1 / 29

Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell . Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH hochenrieder@hvs-consulting.de. Unser heutiges Ziel. Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen Einführung in aktuelle Sicherheitsstandards

kevyn
Download Presentation

Sicherheit als Geschäftsmodell

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sicherheit als Geschäftsmodell Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH hochenrieder@hvs-consulting.de

  2. Unser heutiges Ziel Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen • Einführung in aktuelle Sicherheitsstandards • Überblick Security-Markt in Deutschland • Status quo: Sicherheitsmanagement in deutschen Unternehmen • Ansätze für Dienstleistungen & Produkte in den Bereichen IT- & organisatorische Sicherheit

  3. Agenda Teil I • Einführung • Sicherheitsrahmenwerke & -standards • Gesetzliche Vorgaben • Der Security-Markt in Deutschland • Aktuelle Zahlen & Daten • Trends • Das Geschäft mit der Angst – How to sell Security? • Stellenwert der Sicherheit im Unternehmen • Relevante Ansprechpartner beim Kunden • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen

  4. Informations-sicherheit IT-Sicherheit Was ist Informationssicherheit? Sicherheitspolitik Sicherheitsmanagement Sicherheitsprozesse Firewalls / Virenschutz IS-Risikomanagement Secure Coding Sicherheitsrichtlinien & -standards … Security-Awareness Security-Audits

  5. Rahmenwerke & Standards im Bereich Informationssicherheit • ISO 17799 / ISO 27001 • Internationaler Informationssicherheitsstandard • Fokus: Etablierung eines ISMS • BSI IT-Grundschutz • Nationaler Sicherheitsstandard • Empfehlung für (technische) Basis-Sicherheitsmaßnahmen • COBIT • Control Objectives for Information & related Technologie • Modell zur Überwachung & Prüfung der IT • ITIL / ISO 20000 – Sicherheitsmanagement • Sammlung von „Best Practices“ • Betrieb von IT-Infrastrukturen

  6. Informationssicherheits-Management-systeme (ISMS) nach ISO • Teil 1: ISO 17799:2005 • Leitfaden zum Management von Informationssicherheit • Best Practices • Teil 2: ISO 27001:2005 • Spezifikation für ISMS für Unternehmen (Anforderungen) • Grundlage für die Zertifizierung von ISMS • Anwendbar für alle Industriezweige und alle Arten sowie Ausprägungen von Unternehmen • 11 Themenbereiche / 39 Sicherheitsziele/ 133 Maßnahmenim verbindlichen Anhang A • Ständige Überwachung und Weiterentwicklungdes ISMSist explizit gefordert (PDCA-Zyklus) Beispiel

  7. ISO 27001: Controls im Anhang A A.5 - Security Policy A.6 – Organization of Information Security A.7 – Asset Management A.8 – Human Ressources Security A.9 – Physical and Environment Security A.10 – Communication and Operations Management A.12 – Information Systems acquisition, development and maintenance A.11 – Access Control A.13 – Information Security Incident Management A.14 - Business Continuity Management A.15 - Compliance

  8. Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen • Baustein-Kataloge • Kap.B1 „Übergreifende Aspekte“ • Kap. B1.0 IT-Sicherheitsmgnt. • Kap. B2 „Infrastruktur“ • Kap. B3 „IT-Systeme“ • Kap. B4 „Netze“ • Kap. B5 „IT-Anwendungen • Gefährdungs-Kataloge • Maßnahmen-Kataloge BSI Standard 100-3 Risikoanalyse auf Basis von IT-Grundschutz BSI Standard 100-2 IT-Grundschutz Vorgehensweise Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001 Audits BSI Standard 100-1 ISMS: Managementsysteme für Informationssicherheit BSI IT-Grundschutz Neugliederung desIT-Grundschutzes IT-Grundschutz Kataloge BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement

  9. Aufbau der IT-Grundschutz-Kataloge Neu ab 2005 Bis 2004 BSI-Standards & Loseblattsammlung Beispiel

  10. Neue organisatorische Anforderungen: Global regulatory compliance Basel II Capital Accord Canadian Electronic Evidence Act Electronic Ledger Storage Law (Japan) SEC 17a-4 (USA) HIPAA (USA) 11MEDIS-DC (Japan) ISO 18501/18509 AIPA (Italy) FDA 21 CRF Part 11 GDPdU & GoBS (Germany) NF Z 42-013 (France) Sarbanes-Oxley Act (USA) Public Records Office (UK) Financial Services Authority (UK) BSI PD0008 (UK)

  11. Compliance-Vorgaben in Deutschland Compliance-Vorgaben • Risikoabsicherung, Versicherungen, Eigenkapital(Basel II) • Auskunft- und Nachweispflichten(GoBS/BMF, HGB, Steuerrecht, ...) • Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (AktG/KonTraG) • Datenschutz (Teledienstedatenschutz, Informations- u. Kommunikationsdienstegesetz) • Allgemeine Geheimhaltungspflichten / Bankgeheimnis (KWG) Compliance-Vorgaben müssen in der IT abgebildet werden IT-Governance

