Sicherheit als gesch ftsmodell l.jpg
This presentation is the property of its rightful owner.
Sponsored Links
1 / 29

Sicherheit als Geschäftsmodell PowerPoint PPT Presentation


  • 107 Views
  • Uploaded on
  • Presentation posted in: General

Sicherheit als Geschäftsmodell . Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH [email protected] Unser heutiges Ziel. Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen Einführung in aktuelle Sicherheitsstandards

Download Presentation

Sicherheit als Geschäftsmodell

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Sicherheit als gesch ftsmodell l.jpg

Sicherheit als Geschäftsmodell

Michael Hochenrieder

Senior Security Consultant

HvS-Consulting GmbH

[email protected]


Unser heutiges ziel l.jpg

Unser heutiges Ziel

Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen

  • Einführung in aktuelle Sicherheitsstandards

  • Überblick Security-Markt in Deutschland

  • Status quo: Sicherheitsmanagement in deutschen Unternehmen

  • Ansätze für Dienstleistungen & Produkte in den Bereichen IT- & organisatorische Sicherheit


Agenda teil i l.jpg

Agenda Teil I

  • Einführung

    • Sicherheitsrahmenwerke & -standards

    • Gesetzliche Vorgaben

  • Der Security-Markt in Deutschland

    • Aktuelle Zahlen & Daten

    • Trends

  • Das Geschäft mit der Angst – How to sell Security?

    • Stellenwert der Sicherheit im Unternehmen

    • Relevante Ansprechpartner beim Kunden

    • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen


Was ist informationssicherheit l.jpg

Informations-sicherheit

IT-Sicherheit

Was ist Informationssicherheit?

Sicherheitspolitik

Sicherheitsmanagement

Sicherheitsprozesse

Firewalls / Virenschutz

IS-Risikomanagement

Secure Coding

Sicherheitsrichtlinien & -standards

Security-Awareness

Security-Audits


Rahmenwerke standards im bereich informationssicherheit l.jpg

Rahmenwerke & Standards im Bereich Informationssicherheit

  • ISO 17799 / ISO 27001

    • Internationaler Informationssicherheitsstandard

    • Fokus: Etablierung eines ISMS

  • BSI IT-Grundschutz

    • Nationaler Sicherheitsstandard

    • Empfehlung für (technische) Basis-Sicherheitsmaßnahmen

  • COBIT

    • Control Objectives for Information & related Technologie

    • Modell zur Überwachung & Prüfung der IT

  • ITIL / ISO 20000 – Sicherheitsmanagement

    • Sammlung von „Best Practices“

    • Betrieb von IT-Infrastrukturen


Informationssicherheits management systeme isms nach iso l.jpg

Informationssicherheits-Management-systeme (ISMS) nach ISO

  • Teil 1: ISO 17799:2005

    • Leitfaden zum Management von Informationssicherheit

    • Best Practices

  • Teil 2: ISO 27001:2005

    • Spezifikation für ISMS für Unternehmen (Anforderungen)

    • Grundlage für die Zertifizierung von ISMS

    • Anwendbar für alle Industriezweige und alle Arten sowie Ausprägungen von Unternehmen

    • 11 Themenbereiche / 39 Sicherheitsziele/ 133 Maßnahmenim verbindlichen Anhang A

    • Ständige Überwachung und Weiterentwicklungdes ISMSist explizit gefordert (PDCA-Zyklus)

Beispiel


Iso 27001 controls im anhang a l.jpg

ISO 27001: Controls im Anhang A

A.5 - Security Policy

A.6 – Organization of Information Security

A.7 – Asset Management

A.8 – Human

Ressources

Security

A.9 – Physical

and Environment

Security

A.10 – Communication

and Operations

Management

A.12 – Information

Systems acquisition,

development

and maintenance

A.11 – Access Control

A.13 – Information Security Incident Management

A.14 - Business Continuity Management

A.15 - Compliance


Bsi it grundschutz l.jpg

Kapitel 1: Einleitung

Kapitel 2: Schichtenmodell und Modellierung

Kapitel 3: Glossar

Kapitel 4: Rollen

  • Baustein-Kataloge

    • Kap.B1 „Übergreifende Aspekte“

      • Kap. B1.0 IT-Sicherheitsmgnt.

