Sicherheit

Security: Die passende Architektur für Sie

Security ist für Finanzunternehmen ein ganz großes Thema. Eine optimale Datenpflege ist das „must“ der Gegenwart. Wir stellen Ihnen dazu eine passende Architektur der Firma SAP vor, die alle Wünsche unter einen Hut bringt.

Bank Security: Das Rad nicht neu erfinden

„Sicher ist, dass nichts sicher ist. Selbst das nicht.“ Ganz so pessimistisch wie Joachim Ringelnatz sehen wir das nicht, wenn es um Kundendaten und Mitarbeiterdaten in Finanzunternehmen geht. Eher im Gegenteil. Datenschutzskandale und regulatorische Anforderungen (intern und extern) machen das Thema „Sicherheit“ (Security) zu einem geschäftsrelevanten Faktor des Unternehmens. Durch neue IT-Technologien und der Standardisierung in diesem Bereich entstehen Lösungen, die durch geeignete Techniken kontrolliert werden müssen. Art und Umfang dieser Kontrolle werden durch die geschäftlichen Vorgaben bestimmt.

Die passende Architektur

Nachfolgend stellen wir Ihnen eine Security-Architektur für Finanzdienstleister vor, die alle genannten Themen sowohl fachlich als auch technisch auf der Basis von Services aufnimmt und zusammen führt. Dies ermöglicht eine schnelle und kostengünstige Umsetzung. Die Architektur basiert auf der standardisierten Anwendungsumgebung der Firma SAP im Bereich Banking (Banking Services, SAP Banking, SAP GRC). Was nicht heißen soll, dass nur auf dieser Anwendungsumgebung eine Umsetzung möglich ist. In der hier vorgestellten Architektur wird aber schnell deutlich, dass gerade in einem standardisierten Anwendungsumfeld die Umsetzung einer leistungsfähigen Security-Architektur mit einfachen Mitteln und Verfahren möglich ist.

Die Vorteile einer als Service ausgerichteten Security-Architektur sind eindeutig: Der Anwendungsentwickler bzw. die eingesetzten Module werden von der Security-Thematik entlastet, und der Entwickler kann sich somit auf die Umsetzung der Business-Logik konzentrieren. Das Rad muss nicht immer wieder neu erfunden werden.

Die Struktur einer Security-Architektur

Die hier beschriebene Security-Architektur besteht aus der zentralen Komponente „IT Security Management“, kurz ITSM. Diese enthält Überwachungs- und Managementfunktionen. ITSM wiederum setzt sich aus den beiden Funktionsblöcken „Technical Security Service“ (TSS) und „Business Security Service“ (BSS) zusammen.

Der Funktionsblock „Technical Security Service“ (TSS) definiert die technischen Funktionen:

  • Der Identity Service umfasst alle Benutzerverzeichnisse, die Provisionierung von Benutzerdaten und die damit verbundene Identity-Management-Funktionalität.
  • Der Authentication Service stellt die unterschiedlichen Verfahren zur Verfügung, mit denen sich ein Benutzer ausweisen kann.
  • Der Authorization Service stellt die Entscheidung bereit, ob ein Zugriff eines Benutzers auf eine bestimmte Ressource erlaubt ist. Die Entscheidung beruht immer auf einer Policy und nimmt Bezug auf die Identität des Benutzers und dessen relevante Attribute.
  • Der Audit Service verwaltet Ereignisse wie Anmeldeversuche, Verletzungen einer Policy oder Zugriffe auf sensible Daten.

Unter dem Funktionsblock „Business Security Service“ (BSS) versteht man die Prozesse und Verfahren, mit denen die Umgebung gesteuert und den Geschäftsbedürfnissen angepasst wird. Die eigentlichen Funktionalitäten werden von Diensten des „Technical Security Service“ (TSS) erbracht. „Business Security Service“ lässt sich in vier Bereiche unterteilen:

