Security for Business Innovation Council

Transcription

Dieser Report basiert auf Gesprächen mit dem
Dr. Martijn Dekker,
Senior Vice President, Chief
Information Security Officer
Airtel
Felix Mohan,
Senior Vice President und Global
Chief Information Security Officer
AstraZeneca
Simon Strickland,
Global Head of Security
Security for Business Innovation Council
Informationssicherheit
im Wandel
t
ABN Amro
Wie man ein erstklassiges erweitertes
Team zusammenstellt
Automatic Data Processing
Roland Cloutier,
Vice President, Chief Security Officer
The Coca-Cola Company
Renee Guttmann,
EMC Corporation
Dave Martin,
Vice President und
Chief Security Officer
FedEx
Denise D. Wood,
Corporate Vice President,
Information Security,
Chief Information Security
Officer, Chief IT Risk Officer
Fidelity Investments
Tim M cKnight,
Executive Vice President,
Enterprise Information Security
and Risk
HDFC Bank
Vishal Salvi,
und Senior Vice President
HSBC Holdings plc.
Bob Rodger,
Group Head of Infrastructure Security
Intel
Malcolm Harkins,
Vice President, Chief Security und
Privacy Officer
Johnson & Johnson
Marene N. Allison,
Worldwide Vice President of
Information Security
JPMorgan Chase
Anish Bhimani,
Chief Information Risk Officer
Nokia
Petri Kuivala,
SAP AG
Ralph Salomon,
Vice President IT Security and
Risk Office
TELUS
Kenneth Haertling,
Vice President und Chief
Security Officer
T-Mobile USA
William Boni,
Empfehlungen von Global-1000-Verantwortlichen
Corporate Information Security
Officer (CISO) und Vice President,
Enterprise Information Security
Walmart Stores, Inc.
Jerry R. Geisler III,
Office of the Chief Information
Security Officer
In diesem Report:
im Wandel
Das neue
Anforderungsprofil
Neue
Chancen zur
Zusammenarbeit
Tipps zur
optimalen
Nutzung von
Ressourcen
Empfehlungen für
die nächsten
Schritte
Übersicht der
Aufgabenverteilung
in einem
erweiterten Team
Eine von RSA unterstützte Brancheninitiative
*
Inhalte
Highlights1
1. Einführung: Teams im Wandel
2
2. Die neue Leistungsbeschreibung
3
Tabelle 1: Das veränderte Aufgabenprofil der Informationssicherheit>>>>>>> 4
3. Herausforderungen und Chancen
6
4. Empfehlungen
7
1. Kernkompetenzen neu definieren und ausbauen>>>>>>>>>>>>>>>>>>>>> 7
2. Routinevorgänge delegieren>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9
3. Expertendienstleistungen leihen oder einkaufen>>>>>>>>>>>>>>>>>>> 10
4. Risikoeigentümer beim Risikomanagement anleiten>>>>>>>>>>>>>>>> 10
5. Prozessoptimierungsspezialisten einstellen>>>>>>>>>>>>>>>>>>>>>>> 11
6. Schlüsselpersonen ins Boot holen>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 11
7. Quereinsteiger anwerben und ausbilden>>>>>>>>>>>>>>>>>>>>>>>>>> 12
Zusammenfassung13
Informationen zum Security for Business Innovation Council
13
Anhang
Tabelle 2: Aufbau eines erstklassigen erweiterten
Informationssicherheitsteams>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14
Mitwirkende16
Haftungsausschluss: Dieser Security for Business Innovation Council-Report (nachfolgend der „Report“) enthält Informationen und Material (nachfolgend der „Inhalt“), die jederzeit geändert werden
können. RSA Security LLC, EMC Corporation und die einzelnen Autoren des Security for Business Innovation Council (nachfolgend „Autoren“) sind nicht verpflichtet, den Inhalt zu aktualisieren.
Der Inhalt wird ohne Gewähr zur Verfügung gestellt. Die Autoren übernehmen keine ausdrücklichen oder stillschweigenden Garantien, keine Mängelgewährleistung, keine Gewähr zur Eignung,
keine Garantie der Nicht-Verletzung, der Genauigkeit oder Zweckmäßigkeit oder andere Garantien zur Nutzung des Inhalts. Der Inhalt wird zu Informationszwecken bereitgestellt und stellt
keine Rechtsauskunft von RSA Security LCC, seinem Mutterunternehmen EMC Corporation, deren Anwälten oder einer der Autoren dieses SBIC-Reports dar. Handeln Sie auf Grundlage dieses
Reports erst, nachdem Sie sich von einem in Ihrem Land zugelassenen Anwalt beraten lassen haben. Die Autoren sind nicht für Fehler in diesem Report oder für Schäden verantwortlich, die sich
aus der Nutzung dieses Reports (inklusive allen Inhalts) ergeben, darunter direkte und indirekte Schäden, Schadensersatz, konkrete Schäden, Folgeschäden oder Bußgelder, egal, ob aufgrund eines
Vertrags, unerlaubter Handlung oder einer anderen Anspruchsgrundlage, selbst wenn die Autoren sich der Möglichkeit solcher Fehler oder Schäden bewusst sind. Die Autoren übernehmen keine
Verantwortung für Fehler oder Auslassungen im Inhalt.
2|
Security for Business Innovation Council-Report
| RSA, The Security Division of EMC
Highlights
Welche Kenntnisse und
Kompetenzen sind notwendig,
um in einem weltweit tätigen
Unternehmen die Risiken für
Informationsressourcen zu
managen? Deutlich mehr als noch
vor wenigen Jahren. Besonders in
den letzten 18 Monaten sind die
Anforderungen enorm gestiegen,
unter anderem bedingt durch sich
häufende Cyberangriffe, die rasante
Einführung neuer Technologien,
eine verstärkte Überprüfung durch
Regulierungsorgane und eine
immer engmaschiger vernetzte
Wirtschaftswelt.
Bei der Informationssicherheit geht es nicht mehr nur um die
„Implementierung und Anwendung
von Sicherheitsmaßnahmen“. Diese
Aufgabenstellung wurde nun vielmehr um umfangreiche technische
und geschäftsorientierte Aufgaben
erweitert: Geschäftsrisikoanalyse,
Ressourcenbewertung, Integrität der
IT-Lieferkette, Cyber-Intelligence,
Analyse von Sicherheitsdaten,
Data Warehousing und Prozessoptimierung.
Das Anforderungsprofil hat
sich deutlich erweitert und so ist es
schwieriger geworden, ein effektives
Team zusammenzustellen. Es fehlt
schlicht an Personal mit geeigneten
Kompetenzen.
Aber auch Chancen ergeben
sich, denn in vielen Unternehmen
wächst unter den nicht mit
Sicherheitsfragen betrauten
Mitarbeitern die Erkenntnis,
dass sie selbst – und nicht nur
die Sicherheitsabteilung – für
den Umgang mit den Risiken
für ihre Informationsressourcen
verantwortlich sind und dass sie
aktiv mit der Sicherheitsabteilung
zusammenarbeiten müssen, um
diese Risiken zu managen.
Informationssicherheit in
Unternehmen kann nur erfolgreich
sein, wenn alle Beteiligten an
einem Strang ziehen und die
Sicherheitsprozesse vollständig
in die Geschäftsprozesse
integriert sind.
3. Expertendienstleistungen
leihen oder einkaufen:
Erweitern Sie das Kernteam um
Experten von innerhalb oder
außerhalb des Unternehmens,
um fehlende Spezialisierungen
kurzfristig abzudecken.
Das erweiterte Team setzt sich
zusammen aus IT-Mitarbeitern,
den Geschäftsbereichen sowie
Abteilungen wie Beschaffung, Recht
und Marketing.
4. Risikoeigentümer beim
Risikomanagement anleiten:
Unterstützen Sie das Unternehmen
beim Management von Internetsicherheitsrisiken und sorgen Sie für
einen konsistenten Ansatz. Geben
Sie Hilfestellung und weisen Sie
Verantwortlichkeiten zu.
Das Kernteam für die Informationssicherheit überwacht und
koordiniert alle damit verbundenen
Maßnahmen und übernimmt Aufgaben, die Spezialwissen oder eine
Zentralisierung erfordern.
Die folgenden sieben
Empfehlungen können als
Hilfestellung für den Aufbau
eines erstklassigen erweiterten
Teams dienen, um die Risiken der
Internetsicherheit wirksam zu
managen, optimalen Nutzen aus den
vorhandenen Personalmitteln zu
ziehen und sicherzustellen, dass das
Team über die erforderlichen neuen
Kompetenzen und Kenntnisse
verfügt.
1. Kernkompetenzen neu
definieren und ausbauen:
Das Kernteam sollte auf vier
Hauptgebieten neue Kenntnisse