  12. Private Mails: Was darf der Arbeitgeber? MÜNCHEN (COMPUTERWOCHE) – Wer als Arbeitgeber die private Nutzung von Internet und E-Mail am Arbeitsplatz gestattet, wird Rechtlich mit „normalen“ Anbietern von telekommunikationsdiensten (TK-Diensten) nach dem Telekommunikationsgesetz (TKG) Gleichgesetzt – mit unvorhergesehenen Konsequenzen. Praxisbeispiel: Gesetzliche/rechtliche Anforderungen • § 276 BGB – Organisationsverschulden / Schadensersatzansprüche • § 202a StGB – Ausspähen von Daten • § 303b StGB – Computersabotage • § 3 TKG – Definition Diensteanbieter • § 4 TDDSG – Pflichten des Diensteanbieters • § 8 TDG, z.B. Haftung bei illegalen Inhalten im Internet • u.v.m. Beispiel

  13. Die Rechtslage …

  14. Agenda Teil I • Einführung • Sicherheitsrahmenwerke & -standards • Gesetzliche Vorgaben • Der Security-Markt in Deutschland • Aktuelle Zahlen & Daten • Trends • Das Geschäft mit der Angst – How to sell Security? • Stellenwert der Sicherheit im Unternehmen • Relevante Ansprechpartner beim Kunden • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen

  15. Der Security-Markt (D) – Zahlen & DatenTypische Sicherheitsprobleme Quelle: siliconDEStudie_IT_Sicherheit2005

  16. Der Security-Markt (D) – Zahlen & DatenSecurity-Ausgaben in % des IT-Budget Quelle: siliconDEStudie_IT_Sicherheit2005

  17. Der Security-Markt – Zahlen & DatenPlanungen für das Jahr 2006 Quelle: InformationWeek, IT-Security 2005

  18. Agenda Teil I • Einführung • Sicherheitsrahmenwerke & -standards • Gesetzliche Vorgaben • Der Security-Markt in Deutschland • Aktuelle Zahlen & Daten • Trends • Das Geschäft mit der Angst – How to sell Security? • Stellenwert der Sicherheit im Unternehmen • Relevante Ansprechpartner beim Kunden • Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen

  19. Statusbericht: Sicherheit in großen & mittelständischen Unternehmen • Stellenwert im Unternehmen • Theorie: Security hat oberste Priorität • Praxis: Wellenbewegung, wenn oben, dann stark IT-technisch orientiert • Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Physische Sicherheit Gebäude- und Zugangsschutz IT-Sicherheit State-of-the-Art Produkte & Technologien Organisatorische Sicherheit Risiko-Management, Sicherheits-Richtlinien, Security Awareness

  20. Vorstand Vorstand Chief SecurityOfficer Datenschutzbeauftragter Chief Security Officer … OrganisatorischeSicherheit PhysischeSicherheit Physical Security IT - Security Organisational Security IT-Sicherheit Statusbericht: Sicherheit in großen & mittelständischen Unternehmen • Stellenwert im Unternehmen • Theorie: Security hat oberste Priorität • Praxis: Wellenbewegung – wenn, dann stark IT-technisch orientiert • Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund • Sicherheitsmanagement • Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.)

  21. Rollenkonflikte! Datenschutz Security IT-Abteilung Statusbericht: Sicherheit in großen & mittelständischen Unternehmen • Sicherheitsmanagement • Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.) • Bildung von virtuellen Teams (z.B. IT, Personal, Recht, Gebäude, BR …) • Achtung!

  22. Zusammenfassung des Status Quo ? Stellenwert des Themas Sicherheit schwankt Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Häufig Rollenkonflikte im Sicherheitsmanagement Bei wem platziere ich welches Thema?

  23. Die Top „Bauchschmerzen“ eines CSO • Sensibilisierung Geschäftsleitung / Vorstand • Security Governance • Mitarbeiter Awareness • Komplexität IT-Sicherheit

  24. Wie rechtfertigen Sie Sicherheitsinvestitionen? Deutschland USA Die Top „Bauchschmerzen“ eines CSO • Sensibilisierung Geschäftsleitung / Vorstand • Rechtfertigung Security-Budget (ROSI)

  25. Gesetze • BDSG, TDDSG, TDG • HGB, AktG, GmbHG, KontraG • UrhG • BGB, StGB Richtlinien • Basel II • PS330 • ITIL Sicherheitsstandards • BSI • ISO 27001 • ITSEC / CC Die Top „Bauchschmerzen“ eines CSO • Sensibilisierung Geschäftsleitung / Vorstand • Rechtfertigung Security-Budget (ROSI) • Schwieriges Security-Reporting (Messbarkeit) • Security Governance • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung

  26. Die Top „Bauchschmerzen“ eines CSO • Sensibilisierung Geschäftsleitung / Vorstand • Rechtfertigung Security-Budget (ROSI) • Schwieriges Security-Reporting (Messbarkeit) • Security Governance • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung • Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail) • Mitarbeiter Awareness • Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren • Akzeptanz Security vs. Usability, Functionality, Performance

  27. Gratwanderung der Sicherheit Secure Choose any two! Usable Cheap

  28. Die Top „Bauchschmerzen“ eines CSO • Sensibilisierung Geschäftsleitung / Vorstand • Rechtfertigung Security-Budget (ROSI) • Schwieriges Security-Reporting (Messbarkeit) • Security Governance • Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung • Interne Richtlinien (z.B. Privatnutzung von Internet & E-Mail) • Mitarbeiter Awareness • Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance • IT-Sicherheit • Patchmanagement, System-Hardening, Application-Security • Incident-Handling & Notfall-Management

  29. Pause

More Related