Information Security Governance Jutta Edith Staudach CISA, CISM

Transcription

Information Security Governance
Jutta Edith Staudach
CISA, CISM
JES we can!
JES we can!
h //f
http://forum.jutta‐staudach.de/joomla15/
j
d h d /j
l 15/
JES we
JES we can!
can!
• Wichtigkeit von Information Security • Rollen und Verantwortlichkeit
• Information Security Strategie
I f
ti S
it St t i
JES we
JES we can!
can!
I f
ti S
it G
• 8 wichtige Tasks
– Eine Information Security Strategie entwickeln, welche zu den langfristigen und kurzfristigen Firmenzielen passt.
passt
– Die Information Security Strategie muss zur Corporate Governance passen.
– Business Case für die Information Security Strategie entwickeln um die Kosten/ das Investment zu rechtfertigen
– Rechtliche und regulatorische Vorschriften in die Informationssicherheitsstrategie mit einbeziehen.
g
JES we
JES we can!
can!
I f
ti S
it G
• 8 wichtige Tasks
– Was sind die Treiber des Unternehmens ? Wie beeinflussen sie die Informationssicherheit ? Z.B.
•
•
•
•
Technologie
Geschäftsumfeld
Wie gross ist der Mut zum Risiko im Unternehmen?
Geographische Lage
– Senior Management / Aufsichtsrat/ Vorstand muss sich zur Informationssicherheitsstrategie bekennen und diese als Vorbild
Informationssicherheitsstrategie bekennen und diese als Vorbild mittragen.
– Rollen und Verantwortlichkeiten der Informationssicherheitsstrategie muss unternehmensweit ausgearbeitet werden
muss unternehmensweit ausgearbeitet werden.
– Interne und externe Kommunikationskanäle und Reportingstrukturen bzgl Informationssicherheit müssen festgelegt werden.
JES we
JES we can!
can!
IInformation Security Governance
f
ti S
it G
• Überblick
– IT Governance
• Ein Teil der Corporate Governance
• Rolle der IT im Unternehmen?
Rolle der IT im Unternehmen?
– Management:
• Rollen und Verantwortlichkeiten in der IT definieren
• Verantwortlichkeiten kommunizieren
– Diese Art der Governance
• Verhindert
Verhindert, dass eine Abteilung oder gar eine Person die dass eine Abteilung oder gar eine Person die
gesamte Verantwortung „schultert“
• Ist ein Kontrollmechnismus (Framework of Control)
JES we
JES we can!
can!
•
Information
Security Governance
Die wichtigsten Konzepte:
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
–
Diskretion – Confidentiality (ISO) in ISO‐17799
Integrität
g
Verfügbarkeit
Möglichkeit dieses einem Audit zu unterziehen (min. CMM level 2 Managed)
Identifizierbar
Authentizität
Nonrepudation:Nachweisbarkeit ,Nichtabstreitbarkeit
Verschiedene Layer der Security
Zugangs‐ und Zugriffskontrolle
Si h h it üb
Sicherheitsüberwachung und Einführung von Metriken für dieselben
h
d Ei füh
M t ik fü di lb
Governance
Strategie
Architektur
Management
Risiken
Exposition durch Verwundbarkeit gegenüber Bedrohungen (Hacker, Viren, Trojaner, Social Engeering, Mitarbeiter usw) indentifizieren
JES we
JES we can!
can!
•
Weitere Konzepte:
–
–
–
–
–
–
–
–
–
–
–
–
–
Verbleibende Risiken
Verbleibende
Risiken
Auswirkung derselben
Kritisch? Kritische Geschäftsprozesse?
Sensitiv?
Business Impact Analysis – Wie gross ist die mögliche Auswirkung auf mein Geschäft, meine Geschäftsprozesse?
Analyse der Abhängigkeiten – der Geschäftsprozesse innerhalb und ausserhalb meines Unternehmens.
Welche Kluft ist offen?
Welche Kontrollen habe ich?
Welche Gegenmassnahmen kann ich einleiten? Welche habe ich bereits? (Countermeasures)
Welche internen Geschäftsbedingungen existieren? Welche fehlen? Policies?
Standards
Welchen Angriffen, Attacken könnte ich ausgesetzt sein?
D
Datenklassifikation und Datenschutz
kl ifik i
dD
h
JES we
JES we can!
can!
f
ti S
it G
Welche Security Technologien sollte ein Information Security Manager verstehen?
Security Manager verstehen?
• Firewalls
• Benutzeradministration
• Angriffserkennung und Verhinderung
A iff k
d V hi d
– Intrusion detection und Intrusion prevention
•
•
•
•
•
•
Antivirus
PKI P bli K I f
PKI Public Key Infrastructure
SSL Secure Sockets Layer
Single Sign On SSO
Biometrische Verfahren
Encryption – Ver‐ und Entschlüsselungsmechnismen
JES we
JES we can!
can!
f
ti S
it G
Technologien
• Datenschutz
• Remote Access – Zugriff auf Firmennetz vom Heimarbeitsplatz
• EDI (Elektronische Datenaustausch) und EFT –
