Prozessoptimierung: die Fähigkeit, sich selbst zu helfen

Der Lebenszyklus moderner IT-Anwendungen wird immer kürzer, Anpassungen in Form von Releases/Updates oder Funktionserweiterungen immer häufiger. Die Abstände zwischen den einzelnen Iterationen verringern sich zudem ständig. Der Grund: wachsender Wettbewerbsdruck, neue Trends und die Notwendigkeit, sich schneller an die Bedürfnisse der Kundschaft anzupassen. Dieses Tempo, ergänzt um die zunehmende Digitalisierung und Technologisierung der gesamten Finanzwelt, bietet Angriffsflächen für potenzielle Bedrohungen – die sogenannten IKT-Risiken.

IKT-Risiken können durch verschiedene Methoden oder Überprüfungen festgestellt werden. Häufig müssen Institute die verwendete Software – Drittanbieter oder individuelle Datenverarbeitung (IDV) – anpassen, wenn sie Schwachstellen oder potenzielle Risikobereiche identifizieren. Dies hat anhand von angemessenen Prozessen zu erfolgen und muss Anforderungsermittlung, Entwicklungsziel, technische Umsetzung, Qualitätssicherung, Test, Abnahme, Freigabe und Überführung in den Regelbetrieb inklusive Wartung abdecken.

Das Software-Lifecycle-Management betrifft somit eine Vielzahl interner Bereiche und unterschiedliche Stakeholder mit heterogenen Interessen. PPI erstellt daher entsprechend den individuellen Bedürfnissen ein Vorgehensmodell, um die Anforderungen der vorgenannten Bereiche gemäß den regulatorischen Vorgaben zu erfüllen und aufsichtsgerecht zu dokumentieren. Zu diesen Vorgaben zählen beispielsweise die Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie die Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten (ZAIT).

Wie kann SDLC-Management IKT-Risiken vermeiden?

Einer der wichtigsten Aspekte des Software-Development-Lifecycle-Managements ist das Identifizieren und Minimieren von Risiken. Werden nun die Sicherheitsüberlegungen hinsichtlich der IKT-Risikokomponente in jede Phase des SDLCs integriert, können Schwachstellen von vornherein unterbunden beziehungsweise vermieden werden.

Zum Beispiel trägt das frühzeitige Identifizieren von Sicherheitslücken während der Anforderungsanalysephase dazu bei, dass Projektteams diese Lücken bereits in der Anforderungsdefinition schließen können. Das Einführen von Sicherheitsprüfungen in der Implementierungs- und Testphase ist geeignet, Fehler zu identifizieren und zu beseitigen, bevor das System in Produktion geht. Durch ein passendes SDLC-Management lernen alle Prozessbeteiligten, sich selbst zu helfen. Voraussetzung: geeignete und angepasste Prozesse und Maßnahmen, die zu den jeweiligen IT-Assets passen.

Das Leistungsversprechen von PPI

Wir analysieren Ihre bisherigen Prozesse und Dokumentationen über den gesamten Lebenszyklus Ihrer Anwendungen. Diese Erkenntnisse vertiefen wir in Workshops und Einzelinterviews mit allen Prozessbeteiligten wie etwa den fachlichen und technischen Anwendungsverantwortlichen. Wir gleichen anschließend die gewonnenen Erkenntnisse gegen die aufsichtsrechtlichen Vorgaben sowie die Vorgaben der internen Revision ab. Das Ergebnis ist eine Offene-Punkte-Liste zum gesamten Software-Development-Lifecycle mit konkreten Vorschlägen zur Mitigation und einer geeigneten Umsetzungspriorität.

Weitere Informationen finden Sie in unserem interaktiven Leistungsangebot. Sprechen Sie uns gern persönlich an.