraussetzungen:Entsprechung der Anforderungen,hohe und sichere Verfügbarkeit,Wahrung der Vertraulichkeit Erwartung und Ergebnisse § COMPLIANCE RADAR Integrationsleitfaden mitBeschreibung von Maßnahmen zur Abdeckung branchenüblicher Compliance Anforderungen liegtbei Projektstartvor. § INDIVIDUALISIERUNG Der Integrationsleitfaden wird aufden Bedarfdes Kunden zugeschnitten. § ORCHESTRIERUNG Die Implementierung erfolgtgemäßden Anforderungen des Kunden. § AUDITIERUNG Es wird bestätigt, dass der Betrieb compliantzu den Anforderungen erfolgt. Projektauftrag Resümee & Lessons Learned Ergebnisdokumente COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG
  • 8. © direkt gruppe 2016Seite Compliance as a Service – „Compliance Radar“ 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service8 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG Security & Compliance Framework Branchen- standards Internationale Normen Framework zur Cloud Integration und Auditierung
  • 9. © direkt gruppe 2016Seite Compliance Radar – Vorbereitung der direkt gruppe 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service9 Regularien: Kontinuierliche Aufrechterhaltung derAktualität (Radar) § Prinzipielle Implementation typischer Standards in die Beratungs- und Service-Leistungen § Versicherungsspezifische Aufnahme von Anforderungen aus Regularien § Aufnahme geeigneter Maßnahmen in den IntegrationsleitfadenCOMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG Projektauftrag Resümee & Lessons Learned Ergebnisdokumente Implementationsleitfaden CaaS – Projekt-Spezifika Versicherungskunde Standards realisiert § ISO 27001/27002 § BSI Grundschutz § TÜV Trust IT Trusted Cloud Aufnahme Projekt Spezifika: § Solvency II § MaRisk (BaFin) § AWS best practices Dokumente: COMPLIANCE RADAR Security & Compliance Framework B ra n c h e n - s ta n d a rd s In te rn a tio n a le N o rm e nF ra m e w o rk z u rC lo u dIn te g ra tio nu nd A ud itie ru ng
  • 10. © direkt gruppe 2016Seite Compliance as a Service – „Individualisierung“ 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service10 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG Schutzbedarfs- feststellung Cloud Integrations Leitfaden Ableitung TOMs und Anforderungen an Verträge Zielorientierte Analyse
  • 11. © direkt gruppe 2016Seite Individualisierung – Aufnahme der kundenspezifischen Anforderungen 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service11 Feststellung speziellerAnforderungen aus Prozessen und Applikationen § Stakeholder: Konzern Security, Datenschutz,Revision,Compliance,Legal § Schutzbedarfsfeststellungen für Applikationen und Daten § Ableitung individueller Anforderungen und Aufnahme von Maßnahmen § Anpassung des Leitfadens in Abstimmung aufKunden- und Teamseite COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG Projektauftrag Resümee & Lessons Learned Ergebnisdokumente Individualisierung Implementationsleitfaden § Konzern Policies: Informationssicherheit,Datenschutz,Compliance § Applikationen: ProphetProfessional 8, FIRM, Igloo,(weitere Applikationen) § Verträge Schutzbedarfe: § Vertraulichkeit § Integrität § Verfügbarkeit § Nachvollziehbarkeit Schutzniveaus: § 4-stufig Ergebnisse: § Verfügbarkeit: - sehr hoch = Ausfall < 4 Stunden § Vertraulichkeit: - Hoch/sehr hoch = Verschlüsselung § Sichere Anbindung,kein direkter Internet- Zugang Dokumente:
  • 12. © direkt gruppe 2016Seite Compliance as a Service – „Orchestrierung“ 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service12 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG Umsetzung TÜV Best Practices Know-how Transfer Cloud Implemen- tierung und Automatisierung Implementierung der Trusted Procedures