erwerben: Internetrisikoanalyse
und Sicherheitsdatenanalyse,
Sicherheitsdatenmanagement,
Risikoberatung sowie Entwicklung
von Überwachungs- und
Kontrollmaßnahmen.
2. Routinevorgänge
delegieren: Delegieren Sie
wiederholbare, gut etablierte
Sicherheitsprozesse an die IT, die
Geschäftsbereiche und/oder externe
Serviceprovider.
5. Prozessoptimierungsspezialisten einstellen: Holen Sie
Mitarbeiter mit Erfahrung bzw.
Zertifizierungen in den Bereichen
Qualitäts-, Projekt- oder Programmmanagement, Prozessoptimierung
und Servicebereitstellung ins Team.
6. Schlüsselpersonen ins Boot
holen: Sichern Sie sich Unterstützung und Gehör der Schlüsselpersonen in den wichtigsten Geschäftsbereichen, im mittleren Management
sowie bei externen Serviceprovidern.
7. Quereinsteiger anwerben
und ausbilden: Angesichts des
Mangels an sofort verfügbarem
Fachwissen ist für die meisten
Unternehmen die einzig gangbare
langfristige Lösung, Mitarbeiter
auszubilden. Dafür eignen sich vor
allem Quereinsteiger aus Fachgebieten wie Datenbankadministration,
Softwareentwicklung, Geschäftsanalyse, militärische Aufklärung,
Rechts- oder Datenschutzbeauftragte, Data Science, Mathematik oder
Geschichte.
RSA, The Security Division of EMC | Security for Business Innovation Council-Report
|1
Einführung: Teams im Wandel
1
N
och vor wenigen
Jahren stand in Informationssicherheitsabteilungen die Technik
unverkennbar im Mittelpunkt. Es ging um Themen
wie Perimetersicherung,
Compliancechecklisten
und Virenschutzupdates.
Wenn Sie heute dieselben
Abteilungen betreten, bietet
sich ein grundlegend verändertes Bild. Teams bestehen
jetzt aus fachübergreifenden Spezialistengruppen,
zu denen Bedrohungsanalysten, Risikoberater, Data Scientists und
Prozessexperten zählen.
Dabei rücken Themen
wie Geschäftsrisikomanagement, Datenanalyse,
Controls Assurance und
Serviceprovider-Governance zunehmend in den
Vordergrund.
Nicht alle Unternehmen
sind in ihren Bemühungen
in diese Richtung gleich
weit fortgeschritten, die
meisten haben jedoch
erkannt, dass sie bei der
neue Wege gehen müssen.
In einer aktuellen Sicher-
heitsumfrage wurde die
grundlegende Neukonzeption der Informationssicherheitsprogramme sogar als
zweitwichtigste Investitionspriorität bei weltweit
tätigen Unternehmen
genannt.1 Punktuelle Lösungen oder inkrementelle
Verbesserungen reichen
nicht mehr aus. Wie aber
sieht ein fortschrittliches
Informationssicherheitsprogramm aus?
Der vorliegende Report
ist der erste in einer Fortsetzungsreihe, die sich mit
der Umgestaltung und Modernisierung von Informationssicherheitsprogrammen
in Unternehmen befasst
und versucht, diese zentrale
Frage mithilfe des Knowhows und Weitblicks einiger der weltweit führenden
Informationssicherheitsexperten des Security for
Business Innovation Coun-
1 E&Y – Weltweite Umfrage zum Thema Informationssicherheit, November 2012
2|
cil (SBIC) zu beantworten.
Dieser erste Report handelt
von den neuen Kompetenzen und Kenntnissen, die
Unternehmen erwerben
müssen, und zeigt auf, wie
die Verantwortlichkeiten
für die Informationssicherheit im Unternehmen
verteilt sind. Er enthält
spezifische und praxisorientierte Empfehlungen für
den Aufbau eines erstklassigen erweiterten Teams.
2
Die neue Leistungsbeschreibung
I
nformationssicherheit lässt sich nicht mehr
auf die reine Implementierung und Anwendung von Maßnahmen beschränken. Zahlreiche neue Aufgaben sind mit der Zeit hinzugekommen. Und nur wenn das gesamte Aufgabenspektrum
bekannt ist, lässt sich ein erstklassiges Team mit den
jeweils fähigsten Mitarbeitern zusammenstellen.
Welche Kenntnisse und Kompetenzen sind nötig, um in
einem weltweit tätigen Unternehmen die Risiken für Informationsressourcen zu managen? Deutlich mehr als noch
vor wenigen Jahren. Besonders in den letzten 18 Monaten
sind die Anforderungen enorm gestiegen, unter anderem
bedingt durch sich häufende Cyberangriffe, die rasante
Einführung neuer Technologien, eine verstärkte Überprüfung durch Regulierungsorgane und eine immer engmaschiger vernetzte Wirtschaftswelt.
Unternehmen stehen unter dem enormen Druck, aktiv
gegen Internetsicherheitsrisiken vorzugehen. Diese Veränderung setzt neue Methoden für die Abwehr von immer
komplexeren Bedrohungen voraus. Die Informationssicherheit muss dafür in die Geschäfts- und Technologiestrategien integriert werden und Sicherheitsprozesse müssen
wirksam und effizient sein.
Gefordert sind neue Kompetenzen auf technischer und
geschäftlicher Seite, wie zum Beispiel:
DD Informationsrisikomanagement/GeschäftsrisikenChancen-Analyse
• Systematisierung von Risiken-ChancenEntscheidungen
DD Sicherheitsdatenmanagement und Data Warehousing
• Entwicklung einer übergreifenden Strategie sowie
einer Infrastruktur für die Erfassung von Daten
aus verschiedenen Quellen und Nutzung dieser für
verschiedene Zwecke, wie zum Beispiel Bedrohungserkennung, Kontrollenüberwachung und
Compliance-Reporting
DD Optimierung der Sicherheitsprozesse
• Formulierung einer Strategie zur Effizienzsteigerung der Sicherheitsprozesse
DD Schnelle Anpassung der Kontrollen
• Nutzung neuer Methoden zur Anpassung der
Sicherheitskontrollen als Reaktion auf Trends wie
Cloud und Mobile Computing
Ein zentraler Eckpfeiler der Teamstrategie ist die Festlegung einer Aufgabenbeschreibung. Erst danach können die einzelnen Aufgaben verteilt werden. In Tabelle 1
werden die Aufgaben der Informationssicherheit in
modernen, führenden Unternehmen von den einfacheren
bis hin zu den komplexeren Aktivitäten charakterisiert.
Unternehmen mit einem konvergierten Programm können
zusätzlich Aufgaben wie Betrugserkennung, eDiscovery,
Datenschutz, Produktqualität bzw. physische Sicherheitsmaßnahmen in die Aufgabenbeschreibung aufnehmen.
In diesem Report beschäftigen wir uns ausschließlich mit
den Informationssicherheitskomponenten und gehen auf
die erforderliche Koordination mit anderen, zugehörigen
Aktivitäten nur am Rande ein.
DD Inventarisierung und Bewertung von Ressourcen
• Priorisierung von Sicherheitsstrategien und
Konzentration auf den Schutz der „Kronjuwelen“
DD Management von Fremdanbieterrisiken/Integrität
der IT-Lieferkette
• Bewertung der wachsenden Zahl von weltweit
bezogenen Dienstleistungen von Serviceprovidern
bzw. verwendeten Systemkomponenten
DD Internetrisikoanalyse und Bedrohungsanalyse
• Aufklärung über das Verhalten der gegnerischen
Seite und Erkennen der typischen Anzeichen für
einen Angriff
DD Sicherheitsdatenanalyse
• Anwendung fortschrittlicher Analyseverfahren,
die anormales System- oder Benutzerverhalten in
IT-Umgebungen erkennen
|3
Tabelle 1
Das veränderte Aufgabenprofil der
Die Übersicht ist grob von den einfacheren zu den komplexeren Aktivitäten geordnet.
Programmmanagement
• Festlegung einer Gesamtstrategie und Planung für das InformationssicherheitsmanagementProgramm
• Sicherstellen, dass das Programm die wichtigsten geschäftlichen Anforderungen des Unternehmens
abdeckt
• Abstimmung mit ähnlichen Aufgaben wie Betrugserkennung, eDiscovery, physische Sicherheit,
Produktsicherheit und/oder Datenschutz
Sicherheitsrichtlinie
und -standards
• Entwicklung und Dokumentation der allgemeinen Leitlinien und Regeln, die festlegen, wie das
Unternehmen beim Schutz von Informationen vorgeht
• Beschreibung aller administrativen, technischen und physischen Informationssicherheitskontrollen,
die im Unternehmen verwendet werden (das Kontrollen-Framework), einschließlich Zugriffskontrollen,
