Security for Business Innovation Council
|
|
- Heinz Kuntz
- vor 8 Jahren
- Abrufe
Transkript
1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President und Global Chief Information Security Officer AstraZeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer Security for Business Innovation Council Informationssicherheit im Wandel t Dieser Report basiert auf Gesprächen mit dem Wie man ein erstklassiges erweitertes Team zusammenstellt EMC Corporation Dave Martin, Vice President und Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim McKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer und Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security und Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, Vice President IT Security and Risk Office TELUS Kenneth Haertling, Vice President und Chief Security Officer T-Mobile USA William Boni, Corporate Information Security Officer (CISO) und Vice President, Enterprise Information Security Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer Informationssicherheit im Wandel Empfehlungen von Global-1000-Verantwortlichen Das neue Anforderungsprofil In diesem Report: Neue Chancen zur Zusammenarbeit Tipps zur optimalen Nutzung von Ressourcen Empfehlungen für die nächsten Schritte Übersicht der Aufgabenverteilung in einem erweiterten Team Eine von RSA unterstützte Brancheninitiative
2 * Inhalte Highlights 1 1. Einführung: Teams im Wandel 2 2. Die neue Leistungsbeschreibung 3 Tabelle 1: Das veränderte Aufgabenprofil der Informationssicherheit>>>>>>> 4 3. Herausforderungen und Chancen 6 4. Empfehlungen 7 1. Kernkompetenzen neu definieren und ausbauen>>>>>>>>>>>>>>>>>>>>> 7 2. Routinevorgänge delegieren>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9 3. Expertendienstleistungen leihen oder einkaufen>>>>>>>>>>>>>>>>>>> Risikoeigentümer beim Risikomanagement anleiten>>>>>>>>>>>>>>>> Prozessoptimierungsspezialisten einstellen>>>>>>>>>>>>>>>>>>>>>>> Schlüsselpersonen ins Boot holen>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Quereinsteiger anwerben und ausbilden>>>>>>>>>>>>>>>>>>>>>>>>>> 12 Zusammenfassung 13 Informationen zum Security for Business Innovation Council 13 Anhang Tabelle 2: Aufbau eines erstklassigen erweiterten Informationssicherheitsteams>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Mitwirkende 16 Haftungsausschluss: Dieser Security for Business Innovation Council-Report (nachfolgend der Report ) enthält Informationen und Material (nachfolgend der Inhalt ), die jederzeit geändert werden können. RSA Security LLC, EMC Corporation und die einzelnen Autoren des Security for Business Innovation Council (nachfolgend Autoren ) sind nicht verpflichtet, den Inhalt zu aktualisieren. Der Inhalt wird ohne Gewähr zur Verfügung gestellt. Die Autoren übernehmen keine ausdrücklichen oder stillschweigenden Garantien, keine Mängelgewährleistung, keine Gewähr zur Eignung, keine Garantie der Nicht-Verletzung, der Genauigkeit oder Zweckmäßigkeit oder andere Garantien zur Nutzung des Inhalts. Der Inhalt wird zu Informationszwecken bereitgestellt und stellt keine Rechtsauskunft von RSA Security LCC, seinem Mutterunternehmen EMC Corporation, deren Anwälten oder einer der Autoren dieses SBIC-Reports dar. Handeln Sie auf Grundlage dieses Reports erst, nachdem Sie sich von einem in Ihrem Land zugelassenen Anwalt beraten lassen haben. Die Autoren sind nicht für Fehler in diesem Report oder für Schäden verantwortlich, die sich aus der Nutzung dieses Reports (inklusive allen Inhalts) ergeben, darunter direkte und indirekte Schäden, Schadensersatz, konkrete Schäden, Folgeschäden oder Bußgelder, egal, ob aufgrund eines Vertrags, unerlaubter Handlung oder einer anderen Anspruchsgrundlage, selbst wenn die Autoren sich der Möglichkeit solcher Fehler oder Schäden bewusst sind. Die Autoren übernehmen keine Verantwortung für Fehler oder Auslassungen im Inhalt. 2 Security for Business Innovation Council-Report RSA, The Security Division of EMC
3 Highlights Welche Kenntnisse und Kompetenzen sind notwendig, um in einem weltweit tätigen Unternehmen die Risiken für Informationsressourcen zu managen? Deutlich mehr als noch vor wenigen Jahren. Besonders in den letzten 18 Monaten sind die Anforderungen enorm gestiegen, unter anderem bedingt durch sich häufende Cyberangriffe, die rasante Einführung neuer Technologien, eine verstärkte Überprüfung durch Regulierungsorgane und eine immer engmaschiger vernetzte Wirtschaftswelt. Bei der Informationssicherheit geht es nicht mehr nur um die Implementierung und Anwendung von Sicherheitsmaßnahmen. Diese Aufgabenstellung wurde nun vielmehr um umfangreiche technische und geschäftsorientierte Aufgaben erweitert: Geschäftsrisikoanalyse, Ressourcenbewertung, Integrität der IT-Lieferkette, Cyber-Intelligence, Analyse von Sicherheitsdaten, Data Warehousing und Prozessoptimierung. Das Anforderungsprofil hat sich deutlich erweitert und so ist es schwieriger geworden, ein effektives Team zusammenzustellen. Es fehlt schlicht an Personal mit geeigneten Kompetenzen. Aber auch Chancen ergeben sich, denn in vielen Unternehmen wächst unter den nicht mit Sicherheitsfragen betrauten Mitarbeitern die Erkenntnis, dass sie selbst und nicht nur die Sicherheitsabteilung für den Umgang mit den Risiken für ihre Informationsressourcen verantwortlich sind und dass sie aktiv mit der Sicherheitsabteilung zusammenarbeiten müssen, um diese Risiken zu managen. Informationssicherheit in Unternehmen kann nur erfolgreich sein, wenn alle Beteiligten an einem Strang ziehen und die Sicherheitsprozesse vollständig in die Geschäftsprozesse integriert sind. Das erweiterte Team setzt sich zusammen aus IT-Mitarbeitern, den Geschäftsbereichen sowie Abteilungen wie Beschaffung, Recht und Marketing. Das Kernteam für die Informationssicherheit überwacht und koordiniert alle damit verbundenen Maßnahmen und übernimmt Aufgaben, die Spezialwissen oder eine Zentralisierung erfordern. Die folgenden sieben Empfehlungen können als Hilfestellung für den Aufbau eines erstklassigen erweiterten Teams dienen, um die Risiken der Internetsicherheit wirksam zu managen, optimalen Nutzen aus den vorhandenen Personalmitteln zu ziehen und sicherzustellen, dass das Team über die erforderlichen neuen Kompetenzen und Kenntnisse verfügt. 1. Kernkompetenzen neu definieren und ausbauen: Das Kernteam sollte auf vier Hauptgebieten neue Kenntnisse erwerben: Internetrisikoanalyse und Sicherheitsdatenanalyse, Sicherheitsdatenmanagement, Risikoberatung sowie Entwicklung von Überwachungs- und Kontrollmaßnahmen. 2. Routinevorgänge delegieren: Delegieren Sie wiederholbare, gut etablierte Sicherheitsprozesse an die IT, die Geschäftsbereiche und/oder externe Serviceprovider. 3. Expertendienstleistungen leihen oder einkaufen: Erweitern Sie das Kernteam um Experten von innerhalb oder außerhalb des Unternehmens, um fehlende Spezialisierungen kurzfristig abzudecken. 4. Risikoeigentümer beim Risikomanagement anleiten: Unterstützen Sie das Unternehmen beim Management von Internetsicherheitsrisiken und sorgen Sie für einen konsistenten Ansatz. Geben Sie Hilfestellung und weisen Sie Verantwortlichkeiten zu. 5. Prozessoptimierungsspezialisten einstellen: Holen Sie Mitarbeiter mit Erfahrung bzw. Zertifizierungen in den Bereichen Qualitäts-, Projekt- oder Programmmanagement, Prozessoptimierung und Servicebereitstellung ins Team. 6. Schlüsselpersonen ins Boot holen: Sichern Sie sich Unterstützung und Gehör der Schlüsselpersonen in den wichtigsten Geschäftsbereichen, im mittleren Management sowie bei externen Serviceprovidern. 7. Quereinsteiger anwerben und ausbilden: Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Dafür eignen sich vor allem Quereinsteiger aus Fachgebieten wie Datenbankadministration, Softwareentwicklung, Geschäftsanalyse, militärische Aufklärung, Rechts- oder Datenschutzbeauftragte, Data Science, Mathematik oder Geschichte. RSA, The Security Division of EMC Security for Business Innovation Council-Report 1
4 1 Einführung: Teams im Wandel Noch vor wenigen Jahren stand in Informationssicherheitsabteilungen die Technik unverkennbar im Mittelpunkt. Es ging um Themen wie Perimetersicherung, Compliancechecklisten und Virenschutzupdates. Wenn Sie heute dieselben Abteilungen betreten, bietet sich ein grundlegend verändertes Bild. Teams bestehen jetzt aus fachübergreifenden Spezialistengruppen, zu denen Bedrohungsanalysten, Risikoberater, Data Scientists und Prozessexperten zählen. Dabei rücken Themen wie Geschäftsrisikomanagement, Datenanalyse, Controls Assurance und Serviceprovider-Governance zunehmend in den Vordergrund. Nicht alle Unternehmen sind in ihren Bemühungen in diese Richtung gleich weit fortgeschritten, die meisten haben jedoch erkannt, dass sie bei der Informationssicherheit neue Wege gehen müssen. In einer aktuellen Sicher- heitsumfrage wurde die grundlegende Neukonzeption der Informationssicherheitsprogramme sogar als zweitwichtigste Investitionspriorität bei weltweit tätigen Unternehmen genannt. 1 Punktuelle Lösungen oder inkrementelle Verbesserungen reichen nicht mehr aus. Wie aber sieht ein fortschrittliches Informationssicherheitsprogramm aus? Der vorliegende Report ist der erste in einer Fortsetzungsreihe, die sich mit der Umgestaltung und Modernisierung von Informationssicherheitsprogrammen in Unternehmen befasst und versucht, diese zentrale Frage mithilfe des Knowhows und Weitblicks einiger der weltweit führenden Informationssicherheitsexperten des Security for Business Innovation Council (SBIC) zu beantworten. Dieser erste Report handelt von den neuen Kompetenzen und Kenntnissen, die Unternehmen erwerben müssen, und zeigt auf, wie die Verantwortlichkeiten für die Informationssicherheit im Unternehmen verteilt sind. Er enthält spezifische und praxisorientierte Empfehlungen für den Aufbau eines erstklassigen erweiterten Teams. 1 E&Y Weltweite Umfrage zum Thema Informationssicherheit, November Security for Business Innovation Council-Report RSA, The Security Division of EMC
