VAIT umsetzen: Optimierung auf Basis von IT-Standards
Jedes Versicherungsunternehmen, das die VAIT umsetzen will, steht erst einmal vor einigen Fragezeichen. Denn das große Regelwerk schweigt sich weitgehend dazu aus, wie die individuelle Umsetzung erfolgen soll.
In der Praxis bietet es sich an, die Prüfungssituation zu simulieren. Anhand gezielter Analysen basierend auf Anforderungen aus den verschiedenen Kapiteln der VAIT können Lücken (Gaps) aufgedeckt werden. Hierdurch entsteht ein Eindruck davon, ob ein Optimierungsbedarf eher auf den verschiedenen Ebenen der Steuerung inklusive ausgegliederter Services liegt oder auf den verschiedenen Ebenen des Betriebs.
Beispiel: Governance-Gap und COBIT
In der Praxis könnte sich beispielsweise herausstellen, dass die IT nicht nach einem klaren Modell oder mit Bezug auf ein etabliertes Framework gesteuert wird. In einem solchen Fall kann beispielsweise ein IT-Governance-Framework wie COBIT 5 herangezogen werden, um die IT an den Geschäftsprozessen auszurichten und die IT-Architektur aus Anwendungen, Betriebssystemen, Infrastrukturen und Hardware gesamthaft zu steuern.
Beispiel: Service-Management-Gap und ITIL
Ein anderes Finding im Rahmen einer Gap-Analyse könnte sein, dass die Gestaltung, der Betrieb und die Verbesserung von typischen IT-Services zu viele Risiken aus Sicht der Informationssicherheit ignoriert. Die Versicherung muss klare Prozesse nachweisen, um beispielsweise Identitäten und Zugriffe auf Anwendungen und Informationen zu regeln oder Hardware zu schützen. In einem solchen Fall kann beispielsweise ein flexibles Framework wie ITIL als Orientierungsrahmen dienen, um die Art, wie Services behandelt werden, zu optimieren.
Beispiel: Ausgliederungsmanagement und ISO 27001
Die BaFin legt großen Wert darauf, dass die Ansprüche an die Informationssicherheit auch dann gewahrt bleiben, wenn eine Versicherung einzelne Teile oder große Bündel an IT-Services extern bezieht. Zu einer erfolgreichen Ausgliederung gehört daher nicht nur die Ebene von Service Level Agreements (SLAs), sondern auch nachvollziehbare Sicherheitsgarantien auf Seiten des externen Managed Service Providers oder Cloud Dienstleisters.
In solchen Fällen haben sich in der Praxis Standards wie ISO 27001 etabliert. Dienstleister, die sich regelmäßigen Audits unterziehen, um die ISO-Konformität nachweisen zu können, bieten aus BaFin-Sicht die nötige Vertrauenswürdigkeit. Hinzu kommen klar geregelte Verantwortlichkeiten auf Seiten der Versicherung – es muss eine Person geben, die Ausgliederungen steuert und überwacht. Aus Sicht der regulatorischen Risikoorientierung bedeutet das: Ein externer Service-Provider muss umso detaillierter überwacht werden, je näher am Unternehmenskern der ausgelagerte Prozess ist.
Fallbeispiel: VAIT-Operationalisierung im Bereich Ausgliederungen
Ein Fallbeispiel zeigt, wie ein Expertenteam von matrix technology ein Versicherungsunternehmen bei der Umsetzung der VAIT unterstützt. Hierfür übernahmen wir die Rolle eines externen Information Security Advisors, der das Unternehmen in allen Bereichen für eine anstehende VAIT-Prüfung fit macht. Wie diese Operationalisierung der VAIT abläuft, zeigen wir hier anhand eines festgestellten Gaps.
- Das IT-Service-Management (ITSM) besaß deutliche Züge von organischem Wachstum. Beispielsweise gab es bereits eine größere Menge an Schatten-IT und Diensten, die Fachabteilungen aus der Cloud bezogen, aber noch kein dazu passendes Ausgliederungsmanagement.
- Um diese Lücke und andere gefundene Gaps zu schließen, bezogen wir verschiedene Standards ein. Daraus entstand eine Roadmap für die Umsetzung und damit die Gewissheit, dass alle prüfungsrelevanten Punkte passend zum vorgefundenen Kontext umgesetzt werden.
- Passend zu den gefundenen Gaps entwickelten wir die gesamte Dokumentenlage, sogenannte Security-Policies. Sie bilden die Grundlage dafür, wie z.B. künftige Cloud-Ausgliederungen in vernünftige Bahnen gelenkt werden können. Eine solche Security-Policy adressiert gezielt den Punkt Ausgliederungen.
Der Ausgliederungsbeauftragte verfügt somit über Dokumente, die er auch einem Dienstleister an die Hand geben kann. Der Dokumenteninhalt ist ein auf das Geschäftsmodell bezogenes “risikoorientiertes Lastenheft”, mit dem auch Dritte die IT-Leistung angemessen erbringen können.
VAIT Compliance in der Praxis – BaFin-Prüfung erfolgreich bestehen!
In unserem Whitepaper zeigen wir Ihnen, wie sich die Anforderungen der novellierten VAIT in die IT-Praxis übersetzen lassen. Zunächst erklären unsere Consultants die Grundprinzipien der VAIT und geben Beispiele für den Schutzbedarf unterschiedlicher Informationen, die auf verschiedenen Ebenen im Unternehmen kursieren. Ergänzend dazu zeigen wir, wie unsere Experten Ihnen helfen können, die VAIT auf Basis etablierter IT-Standards umzusetzen!