Security for Business Innovation Council

Größe: px
Ab Seite anzeigen:

Download "Security for Business Innovation Council"

Transkript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President und Global Chief Information Security Officer AstraZeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer Security for Business Innovation Council Informationssicherheit im Wandel t Dieser Report basiert auf Gesprächen mit dem Wie man ein erstklassiges erweitertes Team zusammenstellt EMC Corporation Dave Martin, Vice President und Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim McKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer und Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security und Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, Vice President IT Security and Risk Office TELUS Kenneth Haertling, Vice President und Chief Security Officer T-Mobile USA William Boni, Corporate Information Security Officer (CISO) und Vice President, Enterprise Information Security Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer Informationssicherheit im Wandel Empfehlungen von Global-1000-Verantwortlichen Das neue Anforderungsprofil In diesem Report: Neue Chancen zur Zusammenarbeit Tipps zur optimalen Nutzung von Ressourcen Empfehlungen für die nächsten Schritte Übersicht der Aufgabenverteilung in einem erweiterten Team Eine von RSA unterstützte Brancheninitiative

2 * Inhalte Highlights 1 1. Einführung: Teams im Wandel 2 2. Die neue Leistungsbeschreibung 3 Tabelle 1: Das veränderte Aufgabenprofil der Informationssicherheit>>>>>>> 4 3. Herausforderungen und Chancen 6 4. Empfehlungen 7 1. Kernkompetenzen neu definieren und ausbauen>>>>>>>>>>>>>>>>>>>>> 7 2. Routinevorgänge delegieren>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9 3. Expertendienstleistungen leihen oder einkaufen>>>>>>>>>>>>>>>>>>> Risikoeigentümer beim Risikomanagement anleiten>>>>>>>>>>>>>>>> Prozessoptimierungsspezialisten einstellen>>>>>>>>>>>>>>>>>>>>>>> Schlüsselpersonen ins Boot holen>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Quereinsteiger anwerben und ausbilden>>>>>>>>>>>>>>>>>>>>>>>>>> 12 Zusammenfassung 13 Informationen zum Security for Business Innovation Council 13 Anhang Tabelle 2: Aufbau eines erstklassigen erweiterten Informationssicherheitsteams>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Mitwirkende 16 Haftungsausschluss: Dieser Security for Business Innovation Council-Report (nachfolgend der Report ) enthält Informationen und Material (nachfolgend der Inhalt ), die jederzeit geändert werden können. RSA Security LLC, EMC Corporation und die einzelnen Autoren des Security for Business Innovation Council (nachfolgend Autoren ) sind nicht verpflichtet, den Inhalt zu aktualisieren. Der Inhalt wird ohne Gewähr zur Verfügung gestellt. Die Autoren übernehmen keine ausdrücklichen oder stillschweigenden Garantien, keine Mängelgewährleistung, keine Gewähr zur Eignung, keine Garantie der Nicht-Verletzung, der Genauigkeit oder Zweckmäßigkeit oder andere Garantien zur Nutzung des Inhalts. Der Inhalt wird zu Informationszwecken bereitgestellt und stellt keine Rechtsauskunft von RSA Security LCC, seinem Mutterunternehmen EMC Corporation, deren Anwälten oder einer der Autoren dieses SBIC-Reports dar. Handeln Sie auf Grundlage dieses Reports erst, nachdem Sie sich von einem in Ihrem Land zugelassenen Anwalt beraten lassen haben. Die Autoren sind nicht für Fehler in diesem Report oder für Schäden verantwortlich, die sich aus der Nutzung dieses Reports (inklusive allen Inhalts) ergeben, darunter direkte und indirekte Schäden, Schadensersatz, konkrete Schäden, Folgeschäden oder Bußgelder, egal, ob aufgrund eines Vertrags, unerlaubter Handlung oder einer anderen Anspruchsgrundlage, selbst wenn die Autoren sich der Möglichkeit solcher Fehler oder Schäden bewusst sind. Die Autoren übernehmen keine Verantwortung für Fehler oder Auslassungen im Inhalt. 2 Security for Business Innovation Council-Report RSA, The Security Division of EMC

3 Highlights Welche Kenntnisse und Kompetenzen sind notwendig, um in einem weltweit tätigen Unternehmen die Risiken für Informationsressourcen zu managen? Deutlich mehr als noch vor wenigen Jahren. Besonders in den letzten 18 Monaten sind die Anforderungen enorm gestiegen, unter anderem bedingt durch sich häufende Cyberangriffe, die rasante Einführung neuer Technologien, eine verstärkte Überprüfung durch Regulierungsorgane und eine immer engmaschiger vernetzte Wirtschaftswelt. Bei der Informationssicherheit geht es nicht mehr nur um die Implementierung und Anwendung von Sicherheitsmaßnahmen. Diese Aufgabenstellung wurde nun vielmehr um umfangreiche technische und geschäftsorientierte Aufgaben erweitert: Geschäftsrisikoanalyse, Ressourcenbewertung, Integrität der IT-Lieferkette, Cyber-Intelligence, Analyse von Sicherheitsdaten, Data Warehousing und Prozessoptimierung. Das Anforderungsprofil hat sich deutlich erweitert und so ist es schwieriger geworden, ein effektives Team zusammenzustellen. Es fehlt schlicht an Personal mit geeigneten Kompetenzen. Aber auch Chancen ergeben sich, denn in vielen Unternehmen wächst unter den nicht mit Sicherheitsfragen betrauten Mitarbeitern die Erkenntnis, dass sie selbst und nicht nur die Sicherheitsabteilung für den Umgang mit den Risiken für ihre Informationsressourcen verantwortlich sind und dass sie aktiv mit der Sicherheitsabteilung zusammenarbeiten müssen, um diese Risiken zu managen. Informationssicherheit in Unternehmen kann nur erfolgreich sein, wenn alle Beteiligten an einem Strang ziehen und die Sicherheitsprozesse vollständig in die Geschäftsprozesse integriert sind. Das erweiterte Team setzt sich zusammen aus IT-Mitarbeitern, den Geschäftsbereichen sowie Abteilungen wie Beschaffung, Recht und Marketing. Das Kernteam für die Informationssicherheit überwacht und koordiniert alle damit verbundenen Maßnahmen und übernimmt Aufgaben, die Spezialwissen oder eine Zentralisierung erfordern. Die folgenden sieben Empfehlungen können als Hilfestellung für den Aufbau eines erstklassigen erweiterten Teams dienen, um die Risiken der Internetsicherheit wirksam zu managen, optimalen Nutzen aus den vorhandenen Personalmitteln zu ziehen und sicherzustellen, dass das Team über die erforderlichen neuen Kompetenzen und Kenntnisse verfügt. 1. Kernkompetenzen neu definieren und ausbauen: Das Kernteam sollte auf vier Hauptgebieten neue Kenntnisse erwerben: Internetrisikoanalyse und Sicherheitsdatenanalyse, Sicherheitsdatenmanagement, Risikoberatung sowie Entwicklung von Überwachungs- und Kontrollmaßnahmen. 2. Routinevorgänge delegieren: Delegieren Sie wiederholbare, gut etablierte Sicherheitsprozesse an die IT, die Geschäftsbereiche und/oder externe Serviceprovider. 3. Expertendienstleistungen leihen oder einkaufen: Erweitern Sie das Kernteam um Experten von innerhalb oder außerhalb des Unternehmens, um fehlende Spezialisierungen kurzfristig abzudecken. 4. Risikoeigentümer beim Risikomanagement anleiten: Unterstützen Sie das Unternehmen beim Management von Internetsicherheitsrisiken und sorgen Sie für einen konsistenten Ansatz. Geben Sie Hilfestellung und weisen Sie Verantwortlichkeiten zu. 5. Prozessoptimierungsspezialisten einstellen: Holen Sie Mitarbeiter mit Erfahrung bzw. Zertifizierungen in den Bereichen Qualitäts-, Projekt- oder Programmmanagement, Prozessoptimierung und Servicebereitstellung ins Team. 6. Schlüsselpersonen ins Boot holen: Sichern Sie sich Unterstützung und Gehör der Schlüsselpersonen in den wichtigsten Geschäftsbereichen, im mittleren Management sowie bei externen Serviceprovidern. 7. Quereinsteiger anwerben und ausbilden: Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Dafür eignen sich vor allem Quereinsteiger aus Fachgebieten wie Datenbankadministration, Softwareentwicklung, Geschäftsanalyse, militärische Aufklärung, Rechts- oder Datenschutzbeauftragte, Data Science, Mathematik oder Geschichte. RSA, The Security Division of EMC Security for Business Innovation Council-Report 1

4 1 Einführung: Teams im Wandel Noch vor wenigen Jahren stand in Informationssicherheitsabteilungen die Technik unverkennbar im Mittelpunkt. Es ging um Themen wie Perimetersicherung, Compliancechecklisten und Virenschutzupdates. Wenn Sie heute dieselben Abteilungen betreten, bietet sich ein grundlegend verändertes Bild. Teams bestehen jetzt aus fachübergreifenden Spezialistengruppen, zu denen Bedrohungsanalysten, Risikoberater, Data Scientists und Prozessexperten zählen. Dabei rücken Themen wie Geschäftsrisikomanagement, Datenanalyse, Controls Assurance und Serviceprovider-Governance zunehmend in den Vordergrund. Nicht alle Unternehmen sind in ihren Bemühungen in diese Richtung gleich weit fortgeschritten, die meisten haben jedoch erkannt, dass sie bei der Informationssicherheit neue Wege gehen müssen. In einer aktuellen Sicher- heitsumfrage wurde die grundlegende Neukonzeption der Informationssicherheitsprogramme sogar als zweitwichtigste Investitionspriorität bei weltweit tätigen Unternehmen genannt. 1 Punktuelle Lösungen oder inkrementelle Verbesserungen reichen nicht mehr aus. Wie aber sieht ein fortschrittliches Informationssicherheitsprogramm aus? Der vorliegende Report ist der erste in einer Fortsetzungsreihe, die sich mit der Umgestaltung und Modernisierung von Informationssicherheitsprogrammen in Unternehmen befasst und versucht, diese zentrale Frage mithilfe des Knowhows und Weitblicks einiger der weltweit führenden Informationssicherheitsexperten des Security for Business Innovation Council (SBIC) zu beantworten. Dieser erste Report handelt von den neuen Kompetenzen und Kenntnissen, die Unternehmen erwerben müssen, und zeigt auf, wie die Verantwortlichkeiten für die Informationssicherheit im Unternehmen verteilt sind. Er enthält spezifische und praxisorientierte Empfehlungen für den Aufbau eines erstklassigen erweiterten Teams. 1 E&Y Weltweite Umfrage zum Thema Informationssicherheit, November Security for Business Innovation Council-Report RSA, The Security Division of EMC