elektronischer Geldverkehr
• Virtual Private Networks VPN ‐
Virtual Private Networks VPN virtuelles privates Netz
virtuelles privates Netz
• SET Secure Electronic Transaction ‐ Sicherheitsprotokoll für den elektronischen Zahlungsverkehr mit Kreditkarten
• Forensik
• Technologische Möglichkeiten der Überwachung
JES we
JES we can!
can!
• Senior Management/Aufsichtsrat/Vorstand
– Welche Ziele? • Ziele der IT in Einklang bringen mit den Unternehmenszielen ‐> der Schwanz soll NICHT mit dem Hund wedeln!
• Verantwortlichkeiten KLAR definieren
– Einzelne Mitarbeiter müssen klare Verantwortungen haben und ggf. dafür zur Rechenschaft gezogen werden. Heisst aber auch die
ggf. dafür zur Rechenschaft gezogen werden. Heisst aber auch die Rollen müssen klar verteilt sein
– Unternehmenspyramide erstellen – vom Bandarbeiter bis zum Aufsichtsratsvorsitzenden
– Keine Interessenskonflikte mit einbauen! z.B. CISO (Head of Information Security) darf nicht an CIO / Leiter IT rapportieren! H d f IT Ri k i
Head of IT Risks ist zu kurz gegriffen –
k
iff
I f
Informationssicherheit i
i h h i
NICHT NUR IT Sicherheit – ganzheitliche Betrachtungsweise!
JES we
JES we can!
can!
• Information Security Governance
– FOKUS
• Serviceverfügbarkeit
• Integrität der gelieferten Information
Integrität der gelieferten Information
• Datenschutz!
Æ immer wichtiger!
JES we
JES we can!
can!
•
Was liefert die Governance ‐
Was
liefert die Governance verantwortungsvolle Unternehmensführung verantwortungsvolle Unternehmensführung
und ‐kontrolle?
– Sorgfaltspflichten
Sorgfaltspflichten (Due Care)
(Due Care)
– Garantiert die Einhaltung der Unternehmensgrundsätze und Richtlinien unter Berücksichtigung der Gesetze und Regulatorien
– Weniger Risiken, Risiken sind definiert und entsprechen der Weniger Risiken Risiken sind definiert und entsprechen der
Risikobereitschaft des Unternehmens
– Optimaler Einsatz des Sicherheitspersonals
– Entscheidungen werden aufgrund akkurater Informationen getroffen.
Entscheidungen werden aufgrund akkurater Informationen getroffen
– Effizientes und effektives Risikomanagement
– Erhöhtes Vertrauen zwischen den Geschäftpartnern
– Reputation des Unternehmens wächst
R
i d U
h
ä h
– Verbesserter elektronischer Geschäftsverkehr
– Rechenschaftspflicht des Unternehmens wird erfüllt
JES we
JES we can!
can!
• Was liefert die Information Security li f di f
i
i
Governance?
– Unternehmensplanung
– Risikomanagement
g
– Mehrwert
– Personal
Personal‐ und Informationsmanagement
und Informationsmanagement
– Leistungsbewertung und Erfolgsmessung
– Informationssicherheit integraler Informationssicherheit integraler
Unternehmensbestandteil
JES we
JES we can!
can!
• Methodologien um Sicherheit einschätzen zu können und diese messbar zu machen.
–COBIT (Framework zur IT‐Governance )
(
)
–Balanced Scorecard
–Balanced Scorecard
–CMM (Capability Maturity Model)
JES we
JES we can!
can!
CMM Maturity Levels
CMM Maturity Levels
•
1 – Initial Es sind keine Key Process Areas (KPA) definiert. •
2 ‐ Repeatable (bei CMMI Managed) Ein grundlegender Prozess existiert. •
3 – Defined Kosten und Zeiten sind hier einigermaßen zuverlässig bewertbar. Qualität ist immer noch Schwankungen ausgesetzt.
•
4 ‐ Managed (bei CMMI Quantitatively Managed) Sowohl für das Produkt als auch für den Prozess werden quantitative Ziele vorgegeben ihre Erreichung gemessen und überwacht
vorgegeben, ihre Erreichung gemessen und überwacht.
Zeiten, Kosten und Qualität sind zuverlässig kontrollierbar.
•
5 ‐ Optimized
Die gesamte Organisation konzentriert sich auf das Finden von Schwächen und die
Die gesamte Organisation konzentriert sich auf das Finden von Schwächen und die weitere Verbesserung des Prozesses.
http://de.wikipedia.org/wiki/Capability_Maturity_Model
JES we
JES we can!
can!
• Ressourcen
–
–
–
–
–
–
–
–
–
Interne Richtlinien
Standards
Prozeduren
Mustervorlagen, Checklisten (Guidelines)
Architektur
Physische, taktische und prozeduale Kontrollen
Gegenmassnahmen, Abwehrmassnahmen
Mehrschichtige Verteidigungsanlagen
Personensicherheit
JES we
JES we can!
can!
• Entwicklung interner Richtlinien
E
i kl
i
Ri h li i
– Entweder von oben nach unten oder von unten nach oben
– Top down zu bevorzugen –
T d
