Security for Business Innovation Council

Größe: px
Ab Seite anzeigen:

Download "Security for Business Innovation Council"

Transkript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President und Global Chief Information Security Officer AstraZeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer Security for Business Innovation Council Informationssicherheit im Wandel t Dieser Report basiert auf Gesprächen mit dem Wie man ein erstklassiges erweitertes Team zusammenstellt EMC Corporation Dave Martin, Vice President und Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim McKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer und Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security und Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, Vice President IT Security and Risk Office TELUS Kenneth Haertling, Vice President und Chief Security Officer T-Mobile USA William Boni, Corporate Information Security Officer (CISO) und Vice President, Enterprise Information Security Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer Informationssicherheit im Wandel Empfehlungen von Global-1000-Verantwortlichen Das neue Anforderungsprofil In diesem Report: Neue Chancen zur Zusammenarbeit Tipps zur optimalen Nutzung von Ressourcen Empfehlungen für die nächsten Schritte Übersicht der Aufgabenverteilung in einem erweiterten Team Eine von RSA unterstützte Brancheninitiative

2 * Inhalte Highlights 1 1. Einführung: Teams im Wandel 2 2. Die neue Leistungsbeschreibung 3 Tabelle 1: Das veränderte Aufgabenprofil der Informationssicherheit>>>>>>> 4 3. Herausforderungen und Chancen 6 4. Empfehlungen 7 1. Kernkompetenzen neu definieren und ausbauen>>>>>>>>>>>>>>>>>>>>> 7 2. Routinevorgänge delegieren>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9 3. Expertendienstleistungen leihen oder einkaufen>>>>>>>>>>>>>>>>>>> Risikoeigentümer beim Risikomanagement anleiten>>>>>>>>>>>>>>>> Prozessoptimierungsspezialisten einstellen>>>>>>>>>>>>>>>>>>>>>>> Schlüsselpersonen ins Boot holen>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Quereinsteiger anwerben und ausbilden>>>>>>>>>>>>>>>>>>>>>>>>>> 12 Zusammenfassung 13 Informationen zum Security for Business Innovation Council 13 Anhang Tabelle 2: Aufbau eines erstklassigen erweiterten Informationssicherheitsteams>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Mitwirkende 16 Haftungsausschluss: Dieser Security for Business Innovation Council-Report (nachfolgend der Report ) enthält Informationen und Material (nachfolgend der Inhalt ), die jederzeit geändert werden können. RSA Security LLC, EMC Corporation und die einzelnen Autoren des Security for Business Innovation Council (nachfolgend Autoren ) sind nicht verpflichtet, den Inhalt zu aktualisieren. Der Inhalt wird ohne Gewähr zur Verfügung gestellt. Die Autoren übernehmen keine ausdrücklichen oder stillschweigenden Garantien, keine Mängelgewährleistung, keine Gewähr zur Eignung, keine Garantie der Nicht-Verletzung, der Genauigkeit oder Zweckmäßigkeit oder andere Garantien zur Nutzung des Inhalts. Der Inhalt wird zu Informationszwecken bereitgestellt und stellt keine Rechtsauskunft von RSA Security LCC, seinem Mutterunternehmen EMC Corporation, deren Anwälten oder einer der Autoren dieses SBIC-Reports dar. Handeln Sie auf Grundlage dieses Reports erst, nachdem Sie sich von einem in Ihrem Land zugelassenen Anwalt beraten lassen haben. Die Autoren sind nicht für Fehler in diesem Report oder für Schäden verantwortlich, die sich aus der Nutzung dieses Reports (inklusive allen Inhalts) ergeben, darunter direkte und indirekte Schäden, Schadensersatz, konkrete Schäden, Folgeschäden oder Bußgelder, egal, ob aufgrund eines Vertrags, unerlaubter Handlung oder einer anderen Anspruchsgrundlage, selbst wenn die Autoren sich der Möglichkeit solcher Fehler oder Schäden bewusst sind. Die Autoren übernehmen keine Verantwortung für Fehler oder Auslassungen im Inhalt. 2 Security for Business Innovation Council-Report RSA, The Security Division of EMC

3 Highlights Welche Kenntnisse und Kompetenzen sind notwendig, um in einem weltweit tätigen Unternehmen die Risiken für Informationsressourcen zu managen? Deutlich mehr als noch vor wenigen Jahren. Besonders in den letzten 18 Monaten sind die Anforderungen enorm gestiegen, unter anderem bedingt durch sich häufende Cyberangriffe, die rasante Einführung neuer Technologien, eine verstärkte Überprüfung durch Regulierungsorgane und eine immer engmaschiger vernetzte Wirtschaftswelt. Bei der Informationssicherheit geht es nicht mehr nur um die Implementierung und Anwendung von Sicherheitsmaßnahmen. Diese Aufgabenstellung wurde nun vielmehr um umfangreiche technische und geschäftsorientierte Aufgaben erweitert: Geschäftsrisikoanalyse, Ressourcenbewertung, Integrität der IT-Lieferkette, Cyber-Intelligence, Analyse von Sicherheitsdaten, Data Warehousing und Prozessoptimierung. Das Anforderungsprofil hat sich deutlich erweitert und so ist es schwieriger geworden, ein effektives Team zusammenzustellen. Es fehlt schlicht an Personal mit geeigneten Kompetenzen. Aber auch Chancen ergeben sich, denn in vielen Unternehmen wächst unter den nicht mit Sicherheitsfragen betrauten Mitarbeitern die Erkenntnis, dass sie selbst und nicht nur die Sicherheitsabteilung für den Umgang mit den Risiken für ihre Informationsressourcen verantwortlich sind und dass sie aktiv mit der Sicherheitsabteilung zusammenarbeiten müssen, um diese Risiken zu managen. Informationssicherheit in Unternehmen kann nur erfolgreich sein, wenn alle Beteiligten an einem Strang ziehen und die Sicherheitsprozesse vollständig in die Geschäftsprozesse integriert sind. Das erweiterte Team setzt sich zusammen aus IT-Mitarbeitern, den Geschäftsbereichen sowie Abteilungen wie Beschaffung, Recht und Marketing. Das Kernteam für die Informationssicherheit überwacht und koordiniert alle damit verbundenen Maßnahmen und übernimmt Aufgaben, die Spezialwissen oder eine Zentralisierung erfordern. Die folgenden sieben Empfehlungen können als Hilfestellung für den Aufbau eines erstklassigen erweiterten Teams dienen, um die Risiken der Internetsicherheit wirksam zu managen, optimalen Nutzen aus den vorhandenen Personalmitteln zu ziehen und sicherzustellen, dass das Team über die erforderlichen neuen Kompetenzen und Kenntnisse verfügt. 1. Kernkompetenzen neu definieren und ausbauen: Das Kernteam sollte auf vier Hauptgebieten neue Kenntnisse erwerben: Internetrisikoanalyse und Sicherheitsdatenanalyse, Sicherheitsdatenmanagement, Risikoberatung sowie Entwicklung von Überwachungs- und Kontrollmaßnahmen. 2. Routinevorgänge delegieren: Delegieren Sie wiederholbare, gut etablierte Sicherheitsprozesse an die IT, die Geschäftsbereiche und/oder externe Serviceprovider. 3. Expertendienstleistungen leihen oder einkaufen: Erweitern Sie das Kernteam um Experten von innerhalb oder außerhalb des Unternehmens, um fehlende Spezialisierungen kurzfristig abzudecken. 4. Risikoeigentümer beim Risikomanagement anleiten: Unterstützen Sie das Unternehmen beim Management von Internetsicherheitsrisiken und sorgen Sie für einen konsistenten Ansatz. Geben Sie Hilfestellung und weisen Sie Verantwortlichkeiten zu. 5. Prozessoptimierungsspezialisten einstellen: Holen Sie Mitarbeiter mit Erfahrung bzw. Zertifizierungen in den Bereichen Qualitäts-, Projekt- oder Programmmanagement, Prozessoptimierung und Servicebereitstellung ins Team. 6. Schlüsselpersonen ins Boot holen: Sichern Sie sich Unterstützung und Gehör der Schlüsselpersonen in den wichtigsten Geschäftsbereichen, im mittleren Management sowie bei externen Serviceprovidern. 7. Quereinsteiger anwerben und ausbilden: Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Dafür eignen sich vor allem Quereinsteiger aus Fachgebieten wie Datenbankadministration, Softwareentwicklung, Geschäftsanalyse, militärische Aufklärung, Rechts- oder Datenschutzbeauftragte, Data Science, Mathematik oder Geschichte. RSA, The Security Division of EMC Security for Business Innovation Council-Report 1