5 2 Die neue Leistungsbeschreibung I nformationssicherheit lässt sich nicht mehr auf die reine Implementierung und Anwendung von Maßnahmen beschränken. Zahlreiche neue Aufgaben sind mit der Zeit hinzugekommen. Und nur wenn das gesamte Aufgabenspektrum bekannt ist, lässt sich ein erstklassiges Team mit den jeweils fähigsten Mitarbeitern zusammenstellen. Welche Kenntnisse und Kompetenzen sind nötig, um in einem weltweit tätigen Unternehmen die Risiken für Informationsressourcen zu managen? Deutlich mehr als noch vor wenigen Jahren. Besonders in den letzten 18 Monaten sind die Anforderungen enorm gestiegen, unter anderem bedingt durch sich häufende Cyberangriffe, die rasante Einführung neuer Technologien, eine verstärkte Überprüfung durch Regulierungsorgane und eine immer engmaschiger vernetzte Wirtschaftswelt. Unternehmen stehen unter dem enormen Druck, aktiv gegen Internetsicherheitsrisiken vorzugehen. Diese Veränderung setzt neue Methoden für die Abwehr von immer komplexeren Bedrohungen voraus. Die Informationssicherheit muss dafür in die Geschäfts- und Technologiestrategien integriert werden und Sicherheitsprozesse müssen wirksam und effizient sein. Gefordert sind neue Kompetenzen auf technischer und geschäftlicher Seite, wie zum Beispiel: Informationsrisikomanagement/Geschäftsrisiken- Chancen-Analyse Systematisierung von Risiken-Chancen- Entscheidungen Sicherheitsdatenmanagement und Data Warehousing Entwicklung einer übergreifenden Strategie sowie einer Infrastruktur für die Erfassung von Daten aus verschiedenen Quellen und Nutzung dieser für verschiedene Zwecke, wie zum Beispiel Bedrohungserkennung, Kontrollenüberwachung und Compliance-Reporting Optimierung der Sicherheitsprozesse Formulierung einer Strategie zur Effizienzsteigerung der Sicherheitsprozesse Schnelle Anpassung der Kontrollen Nutzung neuer Methoden zur Anpassung der Sicherheitskontrollen als Reaktion auf Trends wie Cloud und Mobile Computing Ein zentraler Eckpfeiler der Teamstrategie ist die Festlegung einer Aufgabenbeschreibung. Erst danach können die einzelnen Aufgaben verteilt werden. In Tabelle 1 werden die Aufgaben der Informationssicherheit in modernen, führenden Unternehmen von den einfacheren bis hin zu den komplexeren Aktivitäten charakterisiert. Unternehmen mit einem konvergierten Programm können zusätzlich Aufgaben wie Betrugserkennung, ediscovery, Datenschutz, Produktqualität bzw. physische Sicherheitsmaßnahmen in die Aufgabenbeschreibung aufnehmen. In diesem Report beschäftigen wir uns ausschließlich mit den Informationssicherheitskomponenten und gehen auf die erforderliche Koordination mit anderen, zugehörigen Aktivitäten nur am Rande ein. Inventarisierung und Bewertung von Ressourcen Priorisierung von Sicherheitsstrategien und Konzentration auf den Schutz der Kronjuwelen Management von Fremdanbieterrisiken/Integrität der IT-Lieferkette Bewertung der wachsenden Zahl von weltweit bezogenen Dienstleistungen von Serviceprovidern bzw. verwendeten Systemkomponenten Internetrisikoanalyse und Bedrohungsanalyse Aufklärung über das Verhalten der gegnerischen Seite und Erkennen der typischen Anzeichen für einen Angriff Sicherheitsdatenanalyse Anwendung fortschrittlicher Analyseverfahren, die anormales System- oder Benutzerverhalten in IT-Umgebungen erkennen RSA, The Security Division of EMC Security for Business Innovation Council-Report 3
6 Die neue Leistungsbeschreibung Tabelle 1 Das veränderte Aufgabenprofil der Informationssicherheit Die Übersicht ist grob von den einfacheren zu den komplexeren Aktivitäten geordnet. Programmmanagement Festlegung einer Gesamtstrategie und Planung für das Informationssicherheitsmanagement- Programm Sicherstellen, dass das Programm die wichtigsten geschäftlichen Anforderungen des Unternehmens abdeckt Abstimmung mit ähnlichen Aufgaben wie Betrugserkennung, ediscovery, physische Sicherheit, Produktsicherheit und/oder Datenschutz Sicherheitsrichtlinie und -standards Entwicklung und Dokumentation der allgemeinen Leitlinien und Regeln, die festlegen, wie das Unternehmen beim Schutz von Informationen vorgeht Beschreibung aller administrativen, technischen und physischen Informationssicherheitskontrollen, die im Unternehmen verwendet werden (das Kontrollen-Framework), einschließlich Zugriffskontrollen, Verschlüsselung, Identifizierung und Authentifizierung, Konfigurationsmanagement, Überwachung, Auditprotokollierung, Anwendungssicherheit und Schulung (von Personal und Kunden) Beachtung der Anforderungen verschiedener Gesetze und Regulierungen (z. B. SOX, HIPAA, PCI) Sicherstellen, dass die Kontrollen agil sind und sich an neue Geschäfts- und Bedrohungsszenarien anpassen lassen Implementierung von Kontrollen Implementierung von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen und externen Umweltfaktoren Betrieb von Kontrollen Betrieb von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen und externen Umweltfaktoren Design von Kontrollen (Sicherheitsarchitektur) Entwicklung neuer Kontrollen oder neuer Wege zur Implementierung von Kontrollen unter Beachtung veränderter Geschäfts-, IT- und Bedrohungsszenarien Dies schließt Verfahren in der Anwendungsentwicklung, das Spezifizieren, Ausrollen, Anpassen und/oder Entwickeln neuer Sicherheitstechnologie sowie neue Anwendervereinbarungen und -verfahren ein Überprüfung von Kontrollen/Controls Assurance Bewertung aller Kontrollen, um sicherzustellen, dass sie den geltenden Richtlinien und Standards entsprechen Überprüfung aller Kontrollen auf Vorhandensein und korrekte Funktionsweise Sicherstellen, dass alle Kontrollen konsistent überwacht und attestiert werden Vorfallsbehandlung/ Ausfallsicherheit Koordinierung und Verwaltung der Reaktion des Unternehmens auf Sicherheitsvorfälle, einschließlich Business Continuity/Disaster Recovery Evaluierung der Risiken eines Programms, Prozesses, Projekts, einer Initiative oder eines Systems anhand von Merkmalen wie Informationswert, Datenbestand, möglichen Bedrohungen und Schwachstellen, Wahrscheinlichkeit einer Kompromittierung, Auswirkung auf das Unternehmen (z. B. Ruf, Umsatz, fehlende regulatorische Compliance) sowie geschätzte Verluste Informationsrisikobewertung Informationsrisikomanagement/Geschäftsrisiken- Chancen-Analyse Festlegung von Risikograden und Zuordnung der jeweiligen Risikoeigentümer; Festlegung autorisierter Risikoakzeptanzgrade Risikobewertung jedes einzelnen Programms, Prozesses, Projekts, Initiative oder System und anschließende Formulierung von Maßnahmen zur Risikominimierung sowie einer Korrekturstrategie Etablierung eines konsistenten Prozesses zur Abwägung von Informationssicherheitsrisiken gegen Geschäftschancen Festlegen der erforderlichen Kontrollen, um Risiken auf ein akzeptables Maß zu senken Integration der Informationsrisikomaßnahmen in das Risikomanagement-Framework bzw. -Programm des Unternehmens 4 Security for Business Innovation Council-Report RSA, The Security Division of EMC
7 Die neue Leistungsbeschreibung Inventarisierung und Bewertung von Ressourcen Aufstellung über den gesamten Bestand an Geschäftsprozessen, vertraulichen Daten und Informationssystemen, die ein Unternehmen verwendet Erstellung einer ausführlichen Dokumentaktion zu den Geschäftsprozessen mit Abbildung des Datenflusses, um schützenswerte Prozesse und Daten zu ermitteln und Sicherheitsstrategien zu entwickeln Ermittlung der privilegierten Benutzer im erweiterten Unternehmen, die Zugriff auf wichtige Systeme haben Ermittlung des Werts von Ressourcen zur Priorisierung von Sicherheitsstrategien Management von Fremdanbieterrisiken/ Integrität der IT- Lieferkette Durchführung einer Risikoevaluierung, bevor das Unternehmen eine Beziehung zu einem Fremdanbieter eingeht Entwicklung eines Due-Diligence-Prozesses zur Bewertung von Anbietern, Partnern und Zulieferern Regelmäßige Evaluierung der Risiken, die mit der Geschäftstätigkeit mit Anbietern, Partnern und Zulieferern verbunden ist Verstehen der IT-Lieferkette und Evaluierung der Sicherheit von Hardware und Software, die in der IT-Umgebung des Unternehmens zum Einsatz kommt Effizienzsteigerung durch gemeinsame Bewertungen und laufende Überwachung der Kontrollen Internetrisikoanalyse und Bedrohungsanalyse Verstehen der gegnerischen Seite in Bezug auf die Unternehmensressourcen (Identität, Kompetenzen, Motivationen, Ziele) Sammeln von sicherheitsrelevanten Informationen über Bedrohungen für das Unternehmen Verwalten der Quellen dieser sicherheitsrelevanten Informationen, Interpretieren von Daten, Durchführen von Analysen und Erstellen von Bedrohungsanalysereports und Warnmeldungen Integration eines Bedrohungsmodells sowie von Informationen in den gesamten Sicherheitsmanagementprozess und -lebenszyklus Sicherheitsdatenanalyse Nutzung fortschrittlicher Analysetechniken und Data Science zur Analyse von Sicherheitsdaten unter Einbeziehung der gesammelten Informationen Entwicklung von Abfragen, Algorithmen und Datenmodellen zur Erkennung oder Vorhersage böswilliger Aktivitäten Sicherheitsdatenmanagement und Data Warehousing Entwicklung einer Datenmanagementstrategie und Infrastruktur zur Sammlung und Analyse von Sicherheitsdaten aus verschiedenen Quellen (Sicherheitssysteme, Datenbanken, Anwendungen, Bedrohungsfeeds) zu verschiedenen Zwecken (z. B. Bedrohungserkennung, Risikomanagement und Compliance in Unternehmen, laufende Kontrollenüberwachung) Erstellen eines Data Warehouse für Sicherheitsdaten Optimierung der Sicherheitsprozesse Konsistente Nachverfolgung und Messung der Effizienz von Sicherheitsprozessen und Umsetzung von Verbesserungen mithilfe definierter Qualitätsmanagement-, Projektmanagement- und Servicebereitstellungsmethodologien Langfristige Planung Beobachtung zukünftiger Trends im Unternehmen, der Technologie und Regulierung, um proaktive Sicherheitsstrategien formulieren zu können. Dazu gehören zum Beispiel technische Entwicklungen wie das Internet der Dinge oder Wearable-Geräte, die neue Sicherheitsprobleme mit sich bringen RSA, The Security Division of EMC Security for Business Innovation Council-Report 5