    • Kap. B2 „Infrastruktur“

    • Kap. B3 „IT-Systeme“

    • Kap. B4 „Netze“

    • Kap. B5 „IT-Anwendungen

  • Gefährdungs-Kataloge

  • Maßnahmen-Kataloge

BSI Standard 100-3

Risikoanalyse auf Basis von IT-Grundschutz

BSI Standard 100-2

IT-Grundschutz Vorgehensweise

Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz

Prüfschema für ISO 27001 Audits

BSI Standard 100-1

ISMS: Managementsysteme für Informationssicherheit

BSI IT-Grundschutz

Neugliederung desIT-Grundschutzes

IT-Grundschutz Kataloge

BSI-Standards

zur IT-Sicherheit

- Bereich IT-Sicherheitsmanagement


Aufbau der it grundschutz kataloge l.jpg

Aufbau der IT-Grundschutz-Kataloge

Neu ab 2005

Bis 2004

BSI-Standards & Loseblattsammlung

Beispiel


Neue organisatorische anforderungen global regulatory compliance l.jpg

Neue organisatorische Anforderungen: Global regulatory compliance

Basel II

Capital

Accord

Canadian

Electronic

Evidence Act

Electronic Ledger Storage Law (Japan)

SEC 17a-4 (USA)

HIPAA (USA)

11MEDIS-DC (Japan)

ISO 18501/18509

AIPA (Italy)

FDA 21 CRF Part 11

GDPdU & GoBS (Germany)

NF Z 42-013 (France)

Sarbanes-Oxley Act (USA)

Public

Records

Office (UK)

Financial

Services

Authority (UK)

BSI PD0008 (UK)


Compliance vorgaben in deutschland l.jpg

Compliance-Vorgaben in Deutschland

Compliance-Vorgaben

  • Risikoabsicherung, Versicherungen, Eigenkapital(Basel II)

  • Auskunft- und Nachweispflichten(GoBS/BMF, HGB, Steuerrecht, ...)

  • Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (AktG/KonTraG)

  • Datenschutz (Teledienstedatenschutz, Informations- u. Kommunikationsdienstegesetz)

  • Allgemeine Geheimhaltungspflichten / Bankgeheimnis (KWG)

Compliance-Vorgaben müssen in der IT abgebildet werden IT-Governance


Praxisbeispiel gesetzliche rechtliche anforderungen l.jpg

Private Mails: Was darf der Arbeitgeber?

MÜNCHEN (COMPUTERWOCHE) – Wer als Arbeitgeber die private

Nutzung von Internet und E-Mail am Arbeitsplatz gestattet, wird

Rechtlich mit „normalen“ Anbietern von telekommunikationsdiensten

(TK-Diensten) nach dem Telekommunikationsgesetz (TKG)

Gleichgesetzt – mit unvorhergesehenen Konsequenzen.

Praxisbeispiel: Gesetzliche/rechtliche Anforderungen

  • § 276 BGB – Organisationsverschulden / Schadensersatzansprüche

  • § 202a StGB – Ausspähen von Daten

  • § 303b StGB – Computersabotage

  • § 3 TKG – Definition Diensteanbieter

  • § 4 TDDSG – Pflichten des Diensteanbieters

  • § 8 TDG, z.B. Haftung bei illegalen Inhalten im Internet

  • u.v.m.

Beispiel


Die rechtslage l.jpg

Die Rechtslage …


Agenda teil i14 l.jpg

Agenda Teil I

  • Einführung

    • Sicherheitsrahmenwerke & -standards

    • Gesetzliche Vorgaben

  • Der Security-Markt in Deutschland

    • Aktuelle Zahlen & Daten

    • Trends

  • Das Geschäft mit der Angst – How to sell Security?

    • Stellenwert der Sicherheit im Unternehmen

    • Relevante Ansprechpartner beim Kunden

    • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen


Der security markt d zahlen daten typische sicherheitsprobleme l.jpg

Der Security-Markt (D) – Zahlen & DatenTypische Sicherheitsprobleme

Quelle: siliconDEStudie_IT_Sicherheit2005


Der security markt d zahlen daten security ausgaben in des it budget l.jpg

Der Security-Markt (D) – Zahlen & DatenSecurity-Ausgaben in % des IT-Budget

Quelle: siliconDEStudie_IT_Sicherheit2005


Der security markt zahlen daten planungen f r das jahr 2006 l.jpg

Der Security-Markt – Zahlen & DatenPlanungen für das Jahr 2006

Quelle: InformationWeek, IT-Security 2005


Agenda teil i18 l.jpg

Agenda Teil I

  • Einführung

    • Sicherheitsrahmenwerke & -standards

    • Gesetzliche Vorgaben

  • Der Security-Markt in Deutschland

    • Aktuelle Zahlen & Daten

    • Trends

  • Das Geschäft mit der Angst – How to sell Security?

