FINMA & ObserveIT

Der Umgang mit elektronischen Kundendaten zur Erfüllung der FINMA Regulationen.

Einleitung Vertrauliche elektronische Kundendaten stellen für Banken grundsätzlich ein Risiko dar, da der Verlust dieser Daten

zu enormen Reputationsschäden sowie Kosten für die Bewältigung des Verlustes nach sich ziehen. In einer Welt in

der Information das wertvollste Gut ist, ist es für Finanzinstitute in der Schweiz essentiell, dass diese Informationen

nachweislich nach den besten Möglichkeiten geschützt werden. Oder anders gesagt, dass Risiken im Umgang mit

sensiblen Kundendaten minimiert werden.

Langjährige Erfahrung mit IT Security in der Finanzbranche ermöglichen es uns, unsere Kunden kosteneffizient bei der

Umsetzung der FINMA Regulationen zu unterstützen. In diesem Papier zeigen wir Ihnen, wie wir mit ObserveIT einen

signifikanten Mehrwert für Ihr Unternehmen schaffen.

Management Summary

Mit ObserveIT schulen Sie Ihre

Mitarbeiter direkt im Daily Business

per Meldung auf dem Desktop.

ObserveIT hilft Ihnen dabei, frühzeitig risikoreiches

Mitarbeiterverhalten zu erkennen.

Mit ObserveIT handeln Sie rational und informieren Ihre User per Nachricht auf den Bildschirm.

Grundsatz 5, Teil b) Punkt 32

Interne und externe Mitarbeiter müssen im Rahmen gezielter Schulungen in Bezug auf die Kundendatensicherheit

sensibilisiert werden.

Hypothese 1: ObserveIT unterstützt Sie mit einem

innovativen Ansatz bei der Schulung Ihrer Mitarbeiter.

ObserveIT geht sogar soweit, dass eine kontinuierliche

Schulung spezifischer Sicherheitsaspekte möglich ist, ohne

dass der Arbeitsplatz einmal verlassen werden muss.

Ergebnis: ObserveIT eignet sich hervorragend um diesen

Grundsatz erfolgreich, effizient und kostengünstig

umzusetzen.

Grundsatz 5, Teil d) Punkt 35

Vorkehrungen, wie z.B. das Führen von Log-Dateien, sind einzuführen, um die Identifizierung von Benutzern, die

auf Massen-CID zugreifen zu ermöglichen. Dabei sind einzelne Transaktionen bzw. Zugriffe dem jeweiligen

Benutzer zuzuordnen.

Hypothese 2: Mit ObserveIT identifizieren Sie Mitarbeiter,

die auf CID zugreifen. Einzelne Transaktionen und

Aktivitäten können einfach und schnell den jeweiligen

Benutzern zugeordnet werden.

Ergebnis: Die Identifikation ist einer der wichtigsten

Grundsätze der FINMA Regulationen, was diese Funktion für

eine Bank unentbehrlich macht.

Grundsatz 5, Teil d) Punkt 35

Vorkehrungen, wie z.B. das Führen von Log-Dateien, sind einzuführen, um die Identifizierung von Benutzern, die

auf Massen-CID zugreifen zu ermöglichen. Dabei sind einzelne Transaktionen bzw. Zugriffe dem einzelnen Benutzer

zuzuordnen.

Hypothese 3: ObserveIT zeichnet anhand einer

Videoaufnahme sämtliche Nutzeraktivitäten auf und bietet

dank zahlreich erfasster Metadaten eine umfassende Suche

um schnell die einzelnen Aktionen einem Benutzer zuordnen

zu können.

Grundsatz 7, Punkt 39

Identifizierte Risiken müssen überwacht und angemessen minimiert werden. Dies gilt namentlich in Verbindung

mit Datenbearbeitungsaktivitäten, bei denen grossen Mengen von CID verändert oder migriert werden müssen.

Bei strukturellen Veränderungen (z.B. bedeutende Reorganisation) muss sich die Bank frühzeitig und vertieft mit

Sicherheitsmassnahmen der Vertraulichkeit von CID befassen.

Ergebnis: ObserveIT bietet Ihnen ein modernes

Dashboard, mit dem eine Reaktion in Echtzeit so simpel

wie grandios ist. Mit ObserveIT ergreifen Sie

Massnahmen, bevor es zu spät ist.

Hypothese 4: Mit ObserveIT agieren Sie schnell und

treten gegenüber Mitarbeitern hochprofessionell auf.

Die Möglichkeit gezielt auf Mitarbeiter zuzugehen

und gemeinsam Lösungen zu erarbeiten, hebt

Mitarbeiterführung auf ein modernes Level.

