sicherheit als gesch ftsmodell
Download
Skip this Video
Download Presentation
Sicherheit als Geschäftsmodell

Loading in 2 Seconds...

play fullscreen
1 / 29

Sicherheit als Gesch ftsmodell - PowerPoint PPT Presentation


  • 150 Views
  • Uploaded on

Sicherheit als Geschäftsmodell . Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH [email protected] Unser heutiges Ziel. Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen Einführung in aktuelle Sicherheitsstandards

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about 'Sicherheit als Gesch ftsmodell' - kevyn


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
sicherheit als gesch ftsmodell
Sicherheit als Geschäftsmodell

Michael Hochenrieder

Senior Security Consultant

HvS-Consulting GmbH

[email protected]

unser heutiges ziel
Unser heutiges Ziel

Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen

  • Einführung in aktuelle Sicherheitsstandards
  • Überblick Security-Markt in Deutschland
  • Status quo: Sicherheitsmanagement in deutschen Unternehmen
  • Ansätze für Dienstleistungen & Produkte in den Bereichen IT- & organisatorische Sicherheit
agenda teil i
Agenda Teil I
  • Einführung
    • Sicherheitsrahmenwerke & -standards
    • Gesetzliche Vorgaben
  • Der Security-Markt in Deutschland
    • Aktuelle Zahlen & Daten
    • Trends
  • Das Geschäft mit der Angst – How to sell Security?
    • Stellenwert der Sicherheit im Unternehmen
    • Relevante Ansprechpartner beim Kunden
    • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen
was ist informationssicherheit

Informations-sicherheit

IT-Sicherheit

Was ist Informationssicherheit?

Sicherheitspolitik

Sicherheitsmanagement

Sicherheitsprozesse

Firewalls / Virenschutz

IS-Risikomanagement

Secure Coding

Sicherheitsrichtlinien & -standards

Security-Awareness

Security-Audits

rahmenwerke standards im bereich informationssicherheit
Rahmenwerke & Standards im Bereich Informationssicherheit
  • ISO 17799 / ISO 27001
    • Internationaler Informationssicherheitsstandard
    • Fokus: Etablierung eines ISMS
  • BSI IT-Grundschutz
    • Nationaler Sicherheitsstandard
    • Empfehlung für (technische) Basis-Sicherheitsmaßnahmen
  • COBIT
    • Control Objectives for Information & related Technologie
    • Modell zur Überwachung & Prüfung der IT
  • ITIL / ISO 20000 – Sicherheitsmanagement
    • Sammlung von „Best Practices“
    • Betrieb von IT-Infrastrukturen
informationssicherheits management systeme isms nach iso
Informationssicherheits-Management-systeme (ISMS) nach ISO
  • Teil 1: ISO 17799:2005
    • Leitfaden zum Management von Informationssicherheit
    • Best Practices
  • Teil 2: ISO 27001:2005
    • Spezifikation für ISMS für Unternehmen (Anforderungen)
    • Grundlage für die Zertifizierung von ISMS
    • Anwendbar für alle Industriezweige und alle Arten sowie Ausprägungen von Unternehmen
    • 11 Themenbereiche / 39 Sicherheitsziele/ 133 Maßnahmenim verbindlichen Anhang A
    • Ständige Überwachung und Weiterentwicklungdes ISMSist explizit gefordert (PDCA-Zyklus)

Beispiel

iso 27001 controls im anhang a
ISO 27001: Controls im Anhang A

A.5 - Security Policy

A.6 – Organization of Information Security

A.7 – Asset Management

A.8 – Human

Ressources

Security

A.9 – Physical

and Environment

Security

A.10 – Communication

and Operations

Management

A.12 – Information

Systems acquisition,

development

and maintenance

A.11 – Access Control

A.13 – Information Security Incident Management

A.14 - Business Continuity Management

A.15 - Compliance

bsi it grundschutz

Kapitel 1: Einleitung

Kapitel 2: Schichtenmodell und Modellierung

Kapitel 3: Glossar

Kapitel 4: Rollen

  • Baustein-Kataloge
    • Kap.B1 „Übergreifende Aspekte“
      • Kap. B1.0 IT-Sicherheitsmgnt.
    • Kap. B2 „Infrastruktur“
    • Kap. B3 „IT-Systeme“
    • Kap. B4 „Netze“
    • Kap. B5 „IT-Anwendungen
  • Gefährdungs-Kataloge
  • Maßnahmen-Kataloge