5 2 Die neue Leistungsbeschreibung I nformationssicherheit lässt sich nicht mehr auf die reine Implementierung und Anwendung von Maßnahmen beschränken. Zahlreiche neue Aufgaben sind mit der Zeit hinzugekommen. Und nur wenn das gesamte Aufgabenspektrum bekannt ist, lässt sich ein erstklassiges Team mit den jeweils fähigsten Mitarbeitern zusammenstellen. Welche Kenntnisse und Kompetenzen sind nötig, um in einem weltweit tätigen Unternehmen die Risiken für Informationsressourcen zu managen? Deutlich mehr als noch vor wenigen Jahren. Besonders in den letzten 18 Monaten sind die Anforderungen enorm gestiegen, unter anderem bedingt durch sich häufende Cyberangriffe, die rasante Einführung neuer Technologien, eine verstärkte Überprüfung durch Regulierungsorgane und eine immer engmaschiger vernetzte Wirtschaftswelt. Unternehmen stehen unter dem enormen Druck, aktiv gegen Internetsicherheitsrisiken vorzugehen. Diese Veränderung setzt neue Methoden für die Abwehr von immer komplexeren Bedrohungen voraus. Die Informationssicherheit muss dafür in die Geschäfts- und Technologiestrategien integriert werden und Sicherheitsprozesse müssen wirksam und effizient sein. Gefordert sind neue Kompetenzen auf technischer und geschäftlicher Seite, wie zum Beispiel: Informationsrisikomanagement/Geschäftsrisiken- Chancen-Analyse Systematisierung von Risiken-Chancen- Entscheidungen Sicherheitsdatenmanagement und Data Warehousing Entwicklung einer übergreifenden Strategie sowie einer Infrastruktur für die Erfassung von Daten aus verschiedenen Quellen und Nutzung dieser für verschiedene Zwecke, wie zum Beispiel Bedrohungserkennung, Kontrollenüberwachung und Compliance-Reporting Optimierung der Sicherheitsprozesse Formulierung einer Strategie zur Effizienzsteigerung der Sicherheitsprozesse Schnelle Anpassung der Kontrollen Nutzung neuer Methoden zur Anpassung der Sicherheitskontrollen als Reaktion auf Trends wie Cloud und Mobile Computing Ein zentraler Eckpfeiler der Teamstrategie ist die Festlegung einer Aufgabenbeschreibung. Erst danach können die einzelnen Aufgaben verteilt werden. In Tabelle 1 werden die Aufgaben der Informationssicherheit in modernen, führenden Unternehmen von den einfacheren bis hin zu den komplexeren Aktivitäten charakterisiert. Unternehmen mit einem konvergierten Programm können zusätzlich Aufgaben wie Betrugserkennung, ediscovery, Datenschutz, Produktqualität bzw. physische Sicherheitsmaßnahmen in die Aufgabenbeschreibung aufnehmen. In diesem Report beschäftigen wir uns ausschließlich mit den Informationssicherheitskomponenten und gehen auf die erforderliche Koordination mit anderen, zugehörigen Aktivitäten nur am Rande ein. Inventarisierung und Bewertung von Ressourcen Priorisierung von Sicherheitsstrategien und Konzentration auf den Schutz der Kronjuwelen Management von Fremdanbieterrisiken/Integrität der IT-Lieferkette Bewertung der wachsenden Zahl von weltweit bezogenen Dienstleistungen von Serviceprovidern bzw. verwendeten Systemkomponenten Internetrisikoanalyse und Bedrohungsanalyse Aufklärung über das Verhalten der gegnerischen Seite und Erkennen der typischen Anzeichen für einen Angriff Sicherheitsdatenanalyse Anwendung fortschrittlicher Analyseverfahren, die anormales System- oder Benutzerverhalten in IT-Umgebungen erkennen RSA, The Security Division of EMC Security for Business Innovation Council-Report 3

6 Die neue Leistungsbeschreibung Tabelle 1 Das veränderte Aufgabenprofil der Informationssicherheit Die Übersicht ist grob von den einfacheren zu den komplexeren Aktivitäten geordnet. Programmmanagement Festlegung einer Gesamtstrategie und Planung für das Informationssicherheitsmanagement- Programm Sicherstellen, dass das Programm die wichtigsten geschäftlichen Anforderungen des Unternehmens abdeckt Abstimmung mit ähnlichen Aufgaben wie Betrugserkennung, ediscovery, physische Sicherheit, Produktsicherheit und/oder Datenschutz Sicherheitsrichtlinie und -standards Entwicklung und Dokumentation der allgemeinen Leitlinien und Regeln, die festlegen, wie das Unternehmen beim Schutz von Informationen vorgeht Beschreibung aller administrativen, technischen und physischen Informationssicherheitskontrollen, die im Unternehmen verwendet werden (das Kontrollen-Framework), einschließlich Zugriffskontrollen, Verschlüsselung, Identifizierung und Authentifizierung, Konfigurationsmanagement, Überwachung, Auditprotokollierung, Anwendungssicherheit und Schulung (von Personal und Kunden) Beachtung der Anforderungen verschiedener Gesetze und Regulierungen (z. B. SOX, HIPAA, PCI) Sicherstellen, dass die Kontrollen agil sind und sich an neue Geschäfts- und Bedrohungsszenarien anpassen lassen Implementierung von Kontrollen Implementierung von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen und externen Umweltfaktoren Betrieb von Kontrollen Betrieb von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen und externen Umweltfaktoren Design von Kontrollen (Sicherheitsarchitektur) Entwicklung neuer Kontrollen oder neuer Wege zur Implementierung von Kontrollen unter Beachtung veränderter Geschäfts-, IT- und Bedrohungsszenarien Dies schließt Verfahren in der Anwendungsentwicklung, das Spezifizieren, Ausrollen, Anpassen und/oder Entwickeln neuer Sicherheitstechnologie sowie neue Anwendervereinbarungen und -verfahren ein Überprüfung von Kontrollen/Controls Assurance Bewertung aller Kontrollen, um sicherzustellen, dass sie den geltenden Richtlinien und Standards entsprechen Überprüfung aller Kontrollen auf Vorhandensein und korrekte Funktionsweise Sicherstellen, dass alle Kontrollen konsistent überwacht und attestiert werden Vorfallsbehandlung/ Ausfallsicherheit Koordinierung und Verwaltung der Reaktion des Unternehmens auf Sicherheitsvorfälle, einschließlich Business Continuity/Disaster Recovery Evaluierung der Risiken eines Programms, Prozesses, Projekts, einer Initiative oder eines Systems anhand von Merkmalen wie Informationswert, Datenbestand, möglichen Bedrohungen und Schwachstellen, Wahrscheinlichkeit einer Kompromittierung, Auswirkung auf das Unternehmen (z. B. Ruf, Umsatz, fehlende regulatorische Compliance) sowie geschätzte Verluste Informationsrisikobewertung Informationsrisikomanagement/Geschäftsrisiken- Chancen-Analyse Festlegung von Risikograden und Zuordnung der jeweiligen Risikoeigentümer; Festlegung autorisierter Risikoakzeptanzgrade Risikobewertung jedes einzelnen Programms, Prozesses, Projekts, Initiative oder System und anschließende Formulierung von Maßnahmen zur Risikominimierung sowie einer Korrekturstrategie Etablierung eines konsistenten Prozesses zur Abwägung von Informationssicherheitsrisiken gegen Geschäftschancen Festlegen der erforderlichen Kontrollen, um Risiken auf ein akzeptables Maß zu senken Integration der Informationsrisikomaßnahmen in das Risikomanagement-Framework bzw. -Programm des Unternehmens 4 Security for Business Innovation Council-Report RSA, The Security Division of EMC

7 Die neue Leistungsbeschreibung Inventarisierung und Bewertung von Ressourcen Aufstellung über den gesamten Bestand an Geschäftsprozessen, vertraulichen Daten und Informationssystemen, die ein Unternehmen verwendet Erstellung einer ausführlichen Dokumentaktion zu den Geschäftsprozessen mit Abbildung des Datenflusses, um schützenswerte Prozesse und Daten zu ermitteln und Sicherheitsstrategien zu entwickeln Ermittlung der privilegierten Benutzer im erweiterten Unternehmen, die Zugriff auf wichtige Systeme haben Ermittlung des Werts von Ressourcen zur Priorisierung von Sicherheitsstrategien Management von Fremdanbieterrisiken/ Integrität der IT- Lieferkette Durchführung einer Risikoevaluierung, bevor das Unternehmen eine Beziehung zu einem Fremdanbieter eingeht Entwicklung eines Due-Diligence-Prozesses zur Bewertung von Anbietern, Partnern und Zulieferern Regelmäßige Evaluierung der Risiken, die mit der Geschäftstätigkeit mit Anbietern, Partnern und Zulieferern verbunden ist Verstehen der IT-Lieferkette und Evaluierung der Sicherheit von Hardware und Software, die in der IT-Umgebung des Unternehmens zum Einsatz kommt Effizienzsteigerung durch gemeinsame Bewertungen und laufende Überwachung der Kontrollen Internetrisikoanalyse und Bedrohungsanalyse Verstehen der gegnerischen Seite in Bezug auf die Unternehmensressourcen (Identität, Kompetenzen, Motivationen, Ziele) Sammeln von sicherheitsrelevanten Informationen über Bedrohungen für das Unternehmen Verwalten der Quellen dieser sicherheitsrelevanten Informationen, Interpretieren von Daten, Durchführen von Analysen und Erstellen von Bedrohungsanalysereports und Warnmeldungen Integration eines Bedrohungsmodells sowie von Informationen in den gesamten Sicherheitsmanagementprozess und -lebenszyklus Sicherheitsdatenanalyse Nutzung fortschrittlicher Analysetechniken und Data Science zur Analyse von Sicherheitsdaten unter Einbeziehung der gesammelten Informationen Entwicklung von Abfragen, Algorithmen und Datenmodellen zur Erkennung oder Vorhersage böswilliger Aktivitäten Sicherheitsdatenmanagement und Data Warehousing Entwicklung einer Datenmanagementstrategie und Infrastruktur zur Sammlung und Analyse von Sicherheitsdaten aus verschiedenen Quellen (Sicherheitssysteme, Datenbanken, Anwendungen, Bedrohungsfeeds) zu verschiedenen Zwecken (z. B. Bedrohungserkennung, Risikomanagement und Compliance in Unternehmen, laufende Kontrollenüberwachung) Erstellen eines Data Warehouse für Sicherheitsdaten Optimierung der Sicherheitsprozesse Konsistente Nachverfolgung und Messung der Effizienz von Sicherheitsprozessen und Umsetzung von Verbesserungen mithilfe definierter Qualitätsmanagement-, Projektmanagement- und Servicebereitstellungsmethodologien Langfristige Planung Beobachtung zukünftiger Trends im Unternehmen, der Technologie und Regulierung, um proaktive Sicherheitsstrategien formulieren zu können. Dazu gehören zum Beispiel technische Entwicklungen wie das Internet der Dinge oder Wearable-Geräte, die neue Sicherheitsprobleme mit sich bringen RSA, The Security Division of EMC Security for Business Innovation Council-Report 5