  • 13. © direkt gruppe 2016Seite Orchestrierung – technische und organisatorische Umsetzung der Maßnahmen 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service13 COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG Projektauftrag Resümee & Lessons Learned Ergebnisdokumente INDIVIDUALISIERUNG Ablauf Orchestrierung § Abnahme des Integrationsleitfadens zur Umsetzung des Compliance konformen Betriebs Beteiligt:Projektteam Kunde,direktgruppe:Team „Compliance & Security“,Team „Orchestrierung“ § Technische Maßnahmen werden durchgängig automatisiert § Roadmap schafftTransparenz und Verbindlichkeitfür alle Stakeholder Orchestrierung – Besonderheiten Compliance bedingt: § Betrieb der AWS-Cloud erfolgtfinal am StandortFrankfurt/Main § Bewegte und ruhende Daten mit Vertraulichkeit= hoch sind zu verschlüsseln § Applikationen mitVerfügbarkeit= sehr hoch werden redundantausgelegt Genutzte Tools: § AWS Web Access § ServiceNow § Microsoft SC Orchestrator
  • 14. © direkt gruppe 2016Seite Compliance as a Service – „Auditierung“ 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service14 INDIVIDUALISIERUNG ORCHESTRIERUNG COMPLIANCE RADAR AUDITIERUNG Cloud Zertifikate BAFIN SOLVENCY Compliance ISO27001 (27017/27018) Vorbereitung und Zertifizierung
  • 15. © direkt gruppe 2016Seite Auditierung: Abnahme der Umgebung mit Testaten und Zertifikaten 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service15 COMPLIANCE RADAR AUDITIERUNG Projektauftrag Resümee & Lessons Learned Ergebnisdokumente INDIVIDUALISIERUNG Auditierung: Self Assessments und externe Zertifizierung § In allen Projektphasen werden die eingesetzten Verfahrensanweisungen und Checklisten zur Erfüllung der Compliance Anforderungen angepasstund aktuell gehalten. § Die Cloud Orchestration Platform protokolliertalle Aufträge,Zugriffe und Veränderungen automatisch. § Es entsteht eine revisionsfähige Dokumentation zur Vorbereitung der Zertifizierung. Auditierung – der Kunde erhält ein zertifizierungsfähiges Ergebnis § KontinuierlicheAktualisierung der Verfahren liefern bei Betriebsübergabe eine solide Grundlage für ein Testat oder ein Zertifikat zur Compliance-konformen Informationsverarbeitung. ORCHESTRIERUNG
  • 16. © direkt gruppe 2016Seite Projektauftrag Resümee & Lessons Learned Schutzbedarfsfeststellung Implementationsleitfaden Application Catalog Roadmap Überblick Applikationen Checkliste IT-Security Automatisierung Compliance Check Zertifikate Ergebnisdokumente Compliance as a Service – Ergebnisdokumente 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service16 COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG
  • 17. © direkt gruppe 2016Seite Inhalt 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service17 1. Entwirrung in der Terminologie – Eingrenzung & Abgrenzung 2. Compliance as a Service in der Praxis § Ausgangslage einer Versicherung § Vier Schritte zum Erfolg § Ergebnisdokumente 3. Resümee und Lessons Learned
  • 18. © direkt gruppe 2016Seite Compliance as a Service – Resümee und Erkenntnisse 27.06.16 direkt gruppe und TÜV Trust IT - Compliance as a Service18 Projektauftrag Resümee & Lessons Learned Ergebnisdokumente COMPLIANCE RADAR AUDITIERUNG ORCHESTRIERUNG INDIVIDUALISIERUNG Projekterfahrungen ü Kritische, versicherungsrelevante Anwendungen können sicher in die Cloud übertragen werden ü Frühe Einbindung von Revision, Datenschutz und Sicherheit erspart späteren Umbau und damit verbundenen Mehraufwand ü Technische Abläufe sollten durchgängig automatisiert werden, um manuelle Fehler und Mehraufwände zu vermeiden ü Technische und organisatorische Maßnahmen müssen revisionssicher protokolliert werden, um den Aufwand für die Zertifizierung gering zu halten ü Eine detaillierte Roadmap schafft Verbindlichkeit, wann entsprechende Reifegrade erreicht werden können
  • 19. direkt gruppe Hamburg I Griegstraße 75 I Haus 26 I 22763 Hamburg Köln I Holzmarkt 2 I 50676 Köln München I Landaubogen 1 I 81373 München Tel. +49 40 88155-0 I Fax +49 40 88155-5200 info@direkt-gruppe.de I www.direkt-gruppe.de www.youtube.com/user/direktgruppe www.facebook.com/direktgruppe www.direkt-gruppe.de/xing Vielen Dank für Ihre Aufmerksamkeit!