BSI Standard 100-3

Risikoanalyse auf Basis von IT-Grundschutz

BSI Standard 100-2

IT-Grundschutz Vorgehensweise

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz

Prüfschema für ISO 27001 Audits

BSI Standard 100-1

ISMS: Managementsysteme für Informationssicherheit

BSI IT-Grundschutz

Neugliederung desIT-Grundschutzes

IT-Grundschutz Kataloge

BSI-Standards

zur IT-Sicherheit

- Bereich IT-Sicherheitsmanagement

aufbau der it grundschutz kataloge
Aufbau der IT-Grundschutz-Kataloge

Neu ab 2005

Bis 2004

BSI-Standards & Loseblattsammlung

Beispiel

neue organisatorische anforderungen global regulatory compliance
Neue organisatorische Anforderungen: Global regulatory compliance

Basel II

Capital

Accord

Canadian

Electronic

Evidence Act

Electronic Ledger Storage Law (Japan)

SEC 17a-4 (USA)

HIPAA (USA)

11MEDIS-DC (Japan)

ISO 18501/18509

AIPA (Italy)

FDA 21 CRF Part 11

GDPdU & GoBS (Germany)

NF Z 42-013 (France)

Sarbanes-Oxley Act (USA)

Public

Records

Office (UK)

Financial

Services

Authority (UK)

BSI PD0008 (UK)

compliance vorgaben in deutschland
Compliance-Vorgaben in Deutschland

Compliance-Vorgaben

  • Risikoabsicherung, Versicherungen, Eigenkapital(Basel II)
  • Auskunft- und Nachweispflichten(GoBS/BMF, HGB, Steuerrecht, ...)
  • Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (AktG/KonTraG)
  • Datenschutz (Teledienstedatenschutz, Informations- u. Kommunikationsdienstegesetz)
  • Allgemeine Geheimhaltungspflichten / Bankgeheimnis (KWG)

Compliance-Vorgaben müssen in der IT abgebildet werden IT-Governance

praxisbeispiel gesetzliche rechtliche anforderungen

Private Mails: Was darf der Arbeitgeber?

MÜNCHEN (COMPUTERWOCHE) – Wer als Arbeitgeber die private

Nutzung von Internet und E-Mail am Arbeitsplatz gestattet, wird

Rechtlich mit „normalen“ Anbietern von telekommunikationsdiensten

(TK-Diensten) nach dem Telekommunikationsgesetz (TKG)

Gleichgesetzt – mit unvorhergesehenen Konsequenzen.

Praxisbeispiel: Gesetzliche/rechtliche Anforderungen
  • § 276 BGB – Organisationsverschulden / Schadensersatzansprüche
  • § 202a StGB – Ausspähen von Daten
  • § 303b StGB – Computersabotage
  • § 3 TKG – Definition Diensteanbieter
  • § 4 TDDSG – Pflichten des Diensteanbieters
  • § 8 TDG, z.B. Haftung bei illegalen Inhalten im Internet
  • u.v.m.

Beispiel

agenda teil i14
Agenda Teil I
  • Einführung
    • Sicherheitsrahmenwerke & -standards
    • Gesetzliche Vorgaben
  • Der Security-Markt in Deutschland
    • Aktuelle Zahlen & Daten
    • Trends
  • Das Geschäft mit der Angst – How to sell Security?
    • Stellenwert der Sicherheit im Unternehmen
    • Relevante Ansprechpartner beim Kunden
    • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen
der security markt d zahlen daten typische sicherheitsprobleme
Der Security-Markt (D) – Zahlen & DatenTypische Sicherheitsprobleme

Quelle: siliconDEStudie_IT_Sicherheit2005

der security markt d zahlen daten security ausgaben in des it budget
Der Security-Markt (D) – Zahlen & DatenSecurity-Ausgaben in % des IT-Budget

Quelle: siliconDEStudie_IT_Sicherheit2005

der security markt zahlen daten planungen f r das jahr 2006
Der Security-Markt – Zahlen & DatenPlanungen für das Jahr 2006

