Compliance und Sicherheit: zwei Probleme, die eine Datenschicht für die globale Bankenbranche bewältigen kann.

Der Veteran des Datenbanksektors, David Walker, skizziert einen Weg, wie Banken beginnen können, das Data-Layer-Denken zu nutzen, um endlich zwei Seiten derselben Datenmünze zu vereinen.

Wir alle wissen, dass es da draußen eine Menge Daten gibt. Bis 2020 hatten wir bereits weit über 60 digitale Zettabytes des Zeugs angesammelt – eine verrückte Zahl, die bis 180 2025 Zettabytes erreichen könnte -Free in mehreren Regionen, globale Finanzdienstleister müssen diese Milliarden von Terabyte an Daten sicher und genau verwalten und damit arbeiten.

In zunehmendem Maße bedeutet dies, unter vollständiger operativer Einhaltung lokaler oder regionaler Datenschutzbestimmungen wie der DSGVO der Europäischen Union oder des Consumer Privacy Act of California zu arbeiten. Es bedeutet auch die parallele Einhaltung branchenspezifischer Vorschriften wie PCI DSS im Zahlungssektor, FCA-Regeln, AML-Gesetzgebung und so weiter. Diese Komplexität steigt um einige Stufen, wenn Ihr Anteil an den 80 Zettabyte in mehreren Ländern liegt und Sie die Verarbeitung dieser Kundeninformationen sowie deren Speicherung verwalten müssen. Als ständige operative Belastung benötigen Banken aller Größen daher eine strukturierte Unterstützung für eine Reihe grenzüberschreitender, länderübergreifender Datenschutzgesetze über horizontale und vertikale Achsen hinweg. Und seien wir ehrlich, Sie würden sich nicht all diese Mühe (und Kosten) machen, es sei denn, Sie müssten! Seit ihrer Einführung im Jahr 2018 hat die DSGVO Amazon 746 Millionen Euro und WhatsApp 221 Millionen im Jahr 2021 und Einzelhändler wie H&M 35 Millionen im Jahr 2020 gekostet – nur einige Namen der zahlreichen Organisationen, die wegen Verstößen mit Geldstrafen belegt wurden (aus einer sehr langen Liste).

Hohe DSGVO-Bußgelder sind ein existenzielles Risiko. Das gilt auch für potenzielles soziales Chaos im Internet

Ihr Risikomanagementteam möchte Ihren Namen weder auf dieser Liste noch auf einer anderen Liste von Compliance-Sündern in irgendeinem Handelsbereich haben. Während eine finanzielle Strafe allein Sie möglicherweise nicht umbringt, könnte das Fehlen angemessener Kontrollen für die geografischen Standorte, an denen Sie sich befinden, Ihre Handlungsfähigkeit beeinträchtigen. In IT-Begriffen sprechen wir von Data Governance und Geolokalisierung. Diese sollten ein Element auf C-Suite-Ebene sein, obwohl sie es leider oft nicht sind. Ebenso rätselhaft ist, dass Cybersicherheit auch heute noch oft als Nebensache betrachtet wird.

Jeder, der weiß, wie wild und beängstigend Dinge im Internet werden können, wird dies verstehen. In der Tat ist das Cyber-Risiko jetzt eine solche Geißel, dass es anfangen könnte, unsere sich bereits lockernde soziale Stabilität auszufransen. Der neue Global Risks Report 2022 des Weltwirtschaftsforums fasst seine neueste Global Risks Perception Survey zusammen und betont, wie Cybersicherheitsbedrohungen zunehmen und tatsächlich die Fähigkeit der Gesellschaft überholen, sie wirksam zu verhindern oder darauf zu reagieren. „Angriffe auf kritische Infrastrukturen, Fehlinformationen, Betrug und digitale Sicherheit werden das Vertrauen der Öffentlichkeit in digitale Systeme beeinträchtigen und die Kosten für alle Beteiligten erhöhen“, warnt sie. „Wenn Angriffe schwerwiegender und weitreichender werden, werden die ohnehin schon scharfen Spannungen zwischen Regierungen, die von Cyberkriminalität betroffen sind, und Regierungen, die an ihrer Begehung mitschuldig sind, zunehmen, da die Cybersicherheit zu einem weiteren Keil für Divergenz statt Zusammenarbeit zwischen den Nationalstaaten wird.“ Was verbindet also die Sorge um die sichere Aufbewahrung privater Kundendaten und die Abwehr von Hackern? Sicherlich sind beides wichtige Geschäftsprozesse, aber operativ auf Workflow-Ebene unterschiedlich? Einer ist teamorientiert für Bank-Compliance oder Risiko, einer ist teamorientiert für Bank-IT-Sicherheit.

