IT Risiken einfach managen
Zunehmend werden auch kleine Finanzinstitute im Bereich der IT Risiken reguliert. Sowohl die BAIT (Bankaufsichtliche Anforderungen an die IT) als auch DORA (Digital Operational Resilience Act) sind Regelwerke, die einen umfassenden Katalog an Maßnahmen und Verpflichtungen mit sich bringen.
In den letzten Monaten haben wir uns damit beschäftigt ein Konzept und eine Software zu entwickeln, die insbesondere kleinen Finanzinstituten ein Werkzeug an die Hand gibt, diese IT Risiken einfacher managen zu können.
lean IT Risk Management ist eine Web-basierte Software, die insbesondere kleineren Instituten die Möglichkeit gibt ihr Inventar und die ganzen Abhängigkeiten einfach und strukturiert zu erheben.
Funktionen
Aktuell gibt es folgende Funktionen:
- Strukturierte Erfassung des gesamten relevanten Inventars (Geschäftsprozesse, Anwendungen, Hardware, Netzwerk, Telekommunikation, Räume, Orte)
- Zuordnung der Inventarobjekte zu definierbaren Zielobjektgruppen
- Definition einer eigenen Gefährdungsliste mit den relevanten Gefährdungen (aus der Liste von bspw. von BSI definierten Gefährdungen)
- Zuordnung der eigenen Gefährdungen zu den definierten Zielobjektgruppen (Matrix: eigene Gefährdungen x eigene Zielobjektgruppen)
- Aus dieser Matrix (Gefährdung relevant für Zielobjektgruppe) werden die Risikoelemente abgeleitet,
- Bearbeitung der Liste der Risikoelemente, Definition von Eintrittswahrscheinlichkeit und Schadenshöhe des jeweiligen Risikoelements,
- Errechnung des resultierenden Risikomaßes
- Suchfunktion über alle gespeicherten Informationsobjekte
Analysen
Verschiedene Analysen unterstützen dabei:
- Dashboard mit Übersichten zu Risiken und weiteren Informationen. Bspw. ausstehende Revisionen oder Aufgaben
- Kalender mit anstehenden und überfälligen Aufgaben
- Kompletter Audit-Trail aller Änderungen zu den verschiedenen Informationsobjekten (wer, wann, was, von wo geändert hat)
- Liste aller Revisionen für alle Informationsobjekte
- Grafische Darstellung der Abhängigkeiten der Informationsobjekte (Inventar) und der Schnittstellen zwischen den Systemen.
- Liste aller Dienstleister und Einstufung als kritische Dienstleister
Technische Rahmenbedingungen:
- Web-basierte Anwendung
- Geringe Anforderungen an die notwendige Infrastruktur
- Linux, Mac, Windows als Web-Server möglich
- Verschiedene Datenbanken auch „embedded“ ohne Datenbankserver werden unterstützt
- Individuelle Rollen und Rechte auf Entitätsebene
- Einrichtung von Gruppen für verschiedene Rollen
- Installation lokal oder in der Cloud
- Import-Mechanismen, um vorhandene Daten schnell zu integrieren
- Protokollierung von Zugriffen
Unter leanfintech.de ist eine Demo-Version installiert. Die Anwendung ist im Moment noch in Entwicklung. Zu Preisen oder Implementierungsmodellen können Sie sehr gerne Kontakt aufnehmen. Insbesondere sind wir an Pilotkunden interessiert, mit denen wir im Gegenzug für günstige Bedingungen diese Anwendung optimieren können.