4 1 Einführung: Teams im Wandel Noch vor wenigen Jahren stand in Informationssicherheitsabteilungen die Technik unverkennbar im Mittelpunkt. Es ging um Themen wie Perimetersicherung, Compliancechecklisten und Virenschutzupdates. Wenn Sie heute dieselben Abteilungen betreten, bietet sich ein grundlegend verändertes Bild. Teams bestehen jetzt aus fachübergreifenden Spezialistengruppen, zu denen Bedrohungsanalysten, Risikoberater, Data Scientists und Prozessexperten zählen. Dabei rücken Themen wie Geschäftsrisikomanagement, Datenanalyse, Controls Assurance und Serviceprovider-Governance zunehmend in den Vordergrund. Nicht alle Unternehmen sind in ihren Bemühungen in diese Richtung gleich weit fortgeschritten, die meisten haben jedoch erkannt, dass sie bei der Informationssicherheit neue Wege gehen müssen. In einer aktuellen Sicher- heitsumfrage wurde die grundlegende Neukonzeption der Informationssicherheitsprogramme sogar als zweitwichtigste Investitionspriorität bei weltweit tätigen Unternehmen genannt. 1 Punktuelle Lösungen oder inkrementelle Verbesserungen reichen nicht mehr aus. Wie aber sieht ein fortschrittliches Informationssicherheitsprogramm aus? Der vorliegende Report ist der erste in einer Fortsetzungsreihe, die sich mit der Umgestaltung und Modernisierung von Informationssicherheitsprogrammen in Unternehmen befasst und versucht, diese zentrale Frage mithilfe des Knowhows und Weitblicks einiger der weltweit führenden Informationssicherheitsexperten des Security for Business Innovation Council (SBIC) zu beantworten. Dieser erste Report handelt von den neuen Kompetenzen und Kenntnissen, die Unternehmen erwerben müssen, und zeigt auf, wie die Verantwortlichkeiten für die Informationssicherheit im Unternehmen verteilt sind. Er enthält spezifische und praxisorientierte Empfehlungen für den Aufbau eines erstklassigen erweiterten Teams. 1 E&Y Weltweite Umfrage zum Thema Informationssicherheit, November Security for Business Innovation Council-Report RSA, The Security Division of EMC

5 2 Die neue Leistungsbeschreibung I nformationssicherheit lässt sich nicht mehr auf die reine Implementierung und Anwendung von Maßnahmen beschränken. Zahlreiche neue Aufgaben sind mit der Zeit hinzugekommen. Und nur wenn das gesamte Aufgabenspektrum bekannt ist, lässt sich ein erstklassiges Team mit den jeweils fähigsten Mitarbeitern zusammenstellen. Welche Kenntnisse und Kompetenzen sind nötig, um in einem weltweit tätigen Unternehmen die Risiken für Informationsressourcen zu managen? Deutlich mehr als noch vor wenigen Jahren. Besonders in den letzten 18 Monaten sind die Anforderungen enorm gestiegen, unter anderem bedingt durch sich häufende Cyberangriffe, die rasante Einführung neuer Technologien, eine verstärkte Überprüfung durch Regulierungsorgane und eine immer engmaschiger vernetzte Wirtschaftswelt. Unternehmen stehen unter dem enormen Druck, aktiv gegen Internetsicherheitsrisiken vorzugehen. Diese Veränderung setzt neue Methoden für die Abwehr von immer komplexeren Bedrohungen voraus. Die Informationssicherheit muss dafür in die Geschäfts- und Technologiestrategien integriert werden und Sicherheitsprozesse müssen wirksam und effizient sein. Gefordert sind neue Kompetenzen auf technischer und geschäftlicher Seite, wie zum Beispiel: Informationsrisikomanagement/Geschäftsrisiken- Chancen-Analyse Systematisierung von Risiken-Chancen- Entscheidungen Sicherheitsdatenmanagement und Data Warehousing Entwicklung einer übergreifenden Strategie sowie einer Infrastruktur für die Erfassung von Daten aus verschiedenen Quellen und Nutzung dieser für verschiedene Zwecke, wie zum Beispiel Bedrohungserkennung, Kontrollenüberwachung und Compliance-Reporting Optimierung der Sicherheitsprozesse Formulierung einer Strategie zur Effizienzsteigerung der Sicherheitsprozesse Schnelle Anpassung der Kontrollen Nutzung neuer Methoden zur Anpassung der Sicherheitskontrollen als Reaktion auf Trends wie Cloud und Mobile Computing Ein zentraler Eckpfeiler der Teamstrategie ist die Festlegung einer Aufgabenbeschreibung. Erst danach können die einzelnen Aufgaben verteilt werden. In Tabelle 1 werden die Aufgaben der Informationssicherheit in modernen, führenden Unternehmen von den einfacheren bis hin zu den komplexeren Aktivitäten charakterisiert. Unternehmen mit einem konvergierten Programm können zusätzlich Aufgaben wie Betrugserkennung, ediscovery, Datenschutz, Produktqualität bzw. physische Sicherheitsmaßnahmen in die Aufgabenbeschreibung aufnehmen. In diesem Report beschäftigen wir uns ausschließlich mit den Informationssicherheitskomponenten und gehen auf die erforderliche Koordination mit anderen, zugehörigen Aktivitäten nur am Rande ein. Inventarisierung und Bewertung von Ressourcen Priorisierung von Sicherheitsstrategien und Konzentration auf den Schutz der Kronjuwelen Management von Fremdanbieterrisiken/Integrität der IT-Lieferkette Bewertung der wachsenden Zahl von weltweit bezogenen Dienstleistungen von Serviceprovidern bzw. verwendeten Systemkomponenten Internetrisikoanalyse und Bedrohungsanalyse Aufklärung über das Verhalten der gegnerischen Seite und Erkennen der typischen Anzeichen für einen Angriff Sicherheitsdatenanalyse Anwendung fortschrittlicher Analyseverfahren, die anormales System- oder Benutzerverhalten in IT-Umgebungen erkennen RSA, The Security Division of EMC Security for Business Innovation Council-Report 3

6 Die neue Leistungsbeschreibung Tabelle 1 Das veränderte Aufgabenprofil der Informationssicherheit Die Übersicht ist grob von den einfacheren zu den komplexeren Aktivitäten geordnet. Programmmanagement Festlegung einer Gesamtstrategie und Planung für das Informationssicherheitsmanagement- Programm Sicherstellen, dass das Programm die wichtigsten geschäftlichen Anforderungen des Unternehmens abdeckt Abstimmung mit ähnlichen Aufgaben wie Betrugserkennung, ediscovery, physische Sicherheit, Produktsicherheit und/oder Datenschutz Sicherheitsrichtlinie und -standards Entwicklung und Dokumentation der allgemeinen Leitlinien und Regeln, die festlegen, wie das Unternehmen beim Schutz von Informationen vorgeht Beschreibung aller administrativen, technischen und physischen Informationssicherheitskontrollen, die im Unternehmen verwendet werden (das Kontrollen-Framework), einschließlich Zugriffskontrollen, Verschlüsselung, Identifizierung und Authentifizierung, Konfigurationsmanagement, Überwachung, Auditprotokollierung, Anwendungssicherheit und Schulung (von Personal und Kunden) Beachtung der Anforderungen verschiedener Gesetze und Regulierungen (z. B. SOX, HIPAA, PCI) Sicherstellen, dass die Kontrollen agil sind und sich an neue Geschäfts- und Bedrohungsszenarien anpassen lassen Implementierung von Kontrollen Implementierung von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen und externen Umweltfaktoren Betrieb von Kontrollen Betrieb von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen und externen Umweltfaktoren Design von Kontrollen (Sicherheitsarchitektur) Entwicklung neuer Kontrollen oder neuer Wege zur Implementierung von Kontrollen unter Beachtung veränderter Geschäfts-, IT- und Bedrohungsszenarien Dies schließt Verfahren in der Anwendungsentwicklung, das Spezifizieren, Ausrollen, Anpassen und/oder Entwickeln neuer Sicherheitstechnologie sowie neue Anwendervereinbarungen und -verfahren ein Überprüfung von Kontrollen/Controls Assurance Bewertung aller Kontrollen, um sicherzustellen, dass sie den geltenden Richtlinien und Standards entsprechen Überprüfung aller Kontrollen auf Vorhandensein und korrekte Funktionsweise Sicherstellen, dass alle Kontrollen konsistent überwacht und attestiert werden Vorfallsbehandlung/ Ausfallsicherheit Koordinierung und Verwaltung der Reaktion des Unternehmens auf Sicherheitsvorfälle, einschließlich Business Continuity/Disaster Recovery Evaluierung der Risiken eines Programms, Prozesses, Projekts, einer Initiative oder eines Systems anhand von Merkmalen wie Informationswert, Datenbestand, möglichen Bedrohungen und Schwachstellen, Wahrscheinlichkeit einer Kompromittierung, Auswirkung auf das Unternehmen (z. B. Ruf, Umsatz, fehlende regulatorische Compliance) sowie geschätzte Verluste Informationsrisikobewertung Informationsrisikomanagement/Geschäftsrisiken- Chancen-Analyse Festlegung von Risikograden und Zuordnung der jeweiligen Risikoeigentümer; Festlegung autorisierter Risikoakzeptanzgrade Risikobewertung jedes einzelnen Programms, Prozesses, Projekts, Initiative oder System und anschließende Formulierung von Maßnahmen zur Risikominimierung sowie einer Korrekturstrategie Etablierung eines konsistenten Prozesses zur Abwägung von Informationssicherheitsrisiken gegen Geschäftschancen Festlegen der erforderlichen Kontrollen, um Risiken auf ein akzeptables Maß zu senken Integration der Informationsrisikomaßnahmen in das Risikomanagement-Framework bzw. -Programm des Unternehmens 4 Security for Business Innovation Council-Report RSA, The Security Division of EMC

