Information Security Governance Jutta Edith Staudach CISA, CISM
Transcription
Information Security Governance Jutta Edith Staudach CISA, CISM
Information Security Governance Jutta Edith Staudach CISA, CISM JES we can! JES we can! h //f http://forum.jutta‐staudach.de/joomla15/ j d h d /j l 15/ Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! Information Security Governance • Wichtigkeit von Information Security • Rollen und Verantwortlichkeit • Information Security Strategie I f ti S it St t i Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! I f Information Security Governance ti S it G • 8 wichtige Tasks – Eine Information Security Strategie entwickeln, welche zu den langfristigen und kurzfristigen Firmenzielen passt. passt – Die Information Security Strategie muss zur Corporate Governance passen. – Business Case für die Information Security Strategie entwickeln um die Kosten/ das Investment zu rechtfertigen – Rechtliche und regulatorische Vorschriften in die Informationssicherheitsstrategie mit einbeziehen. g Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! I f Information Security Governance ti S it G • 8 wichtige Tasks – Was sind die Treiber des Unternehmens ? Wie beeinflussen sie die Informationssicherheit ? Z.B. • • • • Technologie Geschäftsumfeld Wie gross ist der Mut zum Risiko im Unternehmen? Geographische Lage – Senior Management / Aufsichtsrat/ Vorstand muss sich zur Informationssicherheitsstrategie bekennen und diese als Vorbild Informationssicherheitsstrategie bekennen und diese als Vorbild mittragen. – Rollen und Verantwortlichkeiten der Informationssicherheitsstrategie muss unternehmensweit ausgearbeitet werden muss unternehmensweit ausgearbeitet werden. – Interne und externe Kommunikationskanäle und Reportingstrukturen bzgl Informationssicherheit müssen festgelegt werden. Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! IInformation Security Governance f ti S it G • Überblick – IT Governance • Ein Teil der Corporate Governance • Rolle der IT im Unternehmen? Rolle der IT im Unternehmen? – Management: • Rollen und Verantwortlichkeiten in der IT definieren • Verantwortlichkeiten kommunizieren – Diese Art der Governance • Verhindert Verhindert, dass eine Abteilung oder gar eine Person die dass eine Abteilung oder gar eine Person die gesamte Verantwortung „schultert“ • Ist ein Kontrollmechnismus (Framework of Control) Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Information Security Governance Information Security Governance Die wichtigsten Konzepte: – – – – – – – – – – – – – – – – Diskretion – Confidentiality (ISO) in ISO‐17799 Integrität g Verfügbarkeit Möglichkeit dieses einem Audit zu unterziehen (min. CMM level 2 Managed) Identifizierbar Authentizität Nonrepudation:Nachweisbarkeit ,Nichtabstreitbarkeit Verschiedene Layer der Security Zugangs‐ und Zugriffskontrolle Si h h it üb Sicherheitsüberwachung und Einführung von Metriken für dieselben h d Ei füh M t ik fü di lb Governance Strategie Architektur Management Risiken Exposition durch Verwundbarkeit gegenüber Bedrohungen (Hacker, Viren, Trojaner, Social Engeering, Mitarbeiter usw) indentifizieren Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! Information Security Governance Information Security Governance • Weitere Konzepte: – – – – – – – – – – – – – Verbleibende Risiken Verbleibende Risiken Auswirkung derselben Kritisch? Kritische Geschäftsprozesse? Sensitiv? Business Impact Analysis – Wie gross ist die mögliche Auswirkung auf mein Geschäft, meine Geschäftsprozesse? Analyse der Abhängigkeiten – der Geschäftsprozesse innerhalb und ausserhalb meines Unternehmens. Welche Kluft ist offen? Welche Kontrollen habe ich? Welche Gegenmassnahmen kann ich einleiten? Welche habe ich bereits? (Countermeasures) Welche internen Geschäftsbedingungen existieren? Welche fehlen? Policies? Standards Welchen Angriffen, Attacken könnte ich ausgesetzt sein? D Datenklassifikation und Datenschutz kl ifik i dD h Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! IInformation Security Governance f ti S it G Welche Security Technologien sollte ein Information Security Manager verstehen? Security Manager verstehen? • Firewalls • Benutzeradministration • Angriffserkennung und Verhinderung A iff k d V hi d – Intrusion detection und Intrusion prevention • • • • • • Antivirus PKI P bli K I f PKI Public Key Infrastructure SSL Secure Sockets Layer