GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt
Transcript of GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt
![Page 1: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/1.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de
GRC Erfahrungen mit dem Tool RiskVision in einem Bankprojekt
Holger Heimann/it.sec
GI Fachgruppe Management von InformationssicherheitFrankfurt am Main, 11.6.2010
![Page 2: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/2.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 2
Dipl. Ing (FH) Holger Heimann
(CISA)- Geschäftsführer der it.sec GmbH & Co. KG
- Mehr als 20 Jahre Berufserfahrung im IT-Security Umfeld
- Member of the Board OWASP Germany
– Contributions zu Tools wie nessus, nmap, nikto
– Etc.
![Page 3: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/3.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 3
Compliance, Risiko und Sicherheit
![Page 4: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/4.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 4
Compliance & Risk Management
• Compliance bedeutet nichts anderes als– Konform sein mit (irgendwelchen) Vorgaben
– i.d.R umgesetzt über Kontrollfragen (Controls)
– Unterstützt durch Frameworks wie ISO/IEC27001, Cobit …
![Page 5: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/5.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 5
Compliance & Risk Management
![Page 6: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/6.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 6
Compliance & Risk Management
• Zusammenhang zwischen Compliance & Risiko:– Erfüllte Controls können Risiken reduzieren
• Compliant = sicher?– Möglicherweise
![Page 7: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/7.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 7
Compliance heute
• Teils immense Ressourcenanforderungen durch Audits und Compliance Management
• Immer wiederkehrende Fragen• Kaum Automatisierung• Verschiedene Abteilungen/Personen erarbeiten immer wiederkehrende Dinge
• Erhebung von Daten durch individuelle Befragungen
• Security und Compliance Angaben i.d.R. nur tagesgenaue Samples
• Kaum Detailgenauigkeit bei großen Umgebungen
![Page 8: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/8.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 8
Tools sollen helfen
![Page 9: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/9.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 9
Agiliance
Act
Collect
PeopleProcessesFacilities
Management & Operational Controls
ArcSightNovellSentinel
ApprovaSAP VirsaOracle Logical AppsPhulaxis
Data CenterManagement
Patch MgmtChange Mgmt
RiskVision 4.0Risk and Compliance Engine
Agiliance Open Connector Architecture™
Oracle DBOracle EMMS SQL
Windows NetIQUnix TripWireCMDB BigFixESM
NessusnCircleTenableQualysWebinspectAppScanFortifySkyBox…
Active DirectoryLDAPSiteMinderOracleSalesforce
OracleAppPeopleSoftApache
Transform
Agiliance Inc. Confidential and Proprietary
Decide
PrioritizeChange
![Page 10: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/10.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 10
• Die Agiliance content library ist über das ISO-17799 framework verlinkt– Standards
– Automated controls
– Risk\Threat\Vulnerability
– andere
• Wird ein Control einmalbearbeitet, kann es gegenunterschiedliche Katalogegetestet werden
![Page 11: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/11.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 11
Tooleinsatz:
• Vorteile / Vision:– Gemeinsame Datenbasis für unterschiedliche
• Abteilungen
• Anforderungen
– Konsistente(re) Datenbasis
– Gemeinsame up-to-date Risikokataloge
– Bessere und schellere Aussagen über Compliance & Risk
– Aufwandsminierung
![Page 12: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/12.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 12
Der Kunde
![Page 13: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/13.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 13
Der Kunde
• International aufgestellter Bankenkonzern
• Töchterunternehmen (i.d.T. Banken) in mehr als neun Ländern– Töchter i.d.R. gekaufte, vormals selbstständige Banken
• Holdingstruktur
• Insgesamt einige zehntausend Mitarbeiter
• Mehr als 3000 Filialen
• Cross-Country Outsourcing– von den Banken in (partiell) Bankeneigene Töchter
– für Dritte von einzelnen Banken/Töchtern
![Page 14: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/14.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 14
Das Projekt
![Page 15: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/15.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 15
Das Projekt• entstanden aus der Anforderung nach Log-Management• Nach drei Jahren Anforderungevolution
– Eines gruppenweites Security/Risk/Compliance Monitoring Projekt– Getrieben durch SecMgmt der Holding– Operativ bei Technikern angesiedelt– Partner- und Produkwahl nach PoC
• Projekt gestartet (Unterschrift)– Pünktlich zur Bankenkrise Ende 2008– Geplante Laufzeit: 5 Jahre
• Umfeld– KEIN Gruppenprojekt– Budgetlage volatil– Unterstützung der Projektziele durch beteilige ebenfalls volatil– Managementsupport ebenfalls volatil– Dadurch: Projektschritte in abgestimmten Einzelschritten
• Projektziel– Nicht genau definiert– Muss teilweise noch nebst Teilzielen „verkauft“ werden
![Page 16: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/16.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 16
Vereinfachte Struktur
H o l d i n g
Agiliance RiskVision
Event
Land 1
Collector
Novel Sentinel
SIEM
CollectorCollector
CollectorCollector
Collector
Land 2
Collector
Novel Sentinel
SIEM
CollectorCollector
CollectorCollector
Collector
Land A
Collector
Novel Sentinel
SIEM
CollectorCollector
CollectorCollector
Collector
Management Level
Operational Level
Operational Level
Operational Level
ConnectorConnector Connector
Connector
Connector
Connector
Connector
O
P
/
T
E
C
H
M
G
M
T
Connector
Connector
Connector
Connector
Connector
Connector
Connector
Connector
Connector
![Page 17: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/17.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 17
Die Umsetzung
![Page 18: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/18.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 18
Theoretischer Ablauf (vereinfacht)
• In Anlehnung an Projektziele Projekt planen, z.B:– Anforderungen/Requirements erheben– Assets erheben und definieren
• Kritikalitäten und Loss Values definieren
– Assets auf passende Controls Frameworks mappen, bzw. diese erstellen
– Risikokataloge erheben und zuordnen– KRIs, KIPs erheben– Controls aus zutreffenden Frameworks/Control Lists auf Assets zuordnen
– Hinterlegen in Agiliance (inkl. Usermanagement, Rollen etc.)