7 Die neue Leistungsbeschreibung Inventarisierung und Bewertung von Ressourcen Aufstellung über den gesamten Bestand an Geschäftsprozessen, vertraulichen Daten und Informationssystemen, die ein Unternehmen verwendet Erstellung einer ausführlichen Dokumentaktion zu den Geschäftsprozessen mit Abbildung des Datenflusses, um schützenswerte Prozesse und Daten zu ermitteln und Sicherheitsstrategien zu entwickeln Ermittlung der privilegierten Benutzer im erweiterten Unternehmen, die Zugriff auf wichtige Systeme haben Ermittlung des Werts von Ressourcen zur Priorisierung von Sicherheitsstrategien Management von Fremdanbieterrisiken/ Integrität der IT- Lieferkette Durchführung einer Risikoevaluierung, bevor das Unternehmen eine Beziehung zu einem Fremdanbieter eingeht Entwicklung eines Due-Diligence-Prozesses zur Bewertung von Anbietern, Partnern und Zulieferern Regelmäßige Evaluierung der Risiken, die mit der Geschäftstätigkeit mit Anbietern, Partnern und Zulieferern verbunden ist Verstehen der IT-Lieferkette und Evaluierung der Sicherheit von Hardware und Software, die in der IT-Umgebung des Unternehmens zum Einsatz kommt Effizienzsteigerung durch gemeinsame Bewertungen und laufende Überwachung der Kontrollen Internetrisikoanalyse und Bedrohungsanalyse Verstehen der gegnerischen Seite in Bezug auf die Unternehmensressourcen (Identität, Kompetenzen, Motivationen, Ziele) Sammeln von sicherheitsrelevanten Informationen über Bedrohungen für das Unternehmen Verwalten der Quellen dieser sicherheitsrelevanten Informationen, Interpretieren von Daten, Durchführen von Analysen und Erstellen von Bedrohungsanalysereports und Warnmeldungen Integration eines Bedrohungsmodells sowie von Informationen in den gesamten Sicherheitsmanagementprozess und -lebenszyklus Sicherheitsdatenanalyse Nutzung fortschrittlicher Analysetechniken und Data Science zur Analyse von Sicherheitsdaten unter Einbeziehung der gesammelten Informationen Entwicklung von Abfragen, Algorithmen und Datenmodellen zur Erkennung oder Vorhersage böswilliger Aktivitäten Sicherheitsdatenmanagement und Data Warehousing Entwicklung einer Datenmanagementstrategie und Infrastruktur zur Sammlung und Analyse von Sicherheitsdaten aus verschiedenen Quellen (Sicherheitssysteme, Datenbanken, Anwendungen, Bedrohungsfeeds) zu verschiedenen Zwecken (z. B. Bedrohungserkennung, Risikomanagement und Compliance in Unternehmen, laufende Kontrollenüberwachung) Erstellen eines Data Warehouse für Sicherheitsdaten Optimierung der Sicherheitsprozesse Konsistente Nachverfolgung und Messung der Effizienz von Sicherheitsprozessen und Umsetzung von Verbesserungen mithilfe definierter Qualitätsmanagement-, Projektmanagement- und Servicebereitstellungsmethodologien Langfristige Planung Beobachtung zukünftiger Trends im Unternehmen, der Technologie und Regulierung, um proaktive Sicherheitsstrategien formulieren zu können. Dazu gehören zum Beispiel technische Entwicklungen wie das Internet der Dinge oder Wearable-Geräte, die neue Sicherheitsprobleme mit sich bringen RSA, The Security Division of EMC Security for Business Innovation Council-Report 5

8 3 Herausforderungen und Chancen D ie Zusammenstellung eines leistungsfähigen Informationssicherheitsteams ist mit einer Reihe aktueller Herausforderungen verbunden: Es fehlt an Fachwissen, gute Mitarbeiter lassen sich nur schwer halten Spezialisten für das Sicherheits- und Geschäftsrisikomanagement sind sehr gefragt Knappe Budgets Sicherheitsteams sind bereits voll ausgelastet Der Vorstand erwartet Mitarbeiter mit Geschäftssinn Weil die Informationssicherheit mehr und mehr in den Mittelpunkt der Geschäftsstrategie rückt, wird von Sicherheitsspezialisten heute auch unternehmerisches Wissen verlangt Es ergeben sich aber auch neue Chancen: Das Bewusstsein wächst Vom einfachen Anwender bis zur Führungsebene wächst das Bewusstsein für Sicherheitsfragen. Diese Entwicklung ist unter anderem der verstärkten Präsenz in den Medien, persönlichen Erfahrungen mit Internetangriffen oder dem Druck durch die Regulierungsorgane geschuldet. Das gesamte Unternehmen übernimmt Risikoverantwortung In vielen Unternehmen zeichnen sich umwälzende Veränderungen ab, denn unter den nicht mit Sicherheitsfragen betrauten Mitarbeitern wächst die Erkenntnis, dass sie selbst und nicht nur die Sicherheitsabteilung für den Umgang mit den Risiken für ihre Informationsressourcen verantwortlich sind und dass sie aktiv mit der Sicherheitsabteilung zusammenarbeiten müssen, um diese Risiken zu managen. Sicherheitsberufe sind zunehmend gefragt Das Spektrum der Informationssicherheit weitet sich auf neue Aspekte wie Geschäftsrisikoanalyse, Cyber-Intelligence und Data Science aus und wird damit interessanter. Immer neue Nachrichtenmeldungen und Hollywood- Darstellungen von Sicherheitsspezialisten, die das Netz vor den unterschiedlichsten Bedrohungen bewahren, sorgen für Aufmerksamkeit und steigern das Interesse an diesem Berufsfeld. Dave Martin Vice President und Chief Security Officer, EMC Corporation Er ist wirklich erstaunlich. Früher herrschte bei uns die Einstellung: Ihr Sicherheitsleute steht uns im Weg, muss das denn sein?. Inzwischen nutzen die Unternehmenseinheiten unsere zentralen Beratungsservices, um Strategien für die Risikoreduzierung umzusetzen. Das ist immer häufiger der Fall, da den Unternehmenseinheiten klar wird, dass sie ihre Risiken selbst managen müssen und sich dabei nicht auf andere verlassen oder den Kopf in den Sand stecken können. Angebot und Reichweite von Serviceprovidern wachsen Der Markt reagiert auf die neuen Anforderungen, wodurch Unternehmen nun leichter externe Sicherheitsserviceprovider beauftragen können, um Kosten zu senken, Spezialwissen zu nutzen, Unterstützung bei der Bewältigung des Arbeitsaufwands oder unabhängige Bewertungen zu erhalten. 6 Security for Business Innovation Council-Report RSA, The Security Division of EMC