8 3 Herausforderungen und Chancen D ie Zusammenstellung eines leistungsfähigen Informationssicherheitsteams ist mit einer Reihe aktueller Herausforderungen verbunden: Es fehlt an Fachwissen, gute Mitarbeiter lassen sich nur schwer halten Spezialisten für das Sicherheits- und Geschäftsrisikomanagement sind sehr gefragt Knappe Budgets Sicherheitsteams sind bereits voll ausgelastet Der Vorstand erwartet Mitarbeiter mit Geschäftssinn Weil die Informationssicherheit mehr und mehr in den Mittelpunkt der Geschäftsstrategie rückt, wird von Sicherheitsspezialisten heute auch unternehmerisches Wissen verlangt Es ergeben sich aber auch neue Chancen: Das Bewusstsein wächst Vom einfachen Anwender bis zur Führungsebene wächst das Bewusstsein für Sicherheitsfragen. Diese Entwicklung ist unter anderem der verstärkten Präsenz in den Medien, persönlichen Erfahrungen mit Internetangriffen oder dem Druck durch die Regulierungsorgane geschuldet. Das gesamte Unternehmen übernimmt Risikoverantwortung In vielen Unternehmen zeichnen sich umwälzende Veränderungen ab, denn unter den nicht mit Sicherheitsfragen betrauten Mitarbeitern wächst die Erkenntnis, dass sie selbst und nicht nur die Sicherheitsabteilung für den Umgang mit den Risiken für ihre Informationsressourcen verantwortlich sind und dass sie aktiv mit der Sicherheitsabteilung zusammenarbeiten müssen, um diese Risiken zu managen. Sicherheitsberufe sind zunehmend gefragt Das Spektrum der Informationssicherheit weitet sich auf neue Aspekte wie Geschäftsrisikoanalyse, Cyber-Intelligence und Data Science aus und wird damit interessanter. Immer neue Nachrichtenmeldungen und Hollywood- Darstellungen von Sicherheitsspezialisten, die das Netz vor den unterschiedlichsten Bedrohungen bewahren, sorgen für Aufmerksamkeit und steigern das Interesse an diesem Berufsfeld. Dave Martin Vice President und Chief Security Officer, EMC Corporation Er ist wirklich erstaunlich. Früher herrschte bei uns die Einstellung: Ihr Sicherheitsleute steht uns im Weg, muss das denn sein?. Inzwischen nutzen die Unternehmenseinheiten unsere zentralen Beratungsservices, um Strategien für die Risikoreduzierung umzusetzen. Das ist immer häufiger der Fall, da den Unternehmenseinheiten klar wird, dass sie ihre Risiken selbst managen müssen und sich dabei nicht auf andere verlassen oder den Kopf in den Sand stecken können. Angebot und Reichweite von Serviceprovidern wachsen Der Markt reagiert auf die neuen Anforderungen, wodurch Unternehmen nun leichter externe Sicherheitsserviceprovider beauftragen können, um Kosten zu senken, Spezialwissen zu nutzen, Unterstützung bei der Bewältigung des Arbeitsaufwands oder unabhängige Bewertungen zu erhalten. 6 Security for Business Innovation Council-Report RSA, The Security Division of EMC

9 4 Empfehlungen I nformationssicherheit in Unternehmen kann nur erfolgreich sein, wenn alle Beteiligten an einem Strang ziehen und die Sicherheitsprozesse vollständig in die Geschäftsprozesse integriert sind. Das erweiterte Informationssicherheitsteam kann aus folgenden Beteiligten bestehen: Personal, das mit der IT-Implementierung und dem Betrieb der Sicherheitskontrollen zuständig ist Risikomanager in den einzelnen Geschäftsbereichen, die mit dem Ausräumen von Risiken beschäftigt sind Mitarbeiter aus dem Einkauf, die Anbieterüberprüfungs- und Risikobewertungsprotokolle anwenden, um Zulieferer zu evaluieren Die Datenschutzstelle, die für die Kontrolle der Einhaltung von Regulierungen zuständig ist Marketingmitarbeiter, die in den Social Media nach Hinweisen auf mögliche Gefahren suchen Das Kernteam für die Informationssicherheit überwacht und koordiniert alle damit verbundenen Maßnahmen und übernimmt Aufgaben, die Spezialwissen oder eine Zentralisierung erfordern. Einige Mitarbeiter, die für Sicherheitsaufgaben außerhalb des Kernteams zuständig sind, können direkt oder fachlich unterstellt sein; andere orientieren sich möglicherweise an Sicherheitsstandards oder Service- Level-Agreements (SLAs). Tabelle 2 im Anhang illustriert die Aufgabenverteilung in einem erweiterten Team, bestehend aus dem Kernteam für Informationssicherheit, der IT, den einzelnen Unternehmensbereichen und den Serviceprovidern. Die nachfolgenden Empfehlungen dienen als Anleitung für den Aufbau eines erstklassigen erweiterten Teams mit dem Ziel, Sicherheitsrisiken effektiv zu managen und die vorhandenen Personalressourcen optimal auszunutzen. Je nachdem, wie weit ein Unternehmen in diesem Prozess bereits gediehen ist, kann dieser Leitfaden zur anfänglichen Planung, zur Überprüfung des gewählten Ansatzes oder zur Beschleunigung der Umsetzung in bestimmten Bereichen verwendet werden. Kernkompetenzen neu definieren und ausbauen Routinevorgänge delegieren Expertendienstleistungen leihen oder einkaufen Risikoeigentümer beim Risikomanagement anleiten Prozessoptimierungsspezialisten einstellen Schlüsselpersonen ins Boot holen Quereinsteiger anwerben und ausbilden 1. Kernkompetenzen neu definieren und ausbauen In führenden Unternehmen sind die für die Informationssicherheit zuständigen Kernteams aktuell bemüht, ihre Kenntnisse auf den folgenden Gebieten zu erweitern: Internetrisikoanalyse und Sicherheitsdatenanalyse, Sicherheitsdatenmanagement, Risikoberatung sowie Entwicklung von Überwachungsund Kontrollmaßnahmen. Je nach Größe des Kernteams bzw. Spezialisierungsgrad sind einzelne Mitglieder für spezifische Aufgaben oder für mehrere Bereiche zuständig. Für jeden Bereich sind verschiedene Kompetenzen erforderlich, die Teammitglieder häufig erst erlernen müssen. Ab diesem Punkt muss entweder das vorhandene Personal durch entsprechende Schulungen mit den erforderlichen Kompetenzen ausgestattet werden, oder das Kernteam muss neue Mitglieder aufnehmen bzw. Dienstleistungen von externen Serviceprovidern einkaufen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 7

10 Empfehlungen 1. Internetrisikoanalyse und Sicherheitsdatenanalyse Angesichts des wachsenden Bedrohungspotenzials müssen die meisten Unternehmen auf der Welt ihre Bedrohungserkennung verbessern und dafür einen informationsorientierten Ansatz (vgl. SBIC-Report Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security) entwickeln. Dieser Ansatz umfasst im ersten Schritt das Sammeln und Zusammenführen von Cyber-Intelligence-Daten, die aus internen (z. B. Sensoren in IT-Systemen und Geschäftsanwendungen) sowie externen Quellen (z. B. Bedrohungsfeeds von staatlichen Stellen oder kommerziellen Anbietern) stammen. Im zweiten Schritt werden diese Daten dann mithilfe leistungsfähiger Verfahren analysiert, um Angriffsindikatoren oder anormale Verhaltensmuster herauszufiltern. Das Kernteam sollte dann die Möglichkeit haben, das gesamte Unternehmen auf sicherheitsrelevante Situationen aufmerksam zu machen. Für die Ermittlung relevanter Datenquellen und die Durchführung aussagekräftiger Analysen muss über die wahre Beschaffenheit der Geschäftsumgebung, die zu schützenden Ressourcen und die möglichen Internetbedrohungen absolute Klarheit herrschen. Einige Sicherheitsteams nutzen bereits Big Data-Technologien, um Angriffe nicht nur zu erkennen, sondern auch vorherzusagen. Zentrale Soft Skills: Internes und externes Networking zur Ermittlung guter Quellen von sicherheitsrelevanten Informationen, Kommunikationsfähigkeit zur Erstellung von Reports und Präsentation von Sicherheitseinweisungen Zentrale Prozesskompetenzen: Entwicklung eines End-to-End-Informationserfassungsprozes ses, einschließlich der Gewinnung und Filterung von Daten, der Durchführung von Analysen, Kommunikation der Ergebnisse, des Treffens einer Risikoentscheidung und des Ergreifens von Maßnahmen Zentrale technische Kompetenzen: Analyse (Herstellen von Verbindungen zwischen scheinbar unverbundenen Daten), Datenanalyseverfahren und Data Science 2. Sicherheitsdatenmanagement Unternehmen, die zur Erkennung von Bedrohungen auf die Datenanalyse setzen, haben erkannt, dass sie eine übergeordnete Strategie und Infrastruktur für das Management von Sicherheitsdaten benötigen. Zu diesem Zweck müssen Sicherheitsdaten aus der gesamten IT-Umgebung zusammengestellt werden, unter anderem Protokolle, komplette Paketdatenströme und unstrukturierte Daten aus Systemen, Datenbanken und Geschäftsanwendungen. Diese Daten können außerhalb der Bedrohungserkennung zum Beispiel für das Unternehmensrisikomanagement, die Compliance und die ständige Kontrollenüberwachung verwendet werden. Zentrale Soft Skills: Schnittstelle zur IT und zum Unternehmen, einschließlich der Unternehmensdatenmanagement-Architekten Zentrale Prozesskompetenzen: Abbildung der Sicherheitsdatenflüsse in der gesamten IT-Umgebung des Unternehmens Zentrale technische Kompetenzen: Zentrale IT- Kompetenzen in den Bereichen Speicherarchitektur, Verarbeitungsarchitektur, Datenbankschema, Normalisierung und Umgang mit Netzwerkengpässen 3. Risikoberatung Das Kernteam berät das Unternehmen hinsichtlich des Risikomanagements von Informationsressourcen, einschließlich jener, die mit Sicherheit, Datenschutz und rechtlichen Fragen, regulatorischer Compliance und ediscovery in Zusammenhang stehen. Das Kernteam muss die Geschäftsprozesse genauestens kennen. Bei der Risikobewertung, der Einschätzung des Wertes von Ressourcen und der Festlegung von Strategien zur Risikominimierung muss das Team mit den verschiedenen Stakeholdern zusammenarbeiten und es muss dafür sorgen, dass bei Projektstarts Risikobesprechungen durchgeführt werden. Zahlreiche Risiken entstehen erst durch die Zusammenarbeit mit Fremdanbietern. Globale Sourcing- und Cloud-Computing-Strategien haben dafür gesorgt, dass Unternehmen Aufgaben verstärkt an Serviceprovider auslagern und mit neuen Geschäftspartnern und Zulieferern zusammenarbeiten. Das Know-how um effiziente und effektive Due-Diligence- Das Fachwissen des Kernsicherheitsteams sollte vor allem dafür eingesetzt werden, zu beraten, die Richtung vorzugeben, die Strategie voranzutreiben, Risiken zu ermitteln und dem Unternehmen zu erklären, Bedrohungen zu verstehen und das Unternehmen voranzubringen und nicht auf Routineaufgaben verschwendet werden. Bob Rodger Group Head of Infrastructure Security, HSBC Holdings plc. 8 Security for Business Innovation Council-Report RSA, The Security Division of EMC