Verschlüsselung, Identifizierung und Authentifizierung, Konfigurationsmanagement, Überwachung,
Auditprotokollierung, Anwendungssicherheit und Schulung (von Personal und Kunden)
• Beachtung der Anforderungen verschiedener Gesetze und Regulierungen (z. B. SOX, HIPAA, PCI)
• Sicherstellen, dass die Kontrollen agil sind und sich an neue Geschäfts- und Bedrohungsszenarien
anpassen lassen
Implementierung von
Kontrollen
• Implementierung von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen
und externen Umweltfaktoren
Betrieb von Kontrollen
• Betrieb von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen und
externen Umweltfaktoren
Design von Kontrollen
(Sicherheitsarchitektur)
• Entwicklung neuer Kontrollen oder neuer Wege zur Implementierung von Kontrollen unter Beachtung
veränderter Geschäfts-, IT- und Bedrohungsszenarien
• Dies schließt Verfahren in der Anwendungsentwicklung, das Spezifizieren, Ausrollen, Anpassen
und/oder Entwickeln neuer Sicherheitstechnologie sowie neue Anwendervereinbarungen
und -verfahren ein
Überprüfung von
Kontrollen/Controls
Assurance
• Bewertung aller Kontrollen, um sicherzustellen, dass sie den geltenden Richtlinien und Standards
entsprechen
• Überprüfung aller Kontrollen auf Vorhandensein und korrekte Funktionsweise
• Sicherstellen, dass alle Kontrollen konsistent überwacht und attestiert werden
Vorfallsbehandlung/
Ausfallsicherheit
• Koordinierung und Verwaltung der Reaktion des Unternehmens auf Sicherheitsvorfälle, einschließlich
Business Continuity/Disaster Recovery
Informationsrisikobewertung
• Evaluierung der Risiken eines Programms, Prozesses, Projekts, einer Initiative oder eines Systems
anhand von Merkmalen wie Informationswert, Datenbestand, möglichen Bedrohungen und
Schwachstellen, Wahrscheinlichkeit einer Kompromittierung, Auswirkung auf das Unternehmen
(z. B. Ruf, Umsatz, fehlende regulatorische Compliance) sowie geschätzte Verluste
Informationsrisikomanagement/Geschäftsrisiken- Chancen-Analyse
• Festlegung von Risikograden und Zuordnung der jeweiligen Risikoeigentümer; Festlegung autorisierter
Risikoakzeptanzgrade
• Risikobewertung jedes einzelnen Programms, Prozesses, Projekts, Initiative oder System und
anschließende Formulierung von Maßnahmen zur Risikominimierung sowie einer Korrekturstrategie
• Etablierung eines konsistenten Prozesses zur Abwägung von Informationssicherheitsrisiken gegen
Geschäftschancen
• Festlegen der erforderlichen Kontrollen, um Risiken auf ein akzeptables Maß zu senken
• Integration der Informationsrisikomaßnahmen in das Risikomanagement-Framework bzw. -Programm
des Unternehmens
4|
Inventarisierung
und Bewertung von
Ressourcen
• Aufstellung über den gesamten Bestand an Geschäftsprozessen, vertraulichen Daten und Informationssystemen, die ein Unternehmen verwendet
• Erstellung einer ausführlichen Dokumentaktion zu den Geschäftsprozessen mit Abbildung des Datenflusses, um schützenswerte Prozesse und Daten zu ermitteln und Sicherheitsstrategien zu entwickeln
• Ermittlung der privilegierten Benutzer im erweiterten Unternehmen, die Zugriff auf wichtige Systeme
haben
• Ermittlung des Werts von Ressourcen zur Priorisierung von Sicherheitsstrategien
Management von
Fremdanbieterrisiken/
Integrität der ITLieferkette
• Durchführung einer Risikoevaluierung, bevor das Unternehmen eine Beziehung zu einem
Fremdanbieter eingeht
• Entwicklung eines Due-Diligence-Prozesses zur Bewertung von Anbietern, Partnern und Zulieferern
• Regelmäßige Evaluierung der Risiken, die mit der Geschäftstätigkeit mit Anbietern, Partnern und
Zulieferern verbunden ist
• Verstehen der IT-Lieferkette und Evaluierung der Sicherheit von Hardware und Software, die in der
IT-Umgebung des Unternehmens zum Einsatz kommt
• Effizienzsteigerung durch gemeinsame Bewertungen und laufende Überwachung der Kontrollen
Internetrisikoanalyse
und Bedrohungsanalyse
• Verstehen der gegnerischen Seite in Bezug auf die Unternehmensressourcen (Identität, Kompetenzen,
Motivationen, Ziele)
• Sammeln von sicherheitsrelevanten Informationen über Bedrohungen für das Unternehmen
• Verwalten der Quellen dieser sicherheitsrelevanten Informationen, Interpretieren von Daten,
Durchführen von Analysen und Erstellen von Bedrohungsanalysereports und Warnmeldungen
• Integration eines Bedrohungsmodells sowie von Informationen in den gesamten Sicherheitsmanagementprozess und -lebenszyklus
Sicherheitsdatenanalyse
• Nutzung fortschrittlicher Analysetechniken und Data Science zur Analyse von Sicherheitsdaten unter
Einbeziehung der gesammelten Informationen
• Entwicklung von Abfragen, Algorithmen und Datenmodellen zur Erkennung oder Vorhersage
böswilliger Aktivitäten
Sicherheitsdatenmanagement und Data
Warehousing
• Entwicklung einer Datenmanagementstrategie und Infrastruktur zur Sammlung und Analyse von
Sicherheitsdaten aus verschiedenen Quellen (Sicherheitssysteme, Datenbanken, Anwendungen,
Bedrohungsfeeds) zu verschiedenen Zwecken (z. B. Bedrohungserkennung, Risikomanagement und
Compliance in Unternehmen, laufende Kontrollenüberwachung)
• Erstellen eines Data Warehouse für Sicherheitsdaten
Optimierung der
Sicherheitsprozesse
• Konsistente Nachverfolgung und Messung der Effizienz von Sicherheitsprozessen und Umsetzung von
Verbesserungen mithilfe definierter Qualitätsmanagement-, Projektmanagement- und Servicebereitstellungsmethodologien
Langfristige Planung
• Beobachtung zukünftiger Trends im Unternehmen, der Technologie und Regulierung, um proaktive
Sicherheitsstrategien formulieren zu können. Dazu gehören zum Beispiel technische Entwicklungen
wie das „Internet der Dinge“ oder Wearable-Geräte, die neue Sicherheitsprobleme mit sich bringen
|5
Herausforderungen und Chancen
3
D
ie Zusammenstellung eines leistungsfähigen
Informationssicherheitsteams ist mit einer Reihe
aktueller Herausforderungen verbunden:
DD Es fehlt an Fachwissen, gute Mitarbeiter lassen sich
nur schwer halten
• Spezialisten für das Sicherheits- und
Geschäftsrisikomanagement sind sehr gefragt
„
DD Knappe Budgets
DD Sicherheitsteams sind bereits voll ausgelastet
DD Der Vorstand erwartet Mitarbeiter mit Geschäftssinn
• Weil die Informationssicherheit mehr und mehr
in den Mittelpunkt der Geschäftsstrategie rückt,
wird von Sicherheitsspezialisten heute auch
unternehmerisches Wissen verlangt
Dave Martin
Vice President und Chief Security Officer,
EMC Corporation
Er ist wirklich erstaunlich. Früher herrschte bei
uns die Einstellung: „Ihr Sicherheitsleute steht
uns im Weg, muss das denn sein?“. Inzwischen
nutzen die Unternehmenseinheiten unsere
zentralen Beratungsservices, um Strategien
für die Risikoreduzierung umzusetzen.
Das ist immer häufiger der Fall, da den
Unternehmenseinheiten klar wird, dass sie ihre
Risiken selbst managen müssen und sich dabei
nicht auf andere verlassen oder den Kopf in den
Sand stecken können.“
Es ergeben sich aber auch neue Chancen:
DD Das Bewusstsein wächst
• Vom einfachen Anwender bis
zur Führungsebene wächst das
Bewusstsein für Sicherheitsfragen.
Diese Entwicklung ist unter anderem
der verstärkten Präsenz in den
Medien, persönlichen Erfahrungen
mit Internetangriffen oder dem
Druck durch die Regulierungsorgane
geschuldet.
DD Das gesamte Unternehmen übernimmt
Risikoverantwortung
• In vielen Unternehmen zeichnen sich
umwälzende Veränderungen ab, denn
unter den nicht mit Sicherheitsfragen
betrauten Mitarbeitern wächst die
Erkenntnis, dass sie selbst – und nicht
nur die Sicherheitsabteilung – für den