  • „Governance, Risk und Compliance“ beschreibt die Kontrolle über die Integrität des Gesamtsystems, schätzt das Risiko durch Security-Verletzungen ab und prüft die Übereinstimmung des Systems mit den Anforderungen der Business Policies, vor allem diejenigen, die durch gesetzliche oder andere regulatorische Vorgaben zustande kommen.
  • „Trust Management“ behandelt sowohl die nicht technischen Aspekte wie Verträge oder Absprachen und auch die technischen mit Key-Management oder Attributmanagement zwischen den beteiligten Organisationen.
  • „Identity and Access“ regelt das Identity Lifecycle Management, das durch das Identitätsmanagement realisiert ist: Hier fließen die Personal- und Organisationsdaten des Unternehmens zusammen. Das Identitätsmanagement wird um ein ressourcenbezogenes Management von Zugriffsrechten sowie Self-Service-Funktionen und Genehmigungsprozesse ergänzt.
  • „Data Protection“ legt die Policies fest, die insbesondere die personenbezogenen Daten für eine Schnittstelle oder Nutzung durch den Endbenutzer steuern. Weiterhin gilt es, solche Entscheidungen aufzuzeichnen und jederzeit (durch Reports oder durch Portale) nachvollziehbar zu machen.

Die Lösung von SAP

Mit „SAP GRC“ und der „SAP NetWeaver“-Plattform bietet die Firma SAP eine Lösung an, die alle entsprechenden Funktionen für die oben beschriebene Architektur besitzt. Durch „SAP GRC“ werden die für den Funktionsblock „Business Security Service“ beschriebenen Funktionen im Bereich „Governance, Risk und Compliance“ als Services zur Verfügung gestellt. Dazu gehören Access Control, Process Control und Risk Management. Der Service „Audit Management“ in „SAP GRC“ kann dem Bereich „Trust Management“ zugeordnet werden.

Mit „SAP NetWeaver“ wird der Funktionsblock „Technical Security Service“ unterstützt. Für die Funktion „Identity Service“ bietet „NetWeaver“ den Service „IdM“ als Identity Management an. Dieser unterstützt die Prozessabläufe, das globale Monitoring sowie die Integration von „SAP GRC“. Weiterhin beinhaltet „IdM“ auch das User Lifecycle Management, das die Verwaltung von Benutzerkonten und Berechtigungen vorsieht. Dabei geht es beim Lifecycle Management um die schnelle Produktivsetzung sowie um die Änderung und den Entzug von Zugriffsberechtigungen. Weiterhin bietet „IdM“ die Funktionalitäten und Bestandteile wie Konnektoren, Provisionierungsmechanismen, Identitity Services und Self-Services an.

Unsere Empfehlungen

Es gilt den Fehler zu vermeiden, Security erst nachträglich in eine fertige Anwendungslösung zu integrieren. Denn dann besteht die Gefahr, nur die Security-Sicht auf die Anwendung zu haben. So entstehen unsichere Systeme und unnötig hohe Kosten. Es empfiehlt sich daher eine Security-Architektur zu entwickeln, die Antworten auf folgende Fragen liefert:

  • Welche Funktionen und Services beinhaltet eine Security-Architektur?
  • Wer überwacht die Einhaltung der Regeln für diese Architektur?
  • Wie kann bereits bei der Anwendungsentwicklung und bei Projekten die Security-Architektur berücksichtigt werden?
  • Die Einbettung der Security-Architektur sollte im Rahmen von IT-Servicemanagement geschehen.

Wir bieten Ihnen zu dem gesamten Komplex eine umfassende Beratung an. Unsere erfahrenen Experten unterstützen Sie sowohl beim Aufbau der Security-Architektur als auch bei der Umsetzung. Wir begleiten Sie auf Ihrem Weg zu größtmöglicher Sicherheit in Ihrem Unternehmen. Der Bereich „SAP Banking und Insurance“ bei CGI konnte bereits in einer Vielzahl von Projekten unter Beweis stellen, dass auch im Security-Umfeld mittel- und langfristig Kostenersparnisse realisierbar sind. Bei welchen Fragestellungen auch immer Sie sich unsere Hilfe wünschen - unsere Security-Architektur stellt sicher, dass Ihre Anforderungen im gesamten Kontext betrachtet werden und die Lösung sowohl zukunftsorientiert als auch für Sie maßgeschneidert ist.


Artikel empfehlen:

01.04.2015
Kategorien:
Ausgabe 11 - 2015
Specials

Schlüsselwörter
Sicherheit

Aktuelles von Experten für Experten