Die Vertrauenswolke für regulierte Sektoren – Erfüllung der Resilienzanforderungen von Finanzinstituten
Das Cloud-Angebot der nächsten Generation muss die Anforderungen von Organisationen und öffentlichen Einrichtungen in der Europäischen Union erfüllen und ihnen ermöglichen, geschäftskritische Anwendungen im Einklang mit ihren Geschäftsprozessen auszuführen, insbesondere in regulierten Sektoren. Bei IBM arbeiten wir unermüdlich daran, dies zu ermöglichen.
1. Wie IBM ein kontinuierliches Compliance-Modus-Management bereitstellt, das den Anforderungen globaler Regulierungsbehörden entspricht.
Liam Benham, Vice President of Public Affairs, IBM Europe, sagte in einem Blogbeitrag: „Aufsichtsbehörden und Unternehmen können die Zukunft nicht kontrollieren, aber sie können sicherstellen, dass bei der heutigen Umsetzung von Entscheidungen mehrere Lösungen zulässig sind, um sicherzustellen, dass sie für die Zukunft widerstandsfähig sind Ein gutes Beispiel ist der Digital Operational Resilience Act (DORA) der Europäischen Kommission.
Die Vorbereitungen von IBM für DORA und ähnliche Gesetzesvorschläge begannen vor vielen Jahren, als wir die ersten waren, die in den Vereinigten Staaten im Rahmen des Auditprogramms der Federal Banking Agency reguliert wurden. In Europa ging IBM noch einen Schritt weiter, um seine Bankkunden bei der Einhaltung der Outsourcing-Richtlinien der EBA (European Banking Authority) zu unterstützen, und führte ein „EBA Cloud Compliance Certificate“ ein.[1]„Ein einzigartiger Ansatz zur Einbettung der Compliance-Ausrichtung in unsere Abläufe und Verträge.
Um das Vertrauen und die synergetischen Ergebnisse für die Finanzdienstleistungsbranche weiter zu stärken, hat IBM 2019 als erster Cloud-Anbieter eine Cloud für die Finanzbranche entwickelt. IBM Cloud for Financial Services wurde in Zusammenarbeit mit der Bank of America entwickelt und erfüllt einzigartige Cybersicherheit und regulatorische Anforderungen Finanzen der Branche und gleichzeitig die Vorteile und Flexibilität einer Public Cloud in einer sicheren Umgebung.
Sein Kern liegt im Cloud for FS Control Framework, das es Finanzinstituten ermöglicht, ihre regulatorischen Compliance- und Risikomanagementverpflichtungen durch einen umfassenden Satz vorkonfigurierter, branchenspezifischer Kontrollen zu erfüllen. Bis zum Inkrafttreten von DORA wird der Kontrollrahmen nach Bedarf überarbeitet und aktualisiert, damit alle Finanzinstitute, unabhängigen Softwareanbieter (ISVs) und Finanzunternehmen ihre Anwendungen weiterhin vertrauensvoll in einer vertrauenswürdigen Cloud-Umgebung hosten können.
Im IBM Financial Services Cloud Council kommen mehr als 90 Experten aus mehr als 60 Finanzinstituten zusammen, um kontinuierlich zusammenzuarbeiten und sich über die Kontrollen zu informieren, die für die sichere Arbeit mit sensiblen Bankdaten in der Cloud erforderlich sind. Dieses Expertennetzwerk – bestehend aus CIOs, New Technology Managers (CISOs), Compliance- und Risikomanagern – hat sich zusammengeschlossen, um die Cloud-Einführung für geschäftskritische Anwendungen in dieser stark regulierten Branche mitzugestalten und zu steuern.
Zuletzt hat der Vorstand zusammengearbeitet, um ein branchenspezifisches Cloud-Messmodell zu erstellen, um Governance und Reporting in einem Hybrid- und Multi-Cloud-Kontext zu adressieren. Dieses Maßnahmenpaket richtet sich an verschiedene Organisationsebenen und baut auf DORAs ICT (Informations- und Kommunikationstechnologie)-Risikomanagement-Framework und Governance-Anforderungen auf. Es ermöglicht Führungskräften, sich ein vollständiges Bild der Gesamtrisiken für das Unternehmen zu machen.
2. Flexibilität ist ein Mittel, kein Zweck
IBM ist seit langem Vordenker bei der Erkenntnis, dass die Welt gemischt ist. Wir wissen, dass unsere Kunden On-Premises- und Offshore-Anwendungen über mehrere Clouds hinweg ausführen müssen, um einen transformativen Geschäftswert mit maximaler Selektivität zu schaffen. Die sich entwickelnde Natur von Risiken und Widerstandsfähigkeit in der zunehmend digitalen Finanzdienstleistungsumgebung ist der Grund, warum wir unseren Kunden die Möglichkeit geben möchten, ständig zu messen, zu mindern, zu überwachen und zu berichten. Umgebung des Verkäufers. Wir setzen uns voll und ganz dafür ein, unsere europäischen Bankkunden bei der Bewältigung ihrer Cloud-Outsourcing-Herausforderungen gemäß den EBA-Richtlinien für Outsourcing-Vereinbarungen, DORA und den kommenden technischen Regulierungsstandards zu unterstützen. Mit Hilfe der Promontory Financial Group, einem IBM-Unternehmen, überwachen wir ständig neue Regeln und Vorschriften und stellen ein Betriebsmodell sicher, das beim Management von Cloud-Risiken und Compliance hilft.