Umgang mit den Risiken für ihre Informationsressourcen verantwortlich sind
und dass sie aktiv mit der Sicherheitsabteilung zusammenarbeiten müssen,
um diese Risiken zu managen.
DD Sicherheitsberufe sind zunehmend gefragt
• Das Spektrum der Informationssicherheit weitet
sich auf neue Aspekte wie Geschäftsrisikoanalyse,
Cyber-Intelligence und Data Science aus
und wird damit interessanter. Immer neue
Nachrichtenmeldungen und HollywoodDarstellungen von Sicherheitsspezialisten, die das
„Netz“ vor den unterschiedlichsten Bedrohungen
bewahren, sorgen für Aufmerksamkeit und
steigern das Interesse an diesem Berufsfeld.
6|
DD Angebot und Reichweite von Serviceprovidern
wachsen
• Der Markt reagiert auf die neuen Anforderungen,
wodurch Unternehmen nun leichter externe
Sicherheitsserviceprovider beauftragen können,
um Kosten zu senken, Spezialwissen zu
nutzen, Unterstützung bei der Bewältigung des
Arbeitsaufwands oder unabhängige Bewertungen
zu erhalten.
4
Empfehlungen
I
nformationssicherheit in Unternehmen
kann nur erfolgreich sein, wenn alle
Beteiligten an einem Strang ziehen und die
Sicherheitsprozesse vollständig in die Geschäftsprozesse
integriert sind. Das erweiterte Informationssicherheitsteam
kann aus folgenden Beteiligten bestehen:
DD Personal, das mit der IT-Implementierung und dem
Betrieb der Sicherheitskontrollen zuständig ist
Kernkompetenzen neu definieren und
ausbauen
Routinevorgänge delegieren
Expertendienstleistungen leihen oder
einkaufen
Risikoeigentümer beim Risikomanagement
anleiten
DD Risikomanager in den einzelnen Geschäftsbereichen,
die mit dem Ausräumen von Risiken beschäftigt sind
Prozessoptimierungsspezialisten einstellen
DD Mitarbeiter aus dem Einkauf, die Anbieterüberprüfungs- und Risikobewertungsprotokolle anwenden,
um Zulieferer zu evaluieren
Schlüsselpersonen ins Boot holen
DD Die Datenschutzstelle, die für die Kontrolle der
Einhaltung von Regulierungen zuständig ist
Quereinsteiger anwerben und ausbilden
DD Marketingmitarbeiter, die in den Social Media nach
Hinweisen auf mögliche Gefahren suchen
Das Kernteam für die Informationssicherheit
überwacht und koordiniert alle damit verbundenen
Maßnahmen und übernimmt Aufgaben, die
Spezialwissen oder eine Zentralisierung erfordern.
Einige Mitarbeiter, die für Sicherheitsaufgaben
außerhalb des Kernteams zuständig sind, können direkt
oder fachlich unterstellt sein; andere orientieren sich
möglicherweise an Sicherheitsstandards oder ServiceLevel-Agreements (SLAs). Tabelle 2 im Anhang illustriert
die Aufgabenverteilung in einem erweiterten Team,
bestehend aus dem Kernteam für Informationssicherheit,
der IT, den einzelnen Unternehmensbereichen und den
Serviceprovidern.
Die nachfolgenden Empfehlungen dienen als Anleitung
für den Aufbau eines erstklassigen erweiterten Teams mit
dem Ziel, Sicherheitsrisiken effektiv zu managen und die
vorhandenen Personalressourcen optimal auszunutzen.
Je nachdem, wie weit ein Unternehmen in diesem
Prozess bereits gediehen ist, kann dieser Leitfaden zur
anfänglichen Planung, zur Überprüfung des gewählten
Ansatzes oder zur Beschleunigung der Umsetzung in
bestimmten Bereichen verwendet werden.
1. Kernkompetenzen neu
definieren und ausbauen
In führenden Unternehmen sind die für die
Informationssicherheit zuständigen Kernteams
aktuell bemüht, ihre Kenntnisse auf den folgenden
Gebieten zu erweitern: Internetrisikoanalyse und
Sicherheitsdatenanalyse, Sicherheitsdatenmanagement,
Risikoberatung sowie Entwicklung von Überwachungsund Kontrollmaßnahmen.
Je nach Größe des Kernteams bzw. Spezialisierungsgrad sind einzelne Mitglieder für spezifische Aufgaben oder
für mehrere Bereiche zuständig. Für jeden Bereich sind
verschiedene Kompetenzen erforderlich, die Teammitglieder häufig erst erlernen müssen. Ab diesem Punkt muss
entweder das vorhandene Personal durch entsprechende
Schulungen mit den erforderlichen Kompetenzen ausgestattet werden, oder das Kernteam muss neue Mitglieder
aufnehmen bzw. Dienstleistungen von externen Serviceprovidern einkaufen.
|7
Empfehlungen
1. Internetrisikoanalyse und Sicherheitsdatenanalyse
Angesichts des wachsenden Bedrohungspotenzials
müssen die meisten Unternehmen auf der Welt ihre
Bedrohungserkennung verbessern und dafür einen
informationsorientierten Ansatz (vgl. SBIC-Report Getting
Ahead of Advanced Threats: Achieving Intelligence-Driven
Information Security) entwickeln. Dieser Ansatz umfasst
im ersten Schritt das Sammeln und Zusammenführen von
Cyber-Intelligence-Daten, die aus internen (z. B. Sensoren
in IT-Systemen und Geschäftsanwendungen)
sowie externen Quellen (z. B. Bedrohungsfeeds von
staatlichen Stellen oder kommerziellen Anbietern)
stammen. Im zweiten Schritt werden diese Daten dann
mithilfe leistungsfähiger Verfahren analysiert, um
Angriffsindikatoren oder anormale Verhaltensmuster
herauszufiltern. Das Kernteam sollte dann die Möglichkeit
haben, das gesamte Unternehmen auf sicherheitsrelevante
Situationen aufmerksam zu machen.
Für die Ermittlung relevanter Datenquellen und die
Durchführung aussagekräftiger Analysen muss über
die wahre Beschaffenheit der Geschäftsumgebung,
die zu schützenden Ressourcen und die möglichen
Internetbedrohungen absolute Klarheit herrschen. Einige
Sicherheitsteams nutzen bereits Big Data-Technologien,
um Angriffe nicht nur zu erkennen, sondern auch
vorherzusagen.
DD Zentrale Soft Skills: Internes und externes Networking zur Ermittlung guter Quellen von sicherheitsrelevanten Informationen, Kommunikationsfähigkeit
zur Erstellung von Reports und Präsentation von
Sicherheitseinweisungen
DD Zentrale Prozesskompetenzen: Entwicklung
eines End-to-End-Informationserfassungsprozes
ses, einschließlich der Gewinnung und Filterung
von Daten, der Durchführung von Analysen,
Kommunikation der Ergebnisse, des Treffens
einer Risikoentscheidung und des Ergreifens von
Maßnahmen
DD Zentrale technische Kompetenzen: Analyse
(Herstellen von Verbindungen zwischen scheinbar
unverbundenen Daten), Datenanalyseverfahren und
Data Science
2. Sicherheitsdatenmanagement
Unternehmen, die zur Erkennung von Bedrohungen
auf die Datenanalyse setzen, haben erkannt, dass sie
eine übergeordnete Strategie und Infrastruktur für
das Management von Sicherheitsdaten benötigen.
Zu diesem Zweck müssen Sicherheitsdaten aus der
gesamten IT-Umgebung zusammengestellt werden,
unter anderem Protokolle, komplette Paketdatenströme
und unstrukturierte Daten aus Systemen, Datenbanken
und Geschäftsanwendungen. Diese Daten können
außerhalb der Bedrohungserkennung zum Beispiel für das
Unternehmensrisikomanagement, die Compliance und die
ständige Kontrollenüberwachung verwendet werden.
DD Zentrale Soft Skills: Schnittstelle zur IT und zum
Unternehmen, einschließlich der Unternehmensdatenmanagement-Architekten
DD Zentrale Prozesskompetenzen: Abbildung der Sicherheitsdatenflüsse in der gesamten IT-Umgebung des
Unternehmens
DD Zentrale technische Kompetenzen: Zentrale ITKompetenzen in den Bereichen Speicherarchitektur,
Verarbeitungsarchitektur, Datenbankschema, Normalisierung und Umgang mit Netzwerkengpässen
3. Risikoberatung
Das Kernteam berät das Unternehmen hinsichtlich des
Risikomanagements von Informationsressourcen,
einschließlich jener, die mit Sicherheit, Datenschutz und
rechtlichen Fragen, regulatorischer Compliance und
eDiscovery in Zusammenhang stehen. Das Kernteam
muss die Geschäftsprozesse genauestens kennen. Bei
der Risikobewertung, der Einschätzung des Wertes