11 Empfehlungen Verfahren für Fremdanbieter, laufende Bewertungen und die Evaluierung von Hardware und Software rückt daher als zentrale Fähigkeit in den Vordergrund. Zentrale Soft Skills: Führungsstil, internes Networking, um das Bewusstsein für Geschäftsstrategien auszubauen, Kommunikation (Zuhören, verbale Ausdrucksfähigkeit, Führen schwieriger Gespräche, Beachten auch kleiner kultureller und unternehmensspezifischer Unterschiede) Zentrale Prozesskompetenzen: Zuordnung und Dokumentation von Geschäftsprozessen, Frameworks für das Risikomanagement, Protokolle zur Bewertung von Fremdanbieterrisiken und Controls Assurance (einschließlich gemeinsamer Bewertungen), Managen ausgelagerter Serviceprovider und Lieferkettencommunitys Zentrale technische Kompetenzen: Risikoevaluierung, Messung vielfältiger Risiken und unterschiedlicher Risikobereitschaft innerhalb eines Unternehmens anhand einer standardisierten Methode, Automatisierung von Risikomanagement und Anbieterbewertung, fortlaufende Überwachung der Kontrollen 4. Design von Kontrollen und Controls Assurance Zu den zentralen Aufgaben des Kernteams sollte das Designen innovativer, auf die Geschäftsziele ausgerichteter Kontrollen ebenso gehören wie das Erarbeiten fortschrittlicher Testverfahren für die Controls Assurance. Dies umfasst auch das Recherchieren, Entwickeln, Evaluieren und Bereitstellen neuer Sicherheitstechnologien. Kontrollanalysten müssen nicht nur dafür sorgen, dass das gesammelte Beweismaterial belegt, dass Kontrollen wie vorgesehen greifen, sondern auch dafür, dass diese optimal gegen neueste Bedrohungen geschützt sind und die Agilität des Unternehmens nicht beeinträchtigen. Zentrale Soft Skills: Umsetzung von Unternehmensund Complianceanforderungen in Sicherheitsanforderungen unter Berücksichtigung der Enterprise- Architektur Zentrale Prozesskompetenzen: Dokumentation des Kontroll-Frameworks des Unternehmens, Entwicklung von Protokollen zur Bewertung und Belegung der Kontrollen Zentrale technische Kompetenzen: Sicherheitsarchitektur, Anwendungs-, mobile und Cloudsicherheit, fortlaufende Überwachung der Kontrollen, erweiterte Tests und Analysen der Sicherheitskontrollen 2. Routinevorgänge delegieren Sicherheitsteams bevorzugen es in der Regel, alles selbst zu machen. Doch das muss sich ändern. Denn durch Delegieren von Routinesicherheitsvorgängen an andere interne Gruppen oder externe Serviceprovider kann das Kernteam sich darauf konzentrieren, proaktiver und strategischer zu handeln und so das vorhandene technische Fachwissen und Potenzial für unternehmerisches Risikomanagement voll auszuschöpfen. Zudem können gute Serviceprovider dank ihrer Skalierbarkeit und Spezialisierung nicht nur kostengünstiger, sondern auch qualitätsbewusster arbeiten. Gerade wiederholbare, etablierte Prozesse eignen sich für das Delegieren. So können beispielsweise Gruppen in der IT oder Managed-Security-Serviceprovider (MSS- Ps) mit dem Betreiben von Firewalls, Authentifizierung, Intrusion-Prevention-Systemen und/oder Antivirussoftware betraut werden. Überlassen Sie das Bereitstellen von Benutzerzugriffen auf der Anwendungsebene und die Administration von Benutzerkonten den einzelnen Unternehmenseinheiten. Schulen Sie Entwickler in der Anwendungssicherheit und statten Sie sie mit Tools zur Ermittlung von Schwachstellen aus. Ziehen Sie für das Scannen und Tests Security-as-a-Service in Betracht. Auch wenn das Kernteam Aufgaben delegiert, muss es weiterhin über angemessene Befehls- und Kontrollgewalt verfügen. Dies kann mithilfe von umfassenden Anforderungen, Standards und SLAs erreicht werden. Um eine effektive Aufsicht zu ermöglichen, muss das Kernteam außerdem über ausreichendes technisches Sicherheitsfachwissen sowie über Kompetenzen im Bereich des Anbietermanagements verfügen. Unternehmen, die die Sicherheit nicht an Fremdanbieter vergeben möchten, können häufig vergleichbare Ergebnisse erzielen, indem sie sie an interne IT-Gruppen auslagern. Unabhängig von der Art des gewählten Serviceproviders ist jedoch dasselbe Maß an Aufsicht erforderlich. Das Kernteam sollte regelmäßig evaluieren, welche Aufgaben effizienter und kostengünstiger von anderen erledigt werden können. So kann zum Beispiel das Kernteam zunächst die Bereitstellung und den Betrieb neuer Sicherheitstechnologien übernehmen, nachdem diese zum Standard geworden sind, den laufenden Betrieb jedoch delegieren. RSA, The Security Division of EMC Security for Business Innovation Council-Report 9

12 Empfehlungen 3. Expertendienstleistungen leihen oder einkaufen Ein häufiges Problem ist, dass das Kernteam in bestimmten Bereichen nicht über das nötige Fachwissen verfügt. Hier können Experten von außerhalb der Sicherheitsabteilung Abhilfe schaffen. Einige Sicherheitsteams setzen zum Beispiel Datenanalysemitarbeiter ein, die von Serviceprovidern oder anderen Abteilungen des Unternehmens (z. B. Betrug oder Marketing) bereitgestellt werden. Big Data ist zwar im Bereich der Sicherheit ein noch neues Konzept, doch andere Unternehmensbereiche verfügen über langjährige Erfahrung mit Datenanalyseverfahren. Wenn es nicht realistisch oder einfach zu teuer ist, bestimmte Experten in Vollzeit verfügbar zu halten dies kann zum Beispiel bei Spezialisten in der Schadsoftwareforensik oder Analysten aus dem Bereich Internetbedrohungen der Fall sein, können sich Unternehmen bei Bedarf auch an externe Serviceprovider wenden. So können Kernteams bei Bedarfsspitzen oder im Falle eines Ausscheidens von Teammitgliedern zusätzliche Fachkräfte heranziehen. Auch die Partnerschaft mit einem Anbieter von Sicherheitsberatung, der vielfältige, hochqualifizierte Sicherheitsfachkräfte auf Honorarbasis zur Verfügung stellt, ist eine Überlegung wert. Sie erweitern nicht nur die Kompetenzen des Kernteams, sondern können auch eine unvoreingenommene Sichtweise bieten. Für das Lösen besonders komplexer Probleme ist es häufig sinnvoll, Fachpersonal etwa einen auf eine bestimmte Technologie spezialisierten Berater für Sicherheitsarchitektur heranzuziehen. Berücksichtigen Sie jedoch, dass das Kernteam selbst über die erforderlichen Kompetenzen verfügen muss, um ausgelagertes Fachwissen anzuwenden. Wenn mir eine wichtige Kompetenz fehlt, baue ich sie auf oder kaufe sie ein. Ob man sie aufbaut oder einkauft ist eine Frage, die anhand der Total Cost of Ownership entschieden werden sollte. Bei einigen Kompetenzen kann es sinnvoller sein, an einen Serviceprovider heranzutreten. Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson 4. Risikoeigentümer beim Risikomanagement anleiten Normalerweise übernehmen Senior Manager innerhalb des Unternehmens Verantwortung für Risikomanagemententscheidungen, die sich aus Initiativen wie der Markteinführung neuer Produkte oder Services, Programmen wie BYOD, Informationsressourcen wie Websites für Kunden und Unternehmensprozessen wie der Finanzberichterstattung ergeben. Da sich Unternehmensleitungen zunehmend ihrer Verantwortung dafür bewusst sind, die mit der Internetsicherheit einhergehenden Risiken zu managen, entscheiden sich jedoch auch immer mehr Unternehmen für Risikomanager für Informationssicherheit in den Unternehmenseinheiten, die für die Risikobeseitigung zuständig sind. Aufgabe des Kernteams ist es, die Aktivitäten im Bereich Informationsrisikomanagement zu steuern und die Internetsicherheitsrisiken gemeinsam mit dem Unternehmen zu managen. Dies umfasst unter anderem das Koordinieren eines einheitlichen Ansatzes bei der Identifizierung, Bewertung, Reduzierung, Beseitigung und dem Reporting von Risiken, das Abwägen von Risiken und Chancen, Entscheidungen über das Maß an Risikobereitschaft und -akzeptanz sowie das Einbeziehen des Informationsrisikos in das gesamte Programm für das Unternehmensrisikomanagement. Zentrale Ziele sind, das Risikomanagement für das Unternehmen zu vereinfachen und es gleichzeitig dafür in die Pflicht zu nehmen, indem Selfservicetools bereitgestellt, das Risikomanagement in die Unternehmensprozesse integriert und Automatisierung implementiert werden. Bisher hat sich das Team für Informationssicherheit eher auf die Technologie konzentriert. Doch die Zusammenarbeit mit dem Unternehmen spielt eine immer größere Rolle, um dessen Anforderungen in der Sicherheitsabteilung zu berücksichtigen und umgekehrt die Sicherheitsperspektive in das Unternehmen zu tragen. Felix Mohan Senior Vice President und Global Chief Information Security Officer, Airtel 10 Security for Business Innovation Council-Report RSA, The Security Division of EMC

13 Empfehlungen 5. Prozessoptimierungsspezialisten einstellen Prozesskenntnisse sind längst zu einem wichtigen Bestandteil moderner Teams geworden. Ihr Ziel sollten Teammitglieder sein, die über Erfahrung in den Bereichen Qualitäts-, Projekt- bzw. Prozessmanagement, Prozessoptimierung und Servicebereitstellung verfügen und im Bereich Sicherheit geschult werden können. Ziehen Sie Mitarbeiter in Betracht, die über Qualifikationen in den Bereichen Six-Sigma-Prozessverbesserung, IT- Servicemanagement (ITSM), COBIT-IT-Governance und/oder TOGAF-Unternehmensarchitektur verfügen. Einigen Kernteams gelingt es, Prozess- oder Programmmanagementexperten aus anderen Bereichen des Unternehmens zum Beispiel der Qualitätsabteilung oder dem Enterprise Program Office abziehen. Mit Prozesskenntnissen im Team können Sie den wachsenden Anforderungen an Prozessverbesserungen Rechnung tragen. Aufgrund der Bedrohungslandschaft streben zum Beispiel einige Unternehmen ein Patching aller kritischen Systeme innerhalb von Stunden statt von Wochen an. Unternehmenseinheiten möchten die Auswirkungen der Sicherheit auf Geschäftsprozesse reduzieren, Reibungspunkte für Endanwender und Serverausfallzeiten minimieren. Regulierungsorgane fordern engmaschigere Kontrollen für den Informationszugriff, z. B. die Sperrung abgelaufener Berechtigungen innerhalb von Minuten, nicht von Tagen. Zunehmend wird von der Sicherheitsabteilung erwartet werden, dass sie die Produktivität von Sicherheitsinvestitionen misst und langfristig auch quantifizierbare Verbesserungen vorweisen kann. Hierzu gehören auch Prozesswiederholbarkeit, -flexibilität und -skalierbarkeit. Ermitteln Sie vor einem größeren Internetprojekt Ihre kritischen Serviceprovider und bauen Sie eine solide Beziehung zu ihnen auf. Geben Sie Angreifern keine Chance, sich zu verstecken, indem Sie dafür sorgen, dass die Sicherheitsstandards im gesamten Ökosystem eingehalten werden. William Boni Corporate Information Security Officer (CISO), Vice President, Enterprise Information Security, T-Mobile USA Es gibt einen wesentlichen Eckpfeiler unserer Sicherheitsabteilung und der lautet Vorschriften zählen. Unsere Prozesse müssen genauestens dokumentiert und geprüft werden. Wie können wir sie effizienter machen? Und effektiver? Haben wir etwas übersehen? Man benötigt Mitarbeiter mit erstklassiger Prozess- und Qualitätserfahrung, um die Unternehmensführung zu überzeugen. Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation 6. Schlüsselpersonen ins Boot holen Enge Beziehungen zu allen Beteiligten innerhalb des Unternehmens sind für das Kernteam unerlässlich, um sich die Kooperation einer wachsenden Anzahl von Mitarbeitern mit Sicherheitsverantwortung zu sichern, ein gemeinschaftliches Umfeld zu schaffen und dafür zu sorgen, dass Mitglieder des erweiterten Teams ihre Aufgaben verstehen und ausführen. Das Kernteam muss alle Unternehmensbereiche und -ebenen einbeziehen. Es muss sich für eine Einflussnahme auf Schlüsselpersonen positionieren z. B. auf diejenigen, die über Technologieinvestitionen und strategische Unternehmensentscheidungen entscheiden. Zu den wichtigsten Beziehungen gehören zweifellos jene zu den Hütern der Kronjuwelen des Unternehmens etwa den Datasets und Geschäftsprozessen mit geistigem Eigentum oder proprietären Daten. Eine wichtige Rolle spielt auch die Beziehung zum mittleren Management, mit dessen Unterstützung sehr viel erreicht werden kann. Auch Provider, die das Outsourcen von Geschäftsprozessen anbieten (Business Process Outsourcing, BPO) sollten Sie gezielt für sich gewinnen. Das Kernteam sollte ein starkes Netzwerk aus Sicherheitsexperten bei BPOs schaffen und gemeinsam mit ihnen für hohe Sicherheitsstandards und Informationsweitergabe innerhalb der gesamten Community sorgen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 11