9 4 Empfehlungen I nformationssicherheit in Unternehmen kann nur erfolgreich sein, wenn alle Beteiligten an einem Strang ziehen und die Sicherheitsprozesse vollständig in die Geschäftsprozesse integriert sind. Das erweiterte Informationssicherheitsteam kann aus folgenden Beteiligten bestehen: Personal, das mit der IT-Implementierung und dem Betrieb der Sicherheitskontrollen zuständig ist Risikomanager in den einzelnen Geschäftsbereichen, die mit dem Ausräumen von Risiken beschäftigt sind Mitarbeiter aus dem Einkauf, die Anbieterüberprüfungs- und Risikobewertungsprotokolle anwenden, um Zulieferer zu evaluieren Die Datenschutzstelle, die für die Kontrolle der Einhaltung von Regulierungen zuständig ist Marketingmitarbeiter, die in den Social Media nach Hinweisen auf mögliche Gefahren suchen Das Kernteam für die Informationssicherheit überwacht und koordiniert alle damit verbundenen Maßnahmen und übernimmt Aufgaben, die Spezialwissen oder eine Zentralisierung erfordern. Einige Mitarbeiter, die für Sicherheitsaufgaben außerhalb des Kernteams zuständig sind, können direkt oder fachlich unterstellt sein; andere orientieren sich möglicherweise an Sicherheitsstandards oder Service- Level-Agreements (SLAs). Tabelle 2 im Anhang illustriert die Aufgabenverteilung in einem erweiterten Team, bestehend aus dem Kernteam für Informationssicherheit, der IT, den einzelnen Unternehmensbereichen und den Serviceprovidern. Die nachfolgenden Empfehlungen dienen als Anleitung für den Aufbau eines erstklassigen erweiterten Teams mit dem Ziel, Sicherheitsrisiken effektiv zu managen und die vorhandenen Personalressourcen optimal auszunutzen. Je nachdem, wie weit ein Unternehmen in diesem Prozess bereits gediehen ist, kann dieser Leitfaden zur anfänglichen Planung, zur Überprüfung des gewählten Ansatzes oder zur Beschleunigung der Umsetzung in bestimmten Bereichen verwendet werden. Kernkompetenzen neu definieren und ausbauen Routinevorgänge delegieren Expertendienstleistungen leihen oder einkaufen Risikoeigentümer beim Risikomanagement anleiten Prozessoptimierungsspezialisten einstellen Schlüsselpersonen ins Boot holen Quereinsteiger anwerben und ausbilden 1. Kernkompetenzen neu definieren und ausbauen In führenden Unternehmen sind die für die Informationssicherheit zuständigen Kernteams aktuell bemüht, ihre Kenntnisse auf den folgenden Gebieten zu erweitern: Internetrisikoanalyse und Sicherheitsdatenanalyse, Sicherheitsdatenmanagement, Risikoberatung sowie Entwicklung von Überwachungsund Kontrollmaßnahmen. Je nach Größe des Kernteams bzw. Spezialisierungsgrad sind einzelne Mitglieder für spezifische Aufgaben oder für mehrere Bereiche zuständig. Für jeden Bereich sind verschiedene Kompetenzen erforderlich, die Teammitglieder häufig erst erlernen müssen. Ab diesem Punkt muss entweder das vorhandene Personal durch entsprechende Schulungen mit den erforderlichen Kompetenzen ausgestattet werden, oder das Kernteam muss neue Mitglieder aufnehmen bzw. Dienstleistungen von externen Serviceprovidern einkaufen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 7

10 Empfehlungen 1. Internetrisikoanalyse und Sicherheitsdatenanalyse Angesichts des wachsenden Bedrohungspotenzials müssen die meisten Unternehmen auf der Welt ihre Bedrohungserkennung verbessern und dafür einen informationsorientierten Ansatz (vgl. SBIC-Report Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security) entwickeln. Dieser Ansatz umfasst im ersten Schritt das Sammeln und Zusammenführen von Cyber-Intelligence-Daten, die aus internen (z. B. Sensoren in IT-Systemen und Geschäftsanwendungen) sowie externen Quellen (z. B. Bedrohungsfeeds von staatlichen Stellen oder kommerziellen Anbietern) stammen. Im zweiten Schritt werden diese Daten dann mithilfe leistungsfähiger Verfahren analysiert, um Angriffsindikatoren oder anormale Verhaltensmuster herauszufiltern. Das Kernteam sollte dann die Möglichkeit haben, das gesamte Unternehmen auf sicherheitsrelevante Situationen aufmerksam zu machen. Für die Ermittlung relevanter Datenquellen und die Durchführung aussagekräftiger Analysen muss über die wahre Beschaffenheit der Geschäftsumgebung, die zu schützenden Ressourcen und die möglichen Internetbedrohungen absolute Klarheit herrschen. Einige Sicherheitsteams nutzen bereits Big Data-Technologien, um Angriffe nicht nur zu erkennen, sondern auch vorherzusagen. Zentrale Soft Skills: Internes und externes Networking zur Ermittlung guter Quellen von sicherheitsrelevanten Informationen, Kommunikationsfähigkeit zur Erstellung von Reports und Präsentation von Sicherheitseinweisungen Zentrale Prozesskompetenzen: Entwicklung eines End-to-End-Informationserfassungsprozes ses, einschließlich der Gewinnung und Filterung von Daten, der Durchführung von Analysen, Kommunikation der Ergebnisse, des Treffens einer Risikoentscheidung und des Ergreifens von Maßnahmen Zentrale technische Kompetenzen: Analyse (Herstellen von Verbindungen zwischen scheinbar unverbundenen Daten), Datenanalyseverfahren und Data Science 2. Sicherheitsdatenmanagement Unternehmen, die zur Erkennung von Bedrohungen auf die Datenanalyse setzen, haben erkannt, dass sie eine übergeordnete Strategie und Infrastruktur für das Management von Sicherheitsdaten benötigen. Zu diesem Zweck müssen Sicherheitsdaten aus der gesamten IT-Umgebung zusammengestellt werden, unter anderem Protokolle, komplette Paketdatenströme und unstrukturierte Daten aus Systemen, Datenbanken und Geschäftsanwendungen. Diese Daten können außerhalb der Bedrohungserkennung zum Beispiel für das Unternehmensrisikomanagement, die Compliance und die ständige Kontrollenüberwachung verwendet werden. Zentrale Soft Skills: Schnittstelle zur IT und zum Unternehmen, einschließlich der Unternehmensdatenmanagement-Architekten Zentrale Prozesskompetenzen: Abbildung der Sicherheitsdatenflüsse in der gesamten IT-Umgebung des Unternehmens Zentrale technische Kompetenzen: Zentrale IT- Kompetenzen in den Bereichen Speicherarchitektur, Verarbeitungsarchitektur, Datenbankschema, Normalisierung und Umgang mit Netzwerkengpässen 3. Risikoberatung Das Kernteam berät das Unternehmen hinsichtlich des Risikomanagements von Informationsressourcen, einschließlich jener, die mit Sicherheit, Datenschutz und rechtlichen Fragen, regulatorischer Compliance und ediscovery in Zusammenhang stehen. Das Kernteam muss die Geschäftsprozesse genauestens kennen. Bei der Risikobewertung, der Einschätzung des Wertes von Ressourcen und der Festlegung von Strategien zur Risikominimierung muss das Team mit den verschiedenen Stakeholdern zusammenarbeiten und es muss dafür sorgen, dass bei Projektstarts Risikobesprechungen durchgeführt werden. Zahlreiche Risiken entstehen erst durch die Zusammenarbeit mit Fremdanbietern. Globale Sourcing- und Cloud-Computing-Strategien haben dafür gesorgt, dass Unternehmen Aufgaben verstärkt an Serviceprovider auslagern und mit neuen Geschäftspartnern und Zulieferern zusammenarbeiten. Das Know-how um effiziente und effektive Due-Diligence- Das Fachwissen des Kernsicherheitsteams sollte vor allem dafür eingesetzt werden, zu beraten, die Richtung vorzugeben, die Strategie voranzutreiben, Risiken zu ermitteln und dem Unternehmen zu erklären, Bedrohungen zu verstehen und das Unternehmen voranzubringen und nicht auf Routineaufgaben verschwendet werden. Bob Rodger Group Head of Infrastructure Security, HSBC Holdings plc. 8 Security for Business Innovation Council-Report RSA, The Security Division of EMC