von Ressourcen und der Festlegung von Strategien zur
Risikominimierung muss das Team mit den verschiedenen
Stakeholdern zusammenarbeiten und es muss dafür
sorgen, dass bei Projektstarts Risikobesprechungen
durchgeführt werden. Zahlreiche Risiken entstehen
erst durch die Zusammenarbeit mit Fremdanbietern.
Globale Sourcing- und Cloud-Computing-Strategien
haben dafür gesorgt, dass Unternehmen Aufgaben
verstärkt an Serviceprovider auslagern und mit neuen
Geschäftspartnern und Zulieferern zusammenarbeiten.
Das Know-how um effiziente und effektive Due-Diligence-
„Das Fachwissen des Kernsicherheitsteams sollte vor allem
dafür eingesetzt werden, zu beraten, die Richtung vorzugeben,
die Strategie voranzutreiben, Risiken zu ermitteln und
dem Unternehmen zu erklären, Bedrohungen zu verstehen
und das Unternehmen voranzubringen – und nicht auf
Routineaufgaben verschwendet werden.“
8|
Bob Rodger
Group Head of Infrastructure Security,
HSBC Holdings plc.
Empfehlungen
Verfahren für Fremdanbieter, laufende Bewertungen und
die Evaluierung von Hardware und Software rückt daher
als zentrale Fähigkeit in den Vordergrund.
DD Zentrale Soft Skills: Führungsstil, internes Networking, um das Bewusstsein für Geschäftsstrategien
auszubauen, Kommunikation (Zuhören, verbale
Ausdrucksfähigkeit, Führen schwieriger Gespräche,
Beachten auch kleiner kultureller und unternehmensspezifischer Unterschiede)
DD Zentrale Prozesskompetenzen: Zuordnung
und Dokumentation von Geschäftsprozessen,
Frameworks für das Risikomanagement, Protokolle
zur Bewertung von Fremdanbieterrisiken und
Controls Assurance (einschließlich gemeinsamer
Bewertungen), Managen ausgelagerter
Serviceprovider und Lieferkettencommunitys
DD Zentrale technische Kompetenzen: Risikoevaluierung, Messung vielfältiger Risiken und unterschiedlicher Risikobereitschaft innerhalb eines Unternehmens anhand einer standardisierten Methode,
Automatisierung von Risikomanagement und
Anbieterbewertung, fortlaufende Überwachung der
Kontrollen
4. Design von Kontrollen und Controls Assurance
Zu den zentralen Aufgaben des Kernteams sollte das
Designen innovativer, auf die Geschäftsziele ausgerichteter
Kontrollen ebenso gehören wie das Erarbeiten fortschrittlicher Testverfahren für die Controls Assurance. Dies
umfasst auch das Recherchieren, Entwickeln, Evaluieren
und Bereitstellen neuer Sicherheitstechnologien. Kontrollanalysten müssen nicht nur dafür sorgen, dass das
gesammelte Beweismaterial belegt, dass Kontrollen wie
vorgesehen greifen, sondern auch dafür, dass diese optimal
gegen neueste Bedrohungen geschützt sind und die Agilität
des Unternehmens nicht beeinträchtigen.
DD Zentrale Soft Skills: Umsetzung von Unternehmensund Complianceanforderungen in Sicherheitsanforderungen unter Berücksichtigung der EnterpriseArchitektur
DD Zentrale Prozesskompetenzen: Dokumentation des
Kontroll-Frameworks des Unternehmens, Entwicklung von Protokollen zur Bewertung und Belegung
der Kontrollen
DD Zentrale technische Kompetenzen: Sicherheitsarchitektur, Anwendungs-, mobile und Cloudsicherheit,
fortlaufende Überwachung der Kontrollen, erweiterte
Tests und Analysen der Sicherheitskontrollen
2. Routinevorgänge delegieren
Sicherheitsteams bevorzugen es in der Regel, alles
selbst zu machen. Doch das muss sich ändern. Denn durch
Delegieren von Routinesicherheitsvorgängen an andere
interne Gruppen oder externe Serviceprovider kann das
Kernteam sich darauf konzentrieren, proaktiver und strategischer zu handeln und so das vorhandene technische
Fachwissen und Potenzial für unternehmerisches Risikomanagement voll auszuschöpfen. Zudem können gute
Serviceprovider dank ihrer Skalierbarkeit und Spezialisierung nicht nur kostengünstiger, sondern auch qualitätsbewusster arbeiten.
Gerade wiederholbare, etablierte Prozesse eignen sich
für das Delegieren. So können beispielsweise Gruppen
in der IT oder Managed-Security-Serviceprovider (MSSPs) mit dem Betreiben von Firewalls, Authentifizierung,
Intrusion-Prevention-Systemen und/oder Antivirussoftware betraut werden. Überlassen Sie das Bereitstellen
von Benutzerzugriffen auf der Anwendungsebene und
die Administration von Benutzerkonten den einzelnen
Unternehmenseinheiten. Schulen Sie Entwickler in der
Anwendungssicherheit und statten Sie sie mit Tools zur
Ermittlung von Schwachstellen aus. Ziehen Sie für das
Scannen und Tests Security-as-a-Service in Betracht.
Auch wenn das Kernteam Aufgaben delegiert, muss es
weiterhin über angemessene Befehls- und Kontrollgewalt
verfügen. Dies kann mithilfe von umfassenden Anforderungen, Standards und SLAs erreicht werden. Um eine
effektive Aufsicht zu ermöglichen, muss das Kernteam
außerdem über ausreichendes technisches Sicherheitsfachwissen sowie über Kompetenzen im Bereich des
Anbietermanagements verfügen. Unternehmen, die die
Sicherheit nicht an Fremdanbieter vergeben möchten,
können häufig vergleichbare Ergebnisse erzielen, indem
sie sie an interne IT-Gruppen „auslagern“. Unabhängig von
der Art des gewählten Serviceproviders ist jedoch dasselbe
Maß an Aufsicht erforderlich.
Das Kernteam sollte regelmäßig evaluieren, welche
Aufgaben effizienter und kostengünstiger von anderen
erledigt werden können. So kann zum Beispiel das
Kernteam zunächst die Bereitstellung und den Betrieb
neuer Sicherheitstechnologien übernehmen, nachdem
diese zum Standard geworden sind, den laufenden Betrieb
jedoch delegieren.
|9
Empfehlungen
3. Expertendienstleistungen
leihen oder einkaufen
Ein häufiges Problem ist, dass das Kernteam in bestimmten Bereichen nicht über das nötige Fachwissen
verfügt. Hier können Experten von außerhalb der Sicherheitsabteilung Abhilfe schaffen. Einige Sicherheitsteams
setzen zum Beispiel Datenanalysemitarbeiter ein, die von
Serviceprovidern oder anderen Abteilungen des Unternehmens (z. B. Betrug oder Marketing) bereitgestellt werden.
Big Data ist zwar im Bereich der Sicherheit ein noch neues
Konzept, doch andere Unternehmensbereiche verfügen
über langjährige Erfahrung mit Datenanalyseverfahren.
Wenn es nicht realistisch oder einfach zu teuer ist,
bestimmte Experten in Vollzeit verfügbar zu halten – dies
kann zum Beispiel bei Spezialisten in der Schadsoftwareforensik oder Analysten aus dem Bereich Internetbedrohungen der Fall sein –, können sich Unternehmen bei Bedarf
auch an externe Serviceprovider wenden. So können Kernteams bei Bedarfsspitzen oder im Falle eines Ausscheidens
von Teammitgliedern zusätzliche Fachkräfte heranziehen.
Auch die Partnerschaft mit einem Anbieter von Sicherheitsberatung, der vielfältige, hochqualifizierte Sicherheitsfachkräfte auf Honorarbasis zur Verfügung stellt, ist eine
Überlegung wert. Sie erweitern nicht nur die Kompetenzen
des Kernteams, sondern können auch eine unvoreingenommene Sichtweise bieten.
Für das Lösen besonders komplexer Probleme ist
es häufig sinnvoll, Fachpersonal – etwa einen auf eine
bestimmte Technologie spezialisierten Berater für Sicherheitsarchitektur – heranzuziehen. Berücksichtigen Sie
jedoch, dass das Kernteam selbst über die erforderlichen
Kompetenzen verfügen muss, um ausgelagertes Fachwissen anzuwenden.
„
Wenn mir eine wichtige Kompetenz
fehlt, baue ich sie auf oder kaufe sie
ein. Ob man sie aufbaut oder einkauft ist eine Frage, die anhand der
Total Cost of Ownership entschieden
werden sollte. Bei einigen Kompetenzen kann es sinnvoller sein, an einen
Serviceprovider heranzutreten.“
Marene N. Allison