Eigentlich sind sie nur zwei Seiten derselben Medaille: die Währung der Daten. Das nicht so zu sehen, macht überhaupt keinen Sinn.

Zwei sehr unterschiedliche Profile von Personen und Berichtslinien

Letztendlich hilft die Compliance dem Unternehmen, sich um die Daten zu kümmern. Aus Sicherheitsgründen versucht es, alles, was mit Daten passiert, so sicher wie möglich zu machen. Strukturen wie die DSGVO konzentrieren sich darauf, immer zu wissen, wo sich die Daten befinden, wer damit umgeht und ob sie mit jemand anderem geteilt werden können. Bei der IT-Sicherheit geht es darum, wo Sie diese Daten speichern und schützen, und die Richtlinien um sie herum, um sicherzustellen, dass nur die richtigen Personen damit umgehen können und außerhalb dieser Richtlinien nicht darauf zugegriffen werden kann. Wenn es also bei beiden um Daten geht, warum segmentieren wir sie dann? Ganz einfach: das Organigramm. Führungskräfte in der Finanzen Branche, aber auch darüber hinaus, halten es für einfacher, mit zwei unterschiedlichen Gruppen von Spezialisten umzugehen: den Compliance-Beauftragten und den IT-Leuten.

Wir haben am Ende zwei sehr unterschiedliche Gruppen von Personen und Berichtslinien, obwohl dies in Datenbanken alles Nullen und Einsen sind. Diese Aufteilung ist auch mit Kosten verbunden. Doppelarbeit und zusätzliche Ressourcen kommen jeden Tag vor. Ja, die Prüfer sind froh, dass sie wissen, wen sie anrufen müssen, um sie zu untersuchen, und normalerweise gibt es kein Äquivalent (vielleicht sollte es eins geben?) für Ihre Sicherheitslücken. Aber warum sitzen zwei separate interne Teams auf verschiedenen Etagen, wenn es ein gemeinsames und verstärktes Data Issue Response Team geben sollte? Die Aktionäre sehen es nicht, aber sie zahlen wirklich das Doppelte für zwei Gruppen von Datenhygieneexperten, die nur eine Einzelposition sein sollten.

Dies beginnt sich langsam langsam zu ändern. Anstelle paralleler Ansätze bedeuten die jüngsten Fortschritte der Datenbankindustrie, dass es nur eine Möglichkeit gibt, Compliance und Sicherheit zu vereinheitlichen und einige echte Skaleneffekte und die Optimierung von Arbeitsabläufen zu erzielen. Die Grundlage für diese Verschiebung ist etwas, das Ihnen 90 % dessen gibt, was beide Seiten brauchen. Das bedeutet, dass Sie die anderen 10 % nach Bedarf hinzufügen müssen. Es ist die Umstellung auf Microservices und webbasiertes Daten- und Entwicklungsdenken. Was bedeutet das? Es kann nur passieren – und es ist zugegebenermaßen noch am Anfang – wenn die Bank einen stärker auf Datenschichten basierenden Ansatz verfolgt. So lässt sich beschreiben, wie Sie alle Ihre Datenherausforderungen an einem Ort abstrahieren können, und dies ist nur praktikabel, wenn Sie nur eine Datenbank für alle Ihre Anwendungen haben.