14 7. Quereinsteiger anwerben und ausbilden Obwohl das Interesse an der Informationssicherheit steigt, wird es kurzfristig zu Engpässen bei Fachkräften mit sofort einsetzbaren Kompetenzen in den Bereichen Internetsicherheit und Risikoberatung kommen. Qualifizierte Mitarbeiter mit Know-how über neue Sicherheitstechnologien zu finden, stellt eine besonders große Herausforderung dar. Als Übergangslösung wenden sich einige Unternehmen an MSSPs, da das Beschaffen und/ oder Binden von Mitarbeitern mit bestimmten technischen Kompetenzen ein Problem darstellt. Sicherheitsteams benötigen außerdem Fachkräfte, die neben technischem Fachwissen auch die Fähigkeit mitbringen, produktive Gespräche mit wichtigen Stakeholdern zu führen. Eine langfristige Strategie für die Personalbeschaffung ist für den Aufbau eines effektiven Sicherheitsteams unerlässlich. Arbeiten Sie mit den Geschäftseinheiten und der Personalabteilung zusammen, um die Anforderungen an und mögliche Quellen für qualifizierte Mitarbeiter zu evaluieren. Unternehmen stellen zunehmend Mitarbeiter ohne Sicherheitserfahrung ein, die jedoch über wertvolle Kompetenzen verfügen und im Sicherheitsbereich geschult werden können. Eine Möglichkeit ist es, eine interne Akademie für Internetsicherheit ins Leben zu rufen. Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Eine weitere kann sein, einzelne Teammitglieder beim Absolvieren externer Schulungen und dem Erwerb externer Qualifikationen zu unterstützen und/oder Mentoringprogramme einzurichten. Neben Berufseinsteigern können auch interne Mitarbeiter aus der IT oder anderen Bereichen geworben werden, die sich für eine berufliche Laufbahn im Sicherheitsbereich interessieren. Sie sind häufig die beste Wahl, da sie mit dem Unternehmen und bestehenden Netzwerken vertraut sind. Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Seien Sie bei der Suche nach Mitarbeitern, die für Sicherheitspositionen geschult werden könnten, aufgeschlossen. Es gibt viele Quereinsteiger mit geeigneten Kompetenzen, darunter Datenbankadministration, Softwareentwicklung, Unternehmensanalyse, militärische Aufklärung und Rechts- oder Datenschutzbeauftragte. Es gibt Kernteams, die in letzter Zeit Data Scientists eingestellt haben, die bisher in der DNA-Sequenzierung tätig waren. Mitarbeiter mit theoretischem Wissen in Bereichen wie Ökonometrie oder Mathematik können ihre praktischen technischen Kompetenzen ausbauen. Solche mit einem Werdegang in den Bereichen Geschichte oder Journalismus bringen exzellente Recherchekompetenzen mit. Wenn man Mitarbeitern zu begehrten Sicherheitskompetenzen verhilft, stellt die Mitarbeiterbindung eine große Herausforderung dar. Deshalb ist es wichtig, jedem Mitglied des Teams eine absehbare und attraktive berufliche Laufbahn und eine marktübliche Vergütung zu bieten. Bei neuen Mitarbeitern für das Unternehmen sollten Sie unbedingt Wert auf Gedankenvielfalt legen. Das war noch nie so wichtig, weil sich das Unternehmen schneller verändert, als die Sicherheit reagieren kann und zur Lösung dieser Probleme ist Innovation gefragt. Jerry R. Geisler III Office of the Chief Information Security Officer, Walmart Stores Inc. Viele Unternehmen arbeiten außerdem mit Universitäten zusammen, um die Verfügbarkeit qualifizierter Sicherheitsmitarbeiter längerfristig zu sichern. Konkret kann dies das Schaffen von Führungsentwicklungsprogrammen, das Beeinflussen von Lehrplänen, um sie an die Branchenanforderungen anzupassen, oder das Anbieten von Praktikums-/Kooperationsmöglichkeiten umfassen. Informationsprogramme an Universitäten und sogar Gymnasien können helfen, mögliche Nachwuchskräfte für eine Laufbahn in der Internetsicherheit zu interessieren. 12 Security for Business Innovation Council-Report RSA, The Security Division of EMC

15 Zusammenfassung Teams für Informationssicherheit befinden sich im Wandel, um den Anforderungen gerecht zu werden, die sich aus zunehmend schwierigeren Unternehmensumgebungen, Bedrohungslandschaften und Regulierungsbedingungen ergeben. Ein wachsendes Bewusstsein für Sicherheitsprobleme ermöglicht eine Neupositionierung der Informationssicherheit innerhalb von Unternehmen weg von einem technischen Silo hin zu einer wirklich gemeinschaftlichen Anstrengung. Unternehmen wird außerdem zunehmend bewusst, dass die Einhaltung von Sicherheitsanforderungen ein größeres Augenmerk auf Prozesse erfordert. Effektive Sicherheitsteams verfügen heute über ein klares Verständnis der Geschäftsprozesse und der Bedeutung guter Sicherheitsprozesse für die Erfüllung ihres Mandats. Im nächsten Report dieser dreiteiligen Fortsetzungsreihe über den Wandel in der Informationssicherheit beschäftigen wir uns damit, wie führende Unternehmen Prozesse überdenken und optimieren. Im dritten Report gehen wir auf die Frage ein, wie neue Technologien in ein modernes Programm für Informationssicherheit auf der Basis eines kreativen und vorausschauenden Teams passen. Informationen zur Security for Business Innovation Council Initiative Geschäftliche Innovationen stehen längst auf der Prioritätenliste der meisten Unternehmen ganz oben, da Geschäftsführungen das Potenzial von Globalisierung und Technologie für die Schaffung neuer Werte und Effizienzen nutzen möchten. Und doch wird ein wichtiges Bindeglied übersehen. Obwohl Informationen und IT-Systeme treibende Kräfte für geschäftliche Innovationen darstellen, wird der Schutz von Informationen und IT-Systemen in der Regel nicht als strategisch erforderlich betrachtet und das, obwohl Unternehmen zunehmend mit Regulationsdruck und eskalierenden Bedrohungen zu kämpfen haben. Die Informationssicherheit ist häufig ein nachträglicher Einfall, der erst am Ende eines Projekt oder unter Umständen gar nicht berücksichtigt wird. Doch ohne eine gute Sicherheitsstrategie können geschäftliche Innovationen im Keim erstickt werden oder aber das Unternehmen kann großen Risiken ausgesetzt sein. RSA ist der Meinung, dass Sicherheitsteams, die echte Partner im Prozess für geschäftliche Innovationen sind, ihren Unternehmen zu beispiellosen Ergebnissen verhelfen können. Die Zeit ist reif für einen neuen Ansatz: Sicherheit muss mehr sein als ein technisches Spezialgebiet nämlich eine Unternehmensstrategie. Obwohl die meisten Sicherheitsteams längst erkannt haben, dass sie Sicherheit und Unternehmen besser aufeinander abstimmen müssen, fällt es vielen nach wie vor schwer, diese Erkenntnis in konkrete Maßnahmenpläne zu überführen. Sie kennen das Ziel doch wie sie es erreichen sollen, wissen viele nicht. Deshalb arbeitet RSA mit einigen der weltweit wichtigsten Experten aus dem Sicherheitsbereich zusammen, um den branchenweiten Dialog zur Lösung dieses Problems zu fördern. RSA hat den Security for Business Innovation Council, eine Gruppe äußerst erfolgreicher Sicherheitsverantwortlicher aus Global-1000-Unternehmen der verschiedensten Branchen, einberufen. Wir führen detaillierte Befragungen mit dem Council durch, veröffentlichen seine Ideen in einer Reportreihe und fördern unabhängige Forschungen in diesen Themenbereichen. Die Reports und Informationen zu den Forschungen finden Sie auf Gemeinsam können wir diesen wichtigen Wandel in der Branche voranbringen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 13

16 A Anhang Aufbau eines erstklassigen erweiterten Informationssicherheitsteams Tabelle 2 Geschäftsführung und Vorstand beaufsichtigen das Programm Team- mitglieder Kerninformationssicherheit IT Unternehmen Serviceprovider ( häufiger Einsatz) Breites Angebot an Spezialisten Mitarbeiter können mehr als eine Rolle übernehmen An strategischen und operativen Sicherheitsrollen beteiligte Mitarbeiter Geschäftsbereich und funktionale Bereiche (z. B. Datenschutz, HR, Marketing, Recht, Audit, Beschaffung) Consultants mit Fachwissen auf dem jeweiligen Gebiet (SMEs), Managed-Security- Serviceprovider (MSSPs) und Cloudanbieter (SAAS) Kann mit den Teams für ediscovery, physische Sicherheit und/ oder Produktsicherheit konvergieren Aktivitäten Konkrete Verantwortungsbereiche Programmmanagement CISO leitet Programm und funktionsübergreifendes Informationsrisikokomitee CIO beteiligt sich am Informationsrisikokomitee Bestimmte Führungskräfte beteiligen sich am Informationsrisikokomitee Sicherheitsrichtlinie und -standards Entwicklung von Richtlinie und Standards Beratung zu Richtlinie und Standards Beratung zu Richtlinie und Standards Implementierung von Kontrollen Managen und Überwachung der Implementierung Implementierung von Kontrollen in komplexeren Fällen Implementierung von Kontrollen gemäß Sicherheitsstandards oder Bereitstellung von Services, die Sicherheits-SLA entsprechen Unterstützung bei der Implementierung von Kontrollen MSSPs stellen Services für die Implementierung von Kontrollen gemäß Sicherheits-SLA bereit Betrieb von Kontrollen Managen und Überwachung des Betriebs von Kontrollen Betrieb neuerer oder komplexerer Kontrollen Betrieb von Kontrollen gemäß Sicherheitsstandards oder Bereitstellung von Services, die Sicherheits-SLA entsprechen Sicherstellen, dass geschäftliche Abläufe den Anforderungen der Sicherheitskontrollen entsprechen MSSPs stellen Services für den Betrieb von Kontrollen gemäß Sicherheits-SLA bereit Controls Assurance Bewertung von Kontrollen und Entwicklung fortschrittlicher Tools für die Erprobung und Analyse von Kontrollen MSSPs stellen Services bereit, z. B. Quellcodeüberprüfungen, Schwachstellenscans Implementierung fortlaufender Kontrollenüberwachungen Design von Kontrollen (Sicherheitsarchitektur) Voranbringen des Designs neuer Sicherheitskontrollen Beratung zum Design neuer Sicherheitskontrollen Beratung zum Design neuer Sicherheitskontrollen Arbeit mit der Enterprise- IT-Architektur Vorfallsbehandlung/Ausfallsicherheit Managen und Koordination von unternehmensübergreifenden Reaktionen Arbeit an technischen Aspekten von Reaktionen Arbeit an rechtlichen, PR-, HR-Aspekten von Reaktionen SMEs stellen Forensik und Schadsoftwareanalysen bereit 14 Security for Business Innovation Council-Report RSA, The Security Division of EMC