8 3 Herausforderungen und Chancen D ie Zusammenstellung eines leistungsfähigen Informationssicherheitsteams ist mit einer Reihe aktueller Herausforderungen verbunden: Es fehlt an Fachwissen, gute Mitarbeiter lassen sich nur schwer halten Spezialisten für das Sicherheits- und Geschäftsrisikomanagement sind sehr gefragt Knappe Budgets Sicherheitsteams sind bereits voll ausgelastet Der Vorstand erwartet Mitarbeiter mit Geschäftssinn Weil die Informationssicherheit mehr und mehr in den Mittelpunkt der Geschäftsstrategie rückt, wird von Sicherheitsspezialisten heute auch unternehmerisches Wissen verlangt Es ergeben sich aber auch neue Chancen: Das Bewusstsein wächst Vom einfachen Anwender bis zur Führungsebene wächst das Bewusstsein für Sicherheitsfragen. Diese Entwicklung ist unter anderem der verstärkten Präsenz in den Medien, persönlichen Erfahrungen mit Internetangriffen oder dem Druck durch die Regulierungsorgane geschuldet. Das gesamte Unternehmen übernimmt Risikoverantwortung In vielen Unternehmen zeichnen sich umwälzende Veränderungen ab, denn unter den nicht mit Sicherheitsfragen betrauten Mitarbeitern wächst die Erkenntnis, dass sie selbst und nicht nur die Sicherheitsabteilung für den Umgang mit den Risiken für ihre Informationsressourcen verantwortlich sind und dass sie aktiv mit der Sicherheitsabteilung zusammenarbeiten müssen, um diese Risiken zu managen. Sicherheitsberufe sind zunehmend gefragt Das Spektrum der Informationssicherheit weitet sich auf neue Aspekte wie Geschäftsrisikoanalyse, Cyber-Intelligence und Data Science aus und wird damit interessanter. Immer neue Nachrichtenmeldungen und Hollywood- Darstellungen von Sicherheitsspezialisten, die das Netz vor den unterschiedlichsten Bedrohungen bewahren, sorgen für Aufmerksamkeit und steigern das Interesse an diesem Berufsfeld. Dave Martin Vice President und Chief Security Officer, EMC Corporation Er ist wirklich erstaunlich. Früher herrschte bei uns die Einstellung: Ihr Sicherheitsleute steht uns im Weg, muss das denn sein?. Inzwischen nutzen die Unternehmenseinheiten unsere zentralen Beratungsservices, um Strategien für die Risikoreduzierung umzusetzen. Das ist immer häufiger der Fall, da den Unternehmenseinheiten klar wird, dass sie ihre Risiken selbst managen müssen und sich dabei nicht auf andere verlassen oder den Kopf in den Sand stecken können. Angebot und Reichweite von Serviceprovidern wachsen Der Markt reagiert auf die neuen Anforderungen, wodurch Unternehmen nun leichter externe Sicherheitsserviceprovider beauftragen können, um Kosten zu senken, Spezialwissen zu nutzen, Unterstützung bei der Bewältigung des Arbeitsaufwands oder unabhängige Bewertungen zu erhalten. 6 Security for Business Innovation Council-Report RSA, The Security Division of EMC
9 4 Empfehlungen I nformationssicherheit in Unternehmen kann nur erfolgreich sein, wenn alle Beteiligten an einem Strang ziehen und die Sicherheitsprozesse vollständig in die Geschäftsprozesse integriert sind. Das erweiterte Informationssicherheitsteam kann aus folgenden Beteiligten bestehen: Personal, das mit der IT-Implementierung und dem Betrieb der Sicherheitskontrollen zuständig ist Risikomanager in den einzelnen Geschäftsbereichen, die mit dem Ausräumen von Risiken beschäftigt sind Mitarbeiter aus dem Einkauf, die Anbieterüberprüfungs- und Risikobewertungsprotokolle anwenden, um Zulieferer zu evaluieren Die Datenschutzstelle, die für die Kontrolle der Einhaltung von Regulierungen zuständig ist Marketingmitarbeiter, die in den Social Media nach Hinweisen auf mögliche Gefahren suchen Das Kernteam für die Informationssicherheit überwacht und koordiniert alle damit verbundenen Maßnahmen und übernimmt Aufgaben, die Spezialwissen oder eine Zentralisierung erfordern. Einige Mitarbeiter, die für Sicherheitsaufgaben außerhalb des Kernteams zuständig sind, können direkt oder fachlich unterstellt sein; andere orientieren sich möglicherweise an Sicherheitsstandards oder Service- Level-Agreements (SLAs). Tabelle 2 im Anhang illustriert die Aufgabenverteilung in einem erweiterten Team, bestehend aus dem Kernteam für Informationssicherheit, der IT, den einzelnen Unternehmensbereichen und den Serviceprovidern. Die nachfolgenden Empfehlungen dienen als Anleitung für den Aufbau eines erstklassigen erweiterten Teams mit dem Ziel, Sicherheitsrisiken effektiv zu managen und die vorhandenen Personalressourcen optimal auszunutzen. Je nachdem, wie weit ein Unternehmen in diesem Prozess bereits gediehen ist, kann dieser Leitfaden zur anfänglichen Planung, zur Überprüfung des gewählten Ansatzes oder zur Beschleunigung der Umsetzung in bestimmten Bereichen verwendet werden. Kernkompetenzen neu definieren und ausbauen Routinevorgänge delegieren Expertendienstleistungen leihen oder einkaufen Risikoeigentümer beim Risikomanagement anleiten Prozessoptimierungsspezialisten einstellen Schlüsselpersonen ins Boot holen Quereinsteiger anwerben und ausbilden 1. Kernkompetenzen neu definieren und ausbauen In führenden Unternehmen sind die für die Informationssicherheit zuständigen Kernteams aktuell bemüht, ihre Kenntnisse auf den folgenden Gebieten zu erweitern: Internetrisikoanalyse und Sicherheitsdatenanalyse, Sicherheitsdatenmanagement, Risikoberatung sowie Entwicklung von Überwachungsund Kontrollmaßnahmen. Je nach Größe des Kernteams bzw. Spezialisierungsgrad sind einzelne Mitglieder für spezifische Aufgaben oder für mehrere Bereiche zuständig. Für jeden Bereich sind verschiedene Kompetenzen erforderlich, die Teammitglieder häufig erst erlernen müssen. Ab diesem Punkt muss entweder das vorhandene Personal durch entsprechende Schulungen mit den erforderlichen Kompetenzen ausgestattet werden, oder das Kernteam muss neue Mitglieder aufnehmen bzw. Dienstleistungen von externen Serviceprovidern einkaufen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 7
10 Empfehlungen 1. Internetrisikoanalyse und Sicherheitsdatenanalyse Angesichts des wachsenden Bedrohungspotenzials müssen die meisten Unternehmen auf der Welt ihre Bedrohungserkennung verbessern und dafür einen informationsorientierten Ansatz (vgl. SBIC-Report Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security) entwickeln. Dieser Ansatz umfasst im ersten Schritt das Sammeln und Zusammenführen von Cyber-Intelligence-Daten, die aus internen (z. B. Sensoren in IT-Systemen und Geschäftsanwendungen) sowie externen Quellen (z. B. Bedrohungsfeeds von staatlichen Stellen oder kommerziellen Anbietern) stammen. Im zweiten Schritt werden diese Daten dann mithilfe leistungsfähiger Verfahren analysiert, um Angriffsindikatoren oder anormale Verhaltensmuster herauszufiltern. Das Kernteam sollte dann die Möglichkeit haben, das gesamte Unternehmen auf sicherheitsrelevante Situationen aufmerksam zu machen. Für die Ermittlung relevanter Datenquellen und die Durchführung aussagekräftiger Analysen muss über die wahre Beschaffenheit der Geschäftsumgebung, die zu schützenden Ressourcen und die möglichen Internetbedrohungen absolute Klarheit herrschen. Einige Sicherheitsteams nutzen bereits Big Data-Technologien, um Angriffe nicht nur zu erkennen, sondern auch vorherzusagen. Zentrale Soft Skills: Internes und externes Networking zur Ermittlung guter Quellen von sicherheitsrelevanten Informationen, Kommunikationsfähigkeit zur Erstellung von Reports und Präsentation von Sicherheitseinweisungen Zentrale Prozesskompetenzen: Entwicklung eines End-to-End-Informationserfassungsprozes ses, einschließlich der Gewinnung und Filterung von Daten, der Durchführung von Analysen, Kommunikation der Ergebnisse, des Treffens einer Risikoentscheidung und des Ergreifens von Maßnahmen Zentrale technische Kompetenzen: Analyse (Herstellen von Verbindungen zwischen scheinbar unverbundenen Daten), Datenanalyseverfahren und Data Science 2. Sicherheitsdatenmanagement Unternehmen, die zur Erkennung von Bedrohungen auf die Datenanalyse setzen, haben erkannt, dass sie eine übergeordnete Strategie und Infrastruktur für das Management von Sicherheitsdaten benötigen. Zu diesem Zweck müssen Sicherheitsdaten aus der gesamten IT-Umgebung zusammengestellt werden, unter anderem Protokolle, komplette Paketdatenströme und unstrukturierte Daten aus Systemen, Datenbanken und Geschäftsanwendungen. Diese Daten können außerhalb der Bedrohungserkennung zum Beispiel für das Unternehmensrisikomanagement, die Compliance und die ständige Kontrollenüberwachung verwendet werden. Zentrale Soft Skills: Schnittstelle zur IT und zum Unternehmen, einschließlich der Unternehmensdatenmanagement-Architekten Zentrale Prozesskompetenzen: Abbildung der Sicherheitsdatenflüsse in der gesamten IT-Umgebung des Unternehmens Zentrale technische Kompetenzen: Zentrale IT- Kompetenzen in den Bereichen Speicherarchitektur, Verarbeitungsarchitektur, Datenbankschema, Normalisierung und Umgang mit Netzwerkengpässen 3. Risikoberatung Das Kernteam berät das Unternehmen hinsichtlich des Risikomanagements von Informationsressourcen, einschließlich jener, die mit Sicherheit, Datenschutz und rechtlichen Fragen, regulatorischer Compliance und ediscovery in Zusammenhang stehen. Das Kernteam muss die Geschäftsprozesse genauestens kennen. Bei der Risikobewertung, der Einschätzung des Wertes von Ressourcen und der Festlegung von Strategien zur Risikominimierung muss das Team mit den verschiedenen Stakeholdern zusammenarbeiten und es muss dafür sorgen, dass bei Projektstarts Risikobesprechungen durchgeführt werden. Zahlreiche Risiken entstehen erst durch die Zusammenarbeit mit Fremdanbietern. Globale Sourcing- und Cloud-Computing-Strategien haben dafür gesorgt, dass Unternehmen Aufgaben verstärkt an Serviceprovider auslagern und mit neuen Geschäftspartnern und Zulieferern zusammenarbeiten. Das Know-how um effiziente und effektive Due-Diligence- Das Fachwissen des Kernsicherheitsteams sollte vor allem dafür eingesetzt werden, zu beraten, die Richtung vorzugeben, die Strategie voranzutreiben, Risiken zu ermitteln und dem Unternehmen zu erklären, Bedrohungen zu verstehen und das Unternehmen voranzubringen und nicht auf Routineaufgaben verschwendet werden. Bob Rodger Group Head of Infrastructure Security, HSBC Holdings plc. 8 Security for Business Innovation Council-Report RSA, The Security Division of EMC
