Im Zeitalter der Digitalisierung stellen Information Assets, einschließlich Daten, Applikationen und Systeme, einen bedeutenden Bestandteil der unternehmerischen Wertkette dar. Der Schutz dieser Assets durch eine effektive Information Asset Classification (IAC) bildet daher eine grundlegende Voraussetzung für das Risikomanagement und die Cybersecurity.
IAC: Identifizierung, Klassifizierung und Priorisierung
Der IAC-Prozess beinhaltet im Wesentlichen drei Schritte:
- Identifizierung: Der erste Schritt besteht darin, ein klares Bild aller existierenden Information Assets zu gewinnen. Dazu zählen nicht nur Daten im herkömmlichen Sinne, sondern auch Applikationen, Systeme und weitere Bestandteile der IT-Infrastruktur.
- Klassifizierung: Nach der Identifizierung der Assets erfolgt deren Klassifizierung. Hierbei wird in der Regel in verschiedene Schutzbedarfs-Dimensionen unterschieden. Typische Dimensionen, in denen jeweils die Schutzbedarfe bewertet werden sind Vertraulichkeit, Integrität und Verfügbarkeit. Die Bewertung richtet sich dabei nach dem jeweiligen Schadenspotenzial bei Verletzungen (Reputation, Finanzieller Schaden, Geschäftsbetrieb, …).
- Priorisierung: Auf Basis der Klassifizierung kann schließlich eine Priorisierung der Assets erfolgen. Hierbei werden die Schutzmaßnahmen dort konzentriert, wo sie aufgrund des Risikos und der Wichtigkeit des Assets am dringendsten benötigt werden.
Die Rolle der IAC im Finanzdienstleistungssektor
Gerade im Finanzdienstleistungssektor spielt die IAC eine besonders wichtige Rolle. Dieser Sektor verarbeitet täglich eine enorme Menge an sensiblen Daten und trägt außerdem durch seine Systemrelevanz eine große Verantwortung. Durch eine gezielte IAC werden Daten, Applikationen und Systeme effektiv geschützt und gleichzeitig regulatorische Anforderungen erfüllt.
Ein effektives IAC-Projekt bildet dabei das Fundament für weitere Sicherheitsmaßnahmen und -Projekte im Cyber Security Kontext. Besonders stark auf der IAC aufbauend sind dabei die folgenden Themen:
- IT Asset Management (ITAM): Das IT Asset Management (ITAM) ggf. in Kombination mit einer Configuration Management Database ist eng mit der IAC verknüpft. Häufig kommen hierbei auch Discovery-Techniken zum Einsatz. ITAM und CMDB verwalten die Information Assets und bilden die Grundlage für die auf der Schutzbedarfs-Klassifizierung beruhenden Behandlungsvarianten im Umgang mit den Information Assets.
- Identity and Access Management (IAM): Auf der Basis einer gründlichen IAC kann festgelegt werden, wer nach welchen Regeln Zugang zu welchen Assets hat und wie dieser Zugang gesteuert wird. Die operative Umsetzung der Anbindung von Applikationen an die berechtigungssteuernden Systeme kann entsprechend der IAC priorisiert werden.
- Privileged Access Management (PAM): Eine präzise IAC ermöglicht es, die Assets zu identifizieren, die spezielle Zugriffsprivilegien erfordern, die Umsetzung von PAM zu priorisieren und entsprechende Sicherheitsmaßnahmen zu implementieren.
Die IAC bildet somit einen unerlässlichen Baustein im Rahmen eines umfassenden Cyber Security Programms – insbesondere im Financial Services Sektor. Wir unterstützen unsere Kunden dabei, eine maßgeschneiderte IAC-Strategie zu entwickeln und umzusetzen. Auf diese Weise tragen wir dazu bei, den Schutz der wertvollen Information Assets zu gewährleisten, das Cyber Security Risiko aktiv zu managen und regulatorisches Exposure zu minimieren.