17 Informationsrisikobewertung Managen des Risikobewertungsprogramms Durchführung von Risikobewertungen in komplexeren Fällen Bereitstellung von Tools zur Vereinfachung von Risikobewertungen Durchführung der Risikobewertung mit den Tools des Kernteams Durchführung der Risikobewertung mit den Tools des Kernteams Beratung durch Mitarbeiter aus der Rechtsabteilung zu rechtlichen und Compliancerisiken Trend geht zu von Serviceprovidern gemäß Sicherheits- SLA durchgeführten Risikobewertungen Informationsrisikomanagement/ Geschäftsrisiken- Chancen-Analyse Voranbringen von Risikomanagementaktivitäten Zusammenarbeit mit IT und Unternehmen Beratung zu Risikomanagement Bereitstellung von Tools zur Vereinfachung des Risikomanagements Zusammenarbeit mit Kernteam zum Managen von Risiken Unterstützung bei der Beseitigung ermittelter Risiken Regelmäßiges Reporting zum Status von Risiken Zusammenarbeit mit Kernteam zum Managen von Risiken Unterstützung bei der Beseitigung ermittelter Risiken Regelmäßiges Reporting zum Status von Risiken Management von Fremdanbieterrisiken/Integrität der IT-Lieferkette Vorantreiben des Managements von Fremdanbieterrisiken und des Lieferkettenintegritätsprogramms Entwicklung von Standards und Bereitstellung von Tools für die Bewertung von Fremdanbietern und der Evaluierung von Hard- und Software Durchführung von Due- Diligence- und Fremdanbieterbewertungen mit den Tools des Kernteams Durchführung von Hardware- und Softwareevaluierungen mit den Tools des Kernteams Durchführung von Due- Diligence- und Fremdanbieterbewertungen mit den Tools des Kernteams Beschaffung integriert Sicherheitsbewertungen in den Beschaffungsprozess Beratung zu Compliancerisiken und Verfassen von Verträgen durch Mitarbeiter aus der Rechtsabteilung SMEs führen anhand der Standards des Kernteams Due-Diligence- und Fremdanbieterbewertungen durch Inventarisierung und Bewertung von Ressourcen Voranbringen der Entwicklung eines Bestandsregisters Zusammenarbeit mit Kernteam, um Ressourcen zu katalogisieren und ihren Wert zu bestimmen Zusammenarbeit mit Kernteam, um Ressourcen zu katalogisieren und ihren Wert zu bestimmen Internetrisikoanalyse und Bedrohungsanalyse Managen des Intelligence- Programms Koordination von Quellen Weitergabe von Intelligence- Daten (z. B. Phishing- s) Weitergabe von Intelligence- Daten (z. B. Social-Media- Überwachung) SMEs stellen Quellen und Bedrohungsanalysen bereit Sicherheitsdatenanalyse Voranbringen der Entwicklung von Abfragen und Modellen Beratung zu und/oder Bereitstellung von Datenanalyseservices Beratung zu und/ oder Bereitstellung von Datenanalyseservices SMEs und/oder MSSPs stellen Datenanalyseservices bereit Sicherheitsdatenmanagement und Data Warehousing Voranbringen der Strategie für Sicherheitsdatenmanagement und der Sicherheits- Data-Warehouse-Architektur Voranbringen der Datenmanagementstrategie des gesamten Unternehmens Beratung zu Sicherheitsstrategie und Datenquellen (z. B. Netzwerkprotokollen) Beratung zu Datenquellen (z. B. Anwendungs- und Datenbankprotokollen) SMEs stellen Bedrohungsfeeds bereit MSSPs stellen Feeds aus Sicherheitssystemprotokollen bereit Optimierung der Sicherheitsprozesse Voranbringen der Optimierung der Sicherheitsprozesse im gesamten Unternehmen Beratung zu und Unterstützung bei der Implementierung von Verbesserungen Beratung zu und Unterstützung bei der Implementierung von Verbesserungen Langfristige Planung Beobachtung zukünftiger Unternehmen-, Technologieund Regulierungstrends, um proaktive Sicherheitsstrategien formulieren zu können Zusammenarbeit bei zukünftigen Trends und proaktiven Strategien Zusammenarbeit bei zukünftigen Trends und proaktiven Strategien RSA, The Security Division of EMC Security for Business Innovation Council-Report 15

18 Mitwirkende Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson Anish Bhimani Cissp Chief Information Risk Officer, JPMorgan Chase William Boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA Roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker Senior Vice President, Chief Information Security Officer, ABN Amro Jerry R. Geisler III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. Renee Guttmann Chief Information Security Officer, The Coca-Cola Company Malcolm Harkins Vice President, Chief Security und Privacy Officer, Intel Kenneth Haertling Vice President und Chief Security Officer, TELUS Petri Kuivala Chief Information Security Officer, Nokia Dave Martin CISSP Vice President und Chief Security Officer, EMC Corporation Tim McKnight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments Felix Mohan Senior Vice President und Global Chief Information Security Officer, Airtel Robert Rodger Group Head of Infrastructure Security, HSBC Holdings, plc. Ralph Salomon CRISC Vice President IT Security and Risk Office, SAP AG Vishal Salvi CISM Chief Information Security Officer und Senior Vice President, HDFC Bank Limited Simon Strickland Global Head of Security, AstraZeneca Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation Vollständige Biografien der SBIC-Mitglieder finden Sie auf 16 Security for Business Innovation Council-Report RSA, The Security Division of EMC

19 EMC, EMC 2, das EMC Logo, RSA und das RSA-Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument genannten Produkte und/oder Services sind Marken ihrer jeweiligen Inhaber EMC Deutschland GmbH. Alle Rechte vorbehalten H12227 CISO RPT 0813 RSA, The Security Division of EMC Security for Business Innovation Council-Report 17

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Test zur Bereitschaft für die Cloud

Test zur Bereitschaft für die Cloud Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich

Mehr

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

Wir organisieren Ihre Sicherheit

Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.

Mehr

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre

Mehr

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten Outsourcing Advisor Bewerten Sie Ihre Unternehmensanwendungen auf Global Sourcing Eignung, Wirtschaftlichkeit und wählen Sie den idealen Dienstleister aus. OUTSOURCING ADVISOR Der Outsourcing Advisor ist

Mehr

DER SELBST-CHECK FÜR IHR PROJEKT

DER SELBST-CHECK FÜR IHR PROJEKT DER SELBST-CHECK FÜR IHR PROJEKT In 30 Fragen und 5 Tipps zum erfolgreichen Projekt! Beantworten Sie die wichtigsten Fragen rund um Ihr Projekt für Ihren Erfolg und für Ihre Unterstützer. IHR LEITFADEN

Mehr

Skills-Management Investieren in Kompetenz

Skills-Management Investieren in Kompetenz -Management Investieren in Kompetenz data assessment solutions Potenziale nutzen, Zukunftsfähigkeit sichern Seite 3 -Management erfolgreich einführen Seite 4 Fähigkeiten definieren und messen Seite 5 -Management

Mehr

GPP Projekte gemeinsam zum Erfolg führen

GPP Projekte gemeinsam zum Erfolg führen GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.

Mehr

THE KNOWLEDGE PEOPLE. CompanyFlyer.indd 1 07.03.2016 11:48:05

THE KNOWLEDGE PEOPLE. CompanyFlyer.indd 1 07.03.2016 11:48:05 THE KNOWLEDGE PEOPLE CompanyFlyer.indd 1 07.03.2016 11:48:05 BE SMART IT-CONSULTING Smartes IT-Consulting für die Zukunft: Agilität, Dynamische IT, Komplexitätsreduzierung, Cloud, Industrie 4.0, Big Data

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Rule the principal. www.pse-solutions.ch

Rule the principal. www.pse-solutions.ch Rule the principal www.pse-solutions.ch Software ersetzt das Denken nicht Die Wettbewerbsfähigkeit Ihrer Unternehmung ist von den verschiedensten Faktoren abhängig. Einer davon ist, die Qualität und Effizient

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Mobile Intranet in Unternehmen

Mobile Intranet in Unternehmen Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet

Mehr

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Tech-Clarity Perspective: Best Practices für die Konstruktionsdatenverwaltung

Tech-Clarity Perspective: Best Practices für die Konstruktionsdatenverwaltung Tech-Clarity Perspective: Best Practices für die Konstruktionsdatenverwaltung Wie effektive Datenmanagement- Grundlagen die Entwicklung erstklassiger Produkte ermöglichen Tech-Clarity, Inc. 2012 Inhalt

Mehr

Führungsgrundsätze im Haus Graz

Führungsgrundsätze im Haus Graz ;) :) Führungsgrundsätze im Haus Graz 1.0 Präambel 2.0 Zweck und Verwendung Führungskräfte des Hauses Graz haben eine spezielle Verantwortung, weil ihre Arbeit und Entscheidungen wesentliche Rahmenbedingungen

Mehr

Application Lifecycle Management als strategischer Innovationsmotor für den CIO

Application Lifecycle Management als strategischer Innovationsmotor für den CIO Application Lifecycle Management als strategischer Innovationsmotor für den CIO Von David Chappell Gefördert durch die Microsoft Corporation 2010 Chappell & Associates David Chappell: Application Lifecycle

Mehr

WSO de. <work-system-organisation im Internet> Allgemeine Information

WSO de. <work-system-organisation im Internet> Allgemeine Information WSO de Allgemeine Information Inhaltsverzeichnis Seite 1. Vorwort 3 2. Mein Geschäftsfeld 4 3. Kompetent aus Erfahrung 5 4. Dienstleistung 5 5. Schulungsthemen 6

Mehr

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle. InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle. RESSOURCEN BESTMÖGLICH NUTZEN. WORKSHOP INFOSEC AWARENESS DAS NOTWENDIGE

Mehr

Begeisterung und Leidenschaft im Vertrieb machen erfolgreich. Kurzdarstellung des Dienstleistungsangebots

Begeisterung und Leidenschaft im Vertrieb machen erfolgreich. Kurzdarstellung des Dienstleistungsangebots Begeisterung und Leidenschaft im Vertrieb machen erfolgreich Kurzdarstellung des Dienstleistungsangebots Überzeugung Ulrich Vieweg Verkaufs- & Erfolgstraining hat sich seit Jahren am Markt etabliert und

Mehr

Welches Übersetzungsbüro passt zu mir?