11 Empfehlungen Verfahren für Fremdanbieter, laufende Bewertungen und die Evaluierung von Hardware und Software rückt daher als zentrale Fähigkeit in den Vordergrund. Zentrale Soft Skills: Führungsstil, internes Networking, um das Bewusstsein für Geschäftsstrategien auszubauen, Kommunikation (Zuhören, verbale Ausdrucksfähigkeit, Führen schwieriger Gespräche, Beachten auch kleiner kultureller und unternehmensspezifischer Unterschiede) Zentrale Prozesskompetenzen: Zuordnung und Dokumentation von Geschäftsprozessen, Frameworks für das Risikomanagement, Protokolle zur Bewertung von Fremdanbieterrisiken und Controls Assurance (einschließlich gemeinsamer Bewertungen), Managen ausgelagerter Serviceprovider und Lieferkettencommunitys Zentrale technische Kompetenzen: Risikoevaluierung, Messung vielfältiger Risiken und unterschiedlicher Risikobereitschaft innerhalb eines Unternehmens anhand einer standardisierten Methode, Automatisierung von Risikomanagement und Anbieterbewertung, fortlaufende Überwachung der Kontrollen 4. Design von Kontrollen und Controls Assurance Zu den zentralen Aufgaben des Kernteams sollte das Designen innovativer, auf die Geschäftsziele ausgerichteter Kontrollen ebenso gehören wie das Erarbeiten fortschrittlicher Testverfahren für die Controls Assurance. Dies umfasst auch das Recherchieren, Entwickeln, Evaluieren und Bereitstellen neuer Sicherheitstechnologien. Kontrollanalysten müssen nicht nur dafür sorgen, dass das gesammelte Beweismaterial belegt, dass Kontrollen wie vorgesehen greifen, sondern auch dafür, dass diese optimal gegen neueste Bedrohungen geschützt sind und die Agilität des Unternehmens nicht beeinträchtigen. Zentrale Soft Skills: Umsetzung von Unternehmensund Complianceanforderungen in Sicherheitsanforderungen unter Berücksichtigung der Enterprise- Architektur Zentrale Prozesskompetenzen: Dokumentation des Kontroll-Frameworks des Unternehmens, Entwicklung von Protokollen zur Bewertung und Belegung der Kontrollen Zentrale technische Kompetenzen: Sicherheitsarchitektur, Anwendungs-, mobile und Cloudsicherheit, fortlaufende Überwachung der Kontrollen, erweiterte Tests und Analysen der Sicherheitskontrollen 2. Routinevorgänge delegieren Sicherheitsteams bevorzugen es in der Regel, alles selbst zu machen. Doch das muss sich ändern. Denn durch Delegieren von Routinesicherheitsvorgängen an andere interne Gruppen oder externe Serviceprovider kann das Kernteam sich darauf konzentrieren, proaktiver und strategischer zu handeln und so das vorhandene technische Fachwissen und Potenzial für unternehmerisches Risikomanagement voll auszuschöpfen. Zudem können gute Serviceprovider dank ihrer Skalierbarkeit und Spezialisierung nicht nur kostengünstiger, sondern auch qualitätsbewusster arbeiten. Gerade wiederholbare, etablierte Prozesse eignen sich für das Delegieren. So können beispielsweise Gruppen in der IT oder Managed-Security-Serviceprovider (MSS- Ps) mit dem Betreiben von Firewalls, Authentifizierung, Intrusion-Prevention-Systemen und/oder Antivirussoftware betraut werden. Überlassen Sie das Bereitstellen von Benutzerzugriffen auf der Anwendungsebene und die Administration von Benutzerkonten den einzelnen Unternehmenseinheiten. Schulen Sie Entwickler in der Anwendungssicherheit und statten Sie sie mit Tools zur Ermittlung von Schwachstellen aus. Ziehen Sie für das Scannen und Tests Security-as-a-Service in Betracht. Auch wenn das Kernteam Aufgaben delegiert, muss es weiterhin über angemessene Befehls- und Kontrollgewalt verfügen. Dies kann mithilfe von umfassenden Anforderungen, Standards und SLAs erreicht werden. Um eine effektive Aufsicht zu ermöglichen, muss das Kernteam außerdem über ausreichendes technisches Sicherheitsfachwissen sowie über Kompetenzen im Bereich des Anbietermanagements verfügen. Unternehmen, die die Sicherheit nicht an Fremdanbieter vergeben möchten, können häufig vergleichbare Ergebnisse erzielen, indem sie sie an interne IT-Gruppen auslagern. Unabhängig von der Art des gewählten Serviceproviders ist jedoch dasselbe Maß an Aufsicht erforderlich. Das Kernteam sollte regelmäßig evaluieren, welche Aufgaben effizienter und kostengünstiger von anderen erledigt werden können. So kann zum Beispiel das Kernteam zunächst die Bereitstellung und den Betrieb neuer Sicherheitstechnologien übernehmen, nachdem diese zum Standard geworden sind, den laufenden Betrieb jedoch delegieren. RSA, The Security Division of EMC Security for Business Innovation Council-Report 9
12 Empfehlungen 3. Expertendienstleistungen leihen oder einkaufen Ein häufiges Problem ist, dass das Kernteam in bestimmten Bereichen nicht über das nötige Fachwissen verfügt. Hier können Experten von außerhalb der Sicherheitsabteilung Abhilfe schaffen. Einige Sicherheitsteams setzen zum Beispiel Datenanalysemitarbeiter ein, die von Serviceprovidern oder anderen Abteilungen des Unternehmens (z. B. Betrug oder Marketing) bereitgestellt werden. Big Data ist zwar im Bereich der Sicherheit ein noch neues Konzept, doch andere Unternehmensbereiche verfügen über langjährige Erfahrung mit Datenanalyseverfahren. Wenn es nicht realistisch oder einfach zu teuer ist, bestimmte Experten in Vollzeit verfügbar zu halten dies kann zum Beispiel bei Spezialisten in der Schadsoftwareforensik oder Analysten aus dem Bereich Internetbedrohungen der Fall sein, können sich Unternehmen bei Bedarf auch an externe Serviceprovider wenden. So können Kernteams bei Bedarfsspitzen oder im Falle eines Ausscheidens von Teammitgliedern zusätzliche Fachkräfte heranziehen. Auch die Partnerschaft mit einem Anbieter von Sicherheitsberatung, der vielfältige, hochqualifizierte Sicherheitsfachkräfte auf Honorarbasis zur Verfügung stellt, ist eine Überlegung wert. Sie erweitern nicht nur die Kompetenzen des Kernteams, sondern können auch eine unvoreingenommene Sichtweise bieten. Für das Lösen besonders komplexer Probleme ist es häufig sinnvoll, Fachpersonal etwa einen auf eine bestimmte Technologie spezialisierten Berater für Sicherheitsarchitektur heranzuziehen. Berücksichtigen Sie jedoch, dass das Kernteam selbst über die erforderlichen Kompetenzen verfügen muss, um ausgelagertes Fachwissen anzuwenden. Wenn mir eine wichtige Kompetenz fehlt, baue ich sie auf oder kaufe sie ein. Ob man sie aufbaut oder einkauft ist eine Frage, die anhand der Total Cost of Ownership entschieden werden sollte. Bei einigen Kompetenzen kann es sinnvoller sein, an einen Serviceprovider heranzutreten. Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson 4. Risikoeigentümer beim Risikomanagement anleiten Normalerweise übernehmen Senior Manager innerhalb des Unternehmens Verantwortung für Risikomanagemententscheidungen, die sich aus Initiativen wie der Markteinführung neuer Produkte oder Services, Programmen wie BYOD, Informationsressourcen wie Websites für Kunden und Unternehmensprozessen wie der Finanzberichterstattung ergeben. Da sich Unternehmensleitungen zunehmend ihrer Verantwortung dafür bewusst sind, die mit der Internetsicherheit einhergehenden Risiken zu managen, entscheiden sich jedoch auch immer mehr Unternehmen für Risikomanager für Informationssicherheit in den Unternehmenseinheiten, die für die Risikobeseitigung zuständig sind. Aufgabe des Kernteams ist es, die Aktivitäten im Bereich Informationsrisikomanagement zu steuern und die Internetsicherheitsrisiken gemeinsam mit dem Unternehmen zu managen. Dies umfasst unter anderem das Koordinieren eines einheitlichen Ansatzes bei der Identifizierung, Bewertung, Reduzierung, Beseitigung und dem Reporting von Risiken, das Abwägen von Risiken und Chancen, Entscheidungen über das Maß an Risikobereitschaft und -akzeptanz sowie das Einbeziehen des Informationsrisikos in das gesamte Programm für das Unternehmensrisikomanagement. Zentrale Ziele sind, das Risikomanagement für das Unternehmen zu vereinfachen und es gleichzeitig dafür in die Pflicht zu nehmen, indem Selfservicetools bereitgestellt, das Risikomanagement in die Unternehmensprozesse integriert und Automatisierung implementiert werden. Bisher hat sich das Team für Informationssicherheit eher auf die Technologie konzentriert. Doch die Zusammenarbeit mit dem Unternehmen spielt eine immer größere Rolle, um dessen Anforderungen in der Sicherheitsabteilung zu berücksichtigen und umgekehrt die Sicherheitsperspektive in das Unternehmen zu tragen. Felix Mohan Senior Vice President und Global Chief Information Security Officer, Airtel 10 Security for Business Innovation Council-Report RSA, The Security Division of EMC
13 Empfehlungen 5. Prozessoptimierungsspezialisten einstellen Prozesskenntnisse sind längst zu einem wichtigen Bestandteil moderner Teams geworden. Ihr Ziel sollten Teammitglieder sein, die über Erfahrung in den Bereichen Qualitäts-, Projekt- bzw. Prozessmanagement, Prozessoptimierung und Servicebereitstellung verfügen und im Bereich Sicherheit geschult werden können. Ziehen Sie Mitarbeiter in Betracht, die über Qualifikationen in den Bereichen Six-Sigma-Prozessverbesserung, IT- Servicemanagement (ITSM), COBIT-IT-Governance und/oder TOGAF-Unternehmensarchitektur verfügen. Einigen Kernteams gelingt es, Prozess- oder Programmmanagementexperten aus anderen Bereichen des Unternehmens zum Beispiel der Qualitätsabteilung oder dem Enterprise Program Office abziehen. Mit Prozesskenntnissen im Team können Sie den wachsenden Anforderungen an Prozessverbesserungen Rechnung tragen. Aufgrund der Bedrohungslandschaft streben zum Beispiel einige Unternehmen ein Patching aller kritischen Systeme innerhalb von Stunden statt von Wochen an. Unternehmenseinheiten möchten die Auswirkungen der Sicherheit auf Geschäftsprozesse reduzieren, Reibungspunkte für Endanwender und Serverausfallzeiten minimieren. Regulierungsorgane fordern engmaschigere Kontrollen für den Informationszugriff, z. B. die Sperrung abgelaufener Berechtigungen innerhalb von Minuten, nicht von Tagen. Zunehmend wird von der Sicherheitsabteilung erwartet werden, dass sie die Produktivität von Sicherheitsinvestitionen misst und langfristig auch quantifizierbare Verbesserungen vorweisen kann. Hierzu gehören auch Prozesswiederholbarkeit, -flexibilität und -skalierbarkeit. Ermitteln Sie vor einem größeren Internetprojekt Ihre kritischen Serviceprovider und bauen Sie eine solide Beziehung zu ihnen auf. Geben Sie Angreifern keine Chance, sich zu verstecken, indem Sie dafür sorgen, dass die Sicherheitsstandards im gesamten Ökosystem eingehalten werden. William Boni Corporate Information Security Officer (CISO), Vice President, Enterprise Information Security, T-Mobile USA Es gibt einen wesentlichen Eckpfeiler unserer Sicherheitsabteilung und der lautet Vorschriften zählen. Unsere Prozesse müssen genauestens dokumentiert und geprüft werden. Wie können wir sie effizienter machen? Und effektiver? Haben wir etwas übersehen? Man benötigt Mitarbeiter mit erstklassiger Prozess- und Qualitätserfahrung, um die Unternehmensführung zu überzeugen. Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation 6. Schlüsselpersonen ins Boot holen Enge Beziehungen zu allen Beteiligten innerhalb des Unternehmens sind für das Kernteam unerlässlich, um sich die Kooperation einer wachsenden Anzahl von Mitarbeitern mit Sicherheitsverantwortung zu sichern, ein gemeinschaftliches Umfeld zu schaffen und dafür zu sorgen, dass Mitglieder des erweiterten Teams ihre Aufgaben verstehen und ausführen. Das Kernteam muss alle Unternehmensbereiche und -ebenen einbeziehen. Es muss sich für eine Einflussnahme auf Schlüsselpersonen positionieren z. B. auf diejenigen, die über Technologieinvestitionen und strategische Unternehmensentscheidungen entscheiden. Zu den wichtigsten Beziehungen gehören zweifellos jene zu den Hütern der Kronjuwelen des Unternehmens etwa den Datasets und Geschäftsprozessen mit geistigem Eigentum oder proprietären Daten. Eine wichtige Rolle spielt auch die Beziehung zum mittleren Management, mit dessen Unterstützung sehr viel erreicht werden kann. Auch Provider, die das Outsourcen von Geschäftsprozessen anbieten (Business Process Outsourcing, BPO) sollten Sie gezielt für sich gewinnen. Das Kernteam sollte ein starkes Netzwerk aus Sicherheitsexperten bei BPOs schaffen und gemeinsam mit ihnen für hohe Sicherheitsstandards und Informationsweitergabe innerhalb der gesamten Community sorgen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 11