Worldwide Vice President of Information
Security, Johnson & Johnson
4. Risikoeigentümer beim
Risikomanagement anleiten
Normalerweise übernehmen Senior Manager innerhalb
des Unternehmens Verantwortung für Risikomanagemententscheidungen, die sich aus Initiativen wie der Markteinführung neuer Produkte oder Services, Programmen wie
BYOD, Informationsressourcen wie Websites für Kunden
und Unternehmensprozessen wie der Finanzberichterstattung ergeben. Da sich Unternehmensleitungen zunehmend ihrer Verantwortung dafür bewusst sind, die mit der
Internetsicherheit einhergehenden Risiken zu managen,
entscheiden sich jedoch auch immer mehr Unternehmen
für „Risikomanager für Informationssicherheit“ in den
Unternehmenseinheiten, die für die Risikobeseitigung
zuständig sind.
Aufgabe des Kernteams ist es, die Aktivitäten im Bereich Informationsrisikomanagement zu steuern und die
Internetsicherheitsrisiken gemeinsam mit dem Unternehmen zu managen. Dies umfasst unter anderem das Koordinieren eines einheitlichen Ansatzes bei der Identifizierung,
Bewertung, Reduzierung, Beseitigung und dem Reporting
von Risiken, das Abwägen von Risiken und Chancen,
Entscheidungen über das Maß an Risikobereitschaft und
-akzeptanz sowie das Einbeziehen des Informationsrisikos
in das gesamte Programm für das Unternehmensrisikomanagement. Zentrale Ziele sind, das Risikomanagement
für das Unternehmen zu vereinfachen und es gleichzeitig
dafür in die Pflicht zu nehmen, indem Selfservicetools
bereitgestellt, das Risikomanagement in die Unternehmensprozesse integriert und Automatisierung implementiert
werden.
„Bisher hat sich das Team für Informationssicherheit eher auf die Technologie
konzentriert. Doch die Zusammenarbeit mit dem Unternehmen spielt eine
immer größere Rolle, um dessen Anforderungen in der Sicherheitsabteilung
zu berücksichtigen und umgekehrt die
Sicherheitsperspektive in das Unternehmen zu tragen.“
10 |
Felix Mohan
Chief Information Security Officer,
Airtel
Empfehlungen
5. Prozessoptimierungsspezialisten einstellen
Prozesskenntnisse sind längst zu einem wichtigen
Bestandteil moderner Teams geworden. Ihr Ziel sollten
Teammitglieder sein, die über Erfahrung in den
Bereichen Qualitäts-, Projekt- bzw. Prozessmanagement,
Prozessoptimierung und Servicebereitstellung verfügen
und im Bereich Sicherheit geschult werden können. Ziehen
Sie Mitarbeiter in Betracht, die über Qualifikationen in
den Bereichen Six-Sigma-Prozessverbesserung, ITServicemanagement (ITSM), COBIT-IT-Governance
und/oder TOGAF-Unternehmensarchitektur
verfügen. Einigen Kernteams gelingt es, Prozess- oder
Programmmanagementexperten aus anderen Bereichen
des Unternehmens – zum Beispiel der Qualitätsabteilung
oder dem Enterprise Program Office – abziehen.
Mit Prozesskenntnissen im Team können Sie den
wachsenden Anforderungen an Prozessverbesserungen
Rechnung tragen. Aufgrund der Bedrohungslandschaft
streben zum Beispiel einige Unternehmen ein Patching
aller kritischen Systeme innerhalb von Stunden statt von
Wochen an. Unternehmenseinheiten möchten die Auswirkungen der Sicherheit auf Geschäftsprozesse reduzieren,
Reibungspunkte für Endanwender und Serverausfallzeiten
minimieren. Regulierungsorgane fordern engmaschigere
Kontrollen für den Informationszugriff, z. B. die Sperrung
abgelaufener Berechtigungen innerhalb von Minuten, nicht
von Tagen. Zunehmend wird von der Sicherheitsabteilung
erwartet werden, dass sie die Produktivität von Sicherheitsinvestitionen misst und langfristig auch quantifizierbare
Verbesserungen vorweisen kann. Hierzu gehören auch
Prozesswiederholbarkeit, -flexibilität und -skalierbarkeit.
Ermitteln Sie vor einem größeren Internetprojekt Ihre
kritischen Serviceprovider und bauen Sie eine solide
Beziehung zu ihnen auf. Geben Sie Angreifern keine
Chance, sich zu verstecken, indem Sie dafür sorgen,
dass die Sicherheitsstandards im gesamten Ökosystem
eingehalten werden.“
William Boni
Corporate Information Security Officer (CISO),
Vice President, Enterprise Information Security,
T-Mobile USA
„Es gibt einen wesentlichen Eckpfeiler unserer
Sicherheitsabteilung und der lautet „Vorschriften zählen“.
Unsere Prozesse müssen genauestens dokumentiert
und geprüft werden. Wie können wir sie effizienter
machen? Und effektiver? Haben wir etwas übersehen?
Man benötigt Mitarbeiter mit erstklassiger Prozess- und
Qualitätserfahrung, um die Unternehmensführung
zu überzeugen.“
Denise D. Wood
Corporate Vice President, Information Security, Chief
Information Security Officer, Chief IT Risk Officer,
FedEx Corporation
6. Schlüsselpersonen ins
Boot holen
Enge Beziehungen zu allen Beteiligten innerhalb des
Unternehmens sind für das Kernteam unerlässlich,
um sich die Kooperation einer wachsenden Anzahl
von Mitarbeitern mit Sicherheitsverantwortung zu
sichern, ein gemeinschaftliches Umfeld zu schaffen
und dafür zu sorgen, dass Mitglieder des erweiterten
Teams ihre Aufgaben verstehen und ausführen. Das
Kernteam muss alle Unternehmensbereiche und -ebenen
einbeziehen. Es muss sich für eine Einflussnahme auf
Schlüsselpersonen positionieren – z. B. auf diejenigen,
die über Technologieinvestitionen und strategische
Unternehmensentscheidungen entscheiden.
Zu den wichtigsten Beziehungen gehören zweifellos
jene zu den „Hütern“ der „Kronjuwelen“
des Unternehmens – etwa den Datasets und
Geschäftsprozessen mit geistigem Eigentum oder
proprietären Daten. Eine wichtige Rolle spielt auch
die Beziehung zum mittleren Management, mit dessen
Unterstützung sehr viel erreicht werden kann. Auch
Provider, die das Outsourcen von Geschäftsprozessen
anbieten (Business Process Outsourcing, BPO) sollten Sie
gezielt für sich gewinnen. Das Kernteam sollte ein starkes
Netzwerk aus Sicherheitsexperten bei BPOs schaffen
und gemeinsam mit ihnen für hohe Sicherheitsstandards
und Informationsweitergabe innerhalb der gesamten
Community sorgen.
| 11
7. Quereinsteiger anwerben
und ausbilden
„Bei neuen Mitarbeitern für
das Unternehmen sollten
Sie unbedingt Wert auf
Gedankenvielfalt legen. Das
war noch nie so wichtig, weil
sich das Unternehmen schneller
verändert, als die Sicherheit
reagieren kann – und zur
Lösung dieser Probleme ist
Innovation gefragt.“
Obwohl das Interesse an der Informationssicherheit
steigt, wird es kurzfristig zu Engpässen bei Fachkräften
mit sofort einsetzbaren Kompetenzen in den Bereichen
Internetsicherheit und Risikoberatung kommen. Qualifizierte Mitarbeiter mit Know-how über neue Sicherheitstechnologien zu finden, stellt eine besonders große
Herausforderung dar. Als Übergangslösung wenden sich
einige Unternehmen an MSSPs, da das Beschaffen und/
oder Binden von Mitarbeitern mit bestimmten technischen
Kompetenzen ein Problem darstellt. Sicherheitsteams
benötigen außerdem Fachkräfte, die neben technischem
Fachwissen auch die Fähigkeit mitbringen, produktive
Gespräche mit wichtigen Stakeholdern zu führen.
Eine langfristige Strategie für die Personalbeschaffung
ist für den Aufbau eines effektiven Sicherheitsteams
unerlässlich. Arbeiten Sie mit den Geschäftseinheiten und
der Personalabteilung zusammen, um die Anforderungen
an und mögliche Quellen für qualifizierte Mitarbeiter zu
evaluieren. Unternehmen stellen zunehmend Mitarbeiter
ohne Sicherheitserfahrung ein, die jedoch über wertvolle
Kompetenzen verfügen und im Sicherheitsbereich geschult
werden können. Eine Möglichkeit ist es, eine interne
„Akademie für Internetsicherheit“ ins Leben zu rufen.
