Eine zunehmende Zahl von IT-Chefs setzt sich heute verstärkt mit dem Thema IT-Risiko-Management auseinander - getrieben von gesetzlichen Bestimmungen und unautorisierten Zugriffen auf persönliche Daten, wie sie Choicepoint und Citigroup kürzlich erlebten. Das verdeutlichte eine Konferenz zum Thema "IT Risk Management", die das Beratungsunternehmen Robert Frances Group in New York veranstaltete.

Die niederländische ABN Amro Bank beispielsweise ist damit beschäftigt, ihre Datenschutzpraxis neu zu bewerten, berichtet Joe Bernick, zuständig für das überseeische Technologierisiko-Management des Finanzdienstleisters. Im Rahmen dieser Evaluation macht sich die Bank unter anderem darüber Gedanken, welche Daten verschlüsselt werden müssen und was für ein Risiko mit einer externen Speicherung der Schlüssel verbunden ist.

Fragen des IT-Risiko-Managements werden heute als Business-Entscheidungen begriffen. Das betonten gleich mehrere Sprecher auf der Konferenz. Hier werde einmal mehr deutlich, wie eng die IT heute mit dem Geschäft verbunden sei, so der Tenor. Graham Seel von der Bank of America Corp. verglich die Security-Investitionen mit dem Abschluss eines Versicherungsvertrags. Zumindest ansatzweise laufe es auf die Frage hinaus, "was wir bereit sind, auszugeben, um einen Risikofall zu vermeiden".

Automatisierte SOX-Datenbank

Eine spezielle Regulationen-Datenbank hat sich Prudential Financial zugelegt. Schon vor acht Jahren entwickelte der Finanzdienstleister ein "First-Alert"-System, das alle für ihn relevanten gesetzlichen Bestimmungen auf einen Blick zeigt und bei der Entwicklung von Aktionsplänen für jeden betroffenen Unternehmensbereich hilft, so plauderte Mario Mosse, Vice-President für das Risiko-Management, aus dem Nähkasten. Diesem zentralen Ansatz verdankt Prudential Financial auch die automatisierte Datenbank für Dokumentationsvorgänge gemäß Sarbanes-Oxley Act (SOX). (qua)