– Alles mit Arbeitspaketen und Budgets unterlegen
![Page 19: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/19.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 19
Praxis• Investitionen in das ursprüngliche Design fanden nicht statt – ursprüngliches
Design nicht in-place
• „Wir brauchen Quick-Wins, ausserdem fordert PCI-DSS ein LogfileManagement und da steht ein Audit an“– Projekt nicht auf Grüner Wiese– Chronologisch korrektes Vorgehen nicht unbedingt möglich
• Grundlagenprobleme– Verständnis für den Aufbau einer Holdingstruktur und den hieraus resultieren
Anforderungen kaum vorhanden– Kaum Requirement-Kataloge vorhanden– Es gibt kein gruppenweites Verständnis (Policiy) für Assets, Risiken, etx.– Sparen, koste es was es wolle: Lizenzen
• Technische Herausforderungen– Single-Sign on Anforderungen in einer Non-Single-Sign-On Umgebung– Auswahl der funktionstragenden Komponenten (Produktfeatures überlappen)
![Page 20: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/20.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 20
Praxis• Politische Probleme
– Innenpolitisch• Herausarbeiten von gemeinsamen Anforderungen verschiedener Abteilungen
– OpRisk– Risk– Legal– Datenschutz– Fraud …
• „Aber wir haben schon ein Tool“ oder „Ihr Tool kann aber keinen Export in OpenOffice“
– Außenpolitisch• Nichts menschliches ist uns Fremd (Interferenzen mit lokalen Projekten)• Länderzusammenarbeit schwierig
– Z.B. Tschechien/Slowakei aus historischen Gründen– Geben und nehmen
• Kein Gruppenprojekt: à– Kein zentrales Projektmanagement– Kein „Häuptling“– Kein Fixes Budget
• Nicht zwangsweise gemeinsames Wünsche: Transparenzfurcht
![Page 21: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/21.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 21
Folgen
• Homöopathisches Vorgehen – Lobbyarbeit– Verabreichung kleiner „Funktionalitäts“-Dosen– Schmackhaft machen und einfangen von Stakeholder durch „Köder“
• Kaum „chronologisches korrektes“Vorgehen möglich– Planung folgt teils der Implementierung– Teils mehrere Anläuft wg. mangelnder Grundlagen vs. Quick-wins
![Page 22: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/22.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 22
Lessons Learned
• Die schwierigen Probleme sind in der Regel nicht die technischen
• (IT-) GRC Projekte – kosten Geld– schüren Ängste vor zu viel Transparenz– Kratzen oft an Bestehendem– Brauchen Management-Support
• Projektteile müssen „verkauft“ werden– Politischer Overhead ist immens– Stakeholder sind potentiell alle hierachischen Ebenen
![Page 23: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/23.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 23
Wo steht das Projekt
• Verschiedene Abteilungen der Holding suchen Anschluss– OpRisk und SecMgmt
– Implementierung von Projektfreigabesurveys
– Implementierung von KRI, KPI Erfassungen
• Holding streut „Köder“
• Länder werden auf „Anschluss“ vorbereitet– Requirement Assessment wurde partiell durchgeführt
– Implementierung des Sentinel wird nun auch an Anforderungen angepasst
![Page 24: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/24.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 24
Fragen/Diskussion
![Page 25: GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt](https://reader030.fdocuments.net/reader030/viewer/2022012505/618100f3c6ed2213af64cc8c/html5/thumbnails/25.jpg)
Holger Heimann © 2010 it.sec – www.it-sec.de 25
it.sec GmbH & Co. KG Sedanstraße 10 D-89077 Ulm
USt Id Nr.: DE 225547544 Steuernummer: 88012/53709 Amtsgericht Ulm: HRA 3129
vertreten durch den Geschäftsführer Dipl. Ing. (FH) Holger Heimann.
Haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Sedanstr. 10 D-89077 Ulm