Angesichts des Mangels an sofort verfügbarem Fachwissen ist für
die meisten Unternehmen die einzig gangbare langfristige Lösung,
Mitarbeiter auszubilden.
Eine weitere kann sein, einzelne Teammitglieder beim
Absolvieren externer Schulungen und dem Erwerb externer Qualifikationen zu unterstützen und/oder Mentoringprogramme einzurichten. Neben Berufseinsteigern
können auch interne Mitarbeiter aus der IT oder anderen
Bereichen geworben werden, die sich für eine berufliche
Laufbahn im Sicherheitsbereich interessieren. Sie sind
häufig die beste Wahl, da sie mit dem Unternehmen und
bestehenden Netzwerken vertraut sind.
Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig
gangbare langfristige Lösung, Mitarbeiter auszubilden.
Seien Sie bei der Suche nach Mitarbeitern, die für Sicherheitspositionen geschult werden könnten, aufgeschlossen.
Es gibt viele Quereinsteiger mit geeigneten Kompetenzen,
darunter Datenbankadministration, Softwareentwicklung, Unternehmensanalyse, militärische Aufklärung und
Rechts- oder Datenschutzbeauftragte. Es gibt Kernteams,
die in letzter Zeit Data Scientists eingestellt haben, die
bisher in der DNA-Sequenzierung tätig waren. Mitarbeiter
mit theoretischem Wissen in Bereichen wie Ökonometrie
oder Mathematik können ihre praktischen technischen
Kompetenzen ausbauen. Solche mit einem Werdegang
in den Bereichen Geschichte oder Journalismus bringen
exzellente Recherchekompetenzen mit. Wenn man Mitarbeitern zu begehrten Sicherheitskompetenzen verhilft,
stellt die Mitarbeiterbindung eine große Herausforderung
dar. Deshalb ist es wichtig, jedem Mitglied des Teams eine
absehbare und attraktive berufliche Laufbahn und eine
marktübliche Vergütung zu bieten.
12 |
Jerry R. Geisler III
Office of the Chief
Information Security Officer,
Walmart Stores Inc.
Viele Unternehmen arbeiten außerdem mit Universitäten zusammen, um die Verfügbarkeit qualifizierter
Sicherheitsmitarbeiter längerfristig zu sichern. Konkret
kann dies das Schaffen von Führungsentwicklungsprogrammen, das Beeinflussen von Lehrplänen, um sie an die
Branchenanforderungen anzupassen, oder das Anbieten
von Praktikums-/Kooperationsmöglichkeiten umfassen.
Informationsprogramme an Universitäten und sogar Gymnasien können helfen, mögliche Nachwuchskräfte für eine
Laufbahn in der Internetsicherheit zu interessieren.
Zusammenfassung
überdenken und optimieren. Im dritten Report gehen wir
auf die Frage ein, wie neue Technologien in ein modernes
Programm für Informationssicherheit auf der Basis eines
kreativen und vorausschauenden Teams passen.
Teams für Informationssicherheit befinden sich
im Wandel, um den Anforderungen
gerecht zu werden, die sich aus zunehmend
schwierigeren Unternehmensumgebungen,
Bedrohungslandschaften und
Regulierungsbedingungen ergeben. Ein wachsendes
Bewusstsein für Sicherheitsprobleme ermöglicht
eine Neupositionierung der Informationssicherheit
innerhalb von Unternehmen weg von einem
technischen Silo hin zu einer wirklich
gemeinschaftlichen Anstrengung. Unternehmen
wird außerdem zunehmend bewusst, dass die
Einhaltung von Sicherheitsanforderungen ein
größeres Augenmerk auf Prozesse erfordert.
Effektive Sicherheitsteams verfügen heute über
ein klares Verständnis der Geschäftsprozesse und
der Bedeutung guter Sicherheitsprozesse für die
Erfüllung ihres Mandats. Im nächsten Report dieser
dreiteiligen Fortsetzungsreihe über den Wandel
in der Informationssicherheit beschäftigen wir
uns damit, wie führende Unternehmen Prozesse
Informationen zur Security for Business
Innovation Council Initiative
Geschäftliche Innovationen stehen längst auf der
Prioritätenliste der meisten Unternehmen ganz oben, da
Geschäftsführungen das Potenzial von Globalisierung und
Technologie für die Schaffung neuer Werte und Effizienzen
nutzen möchten. Und doch wird ein wichtiges Bindeglied
übersehen. Obwohl Informationen und IT-Systeme
treibende Kräfte für geschäftliche Innovationen darstellen,
wird der Schutz von Informationen und IT-Systemen in der
Regel nicht als strategisch erforderlich betrachtet – und das,
obwohl Unternehmen zunehmend mit Regulationsdruck
und eskalierenden Bedrohungen zu kämpfen haben. Die
Informationssicherheit ist häufig ein nachträglicher Einfall,
der erst am Ende eines Projekt oder unter Umständen
gar nicht berücksichtigt wird. Doch ohne eine gute
Sicherheitsstrategie können geschäftliche Innovationen im
Keim erstickt werden oder aber das Unternehmen kann
großen Risiken ausgesetzt sein.
RSA ist der Meinung, dass Sicherheitsteams, die
echte Partner im Prozess für geschäftliche Innovationen
sind, ihren Unternehmen zu beispiellosen Ergebnissen
verhelfen können. Die Zeit ist reif für einen neuen
Ansatz: Sicherheit muss mehr sein als ein technisches
Spezialgebiet – nämlich eine Unternehmensstrategie.
Obwohl die meisten Sicherheitsteams längst erkannt haben,
dass sie Sicherheit und Unternehmen besser aufeinander
abstimmen müssen, fällt es vielen nach wie vor schwer, diese
Erkenntnis in konkrete Maßnahmenpläne zu überführen.
Sie kennen das Ziel – doch wie sie es erreichen sollen,
wissen viele nicht. Deshalb arbeitet RSA mit einigen der
weltweit wichtigsten Experten aus dem Sicherheitsbereich
zusammen, um den branchenweiten Dialog zur Lösung
dieses Problems zu fördern.
RSA hat den Security for Business Innovation
Council, eine Gruppe äußerst erfolgreicher
Sicherheitsverantwortlicher aus Global-1000-Unternehmen
der verschiedensten Branchen, einberufen. Wir führen
detaillierte Befragungen mit dem Council durch,
veröffentlichen seine Ideen in einer Reportreihe und fördern
unabhängige Forschungen in diesen Themenbereichen.
Die Reports und Informationen zu den Forschungen finden
Sie auf www.rsa.com/securityforinnovation. Gemeinsam
können wir diesen wichtigen Wandel in der Branche
voranbringen.
| 13
A
Anhang
Aufbau eines erstklassigen erweiterten
Informationssicherheitsteams
Tabelle 2
Geschäftsführung und Vorstand beaufsichtigen das Programm
Team-
Kerninformationssi-
mitglieder
cherheit
IT
An strategischen und
operativen Sicherheitsrollen
beteiligte Mitarbeiter
• Breites Angebot an
Spezialisten
• Mitarbeiter können
mehr als eine Rolle
übernehmen
Unternehmen
Geschäftsbereich und
funktionale Bereiche
(z. B. Datenschutz, HR,
Marketing, Recht, Audit,
Beschaffung)
Serviceprovider
(häufiger Einsatz)
Consultants mit
Fachwissen auf dem
jeweiligen Gebiet (SMEs),
Managed-SecurityServiceprovider (MSSPs)
und Cloudanbieter (SAAS)
• Kann mit den Teams
für eDiscovery, physische Sicherheit und/
oder Produktsicherheit
konvergieren
Aktivitäten
Konkrete Verantwortungsbereiche
Programmmanagement
CISO leitet Programm und
funktionsübergreifendes
„Informationsrisikokomitee“
CIO beteiligt sich am
Bestimmte Führungskräfte
beteiligen sich am
Sicherheitsrichtlinie und -standards
Entwicklung von Richtlinie
und Standards
Beratung zu Richtlinie und
Standards
Beratung zu Richtlinie und
Standards
Implementierung
von Kontrollen
• Managen und
Überwachung der
Implementierung
Implementierung von
Kontrollen gemäß
Sicherheitsstandards oder
Bereitstellung von Services,
die Sicherheits-SLA
entsprechen
Unterstützung bei der
Implementierung von
Kontrollen
MSSPs stellen Services
für die Implementierung
von Kontrollen gemäß
Sicherheits-SLA bereit
Betrieb von Kontrollen
gemäß Sicherheitsstandards
oder Bereitstellung von
Services, die Sicherheits-SLA
entsprechen
Sicherstellen, dass
geschäftliche Abläufe
den Anforderungen der
Sicherheitskontrollen
