Beschreibung
Aktuelle und relevante Erkenntnisse aus den BAIT
Informationssicherheit in den Banken ist in letzter Zeit stärker im Fokus. Neue Technologien aber auch veraltete Systeme erfordern die Analyse und Bewertung von Angriffsszenarien und ein entsprechendes Risikomanagement. Die Verschärfung der Bedrohungslage hat zur Intensivierung seitens der Aufsicht den Fokus auf das Management der daraus entstehenden IT-Risiken zu konzentrieren, insbesondere, wenn diese als OpRisk in das IT-Risikomanagement überführt werden müssen. Ziel der Tagung ist, Erkenntnisse aus IT-Sonderprüfungen und aktuellen aufsichtsrechtlichen Entwicklungen den Teilnehmern durch das erfahrene Referententeam aus Prüfern und Praktikern zu vermitteln sowie Handlungsempfehlungen zu geben. Die Veranstaltung richtet sich an Informationssicherheitsbeauftragten, Orga/IT, IT-Revision sowie Compliance und Datenschutz.
10:00 – 12:00 Uhr
Relevante aufsichtsrechtliche Neuerungen – Erwartungshaltung aus Sicht eines Prüfers
- Informationssicherheitsmanagment und die Aufwertung der Rolle des ISB nach den neuen BAIT (Der ISB als zentrale Funktion im ISM und in wie fern kann sie ausgelagert werden?)
- Informationssicherheitsmanagement – IKS-Prozesse und Häufige Feststellungen in Verbindung mit dem Reporting-Pflichten
- Steuerung von IT-Auslagerungen – Verschärfte Erwartungen nach MaRisk AT 9 und BaIT –
- IT Auslagerungen- Banking in der Cloud? Modeerscheinung oder aufsichtsrechtliche zulässige Technologie
- Die Anwendung von Standards in der Bankenaufsicht (ISO, KRITIS-Verordnung, BCBS 239, PSD II…)
- Erläuterung wichtiger Schwerpunkte und zu Auslegungsfragen
- Häufige Probleme hinsichtlich der Auswirkungsanalyse von IT-Projekten – Anforderungen an die Überwachung, Reporting und Steuerung der identifiziertenRisiken – Rückführung in das Informationsrisikomanagement
- Sicherstellung einer nachvollzierbaren Risikobewertung – Welche Risikoabschätzungen sind bei der Risikoübernahme zulässig?
13:00 – 14:45 Uhr
Informationssicherheit und Event Management (SIEM) – Praxisbezogene Erkenntnisse und Handlungsempfehlungen
- Anforderungen an das Informationsrisikomanagement (AT 4.3.2) und unmittelbare Konsequenzen für das Informationssicherheitsmanagement (SIM) der Banken – Rolle des SIEM jetzt und in Zukunft
- SIEM-Ansätze in großen und kleineren Instituten – Do’s und Dont’s aus der Praxis
- Anforderungen an die personellen und technischen Ressourcen (AT 7), insb. bei der Umsetzung der Informationssicherheitsleitlinie und Informationssicherheitsrichtlinie (BAIT 4 Tz. 18)
- Umgang mit bankinternen Gefahren – Schwachstelle Berechtigungsmanagement und mangelnde Awareness
- Entwicklung und Bewertung möglicher Angriffsszenarien (Use Cases) und die passenden Prüfmechanismen (SIEM-Regeln) – Theorie vs. Praxis
15:15 – 17:00 Uhr
Funktionsweise der Blockchain verstehen • Klare Mehrwerte für die Bank
- Distributed Ledger Technology (DLT) -> Blockchain, nur ein kleiner Teil dieser Technologie: Einstieg und Aussichten
- Regulatorische, aufsichtliche und juristische Risiken
- Kurzer Exkurs: Kryptowährungen
- Vorteile der Dezentralisierung – Wo kann die Blockchain in der Finanzbranche andocken? – Wie sehen die Herausforderungen aus?
- Smart Contracts: Reduktion von Transaktionskosten und Erhöhung der Vertragssicherheit
- (aktuelle) Anwendungsfälle
09:00 – 10:45 Uhr
Verzahnung von IT-Compliance, Datenschutz und Informationssicherheit
- Aktuelle aufsichtsrechtliche Entwicklungen auf nationaler (u. a. MaRisk, BAIT) und europäischer Ebene (EBA-Guidelines)
- IT-Governance und IT-Strategie durch die BAIT verstärkt im Fokus – Relevante Handlungsfelder für die IT-Compliance
- Analyse häufiger Schwachstellen bei Verzahnung der Informationssicherheits- und Datenschutzbeauftragten mit der zentralen Compliance-Funktion
- Rollen im Rahmen der Schutzbedarfsfeststellung – Anforderungen an die einheitliche Berichterstattung
- Sicherstellen eines Rahmenwerkes zur Überwachung und Umsetzung der Vorgaben in Prozesse (Mapping, Umsetzung, Kontrolle, Nachweis) – Anforderungen an ein aktuelles Monitoring
- Rechtsnormen und sonstige Regelungen, die für die IT des Instituts relevant sind
11:15 – 13:00 Uhr
Dringende Anforderungen an die Anwendungen von Cloud- Dienstleistungen in den Banken
- Identifikation und Analyse von Risiken bei Fernzugriffen, Cloud- und Portalanwendungen – Besondere Anforderungen auf die technischorganisatorische Ausstattung (AT 7.2) – Überführung in das IT-Risikomanagement (AT 4.3.2)
- Cloud-Dienstleistungen nach den neuen MaRisk und BAIT als IT-Auslagerung oder Fremdbezug? (AT 9, BAIT Nr. 8) – Transparenz und Risikosteuerung (AT 4.3.2) im Vordergrund
- Umsetzung einer Informationssicherheitsrichtlinie für Cloud-Anwendungen – Verantwortlichkeiten der einzelnen Mitarbeiter, der IT-Abteilung und der Fachbereiche – Rolle des ISB aus Sicht der 2nd LOD
- Anwendung der BSI-Broschüre „Sichere Nutzung von Cloud-Diensten” und BSI-Anforderungskatalog C5 in der Praxis – Mindestanforderungen und Schwachstellen
Referenten
- Nils Wilhelms, Leiter IT-Steuerung & Strategie, DekaBank
- Prof. Dr. Ralf Kühn, Geschäftsführer, Audit GmbH Karlsruhe Stuttgart Wirtschaftsprüfungsgesellschaft
- Dr. Stephan Neumann, Informationssicherheitsmanagement, SaarLB – Landesbank Saar
- Dr. Markus Held, Referatsleiter Mindeststandards und Produktsicherheit, Bundesamt für Sicherheit in der Informationstechnik (BSI)
Bewertungen
Es gibt noch keine Bewertungen.