Der Kunde möchte eine Überwachungshandlung durchführen und hier den IstSoll-Maßnahmenkatalog nach ISO27001 nutzen. Dabei werden auch die DORA / VAIT Anforderungen berücksichtigt

• Analyse Ist Situation (Review von Prozessen und Richtlinien)
• Erstellung eines Fragenkatalogs
• Durchführung von Interviews zu diversen Themen
• Erstellung eine Abschlussberichts (Gap Analyse Ergebnis)
• Erstellung einer Empfehlungsliste
• Unterstützung des CISOs bei weiteren offenen Themen, unter anderem Jahresabschlussprüfung

Nach einer 44er Prüfung benötigte der Kunde in der 2nd Line Unterstützung bei der Erstellung neuer Prozesse und Vorgaben zu SoD

• Erstellung einer neuen Organisationsanweisung zu SOD Konflikten
• Erstellung einer neuen SOD Matrix erweitert um weitere Geschäftsfelder
• Erstellung neuer Prozesse zur Bearbeitung und Lösen von SOD Konflikten
• Dokumentation der Vorgaben zu Erstellung und Bewertung von Risiken ? Übergabe an Operational Risk
• Umsetzung neuer Vorgaben in 200 Berechtigungskonzepten
• Weitere Prozesse Analysieren und Schwachstellen erkennen IAM & CIAM (unter anderem Joiner, Mover, Leaver)

Im Rahmen der DORA Umsetzung mussten weitere Systeme an CyberArk angebunden werden oder entsprechend SLAs mit Drittanbietern angepasst werden

• Anbindung relevanter Systeme an CyberArk
• Rollenmodellierung (Berechtigungsmodellierung), SoD
• Dokumentation der Anbindungsdokumente, Beantragung von Firewalls und Accounts
• Schnittstelle zwischen Entwicklungsteam und Systemverantwortliche (Code Review ? PlugIn (Java, MSSQL)
• Anpassungen der SLAs und Berechtigungskonzepte oder Dokumentation weiterer Vereinbarungen
• Einführung PTA
• Bereinigung Mehrbenutzerkonten

Im Rahmen einer externen Prüfung wurde die BAIT im Unternehmen geprüft. Hierbei sind einige Findings entstanden, welche im Rahmen des Projektes geschlossen werden sollen. Gleichzeitig hat der Kunde entschieden das PAM Tool in die Cloud Umgebung zu migrieren

• Gap Analyse
• Erstellung fehlender Richtlinien, SFOs und Prozesse
• Anpassung von existierenden Richtlinien, SFOs und Prozesse
• Dokumentation neuer Cloud Umgebung (Architektur und Anpassung Fachkonzept)

• Erstellung des Projektplans
• Erstellung eines Grobkonzepts, Fachkonzepts, Datenschutzkonzept
• Erstellung eines Architekturzielbild
• Bestellung der geeigneten Server
• Erstellung Sicherheitskonzept, Berechtigungskonzept, Testkonzept, Loginkonzept und Notfallkonzepts
• Testfälle definieren, durchführen und protokolieren
• Erstellung eines Wiederanlaufplans
• Durchführung der BCP Tests
• Verantwortlich für das Quality Gate ? Kontrolle aller relevanten Dokumente inkl. BCP Tests, Notfalldokumente, Wiederherstellungsplan
• Erneuerung des ITSCM
• Durchführung von Business Impact Analysen
• Auswahl und Steuerung des Integrators
• Bestellung der Lizenzen
• Implementierung des PAM Tools
• Anbindung von Applikationen, Betriebssystemen und Datenbanken
• Dokumentation des Authentifizierungsprozesses
• Erstellung Master User Recovery Process

Im Rahmen der BaFin Prüfung wurde die ZAIT im Unternehmen geprüft. Dabei wurden nach Gaps in den Bereichen IAM und PAM gesucht und Lösungsvorschlage abgegeben

• Prüfung der ZAIT Anforderungen
• Erstellung eines Reports mit allen Gaps und Maßnahmen

