Feedback

Gepostet am 05. Oktober 2020 von  Norman Nehls, Partner Severn Consultancy GmbH in Compliance/Riskmanagement

Cloud-Lösungen erfolgreich umsetzen – kein „Teufelswerk“ mehr für Banken

Flexibel skalierbare IT-Lösungen, die Möglichkeit schneller auf Daten und Prozesse zuzugreifen und deutlich geringere Betriebs- und Investitionskosten - das alles versprechen Cloud-Lösungen gegenüber den konventionellen IT-Systemen. Ob sich diese Vorteile für ein Institut aber auch tatsächlich einstellen, hängt zugleich davon ab, ob an alle wesentlichen Punkte, wie spezifische Sicherheitsanforderungen oder auch eine Cloud-Exit-Strategie gedacht wurden.

Bewährtes Konzept zur erfolgreichen Umsetzung von Cloud-Auslagerungen

Gemeinsam mit Kunden haben die Berater von Severn und ORO Services ein Vorgehen entwickelt, um erfolgreich Cloud-Auslagerungen umzusetzen. Am Beispiel eines Outsourcings zu einem führenden Cloud Provider wird deutlich, welche Bedeutung die IT-Sicherheit spielt und an welche Sicherungsmaßnahmen von Anfang an "mitgedacht" werden sollte (siehe Abb.).

 

Über einen definierten Soll-Maßnahmenkatalog werden die spezifischen internen und externen (regulatorischen) Anforderungen an ein Auslagerungsvorhaben in die Cloud konkretisiert (z.B. zu Cyber Security, Emergency Plan, Zugriffsmanagement etc.).

Zu den weiteren Bausteinen für ein erfolgreiches Cloud Outsourcing gehören:

  1. die Risikoanalyse, die auch eine Bewertung der Eignung des Cloud-Anbieters umfasst,
  2. die Ausgestaltung von Verträgen, die auch den Anforderungen der BaFin standhalten,
  3. ein umfassendes IT-Sicherheitskonzept (Ring Fencing, Authentication, Encryption & Integrity, Vulnerability Management, Data Security etc.) und
  4. weitere regulatorisch geforderte Maßnahmen, bspw. ein Notfallkonzept und realistische Ausstiegsstrategien für die Bank.

Kontrollplan gewährleistet Einhaltung von Sicherungsmaßnahmen und Regulatorik

Mittlerweile stellen führende Cloud-Anbieter wie Microsoft, AWS und Google durch umfassende Compliance-Programme die notwendigen Nachweise für die Einhaltung regulatorischer und sicherheitsrelevanter Vorgaben bereit. Ob die Maßnahmen des Cloud Providers zu den Soll-Maßnahmen des jeweiligen Instituts allerdings passen, gilt es zu prüfen und zu bewerten.

Nicht zuletzt ein Kontroll- und Überwachungsplan soll gewährleisten, dass die Sicherungsmaßnahmen eingehalten werden und der Service in einer regulatorik-konformen Umgebung erbracht wird. Nur dann können Schwachstellen frühzeitig identifiziert und gravierende Beanstandungen durch Prüfer vermieden werden. Dabei genügt es nicht, sich auf die Ergebnisse von etablierten Audit Groups zu verlassen - da diese nur einen gemeinsamen Standard über alle nutzenden Institute abdecken. Die Bank selbst muss sich durch geeignete Überwachungspläne ein umfassendes Bild über die Stabilität und Konformität ihres Auslagerungspartners verschaffen.

Severn und ORO bieten praxisbewährte Verfahren

Mit praxisbewährten Verfahren begleiten Severn und ORO Services Finanzinstitute bei der erfolgreichen Überführung von "regulatorischen Prozessen" in innovative und hoch-sichere Cloud Lösungen. Haben Sie Fragen hierzu? Dann kontaktieren Sie uns.


Zum Kontaktformular


 DORA - Der Countdown läuft

 Serie zur Retail Investment Strategy der EU-Kommission (Provisionsverbot Teil 2)

 Serie zur Retail Investment Strategy der EU-Kommission (Provisionsverbot Teil 1)

 Quo Vadis Geldwäscheparadies? Eine ausführliche Analyse des neuen Finanzkriminalitätsbekämpfungsgesetzes (FKBG)

 Wir stellen uns vor

Login 



Passwort vergessen?

Das Search-Center ist exklusiv für unsere Kunden. Darin haben Sie Zugriff auf eine umfassende Sammlung von relevanten Gesetzen, Richtlinien, Verordnungen und Merkblättern. Mit der komfortablen Suchfunktion finden Sie schnell die für Sie relevanten Informationen.

Sie wollen einen vollen Zugang zu Regupedia.de? Dann werden Sie unser Kunde und nehmen mit uns Kontakt auf.

Login 



Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.