Aufbauend auf unseren bestehenden Fähigkeiten innerhalb der IBM Financial Services Cloud und dem kontinuierlichen Dialog und der Zusammenarbeit mit Finanzinstituten und Aufsichtsbehörden durch das IBM Financial Services Cloud Council bekräftigen wir:
• Strengere Datenschutzpraktiken, einschließlich Datenverschlüsselungstechniken und Schlüsselverwaltungspraktiken.
Wir bei IBM glauben fest daran, die Daten unserer Kunden durch technische Maßnahmen zu schützen, und begrüßen den Fokus auf Sicherheit, Ausfallsicherheit und Datenschutz innerhalb von DORA. IBM verwendet Verschlüsselung sowohl während der Übertragung als auch im Ruhezustand und bietet Bring Your Own Key (BYOK)- und Keep Your Own Key (KYOK)-Technologien an, mit denen Kunden Verschlüsselungsschlüssel aufbewahren können, die den Zugriff auf Daten schützen und kontrollieren. Wir bemühen uns auch, „verwendete Daten“ mit IBMs Confidential Computing-Lösung zu schützen, die es ermöglicht, Daten jederzeit zu verschlüsseln, auch wenn sie im Arbeitsspeicher für Anwendungen und Geschäftsprozesse verarbeitet werden.
• Stellen Sie Cloud-Dienste überall sicher bereit und lassen Sie die Daten im Land bleiben.
Mit IBM Cloud Satellite bringen wir eine moderne Public-Cloud-Architektur in die Finanzbranche. Mit einer breiten Palette von Sicherheits-, Compliance- und Risikomanagementkontrollen können Finanzinstitute ihre Cloud-Services in der Umgebung ihrer Wahl ausführen – vor Ort, am Rand oder in mehreren öffentlichen Clouds. Für Kunden, die dies bevorzugen, stellt die „EU Only“-Option von IBM außerdem sicher, dass Kundendaten in der Europäischen Union gespeichert und verarbeitet werden und dass die EU-Mitarbeiter Aktualisierungen und Cloud-Service-Operationen durchführen.
• Portabilität und Interoperabilität als Cloud-Gateways zu bestehenden IT-Systemen für Finanzinstitute
Europa braucht einen wettbewerbsfähigeren Markt, der Innovationen unterstützt, Einschränkungen durch Anbieter verhindert und die Datenübertragbarkeit verbessert, um den Wandel voranzutreiben. Da europäische Organisationen zunehmend Cloud-Technologie einsetzen, sollten Sie bedenken, dass eine übermäßige Abhängigkeit von Cloud-Services und Rechenzentren einzelner Anbieter zu erheblichen Risiken führen kann. IBM engagiert sich seit langem für Open-Source-Innovationen und setzt sich gegen Herstellerbindungen und für eine Multi-Vendor-Strategie ein. Unsere Strategie unterstützt seit jeher die für den Erfolg unserer Kunden notwendige Wahlfreiheit und Flexibilität.
3. Finanzinstitute in die Lage versetzen, die verschiedenen Kategorien von Risiken zu bewerten, die sich auf ihre Aktivitäten auswirken.
Kern unserer Mission ist es, europäische Kunden in die Lage zu versetzen, kritische Anwendungen mit einem hohen Maß an Sicherheit bereitzustellen und die Anforderungen an die Datenhoheit und die Einhaltung gesetzlicher Vorschriften zu erfüllen.
Vor dem Hintergrund des komplexen regulatorischen Umfelds und der Bedrohungslandschaft bemühen wir uns sicherzustellen, dass unsere Kunden in der Lage sind, mit dem höchstmöglichen Maß an Kontrolle zu arbeiten, um die Ausführungsgeschwindigkeit zu erhöhen, wenn sie Cloud-Dienste sicher übernehmen.
IBM ist bereit, Unternehmen bei der Einführung des baldigen DORA zu unterstützen, indem wir mit ihnen zusammenarbeiten, um:
• Durchführung von Reifegradbewertungen zur Identifizierung von Lücken und Erstellung von Behandlungsplänen gemäß den DORA-Anforderungen.
• Bauen Sie auf der Arbeit auf, die zur Einhaltung der Outsourcing-Richtlinien der EBA zur Bereitstellung und Aufzeichnung aller Outsourcing-Vereinbarungen durchgeführt wurde.
• Beginnen Sie mit der Arbeit an verschiedenen Testszenarien, einschließlich Schwachstellentests, physischer Sicherheitsprüfung, Penetrationstests, Tests durch ein Team von Simulationsexperten für Cybersicherheitsangriffe (rotes Team) usw. Um den Reifegrad ihrer Teams bei der Verwaltung funktionsübergreifender Sicherheit zu erhöhen.
• Implementieren Sie Änderungen während der Compliance- und Korrekturphasen, um eine klare Abstimmung zwischen Geschäfts- und IT-Zielen sicherzustellen.
Da sich die Vorschriften weiterentwickeln, um den ständig wachsenden Anforderungen an Datensicherheit und Datenschutz in einer digitalen Welt gerecht zu werden, engagiert sich IBM für die Verbesserung seiner Cloud-Technologien, -Prozesse und -Kontrollen, um seine Position als vertrauenswürdiger Cloud-Service-Anbieter in der Europäischen Union zu festigen.
[1]Compliance-Zertifizierung, die den vertraglichen Vereinbarungen von IBM mit den EBA-Anforderungen für Cloud-Technologie und Outsourcing entspricht.