Single Sign On SSO Biometrische Verfahren Encryption – Ver‐ und Entschlüsselungsmechnismen Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! IInformation Security Governance f ti S it G Technologien • Datenschutz • Remote Access – Zugriff auf Firmennetz vom Heimarbeitsplatz • EDI (Elektronische Datenaustausch) und EFT – elektronischer Geldverkehr • Virtual Private Networks VPN ‐ Virtual Private Networks VPN virtuelles privates Netz virtuelles privates Netz • SET Secure Electronic Transaction ‐ Sicherheitsprotokoll für den elektronischen Zahlungsverkehr mit Kreditkarten • Forensik • Technologische Möglichkeiten der Überwachung Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Senior Management/Aufsichtsrat/Vorstand – Welche Ziele? • Ziele der IT in Einklang bringen mit den Unternehmenszielen ‐> der Schwanz soll NICHT mit dem Hund wedeln! • Verantwortlichkeiten KLAR definieren – Einzelne Mitarbeiter müssen klare Verantwortungen haben und ggf. dafür zur Rechenschaft gezogen werden. Heisst aber auch die ggf. dafür zur Rechenschaft gezogen werden. Heisst aber auch die Rollen müssen klar verteilt sein – Unternehmenspyramide erstellen – vom Bandarbeiter bis zum Aufsichtsratsvorsitzenden – Keine Interessenskonflikte mit einbauen! z.B. CISO (Head of Information Security) darf nicht an CIO / Leiter IT rapportieren! H d f IT Ri k i Head of IT Risks ist zu kurz gegriffen – k iff I f Informationssicherheit i i h h i NICHT NUR IT Sicherheit – ganzheitliche Betrachtungsweise! Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Information Security Governance – FOKUS • Serviceverfügbarkeit • Integrität der gelieferten Information Integrität der gelieferten Information • Datenschutz! Æ immer wichtiger! Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Was liefert die Governance ‐ Was liefert die Governance verantwortungsvolle Unternehmensführung verantwortungsvolle Unternehmensführung und ‐kontrolle? – Sorgfaltspflichten Sorgfaltspflichten (Due Care) (Due Care) – Garantiert die Einhaltung der Unternehmensgrundsätze und Richtlinien unter Berücksichtigung der Gesetze und Regulatorien – Weniger Risiken, Risiken sind definiert und entsprechen der Weniger Risiken Risiken sind definiert und entsprechen der Risikobereitschaft des Unternehmens – Optimaler Einsatz des Sicherheitspersonals – Entscheidungen werden aufgrund akkurater Informationen getroffen. Entscheidungen werden aufgrund akkurater Informationen getroffen – Effizientes und effektives Risikomanagement – Erhöhtes Vertrauen zwischen den Geschäftpartnern – Reputation des Unternehmens wächst R i d U h ä h – Verbesserter elektronischer Geschäftsverkehr – Rechenschaftspflicht des Unternehmens wird erfüllt Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Was liefert die Information Security li f di f i i Governance? – Unternehmensplanung – Risikomanagement g – Mehrwert – Personal Personal‐ und Informationsmanagement und Informationsmanagement – Leistungsbewertung und Erfolgsmessung – Informationssicherheit integraler Informationssicherheit integraler Unternehmensbestandteil Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Methodologien um Sicherheit einschätzen zu können und diese messbar zu machen. –COBIT (Framework zur IT‐Governance ) ( ) –Balanced Scorecard –Balanced Scorecard –CMM (Capability Maturity Model) Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! CMM Maturity Levels CMM Maturity Levels • 1 – Initial Es sind keine Key Process Areas (KPA) definiert. • 2 ‐ Repeatable (bei CMMI Managed) Ein grundlegender Prozess existiert. • 3 – Defined Kosten und Zeiten sind hier einigermaßen zuverlässig bewertbar. Qualität ist immer noch Schwankungen ausgesetzt. • 4 ‐ Managed (bei CMMI Quantitatively Managed) Sowohl für das Produkt als auch für den Prozess werden quantitative Ziele vorgegeben ihre Erreichung gemessen und überwacht vorgegeben, ihre Erreichung gemessen und überwacht. Zeiten, Kosten und Qualität sind zuverlässig kontrollierbar. • 5 ‐ Optimized Die gesamte Organisation konzentriert sich auf das Finden von Schwächen und die Die gesamte Organisation konzentriert sich auf das Finden von Schwächen und die weitere Verbesserung des Prozesses. http://de.wikipedia.org/wiki/Capability_Maturity_Model Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Ressourcen – – – – – – – – – Interne Richtlinien Standards Prozeduren Mustervorlagen, Checklisten (Guidelines) Architektur