Sicherheit als gesch ftsmodell l.jpg
Sponsored Links
This presentation is the property of its rightful owner.
1 / 29

Sicherheit als Geschäftsmodell PowerPoint PPT Presentation


  • 114 Views
  • Uploaded on
  • Presentation posted in: General

Sicherheit als Geschäftsmodell . Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH [email protected] Unser heutiges Ziel. Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen Einführung in aktuelle Sicherheitsstandards

Download Presentation

Sicherheit als Geschäftsmodell

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Sicherheit als Geschäftsmodell

Michael Hochenrieder

Senior Security Consultant

HvS-Consulting GmbH

[email protected]


Unser heutiges Ziel

Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen

  • Einführung in aktuelle Sicherheitsstandards

  • Überblick Security-Markt in Deutschland

  • Status quo: Sicherheitsmanagement in deutschen Unternehmen

  • Ansätze für Dienstleistungen & Produkte in den Bereichen IT- & organisatorische Sicherheit


Agenda Teil I

  • Einführung

    • Sicherheitsrahmenwerke & -standards

    • Gesetzliche Vorgaben

  • Der Security-Markt in Deutschland

    • Aktuelle Zahlen & Daten

    • Trends

  • Das Geschäft mit der Angst – How to sell Security?

    • Stellenwert der Sicherheit im Unternehmen

    • Relevante Ansprechpartner beim Kunden

    • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen


Informations-sicherheit

IT-Sicherheit

Was ist Informationssicherheit?

Sicherheitspolitik

Sicherheitsmanagement

Sicherheitsprozesse

Firewalls / Virenschutz

IS-Risikomanagement

Secure Coding

Sicherheitsrichtlinien & -standards

Security-Awareness

Security-Audits


Rahmenwerke & Standards im Bereich Informationssicherheit

  • ISO 17799 / ISO 27001

    • Internationaler Informationssicherheitsstandard

    • Fokus: Etablierung eines ISMS

  • BSI IT-Grundschutz

    • Nationaler Sicherheitsstandard

    • Empfehlung für (technische) Basis-Sicherheitsmaßnahmen

  • COBIT

    • Control Objectives for Information & related Technologie

    • Modell zur Überwachung & Prüfung der IT

  • ITIL / ISO 20000 – Sicherheitsmanagement

    • Sammlung von „Best Practices“

    • Betrieb von IT-Infrastrukturen


Informationssicherheits-Management-systeme (ISMS) nach ISO

  • Teil 1: ISO 17799:2005

    • Leitfaden zum Management von Informationssicherheit

    • Best Practices

  • Teil 2: ISO 27001:2005

    • Spezifikation für ISMS für Unternehmen (Anforderungen)

    • Grundlage für die Zertifizierung von ISMS

    • Anwendbar für alle Industriezweige und alle Arten sowie Ausprägungen von Unternehmen

    • 11 Themenbereiche / 39 Sicherheitsziele/ 133 Maßnahmenim verbindlichen Anhang A

    • Ständige Überwachung und Weiterentwicklungdes ISMSist explizit gefordert (PDCA-Zyklus)

Beispiel


ISO 27001: Controls im Anhang A

A.5 - Security Policy

A.6 – Organization of Information Security

A.7 – Asset Management

A.8 – Human

Ressources

Security

A.9 – Physical

and Environment

Security

A.10 – Communication

and Operations

Management

A.12 – Information

Systems acquisition,

development

and maintenance

A.11 – Access Control

A.13 – Information Security Incident Management

A.14 - Business Continuity Management

A.15 - Compliance


Kapitel 1: Einleitung

Kapitel 2: Schichtenmodell und Modellierung

Kapitel 3: Glossar

Kapitel 4: Rollen

  • Baustein-Kataloge

    • Kap.B1 „Übergreifende Aspekte“

      • Kap. B1.0 IT-Sicherheitsmgnt.

    • Kap. B2 „Infrastruktur“

    • Kap. B3 „IT-Systeme“

    • Kap. B4 „Netze“

    • Kap. B5 „IT-Anwendungen

  • Gefährdungs-Kataloge

  • Maßnahmen-Kataloge

BSI Standard 100-3

Risikoanalyse auf Basis von IT-Grundschutz

BSI Standard 100-2

IT-Grundschutz Vorgehensweise

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz

Prüfschema für ISO 27001 Audits

BSI Standard 100-1

ISMS: Managementsysteme für Informationssicherheit

BSI IT-Grundschutz

Neugliederung desIT-Grundschutzes

IT-Grundschutz Kataloge

BSI-Standards

zur IT-Sicherheit

- Bereich IT-Sicherheitsmanagement


Aufbau der IT-Grundschutz-Kataloge

Neu ab 2005

Bis 2004

BSI-Standards & Loseblattsammlung

Beispiel


Neue organisatorische Anforderungen: Global regulatory compliance

Basel II

Capital

Accord

Canadian

Electronic

Evidence Act

Electronic Ledger Storage Law (Japan)

SEC 17a-4 (USA)

HIPAA (USA)

11MEDIS-DC (Japan)

ISO 18501/18509

AIPA (Italy)

FDA 21 CRF Part 11

GDPdU & GoBS (Germany)

NF Z 42-013 (France)

Sarbanes-Oxley Act (USA)

Public

Records

Office (UK)

Financial

Services

Authority (UK)

BSI PD0008 (UK)


Compliance-Vorgaben in Deutschland

Compliance-Vorgaben

  • Risikoabsicherung, Versicherungen, Eigenkapital(Basel II)

  • Auskunft- und Nachweispflichten(GoBS/BMF, HGB, Steuerrecht, ...)

  • Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (AktG/KonTraG)

  • Datenschutz (Teledienstedatenschutz, Informations- u. Kommunikationsdienstegesetz)

  • Allgemeine Geheimhaltungspflichten / Bankgeheimnis (KWG)

Compliance-Vorgaben müssen in der IT abgebildet werden IT-Governance


Private Mails: Was darf der Arbeitgeber?

MÜNCHEN (COMPUTERWOCHE) – Wer als Arbeitgeber die private

Nutzung von Internet und E-Mail am Arbeitsplatz gestattet, wird

Rechtlich mit „normalen“ Anbietern von telekommunikationsdiensten

(TK-Diensten) nach dem Telekommunikationsgesetz (TKG)

Gleichgesetzt – mit unvorhergesehenen Konsequenzen.

Praxisbeispiel: Gesetzliche/rechtliche Anforderungen

  • § 276 BGB – Organisationsverschulden / Schadensersatzansprüche

  • § 202a StGB – Ausspähen von Daten

  • § 303b StGB – Computersabotage

  • § 3 TKG – Definition Diensteanbieter

  • § 4 TDDSG – Pflichten des Diensteanbieters

  • § 8 TDG, z.B. Haftung bei illegalen Inhalten im Internet

  • u.v.m.

Beispiel


Die Rechtslage …


Agenda Teil I

  • Einführung

    • Sicherheitsrahmenwerke & -standards

    • Gesetzliche Vorgaben

  • Der Security-Markt in Deutschland

    • Aktuelle Zahlen & Daten

    • Trends

  • Das Geschäft mit der Angst – How to sell Security?

    • Stellenwert der Sicherheit im Unternehmen

    • Relevante Ansprechpartner beim Kunden

    • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen


Der Security-Markt (D) – Zahlen & DatenTypische Sicherheitsprobleme

Quelle: siliconDEStudie_IT_Sicherheit2005


Der Security-Markt (D) – Zahlen & DatenSecurity-Ausgaben in % des IT-Budget

Quelle: siliconDEStudie_IT_Sicherheit2005


Der Security-Markt – Zahlen & DatenPlanungen für das Jahr 2006

Quelle: InformationWeek, IT-Security 2005


Agenda Teil I

  • Einführung

    • Sicherheitsrahmenwerke & -standards

    • Gesetzliche Vorgaben

  • Der Security-Markt in Deutschland

    • Aktuelle Zahlen & Daten

    • Trends

  • Das Geschäft mit der Angst – How to sell Security?

    • Stellenwert der Sicherheit im Unternehmen

    • Relevante Ansprechpartner beim Kunden

    • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen


Statusbericht: Sicherheit in großen & mittelständischen Unternehmen

  • Stellenwert im Unternehmen

    • Theorie: Security hat oberste Priorität

    • Praxis: Wellenbewegung, wenn oben, dann stark IT-technisch orientiert

  • Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund

Physische Sicherheit

Gebäude- und

Zugangsschutz

IT-Sicherheit

State-of-the-Art

Produkte & Technologien

Organisatorische Sicherheit

Risiko-Management, Sicherheits-Richtlinien,

Security Awareness


Vorstand

Vorstand

Chief SecurityOfficer

Datenschutzbeauftragter

Chief

Security

Officer

OrganisatorischeSicherheit

PhysischeSicherheit

Physical

Security

IT

-

Security

Organisational

Security

IT-Sicherheit

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen

  • Stellenwert im Unternehmen

    • Theorie: Security hat oberste Priorität

    • Praxis: Wellenbewegung – wenn, dann stark IT-technisch orientiert

  • Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund

  • Sicherheitsmanagement

    • Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.)


Rollenkonflikte!

Datenschutz

Security

IT-Abteilung

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen

  • Sicherheitsmanagement

    • Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.)

    • Bildung von virtuellen Teams (z.B. IT, Personal, Recht, Gebäude, BR …)

    • Achtung!


Zusammenfassung des Status Quo

?

Stellenwert des Themas Sicherheit schwankt

Ganzheitliche Sicherheit rückt immer mehr in

den Vordergrund

Häufig Rollenkonflikte im

Sicherheitsmanagement

Bei wem platziere ich welches Thema?


Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

  • Security Governance

  • Mitarbeiter Awareness

  • Komplexität IT-Sicherheit


Wie rechtfertigen Sie Sicherheitsinvestitionen?

Deutschland

USA

Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

    • Rechtfertigung Security-Budget (ROSI)


Gesetze

  • BDSG, TDDSG, TDG

  • HGB, AktG, GmbHG, KontraG

  • UrhG

  • BGB, StGB

Richtlinien

  • Basel II

  • PS330

  • ITIL

Sicherheitsstandards

  • BSI

  • ISO 27001

  • ITSEC / CC

Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

    • Rechtfertigung Security-Budget (ROSI)

    • Schwieriges Security-Reporting (Messbarkeit)

  • Security Governance

    • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung


Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

    • Rechtfertigung Security-Budget (ROSI)

    • Schwieriges Security-Reporting (Messbarkeit)

  • Security Governance

    • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung

    • Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)

  • Mitarbeiter Awareness

    • Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren

    • Akzeptanz Security vs. Usability, Functionality, Performance


Gratwanderung der Sicherheit

Secure

Choose any two!

Usable

Cheap


Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

    • Rechtfertigung Security-Budget (ROSI)

    • Schwieriges Security-Reporting (Messbarkeit)

  • Security Governance

    • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung

    • Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)

  • Mitarbeiter Awareness

    • Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance

  • IT-Sicherheit

    • Patchmanagement, System-Hardening, Application-Security

    • Incident-Handling & Notfall-Management


Pause


  • Login