Welches Übersetzungsbüro passt zu mir? 1 Welches Übersetzungsbüro passt zu mir? 2 9 Kriterien für Ihre Suche mit Checkliste! Wenn Sie auf der Suche nach einem passenden Übersetzungsbüro das Internet befragen, werden Sie ganz schnell feststellen,

Mehr

.. für Ihre Business-Lösung

.. für Ihre Business-Lösung .. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,

Mehr

Mit dem richtigen Impuls kommen Sie weiter.

Mit dem richtigen Impuls kommen Sie weiter. Mit dem richtigen Impuls kommen Sie weiter. Editorial ERGO Direkt Versicherungen Guten Tag, die Bedeutung von Kooperationen als strategisches Instrument wächst zunehmend. Wir haben mit unseren Partnern

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.» «PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.» www.pse-solutions.ch ANTOINE DE SAINT-EXUPÉRY 1 PROJECT SYSTEM ENGINEERING

Mehr

Agile Enterprise Development. Sind Sie bereit für den nächsten Schritt?

Agile Enterprise Development. Sind Sie bereit für den nächsten Schritt? Agile Enterprise Development Sind Sie bereit für den nächsten Schritt? Steigern Sie noch immer die Wirtschaftlichkeit Ihres Unternehmens alleine durch Kostensenkung? Im Projektportfolio steckt das Potenzial

Mehr

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher. Mehr Effizienz und Wertschöpfung durch Ihre IT Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher. Nutzen Sie Ihren Wettbewerbsvorteil Die Geschäftsprozesse von heute sind zu wichtig,

Mehr

TEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor!

TEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor! TEUTODATA Managed IT-Services Beratung Lösungen Technologien Dienstleistungen Ein IT- Systemhaus stellt sich vor! 2 Willkommen Mit dieser kleinen Broschüre möchten wir uns bei Ihnen vorstellen und Ihnen

Mehr

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems

Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Name: Bruno Handler Funktion: Marketing/Vertrieb Organisation: AXAVIA Software GmbH Liebe Leserinnen und liebe Leser,

Mehr

Sicher auf Erfolgskurs. Mit Ihrem Treuhand-Betriebsvergleich

Sicher auf Erfolgskurs. Mit Ihrem Treuhand-Betriebsvergleich Sicher auf Erfolgskurs Mit Ihrem Treuhand-Betriebsvergleich Leistungsübersicht Der neue Treuhand-IBV eines der besten Instrumente für Ihre Unternehmensführung Weil Sie jetzt ganz leicht den Überblick behalten

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Methode Online Befragung 16 geschlossene Fragen Durchgeführt im März 2015 im Rahmen des Future of Work HR Kongresses.

Methode Online Befragung 16 geschlossene Fragen Durchgeführt im März 2015 im Rahmen des Future of Work HR Kongresses. März 2015 Methode Zielgruppe österreichische Unternehmen abgegebene Fragebögen: 62 Methode Online Befragung 16 geschlossene Fragen Durchgeführt im März 2015 im Rahmen des Future of Work HR Kongresses.

Mehr

NACHHALTIGE WACHSTUMS- KOMPETENZ FÜR KMU. Christine Frühauf 2015 Bildnachweise: Kresse: luxuz::. / photocase.de Moos: annelilocke / photocase.

NACHHALTIGE WACHSTUMS- KOMPETENZ FÜR KMU. Christine Frühauf 2015 Bildnachweise: Kresse: luxuz::. / photocase.de Moos: annelilocke / photocase. NACHHALTIGE WACHSTUMS- KOMPETENZ FÜR KMU Christine Frühauf 2015 Bildnachweise: Kresse: luxuz::. / photocase.de Moos: annelilocke / photocase.de 0 Raus aus der Wachstumsfalle Wachstum ist für die meisten

Mehr

The AuditFactory. Copyright by The AuditFactory 2007 1

The AuditFactory. Copyright by The AuditFactory 2007 1 The AuditFactory 1 The AuditFactory Committee of Sponsoring Organizations of the Treadway Commission Internal Control System (COSO I) 2 Vorbemerkung zur Nutzung dieser Publikation Die Nutzung der hier

Mehr

Leistungsstarke Enterprise Apps. Für Menschen erdacht. Für Veränderungen entwickelt.

Leistungsstarke Enterprise Apps. Für Menschen erdacht. Für Veränderungen entwickelt. Plattform, Apps und App-Entwicklung Onit Apps für Ihr Unternehmen App [ap] Nomen Computer, informell 1. Anwendung (in der Regel ein kleines spezialisiertes Programm), die auf Mobilgeräte heruntergeladen

Mehr

Gründe für eine Partnerschaft mit Dell. November 2015

Gründe für eine Partnerschaft mit Dell. November 2015 Gründe für eine Partnerschaft mit Dell November 2015 Warum Dell? Auf Dell als Vertriebspartner können Sie sich verlassen! Da wir bei Dell innerhalb eines einzigen erfolgreichen Unternehmens ein Komplettportfolio

Mehr

ZIELE erreichen WERTSTROM. IDEEN entwickeln. KULTUR leben. optimieren. KVP und Lean Management:

ZIELE erreichen WERTSTROM. IDEEN entwickeln. KULTUR leben. optimieren. KVP und Lean Management: KVP und Lean Management: Damit machen wir Ihre Prozesse robuster, schneller und kostengünstiger. ZIELE erreichen WERTSTROM optimieren IDEEN entwickeln KULTUR leben 1 Lean Management Teil 1: Das Geheimnis

Mehr

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT FÜR INFORMATIONSSICHERHEIT FÜR INFORMATIONSSICHERHEIT Informationssicherheit bedingt höhere Anforderungen und mehr Verantwortung für Mitarbeiter und Management in Unternehmen und Organisationen. Awareness-Trainings

Mehr

CA Clarity PPM. Übersicht. Nutzen. agility made possible

CA Clarity PPM. Übersicht. Nutzen. agility made possible PRODUKTBLATT CA Clarity PPM agility made possible CA Clarity Project & Portfolio Management (CA Clarity PPM) unterstützt Sie dabei, Innovationen flexibel zu realisieren, Ihr gesamtes Portfolio bedenkenlos

Mehr

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER

WIR MACHEN SIE ZUM BEKANNTEN VERSENDER 02040203 WIR MACHEN SIE ZUM BEKANNTEN VERSENDER Ein Mehrwert für Ihr Unternehmen 1 SCHAFFEN SIE EINEN MEHRWERT DURCH SICHERHEIT IN DER LIEFERKETTE Die Sicherheit der Lieferkette wird damit zu einem wichtigen

Mehr

Projektmanagement in der Spieleentwicklung

Projektmanagement in der Spieleentwicklung Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT

Mehr

Microsoft Cloud Ihr Weg in die Cloud

Microsoft Cloud Ihr Weg in die Cloud Microsoft Cloud Ihr Weg in die Cloud Komfort Informationen flexibler Arbeitsort IT-Ressourcen IT-Ausstattung Kommunikation mobile Endgeräte Individualität Mobilität und Cloud sind erfolgsentscheidend für

Mehr

Content Management System mit INTREXX 2002.

Content Management System mit INTREXX 2002. Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,

Mehr

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert

Den Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert Den Durchblick haben Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert VOLKSBANK BAD MÜNDER eg www.vbbadmuender.de...meine Bank! Jeder Mensch hat etwas, das ihn antreibt.

Mehr

Kompetenz ist Basis für Erfolg

Kompetenz ist Basis für Erfolg Kompetenz ist Basis für Erfolg Internet-Services Software-Entwicklung Systemhaus Internet-Suchservices Kompetenz ist Basis für Erfolg - Wir über uns Am Anfang stand die Idee, Unternehmen maßgeschneiderte

Mehr

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.

Engagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25. Engagement der Industrie im Bereich Cyber Defense Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25. April 2012 Cyber Defense = Informationssicherheit 2 Bedrohungen und Risiken Bedrohungen

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

Business Process Outsourcing. in Partnerschaft mit den Besten gewinnen. Business Process Outsourcing

Business Process Outsourcing. in Partnerschaft mit den Besten gewinnen. Business Process Outsourcing Business Process Outsourcing in Partnerschaft mit den Besten gewinnen Business Process Outsourcing Veränderung heißt Gewohntes loszulassen und bereit sein Neues zu empfangen. Norbert Samhammer, CEO Samhammer

Mehr

Gemeinsam erfolgreich. Unser Konzernleitbild

Gemeinsam erfolgreich. Unser Konzernleitbild Gemeinsam erfolgreich Unser Konzernleitbild Das Demag Cranes Konzernleitbild ist vergleichbar mit einer Unternehmensverfassung. Es setzt den Rahmen für unser Handeln nach innen wie nach außen und gilt

Mehr

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing Finanzbuchhaltung Wenn Sie Fragen haben, dann rufen Sie uns an, wir helfen Ihnen gerne weiter - mit Ihrem Wartungsvertrag

Mehr

Informationssicherheit als Outsourcing Kandidat

Informationssicherheit als Outsourcing Kandidat Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat

Mehr

Feedback in Echtzeit. Social Media Monitoring Services von Infopaq. SOCIAL MEDIA

Feedback in Echtzeit. Social Media Monitoring Services von Infopaq. SOCIAL MEDIA MEDIENBEOBACHTUNG MEDIENANALYSE PRESSESPIEGELLÖSUNGEN Feedback in Echtzeit. Social Media Monitoring Services von Infopaq. SOCIAL MEDIA Risiken kennen, Chancen nutzen. So profitiert Ihr Unternehmen von

Mehr

Social Media Monitoring Was wird über Sie und Ihre Wettbewerber gesagt?

Social Media Monitoring Was wird über Sie und Ihre Wettbewerber gesagt? Social Media Monitoring Was wird über Sie und Ihre Wettbewerber gesagt? Donnerstag, 31. Mai 2012 Toocan GmbH Tobias Görgen Inhaber & Geschäftsführer Social Media Monitoring & Management Gegründet 2010

Mehr

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Enrico Mahl Information Technology Specialist Infinigate Deutschland GmbH ema@infinigate.de 1 Alles Arbeit, kein Spiel Smartphones& Tabletserweitern

Mehr

WELCOME TO SPHERE SECURITY SOLUTIONS

WELCOME TO SPHERE SECURITY SOLUTIONS Failing to plan, is planning to fail WELCOME TO SPHERE SECURITY SOLUTIONS your professional security partner INTRO Wie wertvoll Sicherheit ist wird besonders klar, wenn sie im entscheidenden Moment fehlt.

Mehr

Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service

Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service Jana Brinck - SAM Consultant Der globale IT Lösungsanbieter! Niederlassungen in 24 Ländern! Handel

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Jetzt fit machen: Geschäftsprozessmanagement Seminare für die öffentliche Verwaltung 2015/2016 DIE VERWALTUNG HEUTE & MORGEN Die öffentliche Verwaltung befindet sich bei der Modernisierung ihrer Strukturen

Mehr

Dieser PDF-Report kann und darf unverändert weitergegeben werden.