11 Empfehlungen Verfahren für Fremdanbieter, laufende Bewertungen und die Evaluierung von Hardware und Software rückt daher als zentrale Fähigkeit in den Vordergrund. Zentrale Soft Skills: Führungsstil, internes Networking, um das Bewusstsein für Geschäftsstrategien auszubauen, Kommunikation (Zuhören, verbale Ausdrucksfähigkeit, Führen schwieriger Gespräche, Beachten auch kleiner kultureller und unternehmensspezifischer Unterschiede) Zentrale Prozesskompetenzen: Zuordnung und Dokumentation von Geschäftsprozessen, Frameworks für das Risikomanagement, Protokolle zur Bewertung von Fremdanbieterrisiken und Controls Assurance (einschließlich gemeinsamer Bewertungen), Managen ausgelagerter Serviceprovider und Lieferkettencommunitys Zentrale technische Kompetenzen: Risikoevaluierung, Messung vielfältiger Risiken und unterschiedlicher Risikobereitschaft innerhalb eines Unternehmens anhand einer standardisierten Methode, Automatisierung von Risikomanagement und Anbieterbewertung, fortlaufende Überwachung der Kontrollen 4. Design von Kontrollen und Controls Assurance Zu den zentralen Aufgaben des Kernteams sollte das Designen innovativer, auf die Geschäftsziele ausgerichteter Kontrollen ebenso gehören wie das Erarbeiten fortschrittlicher Testverfahren für die Controls Assurance. Dies umfasst auch das Recherchieren, Entwickeln, Evaluieren und Bereitstellen neuer Sicherheitstechnologien. Kontrollanalysten müssen nicht nur dafür sorgen, dass das gesammelte Beweismaterial belegt, dass Kontrollen wie vorgesehen greifen, sondern auch dafür, dass diese optimal gegen neueste Bedrohungen geschützt sind und die Agilität des Unternehmens nicht beeinträchtigen. Zentrale Soft Skills: Umsetzung von Unternehmensund Complianceanforderungen in Sicherheitsanforderungen unter Berücksichtigung der Enterprise- Architektur Zentrale Prozesskompetenzen: Dokumentation des Kontroll-Frameworks des Unternehmens, Entwicklung von Protokollen zur Bewertung und Belegung der Kontrollen Zentrale technische Kompetenzen: Sicherheitsarchitektur, Anwendungs-, mobile und Cloudsicherheit, fortlaufende Überwachung der Kontrollen, erweiterte Tests und Analysen der Sicherheitskontrollen 2. Routinevorgänge delegieren Sicherheitsteams bevorzugen es in der Regel, alles selbst zu machen. Doch das muss sich ändern. Denn durch Delegieren von Routinesicherheitsvorgängen an andere interne Gruppen oder externe Serviceprovider kann das Kernteam sich darauf konzentrieren, proaktiver und strategischer zu handeln und so das vorhandene technische Fachwissen und Potenzial für unternehmerisches Risikomanagement voll auszuschöpfen. Zudem können gute Serviceprovider dank ihrer Skalierbarkeit und Spezialisierung nicht nur kostengünstiger, sondern auch qualitätsbewusster arbeiten. Gerade wiederholbare, etablierte Prozesse eignen sich für das Delegieren. So können beispielsweise Gruppen in der IT oder Managed-Security-Serviceprovider (MSS- Ps) mit dem Betreiben von Firewalls, Authentifizierung, Intrusion-Prevention-Systemen und/oder Antivirussoftware betraut werden. Überlassen Sie das Bereitstellen von Benutzerzugriffen auf der Anwendungsebene und die Administration von Benutzerkonten den einzelnen Unternehmenseinheiten. Schulen Sie Entwickler in der Anwendungssicherheit und statten Sie sie mit Tools zur Ermittlung von Schwachstellen aus. Ziehen Sie für das Scannen und Tests Security-as-a-Service in Betracht. Auch wenn das Kernteam Aufgaben delegiert, muss es weiterhin über angemessene Befehls- und Kontrollgewalt verfügen. Dies kann mithilfe von umfassenden Anforderungen, Standards und SLAs erreicht werden. Um eine effektive Aufsicht zu ermöglichen, muss das Kernteam außerdem über ausreichendes technisches Sicherheitsfachwissen sowie über Kompetenzen im Bereich des Anbietermanagements verfügen. Unternehmen, die die Sicherheit nicht an Fremdanbieter vergeben möchten, können häufig vergleichbare Ergebnisse erzielen, indem sie sie an interne IT-Gruppen auslagern. Unabhängig von der Art des gewählten Serviceproviders ist jedoch dasselbe Maß an Aufsicht erforderlich. Das Kernteam sollte regelmäßig evaluieren, welche Aufgaben effizienter und kostengünstiger von anderen erledigt werden können. So kann zum Beispiel das Kernteam zunächst die Bereitstellung und den Betrieb neuer Sicherheitstechnologien übernehmen, nachdem diese zum Standard geworden sind, den laufenden Betrieb jedoch delegieren. RSA, The Security Division of EMC Security for Business Innovation Council-Report 9

12 Empfehlungen 3. Expertendienstleistungen leihen oder einkaufen Ein häufiges Problem ist, dass das Kernteam in bestimmten Bereichen nicht über das nötige Fachwissen verfügt. Hier können Experten von außerhalb der Sicherheitsabteilung Abhilfe schaffen. Einige Sicherheitsteams setzen zum Beispiel Datenanalysemitarbeiter ein, die von Serviceprovidern oder anderen Abteilungen des Unternehmens (z. B. Betrug oder Marketing) bereitgestellt werden. Big Data ist zwar im Bereich der Sicherheit ein noch neues Konzept, doch andere Unternehmensbereiche verfügen über langjährige Erfahrung mit Datenanalyseverfahren. Wenn es nicht realistisch oder einfach zu teuer ist, bestimmte Experten in Vollzeit verfügbar zu halten dies kann zum Beispiel bei Spezialisten in der Schadsoftwareforensik oder Analysten aus dem Bereich Internetbedrohungen der Fall sein, können sich Unternehmen bei Bedarf auch an externe Serviceprovider wenden. So können Kernteams bei Bedarfsspitzen oder im Falle eines Ausscheidens von Teammitgliedern zusätzliche Fachkräfte heranziehen. Auch die Partnerschaft mit einem Anbieter von Sicherheitsberatung, der vielfältige, hochqualifizierte Sicherheitsfachkräfte auf Honorarbasis zur Verfügung stellt, ist eine Überlegung wert. Sie erweitern nicht nur die Kompetenzen des Kernteams, sondern können auch eine unvoreingenommene Sichtweise bieten. Für das Lösen besonders komplexer Probleme ist es häufig sinnvoll, Fachpersonal etwa einen auf eine bestimmte Technologie spezialisierten Berater für Sicherheitsarchitektur heranzuziehen. Berücksichtigen Sie jedoch, dass das Kernteam selbst über die erforderlichen Kompetenzen verfügen muss, um ausgelagertes Fachwissen anzuwenden. Wenn mir eine wichtige Kompetenz fehlt, baue ich sie auf oder kaufe sie ein. Ob man sie aufbaut oder einkauft ist eine Frage, die anhand der Total Cost of Ownership entschieden werden sollte. Bei einigen Kompetenzen kann es sinnvoller sein, an einen Serviceprovider heranzutreten. Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson 4. Risikoeigentümer beim Risikomanagement anleiten Normalerweise übernehmen Senior Manager innerhalb des Unternehmens Verantwortung für Risikomanagemententscheidungen, die sich aus Initiativen wie der Markteinführung neuer Produkte oder Services, Programmen wie BYOD, Informationsressourcen wie Websites für Kunden und Unternehmensprozessen wie der Finanzberichterstattung ergeben. Da sich Unternehmensleitungen zunehmend ihrer Verantwortung dafür bewusst sind, die mit der Internetsicherheit einhergehenden Risiken zu managen, entscheiden sich jedoch auch immer mehr Unternehmen für Risikomanager für Informationssicherheit in den Unternehmenseinheiten, die für die Risikobeseitigung zuständig sind. Aufgabe des Kernteams ist es, die Aktivitäten im Bereich Informationsrisikomanagement zu steuern und die Internetsicherheitsrisiken gemeinsam mit dem Unternehmen zu managen. Dies umfasst unter anderem das Koordinieren eines einheitlichen Ansatzes bei der Identifizierung, Bewertung, Reduzierung, Beseitigung und dem Reporting von Risiken, das Abwägen von Risiken und Chancen, Entscheidungen über das Maß an Risikobereitschaft und -akzeptanz sowie das Einbeziehen des Informationsrisikos in das gesamte Programm für das Unternehmensrisikomanagement. Zentrale Ziele sind, das Risikomanagement für das Unternehmen zu vereinfachen und es gleichzeitig dafür in die Pflicht zu nehmen, indem Selfservicetools bereitgestellt, das Risikomanagement in die Unternehmensprozesse integriert und Automatisierung implementiert werden. Bisher hat sich das Team für Informationssicherheit eher auf die Technologie konzentriert. Doch die Zusammenarbeit mit dem Unternehmen spielt eine immer größere Rolle, um dessen Anforderungen in der Sicherheitsabteilung zu berücksichtigen und umgekehrt die Sicherheitsperspektive in das Unternehmen zu tragen. Felix Mohan Senior Vice President und Global Chief Information Security Officer, Airtel 10 Security for Business Innovation Council-Report RSA, The Security Division of EMC