14 7. Quereinsteiger anwerben und ausbilden Obwohl das Interesse an der Informationssicherheit steigt, wird es kurzfristig zu Engpässen bei Fachkräften mit sofort einsetzbaren Kompetenzen in den Bereichen Internetsicherheit und Risikoberatung kommen. Qualifizierte Mitarbeiter mit Know-how über neue Sicherheitstechnologien zu finden, stellt eine besonders große Herausforderung dar. Als Übergangslösung wenden sich einige Unternehmen an MSSPs, da das Beschaffen und/ oder Binden von Mitarbeitern mit bestimmten technischen Kompetenzen ein Problem darstellt. Sicherheitsteams benötigen außerdem Fachkräfte, die neben technischem Fachwissen auch die Fähigkeit mitbringen, produktive Gespräche mit wichtigen Stakeholdern zu führen. Eine langfristige Strategie für die Personalbeschaffung ist für den Aufbau eines effektiven Sicherheitsteams unerlässlich. Arbeiten Sie mit den Geschäftseinheiten und der Personalabteilung zusammen, um die Anforderungen an und mögliche Quellen für qualifizierte Mitarbeiter zu evaluieren. Unternehmen stellen zunehmend Mitarbeiter ohne Sicherheitserfahrung ein, die jedoch über wertvolle Kompetenzen verfügen und im Sicherheitsbereich geschult werden können. Eine Möglichkeit ist es, eine interne Akademie für Internetsicherheit ins Leben zu rufen. Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Eine weitere kann sein, einzelne Teammitglieder beim Absolvieren externer Schulungen und dem Erwerb externer Qualifikationen zu unterstützen und/oder Mentoringprogramme einzurichten. Neben Berufseinsteigern können auch interne Mitarbeiter aus der IT oder anderen Bereichen geworben werden, die sich für eine berufliche Laufbahn im Sicherheitsbereich interessieren. Sie sind häufig die beste Wahl, da sie mit dem Unternehmen und bestehenden Netzwerken vertraut sind. Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Seien Sie bei der Suche nach Mitarbeitern, die für Sicherheitspositionen geschult werden könnten, aufgeschlossen. Es gibt viele Quereinsteiger mit geeigneten Kompetenzen, darunter Datenbankadministration, Softwareentwicklung, Unternehmensanalyse, militärische Aufklärung und Rechts- oder Datenschutzbeauftragte. Es gibt Kernteams, die in letzter Zeit Data Scientists eingestellt haben, die bisher in der DNA-Sequenzierung tätig waren. Mitarbeiter mit theoretischem Wissen in Bereichen wie Ökonometrie oder Mathematik können ihre praktischen technischen Kompetenzen ausbauen. Solche mit einem Werdegang in den Bereichen Geschichte oder Journalismus bringen exzellente Recherchekompetenzen mit. Wenn man Mitarbeitern zu begehrten Sicherheitskompetenzen verhilft, stellt die Mitarbeiterbindung eine große Herausforderung dar. Deshalb ist es wichtig, jedem Mitglied des Teams eine absehbare und attraktive berufliche Laufbahn und eine marktübliche Vergütung zu bieten. Bei neuen Mitarbeitern für das Unternehmen sollten Sie unbedingt Wert auf Gedankenvielfalt legen. Das war noch nie so wichtig, weil sich das Unternehmen schneller verändert, als die Sicherheit reagieren kann und zur Lösung dieser Probleme ist Innovation gefragt. Jerry R. Geisler III Office of the Chief Information Security Officer, Walmart Stores Inc. Viele Unternehmen arbeiten außerdem mit Universitäten zusammen, um die Verfügbarkeit qualifizierter Sicherheitsmitarbeiter längerfristig zu sichern. Konkret kann dies das Schaffen von Führungsentwicklungsprogrammen, das Beeinflussen von Lehrplänen, um sie an die Branchenanforderungen anzupassen, oder das Anbieten von Praktikums-/Kooperationsmöglichkeiten umfassen. Informationsprogramme an Universitäten und sogar Gymnasien können helfen, mögliche Nachwuchskräfte für eine Laufbahn in der Internetsicherheit zu interessieren. 12 Security for Business Innovation Council-Report RSA, The Security Division of EMC
15 Zusammenfassung Teams für Informationssicherheit befinden sich im Wandel, um den Anforderungen gerecht zu werden, die sich aus zunehmend schwierigeren Unternehmensumgebungen, Bedrohungslandschaften und Regulierungsbedingungen ergeben. Ein wachsendes Bewusstsein für Sicherheitsprobleme ermöglicht eine Neupositionierung der Informationssicherheit innerhalb von Unternehmen weg von einem technischen Silo hin zu einer wirklich gemeinschaftlichen Anstrengung. Unternehmen wird außerdem zunehmend bewusst, dass die Einhaltung von Sicherheitsanforderungen ein größeres Augenmerk auf Prozesse erfordert. Effektive Sicherheitsteams verfügen heute über ein klares Verständnis der Geschäftsprozesse und der Bedeutung guter Sicherheitsprozesse für die Erfüllung ihres Mandats. Im nächsten Report dieser dreiteiligen Fortsetzungsreihe über den Wandel in der Informationssicherheit beschäftigen wir uns damit, wie führende Unternehmen Prozesse überdenken und optimieren. Im dritten Report gehen wir auf die Frage ein, wie neue Technologien in ein modernes Programm für Informationssicherheit auf der Basis eines kreativen und vorausschauenden Teams passen. Informationen zur Security for Business Innovation Council Initiative Geschäftliche Innovationen stehen längst auf der Prioritätenliste der meisten Unternehmen ganz oben, da Geschäftsführungen das Potenzial von Globalisierung und Technologie für die Schaffung neuer Werte und Effizienzen nutzen möchten. Und doch wird ein wichtiges Bindeglied übersehen. Obwohl Informationen und IT-Systeme treibende Kräfte für geschäftliche Innovationen darstellen, wird der Schutz von Informationen und IT-Systemen in der Regel nicht als strategisch erforderlich betrachtet und das, obwohl Unternehmen zunehmend mit Regulationsdruck und eskalierenden Bedrohungen zu kämpfen haben. Die Informationssicherheit ist häufig ein nachträglicher Einfall, der erst am Ende eines Projekt oder unter Umständen gar nicht berücksichtigt wird. Doch ohne eine gute Sicherheitsstrategie können geschäftliche Innovationen im Keim erstickt werden oder aber das Unternehmen kann großen Risiken ausgesetzt sein. RSA ist der Meinung, dass Sicherheitsteams, die echte Partner im Prozess für geschäftliche Innovationen sind, ihren Unternehmen zu beispiellosen Ergebnissen verhelfen können. Die Zeit ist reif für einen neuen Ansatz: Sicherheit muss mehr sein als ein technisches Spezialgebiet nämlich eine Unternehmensstrategie. Obwohl die meisten Sicherheitsteams längst erkannt haben, dass sie Sicherheit und Unternehmen besser aufeinander abstimmen müssen, fällt es vielen nach wie vor schwer, diese Erkenntnis in konkrete Maßnahmenpläne zu überführen. Sie kennen das Ziel doch wie sie es erreichen sollen, wissen viele nicht. Deshalb arbeitet RSA mit einigen der weltweit wichtigsten Experten aus dem Sicherheitsbereich zusammen, um den branchenweiten Dialog zur Lösung dieses Problems zu fördern. RSA hat den Security for Business Innovation Council, eine Gruppe äußerst erfolgreicher Sicherheitsverantwortlicher aus Global-1000-Unternehmen der verschiedensten Branchen, einberufen. Wir führen detaillierte Befragungen mit dem Council durch, veröffentlichen seine Ideen in einer Reportreihe und fördern unabhängige Forschungen in diesen Themenbereichen. Die Reports und Informationen zu den Forschungen finden Sie auf Gemeinsam können wir diesen wichtigen Wandel in der Branche voranbringen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 13
16 A Anhang Aufbau eines erstklassigen erweiterten Informationssicherheitsteams Tabelle 2 Geschäftsführung und Vorstand beaufsichtigen das Programm Team- mitglieder Kerninformationssicherheit IT Unternehmen Serviceprovider ( häufiger Einsatz) Breites Angebot an Spezialisten Mitarbeiter können mehr als eine Rolle übernehmen An strategischen und operativen Sicherheitsrollen beteiligte Mitarbeiter Geschäftsbereich und funktionale Bereiche (z. B. Datenschutz, HR, Marketing, Recht, Audit, Beschaffung) Consultants mit Fachwissen auf dem jeweiligen Gebiet (SMEs), Managed-Security- Serviceprovider (MSSPs) und Cloudanbieter (SAAS) Kann mit den Teams für ediscovery, physische Sicherheit und/ oder Produktsicherheit konvergieren Aktivitäten Konkrete Verantwortungsbereiche Programmmanagement CISO leitet Programm und funktionsübergreifendes Informationsrisikokomitee CIO beteiligt sich am Informationsrisikokomitee Bestimmte Führungskräfte beteiligen sich am Informationsrisikokomitee Sicherheitsrichtlinie und -standards Entwicklung von Richtlinie und Standards Beratung zu Richtlinie und Standards Beratung zu Richtlinie und Standards Implementierung von Kontrollen Managen und Überwachung der Implementierung Implementierung von Kontrollen in komplexeren Fällen Implementierung von Kontrollen gemäß Sicherheitsstandards oder Bereitstellung von Services, die Sicherheits-SLA entsprechen Unterstützung bei der Implementierung von Kontrollen MSSPs stellen Services für die Implementierung von Kontrollen gemäß Sicherheits-SLA bereit Betrieb von Kontrollen Managen und Überwachung des Betriebs von Kontrollen Betrieb neuerer oder komplexerer Kontrollen Betrieb von Kontrollen gemäß Sicherheitsstandards oder Bereitstellung von Services, die Sicherheits-SLA entsprechen Sicherstellen, dass geschäftliche Abläufe den Anforderungen der Sicherheitskontrollen entsprechen MSSPs stellen Services für den Betrieb von Kontrollen gemäß Sicherheits-SLA bereit Controls Assurance Bewertung von Kontrollen und Entwicklung fortschrittlicher Tools für die Erprobung und Analyse von Kontrollen MSSPs stellen Services bereit, z. B. Quellcodeüberprüfungen, Schwachstellenscans Implementierung fortlaufender Kontrollenüberwachungen Design von Kontrollen (Sicherheitsarchitektur) Voranbringen des Designs neuer Sicherheitskontrollen Beratung zum Design neuer Sicherheitskontrollen Beratung zum Design neuer Sicherheitskontrollen Arbeit mit der Enterprise- IT-Architektur Vorfallsbehandlung/Ausfallsicherheit Managen und Koordination von unternehmensübergreifenden Reaktionen Arbeit an technischen Aspekten von Reaktionen Arbeit an rechtlichen, PR-, HR-Aspekten von Reaktionen SMEs stellen Forensik und Schadsoftwareanalysen bereit 14 Security for Business Innovation Council-Report RSA, The Security Division of EMC