    • Stellenwert der Sicherheit im Unternehmen

    • Relevante Ansprechpartner beim Kunden

    • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen


Statusbericht sicherheit in gro en mittelst ndischen unternehmen l.jpg

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen

  • Stellenwert im Unternehmen

    • Theorie: Security hat oberste Priorität

    • Praxis: Wellenbewegung, wenn oben, dann stark IT-technisch orientiert

  • Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund

Physische Sicherheit

Gebäude- und

Zugangsschutz

IT-Sicherheit

State-of-the-Art

Produkte & Technologien

Organisatorische Sicherheit

Risiko-Management, Sicherheits-Richtlinien,

Security Awareness


Statusbericht sicherheit in gro en mittelst ndischen unternehmen20 l.jpg

Vorstand

Vorstand

Chief SecurityOfficer

Datenschutzbeauftragter

Chief

Security

Officer

OrganisatorischeSicherheit

PhysischeSicherheit

Physical

Security

IT

-

Security

Organisational

Security

IT-Sicherheit

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen

  • Stellenwert im Unternehmen

    • Theorie: Security hat oberste Priorität

    • Praxis: Wellenbewegung – wenn, dann stark IT-technisch orientiert

  • Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund

  • Sicherheitsmanagement

    • Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.)


Statusbericht sicherheit in gro en mittelst ndischen unternehmen21 l.jpg

Rollenkonflikte!

Datenschutz

Security

IT-Abteilung

Statusbericht: Sicherheit in großen & mittelständischen Unternehmen

  • Sicherheitsmanagement

    • Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.)

    • Bildung von virtuellen Teams (z.B. IT, Personal, Recht, Gebäude, BR …)

    • Achtung!


Zusammenfassung des status quo l.jpg

Zusammenfassung des Status Quo

?

Stellenwert des Themas Sicherheit schwankt

Ganzheitliche Sicherheit rückt immer mehr in

den Vordergrund

Häufig Rollenkonflikte im

Sicherheitsmanagement

Bei wem platziere ich welches Thema?


Die top bauchschmerzen eines cso l.jpg

Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

  • Security Governance

  • Mitarbeiter Awareness

  • Komplexität IT-Sicherheit


Die top bauchschmerzen eines cso24 l.jpg

Wie rechtfertigen Sie Sicherheitsinvestitionen?

Deutschland

USA

Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

    • Rechtfertigung Security-Budget (ROSI)


Die top bauchschmerzen eines cso25 l.jpg

Gesetze

  • BDSG, TDDSG, TDG

  • HGB, AktG, GmbHG, KontraG

  • UrhG

  • BGB, StGB

Richtlinien

  • Basel II

  • PS330

  • ITIL

Sicherheitsstandards

  • BSI

  • ISO 27001

  • ITSEC / CC

Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

    • Rechtfertigung Security-Budget (ROSI)

    • Schwieriges Security-Reporting (Messbarkeit)

  • Security Governance

    • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung


Die top bauchschmerzen eines cso26 l.jpg

Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

    • Rechtfertigung Security-Budget (ROSI)

    • Schwieriges Security-Reporting (Messbarkeit)

  • Security Governance

    • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung

    • Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)

  • Mitarbeiter Awareness

    • Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren

    • Akzeptanz Security vs. Usability, Functionality, Performance


Gratwanderung der sicherheit l.jpg

Gratwanderung der Sicherheit

Secure

Choose any two!

Usable

Cheap


Die top bauchschmerzen eines cso28 l.jpg

Die Top „Bauchschmerzen“ eines CSO

  • Sensibilisierung Geschäftsleitung / Vorstand

    • Rechtfertigung Security-Budget (ROSI)

    • Schwieriges Security-Reporting (Messbarkeit)

  • Security Governance

    • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung

    • Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail)

  • Mitarbeiter Awareness

    • Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance

  • IT-Sicherheit

    • Patchmanagement, System-Hardening, Application-Security

    • Incident-Handling & Notfall-Management


Pause l.jpg

Pause


  • Login