13 Empfehlungen 5. Prozessoptimierungsspezialisten einstellen Prozesskenntnisse sind längst zu einem wichtigen Bestandteil moderner Teams geworden. Ihr Ziel sollten Teammitglieder sein, die über Erfahrung in den Bereichen Qualitäts-, Projekt- bzw. Prozessmanagement, Prozessoptimierung und Servicebereitstellung verfügen und im Bereich Sicherheit geschult werden können. Ziehen Sie Mitarbeiter in Betracht, die über Qualifikationen in den Bereichen Six-Sigma-Prozessverbesserung, IT- Servicemanagement (ITSM), COBIT-IT-Governance und/oder TOGAF-Unternehmensarchitektur verfügen. Einigen Kernteams gelingt es, Prozess- oder Programmmanagementexperten aus anderen Bereichen des Unternehmens zum Beispiel der Qualitätsabteilung oder dem Enterprise Program Office abziehen. Mit Prozesskenntnissen im Team können Sie den wachsenden Anforderungen an Prozessverbesserungen Rechnung tragen. Aufgrund der Bedrohungslandschaft streben zum Beispiel einige Unternehmen ein Patching aller kritischen Systeme innerhalb von Stunden statt von Wochen an. Unternehmenseinheiten möchten die Auswirkungen der Sicherheit auf Geschäftsprozesse reduzieren, Reibungspunkte für Endanwender und Serverausfallzeiten minimieren. Regulierungsorgane fordern engmaschigere Kontrollen für den Informationszugriff, z. B. die Sperrung abgelaufener Berechtigungen innerhalb von Minuten, nicht von Tagen. Zunehmend wird von der Sicherheitsabteilung erwartet werden, dass sie die Produktivität von Sicherheitsinvestitionen misst und langfristig auch quantifizierbare Verbesserungen vorweisen kann. Hierzu gehören auch Prozesswiederholbarkeit, -flexibilität und -skalierbarkeit. Ermitteln Sie vor einem größeren Internetprojekt Ihre kritischen Serviceprovider und bauen Sie eine solide Beziehung zu ihnen auf. Geben Sie Angreifern keine Chance, sich zu verstecken, indem Sie dafür sorgen, dass die Sicherheitsstandards im gesamten Ökosystem eingehalten werden. William Boni Corporate Information Security Officer (CISO), Vice President, Enterprise Information Security, T-Mobile USA Es gibt einen wesentlichen Eckpfeiler unserer Sicherheitsabteilung und der lautet Vorschriften zählen. Unsere Prozesse müssen genauestens dokumentiert und geprüft werden. Wie können wir sie effizienter machen? Und effektiver? Haben wir etwas übersehen? Man benötigt Mitarbeiter mit erstklassiger Prozess- und Qualitätserfahrung, um die Unternehmensführung zu überzeugen. Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation 6. Schlüsselpersonen ins Boot holen Enge Beziehungen zu allen Beteiligten innerhalb des Unternehmens sind für das Kernteam unerlässlich, um sich die Kooperation einer wachsenden Anzahl von Mitarbeitern mit Sicherheitsverantwortung zu sichern, ein gemeinschaftliches Umfeld zu schaffen und dafür zu sorgen, dass Mitglieder des erweiterten Teams ihre Aufgaben verstehen und ausführen. Das Kernteam muss alle Unternehmensbereiche und -ebenen einbeziehen. Es muss sich für eine Einflussnahme auf Schlüsselpersonen positionieren z. B. auf diejenigen, die über Technologieinvestitionen und strategische Unternehmensentscheidungen entscheiden. Zu den wichtigsten Beziehungen gehören zweifellos jene zu den Hütern der Kronjuwelen des Unternehmens etwa den Datasets und Geschäftsprozessen mit geistigem Eigentum oder proprietären Daten. Eine wichtige Rolle spielt auch die Beziehung zum mittleren Management, mit dessen Unterstützung sehr viel erreicht werden kann. Auch Provider, die das Outsourcen von Geschäftsprozessen anbieten (Business Process Outsourcing, BPO) sollten Sie gezielt für sich gewinnen. Das Kernteam sollte ein starkes Netzwerk aus Sicherheitsexperten bei BPOs schaffen und gemeinsam mit ihnen für hohe Sicherheitsstandards und Informationsweitergabe innerhalb der gesamten Community sorgen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 11

14 7. Quereinsteiger anwerben und ausbilden Obwohl das Interesse an der Informationssicherheit steigt, wird es kurzfristig zu Engpässen bei Fachkräften mit sofort einsetzbaren Kompetenzen in den Bereichen Internetsicherheit und Risikoberatung kommen. Qualifizierte Mitarbeiter mit Know-how über neue Sicherheitstechnologien zu finden, stellt eine besonders große Herausforderung dar. Als Übergangslösung wenden sich einige Unternehmen an MSSPs, da das Beschaffen und/ oder Binden von Mitarbeitern mit bestimmten technischen Kompetenzen ein Problem darstellt. Sicherheitsteams benötigen außerdem Fachkräfte, die neben technischem Fachwissen auch die Fähigkeit mitbringen, produktive Gespräche mit wichtigen Stakeholdern zu führen. Eine langfristige Strategie für die Personalbeschaffung ist für den Aufbau eines effektiven Sicherheitsteams unerlässlich. Arbeiten Sie mit den Geschäftseinheiten und der Personalabteilung zusammen, um die Anforderungen an und mögliche Quellen für qualifizierte Mitarbeiter zu evaluieren. Unternehmen stellen zunehmend Mitarbeiter ohne Sicherheitserfahrung ein, die jedoch über wertvolle Kompetenzen verfügen und im Sicherheitsbereich geschult werden können. Eine Möglichkeit ist es, eine interne Akademie für Internetsicherheit ins Leben zu rufen. Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Eine weitere kann sein, einzelne Teammitglieder beim Absolvieren externer Schulungen und dem Erwerb externer Qualifikationen zu unterstützen und/oder Mentoringprogramme einzurichten. Neben Berufseinsteigern können auch interne Mitarbeiter aus der IT oder anderen Bereichen geworben werden, die sich für eine berufliche Laufbahn im Sicherheitsbereich interessieren. Sie sind häufig die beste Wahl, da sie mit dem Unternehmen und bestehenden Netzwerken vertraut sind. Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Seien Sie bei der Suche nach Mitarbeitern, die für Sicherheitspositionen geschult werden könnten, aufgeschlossen. Es gibt viele Quereinsteiger mit geeigneten Kompetenzen, darunter Datenbankadministration, Softwareentwicklung, Unternehmensanalyse, militärische Aufklärung und Rechts- oder Datenschutzbeauftragte. Es gibt Kernteams, die in letzter Zeit Data Scientists eingestellt haben, die bisher in der DNA-Sequenzierung tätig waren. Mitarbeiter mit theoretischem Wissen in Bereichen wie Ökonometrie oder Mathematik können ihre praktischen technischen Kompetenzen ausbauen. Solche mit einem Werdegang in den Bereichen Geschichte oder Journalismus bringen exzellente Recherchekompetenzen mit. Wenn man Mitarbeitern zu begehrten Sicherheitskompetenzen verhilft, stellt die Mitarbeiterbindung eine große Herausforderung dar. Deshalb ist es wichtig, jedem Mitglied des Teams eine absehbare und attraktive berufliche Laufbahn und eine marktübliche Vergütung zu bieten. Bei neuen Mitarbeitern für das Unternehmen sollten Sie unbedingt Wert auf Gedankenvielfalt legen. Das war noch nie so wichtig, weil sich das Unternehmen schneller verändert, als die Sicherheit reagieren kann und zur Lösung dieser Probleme ist Innovation gefragt. Jerry R. Geisler III Office of the Chief Information Security Officer, Walmart Stores Inc. Viele Unternehmen arbeiten außerdem mit Universitäten zusammen, um die Verfügbarkeit qualifizierter Sicherheitsmitarbeiter längerfristig zu sichern. Konkret kann dies das Schaffen von Führungsentwicklungsprogrammen, das Beeinflussen von Lehrplänen, um sie an die Branchenanforderungen anzupassen, oder das Anbieten von Praktikums-/Kooperationsmöglichkeiten umfassen. Informationsprogramme an Universitäten und sogar Gymnasien können helfen, mögliche Nachwuchskräfte für eine Laufbahn in der Internetsicherheit zu interessieren. 12 Security for Business Innovation Council-Report RSA, The Security Division of EMC