17 Informationsrisikobewertung Managen des Risikobewertungsprogramms Durchführung von Risikobewertungen in komplexeren Fällen Bereitstellung von Tools zur Vereinfachung von Risikobewertungen Durchführung der Risikobewertung mit den Tools des Kernteams Durchführung der Risikobewertung mit den Tools des Kernteams Beratung durch Mitarbeiter aus der Rechtsabteilung zu rechtlichen und Compliancerisiken Trend geht zu von Serviceprovidern gemäß Sicherheits- SLA durchgeführten Risikobewertungen Informationsrisikomanagement/ Geschäftsrisiken- Chancen-Analyse Voranbringen von Risikomanagementaktivitäten Zusammenarbeit mit IT und Unternehmen Beratung zu Risikomanagement Bereitstellung von Tools zur Vereinfachung des Risikomanagements Zusammenarbeit mit Kernteam zum Managen von Risiken Unterstützung bei der Beseitigung ermittelter Risiken Regelmäßiges Reporting zum Status von Risiken Zusammenarbeit mit Kernteam zum Managen von Risiken Unterstützung bei der Beseitigung ermittelter Risiken Regelmäßiges Reporting zum Status von Risiken Management von Fremdanbieterrisiken/Integrität der IT-Lieferkette Vorantreiben des Managements von Fremdanbieterrisiken und des Lieferkettenintegritätsprogramms Entwicklung von Standards und Bereitstellung von Tools für die Bewertung von Fremdanbietern und der Evaluierung von Hard- und Software Durchführung von Due- Diligence- und Fremdanbieterbewertungen mit den Tools des Kernteams Durchführung von Hardware- und Softwareevaluierungen mit den Tools des Kernteams Durchführung von Due- Diligence- und Fremdanbieterbewertungen mit den Tools des Kernteams Beschaffung integriert Sicherheitsbewertungen in den Beschaffungsprozess Beratung zu Compliancerisiken und Verfassen von Verträgen durch Mitarbeiter aus der Rechtsabteilung SMEs führen anhand der Standards des Kernteams Due-Diligence- und Fremdanbieterbewertungen durch Inventarisierung und Bewertung von Ressourcen Voranbringen der Entwicklung eines Bestandsregisters Zusammenarbeit mit Kernteam, um Ressourcen zu katalogisieren und ihren Wert zu bestimmen Zusammenarbeit mit Kernteam, um Ressourcen zu katalogisieren und ihren Wert zu bestimmen Internetrisikoanalyse und Bedrohungsanalyse Managen des Intelligence- Programms Koordination von Quellen Weitergabe von Intelligence- Daten (z. B. Phishing- s) Weitergabe von Intelligence- Daten (z. B. Social-Media- Überwachung) SMEs stellen Quellen und Bedrohungsanalysen bereit Sicherheitsdatenanalyse Voranbringen der Entwicklung von Abfragen und Modellen Beratung zu und/oder Bereitstellung von Datenanalyseservices Beratung zu und/ oder Bereitstellung von Datenanalyseservices SMEs und/oder MSSPs stellen Datenanalyseservices bereit Sicherheitsdatenmanagement und Data Warehousing Voranbringen der Strategie für Sicherheitsdatenmanagement und der Sicherheits- Data-Warehouse-Architektur Voranbringen der Datenmanagementstrategie des gesamten Unternehmens Beratung zu Sicherheitsstrategie und Datenquellen (z. B. Netzwerkprotokollen) Beratung zu Datenquellen (z. B. Anwendungs- und Datenbankprotokollen) SMEs stellen Bedrohungsfeeds bereit MSSPs stellen Feeds aus Sicherheitssystemprotokollen bereit Optimierung der Sicherheitsprozesse Voranbringen der Optimierung der Sicherheitsprozesse im gesamten Unternehmen Beratung zu und Unterstützung bei der Implementierung von Verbesserungen Beratung zu und Unterstützung bei der Implementierung von Verbesserungen Langfristige Planung Beobachtung zukünftiger Unternehmen-, Technologieund Regulierungstrends, um proaktive Sicherheitsstrategien formulieren zu können Zusammenarbeit bei zukünftigen Trends und proaktiven Strategien Zusammenarbeit bei zukünftigen Trends und proaktiven Strategien RSA, The Security Division of EMC Security for Business Innovation Council-Report 15
18 Mitwirkende Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson Anish Bhimani Cissp Chief Information Risk Officer, JPMorgan Chase William Boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA Roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker Senior Vice President, Chief Information Security Officer, ABN Amro Jerry R. Geisler III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. Renee Guttmann Chief Information Security Officer, The Coca-Cola Company Malcolm Harkins Vice President, Chief Security und Privacy Officer, Intel Kenneth Haertling Vice President und Chief Security Officer, TELUS Petri Kuivala Chief Information Security Officer, Nokia Dave Martin CISSP Vice President und Chief Security Officer, EMC Corporation Tim McKnight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments Felix Mohan Senior Vice President und Global Chief Information Security Officer, Airtel Robert Rodger Group Head of Infrastructure Security, HSBC Holdings, plc. Ralph Salomon CRISC Vice President IT Security and Risk Office, SAP AG Vishal Salvi CISM Chief Information Security Officer und Senior Vice President, HDFC Bank Limited Simon Strickland Global Head of Security, AstraZeneca Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation Vollständige Biografien der SBIC-Mitglieder finden Sie auf 16 Security for Business Innovation Council-Report RSA, The Security Division of EMC
19 EMC, EMC 2, das EMC Logo, RSA und das RSA-Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument genannten Produkte und/oder Services sind Marken ihrer jeweiligen Inhaber EMC Deutschland GmbH. Alle Rechte vorbehalten H12227 CISO RPT 0813 RSA, The Security Division of EMC Security for Business Innovation Council-Report 17
Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5
Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat
MehrTest zur Bereitschaft für die Cloud
Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich
MehrIT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit
IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft
MehrWir organisieren Ihre Sicherheit
Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.
MehrInterne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!
Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre
MehrOUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten
Outsourcing Advisor Bewerten Sie Ihre Unternehmensanwendungen auf Global Sourcing Eignung, Wirtschaftlichkeit und wählen Sie den idealen Dienstleister aus. OUTSOURCING ADVISOR Der Outsourcing Advisor ist
MehrDER SELBST-CHECK FÜR IHR PROJEKT
DER SELBST-CHECK FÜR IHR PROJEKT In 30 Fragen und 5 Tipps zum erfolgreichen Projekt! Beantworten Sie die wichtigsten Fragen rund um Ihr Projekt für Ihren Erfolg und für Ihre Unterstützer. IHR LEITFADEN
MehrSkills-Management Investieren in Kompetenz
-Management Investieren in Kompetenz data assessment solutions Potenziale nutzen, Zukunftsfähigkeit sichern Seite 3 -Management erfolgreich einführen Seite 4 Fähigkeiten definieren und messen Seite 5 -Management
MehrGPP Projekte gemeinsam zum Erfolg führen
GPP Projekte gemeinsam zum Erfolg führen IT-Sicherheit Schaffen Sie dauerhaft wirksame IT-Sicherheit nach zivilen oder militärischen Standards wie der ISO 27001, dem BSI Grundschutz oder der ZDv 54/100.
MehrTHE KNOWLEDGE PEOPLE. CompanyFlyer.indd 1 07.03.2016 11:48:05
THE KNOWLEDGE PEOPLE CompanyFlyer.indd 1 07.03.2016 11:48:05 BE SMART IT-CONSULTING Smartes IT-Consulting für die Zukunft: Agilität, Dynamische IT, Komplexitätsreduzierung, Cloud, Industrie 4.0, Big Data
MehrVom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen
MehrRule the principal. www.pse-solutions.ch
Rule the principal www.pse-solutions.ch Software ersetzt das Denken nicht Die Wettbewerbsfähigkeit Ihrer Unternehmung ist von den verschiedensten Faktoren abhängig. Einer davon ist, die Qualität und Effizient
MehrGovernance, Risk & Compliance für den Mittelstand
Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive
MehrMobile Intranet in Unternehmen
Mobile Intranet in Unternehmen Ergebnisse einer Umfrage unter Intranet Verantwortlichen aexea GmbH - communication. content. consulting Augustenstraße 15 70178 Stuttgart Tel: 0711 87035490 Mobile Intranet
MehrPensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione
Compliance-Reglement 1. Grundsätze und Ziele Compliance ist die Summe aller Strukturen und Prozesse, die sicherstellen, dass und ihre Vertreter/Vertreterinnen alle relevanten Gesetze, Vorschriften, Codes
MehrSicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH
Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen
MehrTech-Clarity Perspective: Best Practices für die Konstruktionsdatenverwaltung
Tech-Clarity Perspective: Best Practices für die Konstruktionsdatenverwaltung Wie effektive Datenmanagement- Grundlagen die Entwicklung erstklassiger Produkte ermöglichen Tech-Clarity, Inc. 2012 Inhalt
MehrFührungsgrundsätze im Haus Graz
;) :) Führungsgrundsätze im Haus Graz 1.0 Präambel 2.0 Zweck und Verwendung Führungskräfte des Hauses Graz haben eine spezielle Verantwortung, weil ihre Arbeit und Entscheidungen wesentliche Rahmenbedingungen
MehrApplication Lifecycle Management als strategischer Innovationsmotor für den CIO
Application Lifecycle Management als strategischer Innovationsmotor für den CIO Von David Chappell Gefördert durch die Microsoft Corporation 2010 Chappell & Associates David Chappell: Application Lifecycle
MehrWSO de. <work-system-organisation im Internet> Allgemeine Information
WSO de Allgemeine Information Inhaltsverzeichnis Seite 1. Vorwort 3 2. Mein Geschäftsfeld 4 3. Kompetent aus Erfahrung 5 4. Dienstleistung 5 5. Schulungsthemen 6
MehrInfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.
InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle. RESSOURCEN BESTMÖGLICH NUTZEN. WORKSHOP INFOSEC AWARENESS DAS NOTWENDIGE
MehrBegeisterung und Leidenschaft im Vertrieb machen erfolgreich. Kurzdarstellung des Dienstleistungsangebots
Begeisterung und Leidenschaft im Vertrieb machen erfolgreich Kurzdarstellung des Dienstleistungsangebots Überzeugung Ulrich Vieweg Verkaufs- & Erfolgstraining hat sich seit Jahren am Markt etabliert und
MehrWelches Übersetzungsbüro passt zu mir?