entsprechen
MSSPs stellen Services für
den Betrieb von Kontrollen
gemäß Sicherheits-SLA
bereit
• Implementierung von
Kontrollen in komplexeren Fällen
Betrieb von
Kontrollen
• Managen und Überwachung des Betriebs von
Kontrollen
• Betrieb neuerer oder komplexerer Kontrollen
Controls
Assurance
• Bewertung von Kontrollen
und Entwicklung fortschrittlicher Tools
für die Erprobung und
Analyse von Kontrollen
MSSPs stellen
Services bereit, z. B.
Quellcodeüberprüfungen,
Schwachstellenscans
• Implementierung fortlaufender Kontrollenüberwachungen
Design von Kontrollen (Sicherheitsarchitektur)
• Voranbringen des
Designs neuer
Beratung zum Design neuer
Beratung zum Design neuer
Arbeit an technischen
Aspekten von Reaktionen
Arbeit an rechtlichen, PR-,
HR-Aspekten von Reaktionen
• Arbeit mit der EnterpriseIT-Architektur
Vorfallsbehandlung/Ausfallsicherheit
14 |
Managen und Koordination
von unternehmensübergreifenden Reaktionen
SMEs stellen Forensik und
Schadsoftwareanalysen
bereit
Informationsrisikobewertung
• Managen des Risikobewertungsprogramms
• Durchführung von
Risikobewertungen in
komplexeren Fällen
Durchführung der
Risikobewertung mit den
Tools des Kernteams
• Beratung durch Mitarbeiter aus der Rechtsabteilung
zu rechtlichen und Compliancerisiken
• Bereitstellung von Tools
zur Vereinfachung von
Risikobewertungen
Informationsrisikomanagement/
GeschäftsrisikenChancen-Analyse
• Voranbringen von Risikomanagementaktivitäten
• Zusammenarbeit mit IT
und Unternehmen
• Beratung zu Risikomanagement
• Bereitstellung von Tools
zur Vereinfachung des
Risikomanagements
Management von
Fremdanbieterrisiken/Integrität
der IT-Lieferkette
• Vorantreiben des
Managements von Fremdanbieterrisiken und des
Lieferkettenintegritätsprogramms
• Entwicklung von Standards und Bereitstellung
von Tools für die Bewertung von Fremdanbietern
und der Evaluierung von
Hard- und Software
• Durchführung der Risikobewertung mit den Tools
des Kernteams
• Zusammenarbeit mit
Kernteam zum Managen
von Risiken
• Zusammenarbeit mit
Kernteam zum Managen
von Risiken
• Unterstützung bei der
Beseitigung ermittelter
Risiken
• Unterstützung bei der
Beseitigung ermittelter
Risiken
• Regelmäßiges Reporting
zum Status von Risiken
• Regelmäßiges Reporting
zum Status von Risiken
• Durchführung von DueDiligence- und Fremdanbieterbewertungen mit den
Tools des Kernteams
• Durchführung von DueDiligence- und Fremdanbieterbewertungen mit den
Tools des Kernteams
• Durchführung von Hardware- und Softwareevaluierungen mit den Tools des
Kernteams
• Beschaffung integriert
Sicherheitsbewertungen in
den Beschaffungsprozess
Trend geht zu von
Serviceprovidern
gemäß SicherheitsSLA durchgeführten
Risikobewertungen
SMEs führen anhand der
Standards des Kernteams
Due-Diligence- und
Fremdanbieterbewertungen
durch
• Beratung zu Compliancerisiken und Verfassen von
Verträgen durch Mitarbeiter aus der Rechtsabteilung
Inventarisierung
und Bewertung
von Ressourcen
Voranbringen der
Entwicklung eines
Bestandsregisters
Zusammenarbeit mit
Kernteam, um Ressourcen zu
katalogisieren und ihren Wert
zu bestimmen
Zusammenarbeit mit
Kernteam, um Ressourcen zu
katalogisieren und ihren Wert
zu bestimmen
Internetrisikoanalyse und Bedrohungsanalyse
• Managen des IntelligenceProgramms
Weitergabe von IntelligenceDaten (z. B. Phishing-E-Mails)
Weitergabe von IntelligenceDaten (z. B. Social-MediaÜberwachung)
SMEs stellen Quellen und
Bedrohungsanalysen bereit
Sicherheitsdatenanalyse
Voranbringen der
Entwicklung von Abfragen
und Modellen
Beratung zu und/oder
Bereitstellung von
Datenanalyseservices
Beratung zu und/
oder Bereitstellung von
Datenanalyseservices
SMEs und/oder MSSPs
stellen Datenanalyseservices
bereit
Sicherheitsdatenmanagement und
Data Warehousing
Voranbringen der Strategie
für Sicherheitsdatenmanagement und der SicherheitsData-Warehouse-Architektur
• Voranbringen der Datenmanagementstrategie des
gesamten Unternehmens
Beratung zu Datenquellen
(z. B. Anwendungs- und
Datenbankprotokollen)
• SMEs stellen Bedrohungsfeeds bereit
Optimierung der
Sicherheitsprozesse
Voranbringen der
Optimierung der
Sicherheitsprozesse im
gesamten Unternehmen
Beratung zu und
Implementierung von
Verbesserungen
Beratung zu und
Implementierung von
Verbesserungen
Langfristige
Planung
Beobachtung zukünftiger
Unternehmen-, Technologieund Regulierungstrends,
um proaktive
Sicherheitsstrategien
formulieren zu können
Zusammenarbeit bei
zukünftigen Trends und
proaktiven Strategien
Zusammenarbeit bei
zukünftigen Trends und
proaktiven Strategien
• Koordination von Quellen
• Beratung zu Sicherheitsstrategie und Datenquellen
(z. B. Netzwerkprotokollen)
• MSSPs stellen Feeds aus
Sicherheitssystemprotokollen bereit
| 15
Mitwirkende
Anish Bhimani Cissp
Chief Information Risk Officer,
JPMorgan Chase
William Boni CISM, CPP, CISA
Corporate Information Security
Officer (CISO), VP, Enterprise
T-Mobile USA
Roland Cloutier
Vice President,
Chief Security Officer,
Automatic Data
Processing, Inc.
Jerry R. Geisler III GCFA, GCFE,
of the Chief
Walmart Stores, Inc.
Renee Guttmann
Chief Information
Security Officer,
The Coca-Cola Company
Malcolm Harkins
Vice President, Chief Security und
Privacy Officer,
Intel
Kenneth Haertling
Vice President und
TELUS
Petri Kuivala
Chief Information
Security Officer,
Nokia
Dave Martin CISSP
Vice President und
EMC Corporation
Tim McKnight CISSP
Executive Vice President, Enterprise
Information Security and Risk,
Fidelity Investments
Felix Mohan
Chief Information Security
Officer, Airtel
Robert Rodger
Group Head of
Infrastructure Security,
HSBC Holdings, plc.
Ralph Salomon CRISC
Vice President IT Security
and Risk Office,
SAP AG
Vishal Salvi CISM
und Senior Vice President,
HDFC Bank Limited
Marene N. Allison
Worldwide Vice President of
Johnson & Johnson
Dr. Martijn Dekker
Senior Vice President, Chief
ABN Amro
Simon Strickland
Global Head of Security,
AstraZeneca
16 |
Security for Business
Innovation Council
GCIH, Office
Denise D. Wood
Corporate Vice President,
Information Security, Chief
Chief IT Risk Officer,
FedEx Corporation
Vollständige Biografien der SBIC-Mitglieder
finden Sie auf http://germany.emc.com
EMC, EMC2, das EMC Logo, RSA und das RSA-Logo sind eingetragene Marken oder
Marken der EMC Corporation in den USA und/oder anderen Ländern. Alle anderen in
diesem Dokument genannten Produkte und/oder Services sind Marken ihrer jeweiligen
Inhaber.
©2013 EMC Deutschland GmbH. Alle Rechte vorbehalten. 231038-H12227 CISO RPT 0813
®
| 17

Security for Business Innovation Council

Transcription

Similar documents

Behavioral Economics – eine neue Grundlage für

BERLINS GRÖSSTE ZEITUNG 90

CSC ist der offizielle IT-Supplier der Tour de France 2002 und

AMM Discountstudie Kurz 20-04-2011

Nationale Strategie zum Schutz Kritischer Infrastrukturen

cyber and information security showcase

Lünendonk-IT-Studie 2014

SCC-News 2012/2

Amazon Web Services: Risiko und Compliance

Sek. II - Gymnasium der Stadt Warstein

Sicherheit der Adobe Creative Cloud für Teams – Überblick

Explizite Software für CAD, Produktdatenmanagement und

Personalisierte Medizin im Sport - Sport

LC-19/22/26/32/37/42LE320E Operation-Manual DE

McAfee Data Exchange Layer - Whitepaper

Hochleistungs-UV-LED- Aushärtungssystemen für

Folien als PDF-Datei

PRINCE2® Glossary of Terms English - German

Kleine Spiele

Zeitplan für Begutachtung Wedel

1 NORTON-LIZENZVEREINBARUNG Norton Security / Norton

Mediadaten Deutsch 2016