15 Zusammenfassung Teams für Informationssicherheit befinden sich im Wandel, um den Anforderungen gerecht zu werden, die sich aus zunehmend schwierigeren Unternehmensumgebungen, Bedrohungslandschaften und Regulierungsbedingungen ergeben. Ein wachsendes Bewusstsein für Sicherheitsprobleme ermöglicht eine Neupositionierung der Informationssicherheit innerhalb von Unternehmen weg von einem technischen Silo hin zu einer wirklich gemeinschaftlichen Anstrengung. Unternehmen wird außerdem zunehmend bewusst, dass die Einhaltung von Sicherheitsanforderungen ein größeres Augenmerk auf Prozesse erfordert. Effektive Sicherheitsteams verfügen heute über ein klares Verständnis der Geschäftsprozesse und der Bedeutung guter Sicherheitsprozesse für die Erfüllung ihres Mandats. Im nächsten Report dieser dreiteiligen Fortsetzungsreihe über den Wandel in der Informationssicherheit beschäftigen wir uns damit, wie führende Unternehmen Prozesse überdenken und optimieren. Im dritten Report gehen wir auf die Frage ein, wie neue Technologien in ein modernes Programm für Informationssicherheit auf der Basis eines kreativen und vorausschauenden Teams passen. Informationen zur Security for Business Innovation Council Initiative Geschäftliche Innovationen stehen längst auf der Prioritätenliste der meisten Unternehmen ganz oben, da Geschäftsführungen das Potenzial von Globalisierung und Technologie für die Schaffung neuer Werte und Effizienzen nutzen möchten. Und doch wird ein wichtiges Bindeglied übersehen. Obwohl Informationen und IT-Systeme treibende Kräfte für geschäftliche Innovationen darstellen, wird der Schutz von Informationen und IT-Systemen in der Regel nicht als strategisch erforderlich betrachtet und das, obwohl Unternehmen zunehmend mit Regulationsdruck und eskalierenden Bedrohungen zu kämpfen haben. Die Informationssicherheit ist häufig ein nachträglicher Einfall, der erst am Ende eines Projekt oder unter Umständen gar nicht berücksichtigt wird. Doch ohne eine gute Sicherheitsstrategie können geschäftliche Innovationen im Keim erstickt werden oder aber das Unternehmen kann großen Risiken ausgesetzt sein. RSA ist der Meinung, dass Sicherheitsteams, die echte Partner im Prozess für geschäftliche Innovationen sind, ihren Unternehmen zu beispiellosen Ergebnissen verhelfen können. Die Zeit ist reif für einen neuen Ansatz: Sicherheit muss mehr sein als ein technisches Spezialgebiet nämlich eine Unternehmensstrategie. Obwohl die meisten Sicherheitsteams längst erkannt haben, dass sie Sicherheit und Unternehmen besser aufeinander abstimmen müssen, fällt es vielen nach wie vor schwer, diese Erkenntnis in konkrete Maßnahmenpläne zu überführen. Sie kennen das Ziel doch wie sie es erreichen sollen, wissen viele nicht. Deshalb arbeitet RSA mit einigen der weltweit wichtigsten Experten aus dem Sicherheitsbereich zusammen, um den branchenweiten Dialog zur Lösung dieses Problems zu fördern. RSA hat den Security for Business Innovation Council, eine Gruppe äußerst erfolgreicher Sicherheitsverantwortlicher aus Global-1000-Unternehmen der verschiedensten Branchen, einberufen. Wir führen detaillierte Befragungen mit dem Council durch, veröffentlichen seine Ideen in einer Reportreihe und fördern unabhängige Forschungen in diesen Themenbereichen. Die Reports und Informationen zu den Forschungen finden Sie auf Gemeinsam können wir diesen wichtigen Wandel in der Branche voranbringen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 13

16 A Anhang Aufbau eines erstklassigen erweiterten Informationssicherheitsteams Tabelle 2 Geschäftsführung und Vorstand beaufsichtigen das Programm Team- mitglieder Kerninformationssicherheit IT Unternehmen Serviceprovider ( häufiger Einsatz) Breites Angebot an Spezialisten Mitarbeiter können mehr als eine Rolle übernehmen An strategischen und operativen Sicherheitsrollen beteiligte Mitarbeiter Geschäftsbereich und funktionale Bereiche (z. B. Datenschutz, HR, Marketing, Recht, Audit, Beschaffung) Consultants mit Fachwissen auf dem jeweiligen Gebiet (SMEs), Managed-Security- Serviceprovider (MSSPs) und Cloudanbieter (SAAS) Kann mit den Teams für ediscovery, physische Sicherheit und/ oder Produktsicherheit konvergieren Aktivitäten Konkrete Verantwortungsbereiche Programmmanagement CISO leitet Programm und funktionsübergreifendes Informationsrisikokomitee CIO beteiligt sich am Informationsrisikokomitee Bestimmte Führungskräfte beteiligen sich am Informationsrisikokomitee Sicherheitsrichtlinie und -standards Entwicklung von Richtlinie und Standards Beratung zu Richtlinie und Standards Beratung zu Richtlinie und Standards Implementierung von Kontrollen Managen und Überwachung der Implementierung Implementierung von Kontrollen in komplexeren Fällen Implementierung von Kontrollen gemäß Sicherheitsstandards oder Bereitstellung von Services, die Sicherheits-SLA entsprechen Unterstützung bei der Implementierung von Kontrollen MSSPs stellen Services für die Implementierung von Kontrollen gemäß Sicherheits-SLA bereit Betrieb von Kontrollen Managen und Überwachung des Betriebs von Kontrollen Betrieb neuerer oder komplexerer Kontrollen Betrieb von Kontrollen gemäß Sicherheitsstandards oder Bereitstellung von Services, die Sicherheits-SLA entsprechen Sicherstellen, dass geschäftliche Abläufe den Anforderungen der Sicherheitskontrollen entsprechen MSSPs stellen Services für den Betrieb von Kontrollen gemäß Sicherheits-SLA bereit Controls Assurance Bewertung von Kontrollen und Entwicklung fortschrittlicher Tools für die Erprobung und Analyse von Kontrollen MSSPs stellen Services bereit, z. B. Quellcodeüberprüfungen, Schwachstellenscans Implementierung fortlaufender Kontrollenüberwachungen Design von Kontrollen (Sicherheitsarchitektur) Voranbringen des Designs neuer Sicherheitskontrollen Beratung zum Design neuer Sicherheitskontrollen Beratung zum Design neuer Sicherheitskontrollen Arbeit mit der Enterprise- IT-Architektur Vorfallsbehandlung/Ausfallsicherheit Managen und Koordination von unternehmensübergreifenden Reaktionen Arbeit an technischen Aspekten von Reaktionen Arbeit an rechtlichen, PR-, HR-Aspekten von Reaktionen SMEs stellen Forensik und Schadsoftwareanalysen bereit 14 Security for Business Innovation Council-Report RSA, The Security Division of EMC