1 Welches Übersetzungsbüro passt zu mir? 2 9 Kriterien für Ihre Suche mit Checkliste! Wenn Sie auf der Suche nach einem passenden Übersetzungsbüro das Internet befragen, werden Sie ganz schnell feststellen,
Mehr.. für Ihre Business-Lösung
.. für Ihre Business-Lösung Ist Ihre Informatik fit für die Zukunft? Flexibilität Das wirtschaftliche Umfeld ist stärker den je im Umbruch (z.b. Stichwort: Globalisierung). Daraus resultierenden Anforderungen,
MehrMit dem richtigen Impuls kommen Sie weiter.
Mit dem richtigen Impuls kommen Sie weiter. Editorial ERGO Direkt Versicherungen Guten Tag, die Bedeutung von Kooperationen als strategisches Instrument wächst zunehmend. Wir haben mit unseren Partnern
MehrDatenschutz-Management
Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb
Mehr«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»
«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.» www.pse-solutions.ch ANTOINE DE SAINT-EXUPÉRY 1 PROJECT SYSTEM ENGINEERING
MehrAgile Enterprise Development. Sind Sie bereit für den nächsten Schritt?
Agile Enterprise Development Sind Sie bereit für den nächsten Schritt? Steigern Sie noch immer die Wirtschaftlichkeit Ihres Unternehmens alleine durch Kostensenkung? Im Projektportfolio steckt das Potenzial
MehrMehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.
Mehr Effizienz und Wertschöpfung durch Ihre IT Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher. Nutzen Sie Ihren Wettbewerbsvorteil Die Geschäftsprozesse von heute sind zu wichtig,
MehrTEUTODATA. Managed IT-Services. Beratung Lösungen Technologien Dienstleistungen. Ein IT- Systemhaus. stellt sich vor!
TEUTODATA Managed IT-Services Beratung Lösungen Technologien Dienstleistungen Ein IT- Systemhaus stellt sich vor! 2 Willkommen Mit dieser kleinen Broschüre möchten wir uns bei Ihnen vorstellen und Ihnen
MehrFehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems
Fehler und Probleme bei Auswahl und Installation eines Dokumentenmanagement Systems Name: Bruno Handler Funktion: Marketing/Vertrieb Organisation: AXAVIA Software GmbH Liebe Leserinnen und liebe Leser,
MehrSicher auf Erfolgskurs. Mit Ihrem Treuhand-Betriebsvergleich
Sicher auf Erfolgskurs Mit Ihrem Treuhand-Betriebsvergleich Leistungsübersicht Der neue Treuhand-IBV eines der besten Instrumente für Ihre Unternehmensführung Weil Sie jetzt ganz leicht den Überblick behalten
MehrITIL & IT-Sicherheit. Michael Storz CN8
ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung
MehrMethode Online Befragung 16 geschlossene Fragen Durchgeführt im März 2015 im Rahmen des Future of Work HR Kongresses.
März 2015 Methode Zielgruppe österreichische Unternehmen abgegebene Fragebögen: 62 Methode Online Befragung 16 geschlossene Fragen Durchgeführt im März 2015 im Rahmen des Future of Work HR Kongresses.
MehrNACHHALTIGE WACHSTUMS- KOMPETENZ FÜR KMU. Christine Frühauf 2015 Bildnachweise: Kresse: luxuz::. / photocase.de Moos: annelilocke / photocase.
NACHHALTIGE WACHSTUMS- KOMPETENZ FÜR KMU Christine Frühauf 2015 Bildnachweise: Kresse: luxuz::. / photocase.de Moos: annelilocke / photocase.de 0 Raus aus der Wachstumsfalle Wachstum ist für die meisten
MehrThe AuditFactory. Copyright by The AuditFactory 2007 1
The AuditFactory 1 The AuditFactory Committee of Sponsoring Organizations of the Treadway Commission Internal Control System (COSO I) 2 Vorbemerkung zur Nutzung dieser Publikation Die Nutzung der hier
MehrLeistungsstarke Enterprise Apps. Für Menschen erdacht. Für Veränderungen entwickelt.
Plattform, Apps und App-Entwicklung Onit Apps für Ihr Unternehmen App [ap] Nomen Computer, informell 1. Anwendung (in der Regel ein kleines spezialisiertes Programm), die auf Mobilgeräte heruntergeladen
MehrGründe für eine Partnerschaft mit Dell. November 2015
Gründe für eine Partnerschaft mit Dell November 2015 Warum Dell? Auf Dell als Vertriebspartner können Sie sich verlassen! Da wir bei Dell innerhalb eines einzigen erfolgreichen Unternehmens ein Komplettportfolio
MehrZIELE erreichen WERTSTROM. IDEEN entwickeln. KULTUR leben. optimieren. KVP und Lean Management:
KVP und Lean Management: Damit machen wir Ihre Prozesse robuster, schneller und kostengünstiger. ZIELE erreichen WERTSTROM optimieren IDEEN entwickeln KULTUR leben 1 Lean Management Teil 1: Das Geheimnis
MehrBETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT
FÜR INFORMATIONSSICHERHEIT FÜR INFORMATIONSSICHERHEIT Informationssicherheit bedingt höhere Anforderungen und mehr Verantwortung für Mitarbeiter und Management in Unternehmen und Organisationen. Awareness-Trainings
MehrCA Clarity PPM. Übersicht. Nutzen. agility made possible
PRODUKTBLATT CA Clarity PPM agility made possible CA Clarity Project & Portfolio Management (CA Clarity PPM) unterstützt Sie dabei, Innovationen flexibel zu realisieren, Ihr gesamtes Portfolio bedenkenlos
MehrWIR MACHEN SIE ZUM BEKANNTEN VERSENDER
02040203 WIR MACHEN SIE ZUM BEKANNTEN VERSENDER Ein Mehrwert für Ihr Unternehmen 1 SCHAFFEN SIE EINEN MEHRWERT DURCH SICHERHEIT IN DER LIEFERKETTE Die Sicherheit der Lieferkette wird damit zu einem wichtigen
MehrProjektmanagement in der Spieleentwicklung
Projektmanagement in der Spieleentwicklung Inhalt 1. Warum brauche ich ein Projekt-Management? 2. Die Charaktere des Projektmanagement - Mastermind - Producer - Projektleiter 3. Schnittstellen definieren
MehrSiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)
Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche
MehrRISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de
RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen. www.risima.de RISIKEN MINIMIEREN. SICHERHEIT MAXIMIEREN. CHANCEN OPTIMIEREN. ERHÖHEN SIE DIE SICHERHEIT
MehrMicrosoft Cloud Ihr Weg in die Cloud
Microsoft Cloud Ihr Weg in die Cloud Komfort Informationen flexibler Arbeitsort IT-Ressourcen IT-Ausstattung Kommunikation mobile Endgeräte Individualität Mobilität und Cloud sind erfolgsentscheidend für
MehrContent Management System mit INTREXX 2002.
Content Management System mit INTREXX 2002. Welche Vorteile hat ein CM-System mit INTREXX? Sie haben bereits INTREXX im Einsatz? Dann liegt es auf der Hand, dass Sie ein CM-System zur Pflege Ihrer Webseite,
MehrDen Durchblick haben. VOLKSBANK BAD MÜNDER eg. Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert
Den Durchblick haben Online aber sicher: Unsere Produkt- und Sicherheitshotline hilft und informiert VOLKSBANK BAD MÜNDER eg www.vbbadmuender.de...meine Bank! Jeder Mensch hat etwas, das ihn antreibt.
MehrKompetenz ist Basis für Erfolg
Kompetenz ist Basis für Erfolg Internet-Services Software-Entwicklung Systemhaus Internet-Suchservices Kompetenz ist Basis für Erfolg - Wir über uns Am Anfang stand die Idee, Unternehmen maßgeschneiderte
MehrEngagement der Industrie im Bereich Cyber Defense. Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25.
Engagement der Industrie im Bereich Cyber Defense Blumenthal Bruno Team Leader Information Security RUAG Defence Aarau, 25. April 2012 Cyber Defense = Informationssicherheit 2 Bedrohungen und Risiken Bedrohungen
MehrIDV Assessment- und Migration Factory für Banken und Versicherungen
IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein
MehrBusiness Process Outsourcing. in Partnerschaft mit den Besten gewinnen. Business Process Outsourcing
Business Process Outsourcing in Partnerschaft mit den Besten gewinnen Business Process Outsourcing Veränderung heißt Gewohntes loszulassen und bereit sein Neues zu empfangen. Norbert Samhammer, CEO Samhammer
MehrGemeinsam erfolgreich. Unser Konzernleitbild
Gemeinsam erfolgreich Unser Konzernleitbild Das Demag Cranes Konzernleitbild ist vergleichbar mit einer Unternehmensverfassung. Es setzt den Rahmen für unser Handeln nach innen wie nach außen und gilt
MehrStammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing
Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing Finanzbuchhaltung Wenn Sie Fragen haben, dann rufen Sie uns an, wir helfen Ihnen gerne weiter - mit Ihrem Wartungsvertrag
MehrInformationssicherheit als Outsourcing Kandidat
Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt 16.06.2015 Thomas Freund Senior Security Consultant / ISO 27001 Lead Auditor Agenda Informationssicherheit Outsourcing Kandidat
MehrFeedback in Echtzeit. Social Media Monitoring Services von Infopaq. SOCIAL MEDIA
MEDIENBEOBACHTUNG MEDIENANALYSE PRESSESPIEGELLÖSUNGEN Feedback in Echtzeit. Social Media Monitoring Services von Infopaq. SOCIAL MEDIA Risiken kennen, Chancen nutzen. So profitiert Ihr Unternehmen von
MehrSocial Media Monitoring Was wird über Sie und Ihre Wettbewerber gesagt?
Social Media Monitoring Was wird über Sie und Ihre Wettbewerber gesagt? Donnerstag, 31. Mai 2012 Toocan GmbH Tobias Görgen Inhaber & Geschäftsführer Social Media Monitoring & Management Gegründet 2010
MehrMobile Endgeräte - Sicherheitsrisiken erkennen und abwehren
Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren Enrico Mahl Information Technology Specialist Infinigate Deutschland GmbH ema@infinigate.de 1 Alles Arbeit, kein Spiel Smartphones& Tabletserweitern
MehrWELCOME TO SPHERE SECURITY SOLUTIONS
Failing to plan, is planning to fail WELCOME TO SPHERE SECURITY SOLUTIONS your professional security partner INTRO Wie wertvoll Sicherheit ist wird besonders klar, wenn sie im entscheidenden Moment fehlt.
MehrCon.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service
Con.ECT IT-Service & Business Service Management SAM-Outsourcing: Lizenzmanagement als externer Service Jana Brinck - SAM Consultant Der globale IT Lösungsanbieter! Niederlassungen in 24 Ländern! Handel
MehrGeschäftsprozessmanagement
Jetzt fit machen: Geschäftsprozessmanagement Seminare für die öffentliche Verwaltung 2015/2016 DIE VERWALTUNG HEUTE & MORGEN Die öffentliche Verwaltung befindet sich bei der Modernisierung ihrer Strukturen
MehrDieser PDF-Report kann und darf unverändert weitergegeben werden.