Quelle: InformationWeek, IT-Security 2005

agenda teil i18
Agenda Teil I
  • Einführung
    • Sicherheitsrahmenwerke & -standards
    • Gesetzliche Vorgaben
  • Der Security-Markt in Deutschland
    • Aktuelle Zahlen & Daten
    • Trends
  • Das Geschäft mit der Angst – How to sell Security?
    • Stellenwert der Sicherheit im Unternehmen
    • Relevante Ansprechpartner beim Kunden
    • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen
statusbericht sicherheit in gro en mittelst ndischen unternehmen
Statusbericht: Sicherheit in großen & mittelständischen Unternehmen
  • Stellenwert im Unternehmen
    • Theorie: Security hat oberste Priorität
    • Praxis: Wellenbewegung, wenn oben, dann stark IT-technisch orientiert
  • Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund

Physische Sicherheit

Gebäude- und

Zugangsschutz

IT-Sicherheit

State-of-the-Art

Produkte & Technologien

Organisatorische Sicherheit

Risiko-Management, Sicherheits-Richtlinien,

Security Awareness

statusbericht sicherheit in gro en mittelst ndischen unternehmen20

Vorstand

Vorstand

Chief SecurityOfficer

Datenschutzbeauftragter

Chief

Security

Officer

OrganisatorischeSicherheit

PhysischeSicherheit

Physical

Security

IT

-

Security

Organisational

Security

IT-Sicherheit

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen
  • Stellenwert im Unternehmen
    • Theorie: Security hat oberste Priorität
    • Praxis: Wellenbewegung – wenn, dann stark IT-technisch orientiert
  • Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund
  • Sicherheitsmanagement
    • Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.)
statusbericht sicherheit in gro en mittelst ndischen unternehmen21

Rollenkonflikte!

Datenschutz

Security

IT-Abteilung

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen
  • Sicherheitsmanagement
    • Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.)
    • Bildung von virtuellen Teams (z.B. IT, Personal, Recht, Gebäude, BR …)
    • Achtung!
zusammenfassung des status quo
Zusammenfassung des Status Quo

?

Stellenwert des Themas Sicherheit schwankt

Ganzheitliche Sicherheit rückt immer mehr in

den Vordergrund

Häufig Rollenkonflikte im

Sicherheitsmanagement

Bei wem platziere ich welches Thema?

die top bauchschmerzen eines cso
Die Top „Bauchschmerzen“ eines CSO
  • Sensibilisierung Geschäftsleitung / Vorstand
  • Security Governance
  • Mitarbeiter Awareness
  • Komplexität IT-Sicherheit
die top bauchschmerzen eines cso24

Wie rechtfertigen Sie Sicherheitsinvestitionen?

Deutschland

USA

Die Top „Bauchschmerzen“ eines CSO
  • Sensibilisierung Geschäftsleitung / Vorstand
    • Rechtfertigung Security-Budget (ROSI)
die top bauchschmerzen eines cso25

Gesetze

  • BDSG, TDDSG, TDG
  • HGB, AktG, GmbHG, KontraG
  • UrhG
  • BGB, StGB

Richtlinien

  • Basel II
  • PS330
  • ITIL

Sicherheitsstandards

  • BSI
  • ISO 27001
  • ITSEC / CC
Die Top „Bauchschmerzen“ eines CSO
  • Sensibilisierung Geschäftsleitung / Vorstand
    • Rechtfertigung Security-Budget (ROSI)
    • Schwieriges Security-Reporting (Messbarkeit)
  • Security Governance
    • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung
die top bauchschmerzen eines cso26
Die Top „Bauchschmerzen“ eines CSO
  • Sensibilisierung Geschäftsleitung / Vorstand
    • Rechtfertigung Security-Budget (ROSI)
    • Schwieriges Security-Reporting (Messbarkeit)
  • Security Governance
    • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung
    • Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)
  • Mitarbeiter Awareness
    • Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren
    • Akzeptanz Security vs. Usability, Functionality, Performance
gratwanderung der sicherheit
Gratwanderung der Sicherheit

Secure

Choose any two!

Usable

Cheap

die top bauchschmerzen eines cso28
Die Top „Bauchschmerzen“ eines CSO
  • Sensibilisierung Geschäftsleitung / Vorstand
    • Rechtfertigung Security-Budget (ROSI)
    • Schwieriges Security-Reporting (Messbarkeit)
  • Security Governance
    • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung
    • Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)
  • Mitarbeiter Awareness
    • Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance
  • IT-Sicherheit
    • Patchmanagement, System-Hardening, Application-Security
    • Incident-Handling & Notfall-Management
ad