Ergebnis: Sie sparen sich wertvolle Zeit im Handling und

der Kommunikation von Insider Threats. Minuten und gar

Stunden, die Ihrer Bank neben Zeit auch sehr viel Geld

sparen kann.

Grundsatz 7, Teil a) Punkt 40

Die Datenbearbeitung, die im Produktionsumfeld mit nicht anonymisierten, nicht verschlüsselten und nicht

pseudonymisierten Massen-CID durchgeführt wird, muss geeigneten Verfahren unterliegen (z.B. Vieraugenprinzip

oder Log-Dateien), einschliesslich der Benachrichtigung der für die Datensicherheit und -vertraulichkeit

zuständigen Einheit.

Hypothese 5: ObserveIT benachrichtigt Sie über unautorisierte Vorgänge im Zusammenhang mit Kundendaten

stets in Echtzeit und zeichnet diese als Videodateien auf.

Ergebnis: ObserveIT bietet unseren Kunden anhand von Video- und Metadatenaufzeichnungen die optimale Lösung

für das Vieraugenprinzip und somit die korrekte Einhaltung dieser Regulation.

Grundsatz 8, Punkt 42

Von den Banken wird erwartet dass sie vordefinierte Prozesse einführen, um rasch auf Vorfälle in Verbindung mit der

Vertraulichkeit zu reagieren, einschliesslich einer klaren Strategie zur Kommunikation schwerwiegender Vorfälle.

Zudem müssen Ausnahmen, Vorfälle, Kontroll- und Prüfergebnisse überwacht, analysiert und in geeigneter Form dem

obersten Management gemeldet werden. Dies muss zur laufenden Verfeinerung der Massnahmen zur Sicherstellung

der Vertraulichkeit von CID beitragen.

Hypothese 6: Schweizer Banken stehen unter einem enormen Druck, geeignete Verfahren zu entwickeln, die einem

Datenklau vorbeugen und Fehlverhalten der Mitarbeiter im Umgang mit Kundendaten akribisch aufzeichnen. Die rasche

Kommunikation solcher Vorfälle an das Management ist für eine Lösungsfindung essentiell.

Ergebnis: ObserveIT bietet dem C-Level Ihres Unternehmens ein Verfahren mit simplen Methoden, bei kritischem

Mitarbeiterverhalten entsprechende Schritte einzuleiten und somit Kundendatenmissbrauch zu vermeiden.

Grundsatz 9, Teil c) Punkt 50

Die Bank muss für jede ausgelagerte Aktivität, die Zugriff auf CID beinhaltet, mindestens einen internen

Mitarbeitenden bestimmen, der dafür verantwortlich ist, dass die Sicherheits- und Vertraulichkeitsstandards in

Bezug auf die Verantwortlichkeit von CID eingehalten werden.

Hypothese 7: Externe Mitarbeiter und Partner fordern oft uneingeschränkten Zugriff auf IT-Systeme, um Ihren Auftrag erfolgreich absolvieren zu können. Hierbei ist ein Unternehmen in Zukunft verpflichtet, mindestens einen Mitarbeiter mit der Kontrolle externer Parteien zu beauftragen.

Ergebnis: ObserveIT unterstützt nicht nur Ihre internen Prozesse zur Einhaltung dieses Grundsatzes, sondern übernimmt gar ganze Aufgaben, wie z.B. die Überprüfung der Tätigkeiten externer Mitarbeiter.

ObserveIT und die IBV pflegen seit über 5 Jahren eine intensive Partnerschaft. Die IBV betreut zahlreiche Kunden der

Finanzindustrie in der Schweiz und in Liechtenstein. Dank über 30 ObserveIT Implementationen haben wir ein

weitreichendes und detailliertes Wissen über ObserveIT und Insider Threat Management.

Im Zusammenhang mit der Umsetzung von FINMA Richtlinien mit ObserveIT bieten wir folgende Dienstleistungen an:

Ihr ObserveIT Spezialist in der Schweiz

Wir bieten lokalen Support aus der Schweiz und Deutschland

Wir schulen Ihre Mitarbeiter im Umgang mit ObserveIT

Wir schulen Ihre Mitarbeiter im Umgang mit elektronischen Kundendaten

Wir bieten alles aus einer Hand—Von der Erstinstallation bis ins Detail

Mit uns überstehen Sie jedes Security Audit ohne Kratzer

IBV Informatik AG, Stallikerstrasse 1, 8906 Bonstetten, 044 745 92 92