Im Rahmen der Einführung des PAM Tools CyberArk wurde ein PAM Experte benötigt, der das Fachkonzept und die Arbeitsanweisung PAM schreiben sollte. Hierfür wurden die VAIT und weitere Regulatorische und interne Vorgaben berücksichtigt. Die Aufgabe war es in Zusammenarbeit mit den technischen Ansprechpartnern ein Fachkonzept zu erstellen, welches die Anforderungen des Unternehmens abdecken

• Erstellung des Fachkonzept
• Erstellung einer Arbeitsanweisung

Im Rahmen der Einführung eines neuen Privileged Access Management Tools wurde Unterstützung bei der Beratung interner Security Projekte beauftragt. Hierbei wurden Feststellungen der EZB und internen Revision geschlossen. Bei der Umsetzung des Projektes wurde sich an die regulatorischen Angaben gehalten. Unter anderem die BAIT, die MaRisk und der Landesbankenstandard gaben Anforderungen vor, welche wir umgesetzt haben

• Erstellung eines Grobkonzepts, Fachkonzepts
• Erstellung eines Anforderungskatalogs
• Marktanalyse & Produktanalyse mit anschließendem RfI & RfP
• Durchführung eines PoCs
• Erstellung eines Architekturzielbildes
• Bestellung der geeigneten Server beim Rechenzentrum
• Review von Sicherheitskonzepten, High Level Design & Low Level Design
• Testfälle definieren, durchführen und protokolieren
• Die Erstellung eines Wiederanlaufplans und Notfallplans in Zusammenarbeit mit dem Rechenzentrum
• Implementierung des PAM Tools
• Anbindung hochkritischer Systeme (Applikationen, Betriebssystemen und Datenbanken)
• Anbindung an das SIEM ? Erstellung aller Use Cases und Analyse von Sicherheitsalarmen

Im Rahmen eines TRIM Projektes (Targeted Review Internal Models) der Europäischen Zentralbank wurden bei einer internationalen Bank in Amsterdam die internen Modelle für LGD, PD und EAD überprüft. Sowohl die Modelle selbst als auch die Qualität der Daten und Prozesse sind dabei überprüft wurden

• Überprüfung der Prozesse und Kontrollmodellen zur systematischen Überwachung und Verbesserung der Datenqualität im Rahmen des RDAFrameworks
• Nachverfolgung von Datenqualitätsproblemen, einschließlich der Interaktion zwischen Nutzern und Solver-Teams für Problemanalyse, Lösungsplanung und Umsetzung
• Überprüfung der internen Modelle für LGD, EAD, und PD
• Review aller Dokumente Modellen und deren Formeln
• Koordination von Geschäftsteams und DQ, LGD, EAD und PD Einheiten

Nach dem der Baseler Ausschuss die effektive Aggregation von Risikodaten und die Risikoberichterstattung (BCBS 239) die regulatorischen Anforderungen an Banken verschärft hat, wurde das Projekt RDA (Risk Data Aggregation) eingeführt. Das Projekt geführt vom Chief Data Officer wurde untergliedert in zwei Teilprojekte. Als Teilprojektleiter war ich zuständig für Prozessdokumentation und Optimierung der ITIL Prozesse und Risikokennzahlen der Bank

• Erstellung eines Data Dictionary Katalogs und die Dokumentation der Risikoprozesse
• Kontinuierliche Überprüfung des Inhalts des Data Dictionary Katalogs, in dem alle Senior Management Metriken, Lokale Metriken, Regulatorische Metriken unter RDA Umfang aufgeführt sind
• Analysieren und Überprüfen aller Dokumente wie SAS-Codes, SQL, VBA, Governance, PDF, Excel und Word, die zur Erstellung einer Metrik verwendet werden
• Einführung eines IBM InfoSphere Governance Katalogs für die Digitalisierung der Risikokennzahlen und -prozesse Workshops für alle Workstreamleiter aus Spanien, England und Deutschland zur Benutzung des IBM InfoSphere Governance Katalogs