Sicherheit als Geschäftsmodell Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH...
-
Upload
sieglinde-rauth -
Category
Documents
-
view
106 -
download
1
Transcript of Sicherheit als Geschäftsmodell Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH...
Sicherheit als Geschäftsmodell
Michael HochenriederSenior Security ConsultantHvS-Consulting [email protected]
Unser heutiges Ziel
Neue Geschäftspotentiale durch innovative Security-Produkte & -
lösungen
Einführung in aktuelle Sicherheitsstandards Überblick Security-Markt in Deutschland Status quo: Sicherheitsmanagement
in deutschen Unternehmen Ansätze für Dienstleistungen & Produkte in den
Bereichen IT- & organisatorische Sicherheit
Agenda Teil I
Einführung Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben
Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends
Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines
Sicherheitsverantwortlichen
Informations-sicherheit
IT-Sicherheit
Secure CodingSecure Coding
Sicherheitsmanagement
Sicherheitsmanagement
Security-AuditsSecurity-Audits
Security-AwarenessSecurity-Awareness
IS-RisikomanagementIS-Risikomanagement
SicherheitspolitikSicherheitspolitik
Sicherheitsrichtlinien & -standards
Sicherheitsrichtlinien & -standards
Firewalls / VirenschutzFirewalls / Virenschutz
SicherheitsprozesseSicherheitsprozesse
Was ist Informationssicherheit?
……
Rahmenwerke & Standards im Bereich Informationssicherheit
ISO 17799 / ISO 27001 Internationaler Informationssicherheitsstandard Fokus: Etablierung eines ISMS
BSI IT-Grundschutz Nationaler Sicherheitsstandard Empfehlung für (technische) Basis-Sicherheitsmaßnahmen
COBIT Control Objectives for Information & related Technologie Modell zur Überwachung & Prüfung der IT
ITIL / ISO 20000 – Sicherheitsmanagement Sammlung von „Best Practices“ Betrieb von IT-Infrastrukturen
Informationssicherheits-Management-systeme (ISMS) nach ISO Teil 1: ISO 17799:2005
Leitfaden zum Management von Informationssicherheit Best Practices
Teil 2: ISO 27001:2005 Spezifikation für ISMS für Unternehmen (Anforderungen) Grundlage für die Zertifizierung von ISMS Anwendbar für alle Industriezweige und alle Arten sowie
Ausprägungen von Unternehmen 11 Themenbereiche / 39 Sicherheitsziele/ 133 Maßnahmen
im verbindlichen Anhang A Ständige Überwachung und Weiterentwicklung des ISMS
ist explizit gefordert (PDCA-Zyklus)
ISO 27001: Controls im Anhang A
A.5 - Security Policy
A.6 – Organization of Information Security
A.7 – Asset Management
A.14 - Business Continuity Management
A.13 – Information Security Incident Management
A.12 – Information Systems acquisition,
development and maintenance
A.10 – Communication and Operations Management
A.9 – Physical and Environment
Security
A.8 – HumanRessources
Security
A.15 - Compliance
A.11 – Access Control
Neugliederung des IT-Grundschutzes
BSI IT-Grundschutz
BSI Standard 100-2IT-Grundschutz Vorgehensweise
BSI Standard 100-3Risikoanalyse auf Basis von IT-Grundschutz
Zertifizierung nach ISO 27001 auf der Basis von IT-GrundschutzPrüfschema für ISO 27001 Audits
BSI Standard 100-1ISMS: Managementsysteme für Informationssicherheit
BSI-Standardszur IT-Sicherheit
- Bereich IT-Sicherheitsmanagement
IT-Grundschutz Kataloge
Kapitel 1: EinleitungKapitel 2: Schichtenmodell
und ModellierungKapitel 3: GlossarKapitel 4: Rollen
-Baustein-Kataloge-Kap.B1 „Übergreifende Aspekte“
-Kap. B1.0 IT-Sicherheitsmgnt.
-Kap. B2 „Infrastruktur“-Kap. B3 „IT-Systeme“-Kap. B4 „Netze“-Kap. B5 „IT-Anwendungen
-Gefährdungs-Kataloge-Maßnahmen-Kataloge
Aufbau der IT-Grundschutz-Kataloge
Bis 2004 Neu ab 2005
BSI-Standards & Loseblattsammlung
Neue organisatorische Anforderungen: Global regulatory compliance
Electronic Ledger Storage Law (Japan)
11MEDIS-DC (Japan)
CanadianElectronicEvidence
Act
SEC 17a-4 (USA)
HIPAA (USA)
FDA 21 CRF Part 11
ISO 18501/1850
9
Sarbanes-Oxley Act (USA)
AIPA (Italy)
GDPdU & GoBS (Germany)
BSI PD0008 (UK)
PublicRecords
Office (UK)
NF Z 42-013 (France)Financial
ServicesAuthority (UK)
Basel IICapitalAccord
Risikoabsicherung, Versicherungen, Eigenkapital(Basel II)
Auskunft- und Nachweispflichten(GoBS/BMF, HGB, Steuerrecht, ...)
Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (AktG/KonTraG)
Datenschutz (Teledienstedatenschutz, Informations- u. Kommunikationsdienstegesetz)
Allgemeine Geheimhaltungspflichten / Bankgeheimnis (KWG)
Compliance-Vorgaben
Compliance-Vorgaben in Deutschland
Compliance-Vorgaben müssen in der IT abgebildet werden IT-Governance
§ 276 BGB – Organisationsverschulden / Schadensersatzansprüche
§ 202a StGB – Ausspähen von Daten § 303b StGB – Computersabotage § 3 TKG – Definition Diensteanbieter § 4 TDDSG – Pflichten des Diensteanbieters § 8 TDG, z.B. Haftung bei illegalen Inhalten im Internet u.v.m.
Praxisbeispiel: Gesetzliche/rechtliche Anforderungen
Private Mails: Was darf der Arbeitgeber?
MÜNCHEN (COMPUTERWOCHE) – Wer als Arbeitgeber die privateNutzung von Internet und E-Mail am Arbeitsplatz gestattet, wirdRechtlich mit „normalen“ Anbietern von telekommunikationsdiensten(TK-Diensten) nach dem Telekommunikationsgesetz (TKG)Gleichgesetzt – mit unvorhergesehenen Konsequenzen.
Die Rechtslage …
Agenda Teil I
Einführung Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben
Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends
Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines
Sicherheitsverantwortlichen
Der Security-Markt (D) – Zahlen & DatenTypische Sicherheitsprobleme
Quelle: siliconDEStudie_IT_Sicherheit2005
Der Security-Markt (D) – Zahlen & DatenSecurity-Ausgaben in % des IT-Budget
Quelle: siliconDEStudie_IT_Sicherheit2005
Der Security-Markt – Zahlen & DatenPlanungen für das Jahr 2006
Quelle: InformationWeek, IT-Security 2005
Agenda Teil I
Einführung Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben
Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends
Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines
Sicherheitsverantwortlichen
Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen
Theorie: Security hat oberste Priorität Praxis: Wellenbewegung,
wenn oben, dann stark IT-technisch orientiert
Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund
Organisatorische SicherheitRisiko-Management, Sicherheits-
Richtlinien,
Security Awareness
IT-SicherheitState-of-the-Art
Produkte & Technologien
Physische Sicherheit
Gebäude- und
Zugangsschutz
Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen
Theorie: Security hat oberste Priorität Praxis: Wellenbewegung – wenn, dann stark IT-technisch orientiert
Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund
Sicherheitsmanagement Ernennung eines dedizierten Verantwortlichen
(z.B. CSO, CISO etc.)
Vorstand
ChiefSecurity Officer
PhysicalSecurity IT-Security OrganisationalSecurity
…
Vorstand
Chief SecurityOfficer
Datenschutzbeauftragter
PhysischeSicherheit IT-Sicherheit
OrganisatorischeSicherheit
Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Sicherheitsmanagement
Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.)
Bildung von virtuellen Teams (z.B. IT, Personal, Recht, Gebäude, BR …)
Achtung!
SicherheitsmanagementHerr XXX
Gebäude
Herr XXX
Güter
Herr XXX
IT
Herr XXX
Organisation
Herr XXX
Arbeitskreis SicherheitLeitung: Herr XXX
Abteilungen
DatenschutzEntwicklungInformationstechnikLogistikPersonalwesenProduktionQualitätswesenProduktionVerwaltungVertriebMarketing
Gruppenfirmen
XXX
Virtuelles Team Sicherheit
Rollenkonflikte!
IT-AbteilungSecurity
Datenschutz
?Zusammenfassung des Status Quo
Stellenwert des Themas Sicherheit schwankt
Ganzheitliche Sicherheit rückt immer mehr inden Vordergrund
Häufig Rollenkonflikte im Sicherheitsmanagement
Bei wem platziere ich
welches Thema?
Die Top „Bauchschmerzen“ eines CSO
Sensibilisierung Geschäftsleitung / Vorstand
Security Governance
Mitarbeiter Awareness
Komplexität IT-Sicherheit
Die Top „Bauchschmerzen“ eines CSO
Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI)
Wie rechtfertigen Sie Sicherheitsinvestitionen?
DeutschlandUSA
Die Top „Bauchschmerzen“ eines CSO
Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit)
Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen
HaftungSicherheitsstandards BSI ISO 27001 ITSEC / CC
Gesetze BDSG, TDDSG, TDG HGB, AktG, GmbHG,
KontraG UrhG BGB, StGB
Richtlinien Basel II PS330 ITIL
Die Top „Bauchschmerzen“ eines CSO
Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit)
Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen
Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)
Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu
sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance
Gratwanderung der Sicherheit
Secure
Usable
Cheap
Choose any Choose any two!two!
Die Top „Bauchschmerzen“ eines CSO
Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit)
Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)
Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu
sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance
IT-Sicherheit Patchmanagement, System-Hardening, Application-Security Incident-Handling & Notfall-Management
Pause