b
entwickelt und veröffentlicht t i k lt d
öff tli ht
durch den Vorstand
• Vorteil: Stellt sicher, dass die Richtlinie der ,
Unternehmensphilosophie den Unternehmenszielen entspricht
• Nachteil: zeitaufwendig (Menschen werden nicht gerne von oben verändert)
– Bottom up fängt mit der Befragung der operativen Mitarbeiter an
• Diesen wissen besser über bekannte Risiken Bescheid und wissen meist sehr genau, wo sie ihre Zweifel haben.
JES we
JES we can!
can!
• Organisationsstruktur
O
i ti
t kt
– Informationssicherheit muss im Einklang mit dem Business erfolgen
– Kann dezentralisiert stattfinden – in den einzelnen Unternehmensbereichen oder zentralisiert in der Konzernzentrale – beides hat Vor und Nachteile
– Egal ob zentral oder dezentral – Inhalt
Im Einklang mit den Unternehmenszielen
Abgezeichnet und getragen vom Senior Management (Vorstand)
g
g
g
g
(
)
Überwachnung der Einhaltung der Richtlinien, usw
Organisationsweiter Business Continuity Plan (Überlebensplan im Schadensfall)
• Riskikomanagement muss vorhanden sein
• Die richtigen Security Awareness Programs und Trainings •
•
•
•
– Aufkläungskampagne!
JES we
JES we can!
can!
• Human Resource – Personalbüro
– Alle Sicherheitsfunktionen, Rollen und ,
Verantwortlichkeiten müssen im Personalbogen erfasst sein.
– Job Performance kann aufgrund der Einhaltung, Optimierung usw der Sicherheitsmassnahmen
Optimierung usw. der Sicherheitsmassnahmen überprüft werden.
JES we
JES we can!
can!
• Aufklärungskampagne und Kurse
fklä
k
d
– Training, Kurse und die Aufklärungskampagne unternehmensweit sind kritisch für das langfristige t
h
it i d k iti h fü d l f i ti
Überleben des Unternehmens.
– Mitarbeiter sollen sich gegenseitig trainieren
Mitarbeiter sollen sich gegenseitig trainieren
– Ohne entsprechende Aufklärung wissen die Mitarbeiter vielleicht nicht ausreichend über Risiken
Mitarbeiter vielleicht nicht ausreichend über Risiken Bescheid.
– Das grösste Risiko ist der Mitarbeiter!
as g öss e s o s de
a be e
• Menschen machen Fehler. Sie haben Menschen in Ihrem Unternehmen und keine Roboter!
JES we
JES we can!
can!
• Audits /Innenrevison
di /
i
– Primär um sicher zu stellen, dass interne Kontrollen funktionieren.
– Beide – interne und externe Audits können dazu benutzt werden um Lücken auf zu spüren und Prozesse zu verbessern
Prozesse zu verbessern.
• Der Auditor sollte Dein Freund sein und nicht als Polizei auftreten!
– Der einzelne Mitarbeiter muss seine Tätigkeit und seine Verantwortungsbereiche GENAU kennen!
JES we
JES we can!
can!
• Risk Assessment ‐ Risikobewertung
– Akzeptieren?
– Risikominimierung?
Ri ik i i i
?
– Risiko transferieren – z.B. durch den Kauf einer Versicherungpolice
JES we
JES we can!
can!
• Outsourcing
O t
i
– Onsite Mitarbeiter des beauftragten Unternehmens sitzen im selben Gebäude
sitzen im selben Gebäude
– Offsite Mitarbeiter des beauftragten Unternehmens arbeiten auch dort.
– Offshore ‐ Mitarbeiter des beauftragten Unternehmens sitzen auf einem anderen Kontinent
– Wichtig: Gesetze und Regulatorien des Heimatlandes Wi hti G t
d R l t i d H i tl d
beachten – nicht alles darf ausser Landes gegeben werden. Manches nicht ausserhalb der EU usw.
• Kontrolle des Outsourcing Unternehmens – z.B. durch eigenen Audit (nicht immer möglich), SAS70 Reports
JES we
JES we can!
can!
• Service Level Agreements
– müssen Minimum beinhalten
• Uptime
Uptime (wie lange läuft der Service „am Stück
(wie lange läuft der Service am Stück“))
• Response Time (wie schnell reagiert der Provider)
• Maximum Outage Time (wie lange darf der Service Maximum Outage Time (wie lange darf der Service
ausfallen?)
JES we
JES we can!
can!
Fragen ?
Holsteiner Str 4
Holsteiner Str. 4
D‐40667 Meerbusch
Tel: +49.2132 91 444 0
Sipgate: +49 2132 979199
Sipgate: +49.2132.979199
Mobile: +49.171.3833409
email: info<at>jutta‐staudach.de

Information Security Governance Jutta Edith Staudach CISA, CISM

Transcription

Similar documents

Bereit für bessere Entscheidungen. Microsoft Business Intelligence

Verantwortung im Arbeitsschutz Gerhard Wenger

Das Imperium der Steine

Beim PTV Dortmund arbeiten die unterschiedlichsten

business-lösungen controlling

Geheimdienstüberwachung im Internet

www.reloop.com