Es ist an der Zeit, Compliance- und Sicherheits-Workflows zu vereinheitlichen

Um es klar zu sagen, ich meine hier nicht Oracle (so großartig das auch ist)! Ich meine eine vollständig Cloud-basierte, sichere, verteilte Datenbank, die effizient mit den Arten von Transaktionslasten arbeitet, die Ihre Compliance-Arbeit (auch Zahlungsabwicklung usw.) erfordert, und auch das Gesamtbild und die Analyse erfordern die Mandate der Sicherheitsaufgaben. Aus diesem Grund konnten DSGVO und Sicherheit bisher nicht am selben Ort sein. Wenn Sie mehrere Geschäftsdatenbanken für jedes Land mit unterschiedlichen Lösungen verwalten mussten, um darauf zu sitzen, wurde Ihre Agilität als Unternehmen immer behindert. Und Cloud Mittlerweile ist eine Datenbankarchitektur entstanden, die für all diese unterschiedlichen Anforderungen an unterschiedlichen Orten eingesetzt werden kann und die auch (praktisch) die Lingua Franca des Business Reporting, SQL, verwendet. Oh – und es ist Open-Source- Dies bedeutet auch sofortigen Zugriff auf eine breite Palette hilfreicher Analyse- und Visualisierungstools von Drittanbietern.

Ebenso wichtig ist der Standortwinkel. Stellen Sie sich vor, Sie könnten dieselbe Daten-Engine in jeder Compliance- oder Datenschutz-Gerichtsbarkeit sicher ausführen. Speichern von Daten dort, wo sie erstellt wurden oder besessen werden müssen, aber auch uneingeschränkt befähigt, damit auf globaler Ebene zu arbeiten. Dies kann natürlich nur mit einer Datenschicht wirklich geschehen, da Sie sich jetzt auf die Daten selbst konzentrieren und nicht darauf, wie Sie sie physisch auf Ihren Computern speichern.

Fügen Sie Unterstützung für agile Entwicklung über Wasserfall und CI/CD (kontinuierliche Integration und kontinuierliche Bereitstellung) hinzu. Der Wechsel zu einem einheitlichen skalierbaren und sicheren Datenmanagement bedeutet, dass alle Ihre geschäftlichen, rechtlichen und sicherheitsrelevanten Ziele mit einer einzigen Architektur erfüllt werden können. Dadurch werden die Kosten gesenkt, Sie können aber auch viel schneller auf Compliance-Änderungen reagieren (was in diesem Bereich ein Merkmal und kein Fehler zu sein scheint) und Ihnen die Manövrierfähigkeit geben, die Sie benötigen, um den 24×7-Krieg gegen Malware und die sich ausruhen.

Compliance und Cybersicherheit nicht zu vereinheitlichen bedeutet, weiterhin für zwei separate Teams, zwei separate Entwicklungsbudgets, zwei parallele Workflows und zwei Gruppen von Stakeholdern und Prozessverantwortlichen zu bezahlen, die nicht wissen, wie viel sie durch Zusammenarbeit erreichen würden.

Die Beibehaltung von Compliance und Sicherheit als parallele Daten in Finanzdienstleistungsschwerpunkten mag früher sinnvoll gewesen sein. Jetzt tut es einfach nicht. Es ist an der Zeit, sie zusammenzubringen und die Datenschicht für Sie und Ihre Kunden nutzbar zu machen.

WAICF – Tauchen Sie ein in die KI und besuchen Sie eines der ...

Delia Salinas • 10. März 2022

Cannes veranstaltet jedes Jahr eine internationale Technologieveranstaltung namens World Artificial Intelligence Cannes Festival, besser bekannt unter dem Akronym WAICF. Eine der luxuriösesten Städte der Welt, an der französischen Riviera gelegen und Gastgeber der jährlichen Filmfestspiele von Cannes, der Midem und des Cannes Lions International Festival of Creativity. 

Die Evolution von VR und AR

Amber Donovan-Stevens • 28. Oktober 2021

Wir sehen uns an, wie sich die Extended-Reality-Technologien VR und AR vom reinen Gaming zu einer langsamen Integration in andere Aspekte unseres Lebens entwickelt haben.