Ein neues Projekt oder «nur» Teil von Information Governance Aktivitäten?

Worum geht es?

Per 1.1.2024 tritt das Finma Rundschreiben 2023/1 «Operationelle Risiken und Resilienz – Banken» in Kraft. Es baut auf dem Rundschreiben aus dem Jahr 2008 auf und beinhaltet eine wichtige Neuerung, der ein ganzes Kapitel gewidmet ist: dem Management der Risiken kritischen Daten.

Was das bedeutet, ist nicht unbedingt leicht verständlich, gehen die Anforderungen doch weit über Datenschutz- und Cyber-Themen hinaus. In diesem Schreiben geht es um den Umgang mit kritischen / lebensnotwendigen Daten, die je nach Geschäftsmodell anderer Art sein können. Bedeutet dies der Start eines neuen Projektes in Ihrem Unternehmen? Nicht unbedingt. Damit neuen Anforderungen nicht mit neuen, extra Aufwänden begegnet werden muss, sind allerdings ein paar Voraussetzungen nötig.

Was bisher oft geschah: Die nötigen Massnahmen aufgrund früherer Regulatorien und Vorgaben binden in ihren jeweiligen Bereichen Ressourcen zur Umsetzung. Aufgrund der verschiedenen Ausprägungen und Fachrichtungen stehen dabei oft nur Teilaspekte eines grossen Ganzen im Fokus – Synergien werden kaum genutzt.

Wie sollen wir vorgehen?

Grundsätzlich stimmt jedermann damit überein, dass nur ein ganzheitliches Vorgehen, das die regulatorischen Anforderungen und die firmeneigenen Bedürfnisse berücksichtigt, ein effektives Management der Risiken und den optimalen Einsatz von Ressourcen ermöglicht, sowie gleichzeitig das Unternehmensziel fördert: mit Hilfe der Daten Werte zu erzeugen.

Voraussetzung für den «richtigen» Umgang mit Daten, egal welcher Art, ist die Kontrolle über die Daten zu haben, also sie richtig zu managen. Der Cyberangriff im Juni 2023 beim Bund hat gezeigt, dass nicht alle Daten unter Kontrolle waren und wesentliche Grundlagen vernachlässigt wurden. Zu den Grundlagen und Bestandteilen des Datenmanagements und schlussendlich einer soliden Information Governance gehören:

1. Miteinbezug der kritischen Daten in den gesamten Datenkatalog

• Sie haben bereits verschiedene Massnahmen im Umgang mit Daten getroffen, wie zum Beispiel für das Datenschutzgesetz (nDSG, DSGVO)… kritische Daten sind weitere/andere Daten, die gemäss Finma Rundschreiben aufgrund der Kriterien Vertraulichkeit, Integrität und Verfügbarkeit identifiziert werden. Dabei ist auch die Datenqualität eine wichtige Voraussetzung.
• Der umfassende «Datenkatalog», der alle Arten von Daten berücksichtigt, soll aktuell gehalten und von der Geschäftsleitung und den entsprechenden Verantwortlichen regelmässig überprüft werden.

2. Schutz der (kritischen) Daten in allen Phasen ihres «Lebens» – und darüber hinaus

• Sie wissen, wo (kritische) Daten entstehen, verarbeitet und gelagert werden, inkl. Archivierung und Löschung, im In- und Ausland, auf verschiedenen Systemen, on-site oder off-site.
• Sie haben den Überblick über alle Schutzmassnahmen (z.B. Zugriffsvergabe, Anonymisierung, Verschlüsselung, Schlüsselverwaltung, Backups).
• Sie wissen, wo (kritische) Daten «entsorgt» werden und ob das «endgültig» ist.

3. Die entsprechenden Massnahmen sind in Ihr internes Kontrollsystem integriert, es ist vollständig und funktioniert

• Sie haben firmeninterne Kontrollen erstellt, die die Schutzmassnahmen regelmässig überprüfen und entsprechende Berichte generieren
• Darüber hinaus holen Sie sich von unabhängigen Stellen Ratschläge ein und lassen Ihre Prozesse und Kontrollen regelmässig überprüfen

Grundlage: Information Governance

Durch eine umfassende Information Governance wird ein ganzheitliches internes Kontrollsystem ermöglicht, das auch zukünftige interne und externe / regulatorische Anforderungen integrieren kann. Die entsprechenden Ressourcen können dadurch besser genutzt und zugunsten der Wertoptimierung eingesetzt werden. Eine neue Anforderung muss nicht zwangsmässig ein neues Projekt generieren.

Solchen Herausforderungen stellt man sich am besten mit einem verlässlichen Partner. Das Kompetenzzentrum Records Management (KRM) unterstützt seit 2002 Unternehmen und Verwaltung in der richtigen Steuerung und Umgang mit Geschäftsinformationen und bietet unter anderem Hilfe bei der Umsetzung von regulatorischen Anforderungen. Informationen sollen im gesamten Lebenszyklus (Nutzen, Erfassen, Klassieren, Speichern, Löschen) in Übereinstimmung mit den strategischen Vorgaben des Unternehmens und externen und internen Vorschriften aktiv bewirtschaftet werden – nehmen Sie das Finma Rundschreibens als Start oder Weiterentwicklung Ihrer Information Governance Massnahmen.

Das krm hat mit MATRIO eine eigene Methodenlandschaft für die Information Governance und die Compliance von Information Management Systemen geschaffen. Das krm bietet zudem eine unabhängige Überprüfung der Vollständigkeit und Nachhaltigkeit Ihrer Massnahmen, sowie Mithilfe sowohl bei der Schliessung von Lücken (risikobasiert), als auch bei der effektiveren Gestaltung des dazu notwendigen Kontrollsystems.

Eine Präsentation zu diesem Text finden Sie hier (ext. Link).

Angaben zur Autorin:

Daniela Gschwend, Inhaberin von IT Governance & More, hat über 30 Jahre IT Audit, Governance, Risk und Compliance Erfahrung in der Finanzbranche gesammelt, zuletzt als Leiterin der globalen IT Governance Funktion bei der Swiss Re. Daniela war während 20 Jahren Präsidentin des ISACA Switzerland Chapters.

Weitere Informationen:  IT Governance & More (ext. Link)