ME Finanz-Coaching Matthias Eilers Peter-Strasser-Weg 37 12101 Berlin Dieser PDF-Report kann und darf unverändert weitergegeben werden. http://www.matthiaseilers.de/ Vorwort: In diesem PDF-Report erfährst
Mehr----------------------------------------------------------------------------------------------------------------------------------------
0 Seite 0 von 20 03.02.2015 1 Ergebnisse der BSO Studie: Trends und Innovationen im Business Performance Management (BPM) bessere Steuerung des Geschäfts durch BPM. Bei dieser BSO Studie wurden 175 CEOs,
MehrÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER
GOOD NEWS VON USP ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER In den vergangenen vierzehn Jahren haben wir mit USP Partner AG eine der bedeutendsten Marketingagenturen
MehrVirtual Roundtable: Business Intelligence - Trends
Virtueller Roundtable Aktuelle Trends im Business Intelligence in Kooperation mit BARC und dem Institut für Business Intelligence (IBI) Teilnehmer: Prof. Dr. Rainer Bischoff Organisation: Fachbereich Wirtschaftsinformatik,
MehrTALENT IM ZEITALTER DES LERNENS. Die überzeugende Antwort auf die Krise des Lernens
TALENT IM ZEITALTER DES LERNENS Die überzeugende Antwort auf die Krise des Lernens Die Krise des Lernens 85 MILLIONEN: Das ist das erwartete globale Defizit an Fachkräften in fünf Jahren. 200 MILLIONEN:
MehrKarriere in der IT und Informatik: Voraussetzungen für den Arbeitsplatz der Zukunft
Karriere in der IT und Informatik: Voraussetzungen für den Arbeitsplatz der Zukunft 07. Juni 2011 Dipl.-Komm.-Wirt Alexander Rabe Geschäftsführer Deutsche Informatik-Akademie 07. Juni 2011 1 Inhalt: Stellenwert
Mehrwhere IT drives business
where IT drives business Herzlich willkommen bei clavis IT Seit 2001 macht clavis IT einzigartige Unternehmen mit innovativer Technologie, Know-how und Kreativität noch erfolgreicher. Als leidenschaftliche
MehrPAPIERLOSES ARBEITEN. für Anfänger
Über den Autor Viktor Mečiar IT Manager viktor.meciar@accace.com +421 2 325 53 047 Viktor ist für die Überwachung der Inhouse Entwicklung und Implementierung von Softwarelösungen für Accace Group verantwortlich.
MehrWir vermitteln sicherheit
Wir vermitteln sicherheit 2 3 Eine solide basis für unabhängige Beratung wir vermitteln sicherheit Als unabhängiger Versicherungsmakler sind wir für unsere Geschäfts- und Privatkunden seit 1994 der kompetente
Mehr360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf
360 - Der Weg zum gläsernen Unternehmen mit QlikView am Beispiel Einkauf Von der Entstehung bis heute 1996 als EDV Beratung Saller gegründet, seit 2010 BI4U GmbH Firmensitz ist Unterschleißheim (bei München)
MehrIT OUTSOURCING. Wie die IT durch Transparenz zum internen Dienstleister wird. Herford, 13.09.2012, Steffen Müter
IT OUTSOURCING Wie die IT durch Transparenz zum internen Dienstleister wird Herford, 13.09.2012, Steffen Müter Vorurteile gegenüber IT Abteilungen...ihr seid zu langsam...es gibt immer Ausreden, wenn etwas
MehrAuszug aus der Auswertung der Befragung zur Ermittlung der IT-Basiskompetenz
Auszug aus der Auswertung der Befragung zur Ermittlung der IT-Basiskompetenz Wir arbeiten in Strukturen von gestern mit Methoden von heute an Problemen von morgen, vorwiegend mit Menschen, die die Strukturen
MehrGeyer & Weinig: Service Level Management in neuer Qualität.
Geyer & Weinig: Service Level Management in neuer Qualität. Verantwortung statt Versprechen: Qualität permanent neu erarbeiten. Geyer & Weinig ist der erfahrene Spezialist für Service Level Management.
MehrERGEBNISSE DER CW-MARKTSTUDIE COLLABORATION AUS DER CLOUD IM UNTERNEHMENSEINSATZ IN TABELLARISCHER FORM
ERGEBNISSE DER CW-MARKTSTUDIE COLLABORATION AUS DER CLOUD IM UNTERNEHMENSEINSATZ IN TABELLARISCHER FORM 10 Frage 1: Werden in Ihrem Unternehmen Collaboration-Tools eingesetzt, und wenn ja, wie viele? Anm.:
MehrInformationssicherheitsmanagement
Informationssicherheitsmanagement nach ISO 27001 und BSI Grundschutz Karner & Schröppel Partnerschaft Sachverständige für Informationssicherheit und Datenschutz Unser Konzept Informationssicherheit und
MehrBusiness Model Canvas
Business Model Canvas Business Model Canvas ist ein strategisches Management Tool, mit dem sich neue und bestehende Geschäftsmodelle visualisieren lassen. Demnach setzt sich ein Geschäftsmodell aus neun
MehrEs gibt Wichtigeres im Leben, als beständig dessen Geschwindigkeit zu erhöhen. Ghandi PROZESSBEGLEITUNG
Es gibt Wichtigeres im Leben, als beständig dessen Geschwindigkeit zu erhöhen. Ghandi PROZESSBEGLEITUNG INHALT Nachhaltige Prozessbegleitung Zielgruppe Ziele der Prozessbegleitung Ansatz Aus und Weiterbildung
MehrWie kann Ihr Unternehmen von Leadership Branding profitieren?
Wie kann Ihr Unternehmen von Leadership Branding profitieren? Durch Leadership Branding stärken sich Marke und Führung gegenseitig. Das kann viele Vorteile haben und mehrfachen Nutzen stiften. Welches
MehrProblem-Management und Eskalationsprozess Referenzhandbuch
TECHNISCHE UNTERSTÜTZUNG FÜR UNTERNEHMEN Problem-Management und Eskalationsprozess Referenzhandbuch Symantecs Verantwortung gegenüber seinen Kunden Symantec bietet Kunden und Partnern hochwertige Produkte
MehrErfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank
Turning visions into business Oktober 2010 Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank David Croome Warum Assessments? Ein strategisches Ziel des IT-Bereichs der Großbank
MehrRWE Service. lieferantenmanagement. Konzentration auf die Besten gemeinsam sind wir stark
RWE Service lieferantenmanagement Konzentration auf die Besten gemeinsam sind wir stark 3 lieferantenmanagement einleitung LIEFERANTENMANAGEMENT IM ÜBERBLICK Wir wollen gemeinsam mit Ihnen noch besser
MehrDer Schutz von Patientendaten
Der Schutz von Patientendaten bei (vernetzten) Software-Medizinprodukten aus Herstellersicht 18.09.2014 Gerald Spyra, LL.M. Kanzlei Spyra Vorstellung meiner Person Gerald Spyra, LL.M. Rechtsanwalt Spezialisiert
MehrMicrosoft SharePoint 2013 Designer
Microsoft SharePoint 2013 Designer Was ist SharePoint? SharePoint Designer 2013 Vorteile SharePoint Designer Funktionen.Net 4.0 Workflow Infrastruktur Integration von Stages Visuelle Designer Copy & Paste
MehrOrganisation des Qualitätsmanagements
Organisation des Qualitätsmanagements Eine zentrale Frage für die einzelnen Funktionen ist die Organisation dieses Bereiches. Gerade bei größeren Organisationen Für seine Studie mit dem Titel Strukturen
MehrProzessoptimierung. und. Prozessmanagement
Prozessoptimierung und Prozessmanagement Prozessmanagement & Prozessoptimierung Die Prozesslandschaft eines Unternehmens orientiert sich genau wie die Aufbauorganisation an den vorhandenen Aufgaben. Mit
MehrIst Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers
Ist Excel das richtige Tool für FMEA? Steve Murphy, Marc Schaeffers Ist Excel das richtige Tool für FMEA? Einleitung Wenn in einem Unternehmen FMEA eingeführt wird, fangen die meisten sofort damit an,
MehrDatenschutzbeauftragte
MEIBERS RECHTSANWÄLTE Externe Datenschutzbeauftragte für Ihr Unternehmen Stand: Juli 2014 Datenschutz im Unternehmen ist mehr als eine Forderung des Gesetzgebers Der Schutz personenbezogener Daten ist
MehrRisiken auf Prozessebene
Risiken auf Prozessebene Ein Neuer Ansatz Armin Hepe Credit Suisse AG - IT Strategy Enabeling, Practices & Tools armin.hepe@credit-suisse.com Persönliche Vorstellung, kurz 1 Angestellter bei Credit Suisse
MehrKonzentrieren Sie sich auf Ihr Kerngeschäft! Wir sind Ihre Personalabteilung vor Ort.
Konzentrieren Sie sich auf Ihr Kerngeschäft! Wir sind Ihre Personalabteilung vor Ort. Für Unternehmen, die in Deutschland investieren, ist das Personalmanagement ein besonders kritischer Erfolgsfaktor.
MehrPIERAU PLANUNG GESELLSCHAFT FÜR UNTERNEHMENSBERATUNG
Übersicht Wer ist? Was macht anders? Wir denken langfristig. Wir individualisieren. Wir sind unabhängig. Wir realisieren. Wir bieten Erfahrung. Für wen arbeitet? Pierau Planung ist eine Gesellschaft für
MehrDieter Brunner ISO 27001 in der betrieblichen Praxis
Seite 1 von 6 IT-Sicherheit: die traditionellen Sichtweise Traditionell wird Computer-Sicherheit als technisches Problem gesehen Technik kann Sicherheitsprobleme lösen Datenverschlüsselung, Firewalls,
MehrI N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte
I N F O R M A T I O N V I R T U A L I S I E R U N G Wir schützen Ihre Unternehmenswerte Wir schützen Ihre Unternehmenswerte Ausfallsicherheit durch Virtualisierung Die heutigen Anforderungen an IT-Infrastrukturen
MehrAgile Vorgehensmodelle in der Softwareentwicklung: Scrum
C A R L V O N O S S I E T Z K Y Agile Vorgehensmodelle in der Softwareentwicklung: Scrum Johannes Diemke Vortrag im Rahmen der Projektgruppe Oldenburger Robot Soccer Team im Wintersemester 2009/2010 Was
MehrStudie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell
Studie über Umfassendes Qualitätsmanagement ( TQM ) und Verbindung zum EFQM Excellence Modell (Auszug) Im Rahmen des EU-Projekts AnaFact wurde diese Umfrage von Frauenhofer IAO im Frühjahr 1999 ausgewählten
MehrITIL und Entwicklungsmodelle: Die zwei Kulturen
Kombination von IT Service Management (ITIL) und Anwendungsentwicklung Kai Witte und Matthias Kaulke, München, den 30.03.2006 Rahmeninformationen Wo sind wir? Unternehmensdarstellung (1) Unabhängiges Beratungsunternehmen
Mehr1 Was ist Personal Online-Coaching?
1 Was ist Personal Online-Coaching? 2 Welchen Nutzen bringt Personal Online-Coaching? 3 Wie funktioniert Personal Online-Coaching in der Praxis? 4 Wie kann die Personal Online-Coaching Akademie für Ihr
MehrStaatssekretär Dr. Günther Horzetzky
#upj15 #upj15 Staatssekretär Dr. Günther Horzetzky Ministerium für Wirtschaft, Energie, Industrie, Mittelstand und Handwerk des Landes Nordrhein-Westfalen Ministerium für Wirtschaft, Energie, Industrie,
MehrErläuterungen zur Untervergabe von Instandhaltungsfunktionen
Zentrale Erläuterungen zur Untervergabe von Instandhaltungsfunktionen Gemäß Artikel 4 der Verordnung (EU) 445/2011 umfasst das Instandhaltungssystem der ECM die a) Managementfunktion b) Instandhaltungsentwicklungsfunktion
Mehr