Physische, taktische und prozeduale Kontrollen Gegenmassnahmen, Abwehrmassnahmen Mehrschichtige Verteidigungsanlagen Personensicherheit Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Entwicklung interner Richtlinien E i kl i Ri h li i – Entweder von oben nach unten oder von unten nach oben – Top down zu bevorzugen – T d b entwickelt und veröffentlicht t i k lt d öff tli ht durch den Vorstand • Vorteil: Stellt sicher, dass die Richtlinie der , Unternehmensphilosophie den Unternehmenszielen entspricht • Nachteil: zeitaufwendig (Menschen werden nicht gerne von oben verändert) – Bottom up fängt mit der Befragung der operativen Mitarbeiter an • Diesen wissen besser über bekannte Risiken Bescheid und wissen meist sehr genau, wo sie ihre Zweifel haben. Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Organisationsstruktur O i ti t kt – Informationssicherheit muss im Einklang mit dem Business erfolgen – Kann dezentralisiert stattfinden – in den einzelnen Unternehmensbereichen oder zentralisiert in der Konzernzentrale – beides hat Vor und Nachteile – Egal ob zentral oder dezentral – Inhalt Im Einklang mit den Unternehmenszielen Abgezeichnet und getragen vom Senior Management (Vorstand) g g g g ( ) Überwachnung der Einhaltung der Richtlinien, usw Organisationsweiter Business Continuity Plan (Überlebensplan im Schadensfall) • Riskikomanagement muss vorhanden sein • Die richtigen Security Awareness Programs und Trainings • • • • – Aufkläungskampagne! Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Human Resource – Personalbüro – Alle Sicherheitsfunktionen, Rollen und , Verantwortlichkeiten müssen im Personalbogen erfasst sein. – Job Performance kann aufgrund der Einhaltung, Optimierung usw der Sicherheitsmassnahmen Optimierung usw. der Sicherheitsmassnahmen überprüft werden. Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Aufklärungskampagne und Kurse fklä k d – Training, Kurse und die Aufklärungskampagne unternehmensweit sind kritisch für das langfristige t h it i d k iti h fü d l f i ti Überleben des Unternehmens. – Mitarbeiter sollen sich gegenseitig trainieren Mitarbeiter sollen sich gegenseitig trainieren – Ohne entsprechende Aufklärung wissen die Mitarbeiter vielleicht nicht ausreichend über Risiken Mitarbeiter vielleicht nicht ausreichend über Risiken Bescheid. – Das grösste Risiko ist der Mitarbeiter! as g öss e s o s de a be e • Menschen machen Fehler. Sie haben Menschen in Ihrem Unternehmen und keine Roboter! Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Audits /Innenrevison di / i – Primär um sicher zu stellen, dass interne Kontrollen funktionieren. – Beide – interne und externe Audits können dazu benutzt werden um Lücken auf zu spüren und Prozesse zu verbessern Prozesse zu verbessern. • Der Auditor sollte Dein Freund sein und nicht als Polizei auftreten! – Der einzelne Mitarbeiter muss seine Tätigkeit und seine Verantwortungsbereiche GENAU kennen! Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Risk Assessment ‐ Risikobewertung – Akzeptieren? – Risikominimierung? Ri ik i i i ? – Risiko transferieren – z.B. durch den Kauf einer Versicherungpolice Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Outsourcing O t i – Onsite Mitarbeiter des beauftragten Unternehmens sitzen im selben Gebäude sitzen im selben Gebäude – Offsite Mitarbeiter des beauftragten Unternehmens arbeiten auch dort. – Offshore ‐ Mitarbeiter des beauftragten Unternehmens sitzen auf einem anderen Kontinent – Wichtig: Gesetze und Regulatorien des Heimatlandes Wi hti G t d R l t i d H i tl d beachten – nicht alles darf ausser Landes gegeben werden. Manches nicht ausserhalb der EU usw. • Kontrolle des Outsourcing Unternehmens – z.B. durch eigenen Audit (nicht immer möglich), SAS70 Reports Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! • Service Level Agreements – müssen Minimum beinhalten • Uptime Uptime (wie lange läuft der Service „am Stück (wie lange läuft der Service am Stück“)) • Response Time (wie schnell reagiert der Provider) • Maximum Outage Time (wie lange darf der Service Maximum Outage Time (wie lange darf der Service ausfallen?) Jutta Edith Staudach Jutta Edith Staudach JES we JES we can! can! Fragen ? Jutta Edith Staudach Holsteiner Str 4 Holsteiner Str. 4 D‐40667 Meerbusch Tel: +49.2132 91 444 0 Sipgate: +49 2132 979199 Sipgate: +49.2132.979199 Mobile: +49.171.3833409 email: info<at>jutta‐staudach.de