Dieser PDF-Report kann und darf unverändert weitergegeben werden. ME Finanz-Coaching Matthias Eilers Peter-Strasser-Weg 37 12101 Berlin Dieser PDF-Report kann und darf unverändert weitergegeben werden. http://www.matthiaseilers.de/ Vorwort: In diesem PDF-Report erfährst

Mehr

----------------------------------------------------------------------------------------------------------------------------------------

---------------------------------------------------------------------------------------------------------------------------------------- 0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,

Mehr

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER GOOD NEWS VON USP ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER In den vergangenen vierzehn Jahren haben wir mit USP Partner AG eine der bedeutendsten Marketingagenturen

Mehr

Virtual Roundtable: Business Intelligence - Trends

Virtual Roundtable: Business Intelligence - Trends Virtueller Roundtable Aktuelle Trends im Business Intelligence in Kooperation mit BARC und dem Institut für Business Intelligence (IBI) Teilnehmer: Prof. Dr. Rainer Bischoff Organisation: Fachbereich Wirtschaftsinformatik,

Mehr

TALENT IM ZEITALTER DES LERNENS. Die überzeugende Antwort auf die Krise des Lernens

TALENT IM ZEITALTER DES LERNENS. Die überzeugende Antwort auf die Krise des Lernens TALENT IM ZEITALTER DES LERNENS Die überzeugende Antwort auf die Krise des Lernens Die Krise des Lernens 85 MILLIONEN: Das ist das erwartete globale Defizit an Fachkräften in fünf Jahren. 200 MILLIONEN:

Mehr

Karriere in der IT und Informatik: Voraussetzungen für den Arbeitsplatz der Zukunft

Karriere in der IT und Informatik: Voraussetzungen für den Arbeitsplatz der Zukunft Karriere in der IT und Informatik: Voraussetzungen für den Arbeitsplatz der Zukunft 07. Juni 2011 Dipl.-Komm.-Wirt Alexander Rabe Geschäftsführer Deutsche Informatik-Akademie 07. Juni 2011 1 Inhalt: Stellenwert

Mehr

where IT drives business

where IT drives business where IT drives business Herzlich willkommen bei clavis IT Seit 2001 macht clavis IT einzigartige Unternehmen mit innovativer Technologie, Know-how und Kreativität noch erfolgreicher. Als leidenschaftliche

Mehr

PAPIERLOSES ARBEITEN. für Anfänger

PAPIERLOSES ARBEITEN. für Anfänger Über den Autor Viktor Mečiar IT Manager viktor.meciar@accace.com +421 2 325 53 047 Viktor ist für die Überwachung der Inhouse Entwicklung und Implementierung von Softwarelösungen für Accace Group verantwortlich.

Mehr

Wir vermitteln sicherheit

Wir vermitteln sicherheit Wir vermitteln sicherheit 2 3 Eine solide basis für unabhängige Beratung wir vermitteln sicherheit Als unabhängiger Versicherungsmakler sind wir für unsere Geschäfts- und Privatkunden seit 1994 der kompetente

Mehr

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf

360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf 360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf Von der Entstehung bis heute 1996 als EDV Beratung Saller gegründet, seit 2010 BI4U GmbH Firmensitz ist Unterschleißheim (bei München)

Mehr

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter

IT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas

Mehr

Auszug aus der Auswertung der Befragung zur Ermittlung der IT-Basiskompetenz

Auszug aus der Auswertung der Befragung zur Ermittlung der IT-Basiskompetenz Auszug aus der Auswertung der Befragung zur Ermittlung der IT-Basiskompetenz Wir arbeiten in Strukturen von gestern mit Methoden von heute an Problemen von morgen, vorwiegend mit Menschen, die die Strukturen

Mehr

Geyer & Weinig: Service Level Management in neuer Qualität.

Geyer & Weinig: Service Level Management in neuer Qualität. Geyer & Weinig: Service Level Management in neuer Qualität. Verantwortung statt Versprechen: Qualität permanent neu erarbeiten. Geyer & Weinig ist der erfahrene Spezialist für Service Level Management.

Mehr

ERGEBNISSE DER CW-MARKTSTUDIE COLLABORATION AUS DER CLOUD IM UNTERNEHMENSEINSATZ IN TABELLARISCHER FORM

ERGEBNISSE DER CW-MARKTSTUDIE COLLABORATION AUS DER CLOUD IM UNTERNEHMENSEINSATZ IN TABELLARISCHER FORM ERGEBNISSE DER CW-MARKTSTUDIE COLLABORATION AUS DER CLOUD IM UNTERNEHMENSEINSATZ IN TABELLARISCHER FORM 10 Frage 1: Werden in Ihrem Unternehmen Collaboration-Tools eingesetzt, und wenn ja, wie viele? Anm.:

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und

Mehr

Business Model Canvas

Business Model Canvas Business Model Canvas Business Model Canvas ist ein strategisches Management Tool, mit dem sich neue und bestehende Geschäftsmodelle visualisieren lassen. Demnach setzt sich ein Geschäftsmodell aus neun

Mehr

Es gibt Wichtigeres im Leben, als beständig dessen Geschwindigkeit zu erhöhen. Ghandi PROZESSBEGLEITUNG

Es gibt Wichtigeres im Leben, als beständig dessen Geschwindigkeit zu erhöhen. Ghandi PROZESSBEGLEITUNG Es gibt Wichtigeres im Leben, als beständig dessen Geschwindigkeit zu erhöhen. Ghandi PROZESSBEGLEITUNG INHALT Nachhaltige Prozessbegleitung Zielgruppe Ziele der Prozessbegleitung Ansatz Aus und Weiterbildung

Mehr

Wie kann Ihr Unternehmen von Leadership Branding profitieren?

Wie kann Ihr Unternehmen von Leadership Branding profitieren? Wie kann Ihr Unternehmen von Leadership Branding profitieren? Durch Leadership Branding stärken sich Marke und Führung gegenseitig. Das kann viele Vorteile haben und mehrfachen Nutzen stiften. Welches

Mehr

Problem-Management und Eskalationsprozess Referenzhandbuch

Problem-Management und Eskalationsprozess Referenzhandbuch TECHNISCHE UNTERSTÜTZUNG FÜR UNTERNEHMEN Problem-Management und Eskalationsprozess Referenzhandbuch Symantecs Verantwortung gegenüber seinen Kunden Symantec bietet Kunden und Partnern hochwertige Produkte

Mehr

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank Turning visions into business Oktober 2010 Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank David Croome Warum Assessments? Ein strategisches Ziel des IT-Bereichs der Großbank

Mehr

RWE Service. lieferantenmanagement. Konzentration auf die Besten gemeinsam sind wir stark

RWE Service. lieferantenmanagement. Konzentration auf die Besten gemeinsam sind wir stark RWE Service lieferantenmanagement Konzentration auf die Besten gemeinsam sind wir stark 3 lieferantenmanagement einleitung LIEFERANTENMANAGEMENT IM ÜBERBLICK Wir wollen gemeinsam mit Ihnen noch besser

Mehr

Der Schutz von Patientendaten

Der Schutz von Patientendaten Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert

Mehr

Microsoft SharePoint 2013 Designer

Microsoft SharePoint 2013 Designer Microsoft SharePoint 2013 Designer Was ist SharePoint? SharePoint Designer 2013 Vorteile SharePoint Designer Funktionen.Net 4.0 Workflow Infrastruktur Integration von Stages Visuelle Designer Copy & Paste

Mehr

Organisation des Qualitätsmanagements

Organisation des Qualitätsmanagements Organisation des Qualitätsmanagements Eine zentrale Frage für die einzelnen Funktionen ist die Organisation dieses Bereiches. Gerade bei größeren Organisationen Für seine Studie mit dem Titel Strukturen

Mehr

Prozessoptimierung. und. Prozessmanagement

Prozessoptimierung. und. Prozessmanagement Prozessoptimierung und Prozessmanagement Prozessmanagement & Prozessoptimierung Die Prozesslandschaft eines Unternehmens orientiert sich genau wie die Aufbauorganisation an den vorhandenen Aufgaben. Mit

Mehr

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers

Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers Ist Excel das richtige Tool für FMEA? Einleitung Wenn in einem Unternehmen FMEA eingeführt wird, fangen die meisten sofort damit an,

Mehr

Datenschutzbeauftragte

Datenschutzbeauftragte MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist

Mehr

Risiken auf Prozessebene

Risiken auf Prozessebene Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse

Mehr

Konzentrieren Sie sich auf Ihr Kerngeschäft! Wir sind Ihre Personalabteilung vor Ort.

Konzentrieren Sie sich auf Ihr Kerngeschäft! Wir sind Ihre Personalabteilung vor Ort. Konzentrieren Sie sich auf Ihr Kerngeschäft! Wir sind Ihre Personalabteilung vor Ort. Für Unternehmen, die in Deutschland investieren, ist das Personalmanagement ein besonders kritischer Erfolgsfaktor.

Mehr

PIERAU PLANUNG GESELLSCHAFT FÜR UNTERNEHMENSBERATUNG

PIERAU PLANUNG GESELLSCHAFT FÜR UNTERNEHMENSBERATUNG Übersicht Wer ist? Was macht anders? Wir denken langfristig. Wir individualisieren. Wir sind unabhängig. Wir realisieren. Wir bieten Erfahrung. Für wen arbeitet? Pierau Planung ist eine Gesellschaft für

Mehr

Dieter Brunner ISO 27001 in der betrieblichen Praxis

Dieter Brunner ISO 27001 in der betrieblichen Praxis Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,

Mehr

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen

Mehr

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum

Agile Vorgehensmodelle in der Softwareentwicklung: Scrum C A R L V O N O S S I E T Z K Y Agile Vorgehensmodelle in der Softwareentwicklung: Scrum Johannes Diemke Vortrag im Rahmen der Projektgruppe Oldenburger Robot Soccer Team im Wintersemester 2009/2010 Was

Mehr

Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell

Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell (Auszug) Im Rahmen des EU-Projekts AnaFact wurde diese Umfrage von Frauenhofer IAO im Frühjahr 1999 ausgewählten

Mehr

ITIL und Entwicklungsmodelle: Die zwei Kulturen

ITIL und Entwicklungsmodelle: Die zwei Kulturen Kombination von IT Service Management (ITIL) und Anwendungsentwicklung Kai Witte und Matthias Kaulke, München, den 30.03.2006 Rahmeninformationen Wo sind wir? Unternehmensdarstellung (1) Unabhängiges Beratungsunternehmen

Mehr

1 Was ist Personal Online-Coaching?

1 Was ist Personal Online-Coaching? 1 Was ist Personal Online-Coaching? 2 Welchen Nutzen bringt Personal Online-Coaching? 3 Wie funktioniert Personal Online-Coaching in der Praxis? 4 Wie kann die Personal Online-Coaching Akademie für Ihr

Mehr

Staatssekretär Dr. Günther Horzetzky

Staatssekretär Dr. Günther Horzetzky #upj15 #upj15 Staatssekretär Dr. Günther Horzetzky Ministerium für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk des Landes Nordrhein-Westfalen Ministerium für Wirtschaft, Energie, Industrie,

Mehr

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion

Mehr