17 Informationsrisikobewertung Managen des Risikobewertungsprogramms Durchführung von Risikobewertungen in komplexeren Fällen Bereitstellung von Tools zur Vereinfachung von Risikobewertungen Durchführung der Risikobewertung mit den Tools des Kernteams Durchführung der Risikobewertung mit den Tools des Kernteams Beratung durch Mitarbeiter aus der Rechtsabteilung zu rechtlichen und Compliancerisiken Trend geht zu von Serviceprovidern gemäß Sicherheits- SLA durchgeführten Risikobewertungen Informationsrisikomanagement/ Geschäftsrisiken- Chancen-Analyse Voranbringen von Risikomanagementaktivitäten Zusammenarbeit mit IT und Unternehmen Beratung zu Risikomanagement Bereitstellung von Tools zur Vereinfachung des Risikomanagements Zusammenarbeit mit Kernteam zum Managen von Risiken Unterstützung bei der Beseitigung ermittelter Risiken Regelmäßiges Reporting zum Status von Risiken Zusammenarbeit mit Kernteam zum Managen von Risiken Unterstützung bei der Beseitigung ermittelter Risiken Regelmäßiges Reporting zum Status von Risiken Management von Fremdanbieterrisiken/Integrität der IT-Lieferkette Vorantreiben des Managements von Fremdanbieterrisiken und des Lieferkettenintegritätsprogramms Entwicklung von Standards und Bereitstellung von Tools für die Bewertung von Fremdanbietern und der Evaluierung von Hard- und Software Durchführung von Due- Diligence- und Fremdanbieterbewertungen mit den Tools des Kernteams Durchführung von Hardware- und Softwareevaluierungen mit den Tools des Kernteams Durchführung von Due- Diligence- und Fremdanbieterbewertungen mit den Tools des Kernteams Beschaffung integriert Sicherheitsbewertungen in den Beschaffungsprozess Beratung zu Compliancerisiken und Verfassen von Verträgen durch Mitarbeiter aus der Rechtsabteilung SMEs führen anhand der Standards des Kernteams Due-Diligence- und Fremdanbieterbewertungen durch Inventarisierung und Bewertung von Ressourcen Voranbringen der Entwicklung eines Bestandsregisters Zusammenarbeit mit Kernteam, um Ressourcen zu katalogisieren und ihren Wert zu bestimmen Zusammenarbeit mit Kernteam, um Ressourcen zu katalogisieren und ihren Wert zu bestimmen Internetrisikoanalyse und Bedrohungsanalyse Managen des Intelligence- Programms Koordination von Quellen Weitergabe von Intelligence- Daten (z. B. Phishing- s) Weitergabe von Intelligence- Daten (z. B. Social-Media- Überwachung) SMEs stellen Quellen und Bedrohungsanalysen bereit Sicherheitsdatenanalyse Voranbringen der Entwicklung von Abfragen und Modellen Beratung zu und/oder Bereitstellung von Datenanalyseservices Beratung zu und/ oder Bereitstellung von Datenanalyseservices SMEs und/oder MSSPs stellen Datenanalyseservices bereit Sicherheitsdatenmanagement und Data Warehousing Voranbringen der Strategie für Sicherheitsdatenmanagement und der Sicherheits- Data-Warehouse-Architektur Voranbringen der Datenmanagementstrategie des gesamten Unternehmens Beratung zu Sicherheitsstrategie und Datenquellen (z. B. Netzwerkprotokollen) Beratung zu Datenquellen (z. B. Anwendungs- und Datenbankprotokollen) SMEs stellen Bedrohungsfeeds bereit MSSPs stellen Feeds aus Sicherheitssystemprotokollen bereit Optimierung der Sicherheitsprozesse Voranbringen der Optimierung der Sicherheitsprozesse im gesamten Unternehmen Beratung zu und Unterstützung bei der Implementierung von Verbesserungen Beratung zu und Unterstützung bei der Implementierung von Verbesserungen Langfristige Planung Beobachtung zukünftiger Unternehmen-, Technologieund Regulierungstrends, um proaktive Sicherheitsstrategien formulieren zu können Zusammenarbeit bei zukünftigen Trends und proaktiven Strategien Zusammenarbeit bei zukünftigen Trends und proaktiven Strategien RSA, The Security Division of EMC Security for Business Innovation Council-Report 15

18 Mitwirkende Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson Anish Bhimani Cissp Chief Information Risk Officer, JPMorgan Chase William Boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA Roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker Senior Vice President, Chief Information Security Officer, ABN Amro Jerry R. Geisler III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. Renee Guttmann Chief Information Security Officer, The Coca-Cola Company Malcolm Harkins Vice President, Chief Security und Privacy Officer, Intel Kenneth Haertling Vice President und Chief Security Officer, TELUS Petri Kuivala Chief Information Security Officer, Nokia Dave Martin CISSP Vice President und Chief Security Officer, EMC Corporation Tim McKnight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments Felix Mohan Senior Vice President und Global Chief Information Security Officer, Airtel Robert Rodger Group Head of Infrastructure Security, HSBC Holdings, plc. Ralph Salomon CRISC Vice President IT Security and Risk Office, SAP AG Vishal Salvi CISM Chief Information Security Officer und Senior Vice President, HDFC Bank Limited Simon Strickland Global Head of Security, AstraZeneca Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation Vollständige Biografien der SBIC-Mitglieder finden Sie auf 16 Security for Business Innovation Council-Report RSA, The Security Division of EMC

19 EMC, EMC 2, das EMC Logo, RSA und das RSA-Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument genannten Produkte und/oder Services sind Marken ihrer jeweiligen Inhaber EMC Deutschland GmbH. Alle Rechte vorbehalten H12227 CISO RPT 0813 RSA, The Security Division of EMC Security for Business Innovation Council-Report 17

CA Business Service Insight

CA Business Service Insight PRODUKTBLATT: CA Business Service Insight CA Business Service Insight agility made possible Mit CA Business Service Insight wissen Sie, welche Services in Ihrem Unternehmen verwendet werden. Sie können

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Interne Revision als Voraussetzung für ein effektives Risikomanagement. Internal Audit Services (IAS)

Interne Revision als Voraussetzung für ein effektives Risikomanagement. Internal Audit Services (IAS) Interne Revision als Voraussetzung für ein effektives Risikomanagement Internal Audit Services (IAS) Die moderne Rolle der Internen Revision Erhöhte Anforderungen an Unternehmensleitung und Interne Revision

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Cloud Computing der Nebel lichtet sich

Cloud Computing der Nebel lichtet sich Cloud Computing der Nebel lichtet sich EIN ZUVERLÄSSIGER INTEGRATIONSPARTNER FÜR IHR CLOUD-ÖKOSYSTEM 46 % der CIOs geben an, dass im Jahr 2015 über die Hälfte ihrer Infrastruktur und ihrer Applikationen

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

CRAMM. CCTA Risikoanalyse und -management Methode

CRAMM. CCTA Risikoanalyse und -management Methode CRAMM CCTA Risikoanalyse und -management Methode Agenda Überblick Markt Geschichte Risikomanagement Standards Phasen Manuelle Methode Business Continuity Vor- und Nachteile Empfehlung! ""# # Überblick

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

PRIMEING IHR PARTNER FÜR MSP IN ENGINEERING UND IT

PRIMEING IHR PARTNER FÜR MSP IN ENGINEERING UND IT PRIMEING IHR PARTNER FÜR MSP IN ENGINEERING UND IT Eckhardt Maier Geschäftsführer der primeing GmbH 02 Als Tochterunternehmen der ABLE GROUP, Deutschlands führenden Konzerns für Engineering- und IT-Dienstleistungen,

Mehr

SkyConnect. Globale Netzwerke mit optimaler Steuerung

SkyConnect. Globale Netzwerke mit optimaler Steuerung SkyConnect Globale Netzwerke mit optimaler Steuerung Inhalt >> Sind Sie gut vernetzt? Ist Ihr globales Netzwerk wirklich die beste verfügbare Lösung? 2 Unsere modularen Dienstleistungen sind flexibel skalierbar

Mehr

Consulting Services Effiziente Sicherheitsprozesse nach Mass.

Consulting Services Effiziente Sicherheitsprozesse nach Mass. Consulting Services Effiziente Sicherheitsprozesse nach Mass. Angemessene, professionelle Beratung nach internationalen Sicherheitsstandards. Effektive Schwachstellenerkennung und gezielte Risikominimierung.

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Glenfis macht Sie fit für das Cloud-Zeitalter und die wachsenden Multi-Sourcing Anforderungen. Cloud & Sourcing Excellence Kennen. Können. Tun.

Glenfis macht Sie fit für das Cloud-Zeitalter und die wachsenden Multi-Sourcing Anforderungen. Cloud & Sourcing Excellence Kennen. Können. Tun. Glenfis macht Sie fit für das Cloud-Zeitalter und die wachsenden Multi-Sourcing Anforderungen. Cloud & Sourcing Excellence Kennen. Können. Tun. Kennen. Beratung. Die beste Beratung basiert auf dem Verständnis

Mehr

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in)

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5.1 Kurzbeschreibung IT Security Coordinators konzipieren angemessene IT Sicherheitslösungen entsprechend geltender technischer Standards, Gesetze

Mehr

Advanced Threats erkennen und untersuchen ÜBERBLICK

Advanced Threats erkennen und untersuchen ÜBERBLICK Advanced Threats erkennen und untersuchen ÜBERBLICK HIGHLIGHTS RSA Security Analytics bietet: Sicherheitsüberwachung Vorfallsermittlung Compliance-Reporting Sicherheitsanalysen für große Datenmengen Das

Mehr

24. Oktober 2006. McAfee Security Risk Management

24. Oktober 2006. McAfee Security Risk Management 24. Oktober 2006 McAfee Security Risk Management 2 Was wäre, wenn Sie... für Bedrohungsschutz und Compliance nicht mehr Einzelprodukte einsetzen würden, die sich nicht integrieren lassen Sicherheit und

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Lösungen die standhalten.

Lösungen die standhalten. Unsere IT ist doch sicher! Wozu ISO 27001? RBP Seminar, LRZ München, 27.10.2011 Marc Heinzmann, plan42 GmbH ISO 27001 Auditor Lösungen die standhalten. plan42 GmbH Wir sind ein Beratungsunternehmen ohne

Mehr

Die perfekte Verbindung von Optimierung und Innovation

Die perfekte Verbindung von Optimierung und Innovation Die perfekte Verbindung von Optimierung und Innovation OPTiVATiON Optimized Technology & Business Innovation GmbH Erfolg durch Kompetenz Das können Sie von uns erwarten Wir von OPTiVATiON definieren uns

Mehr

Neueste IDG-Studie: Cyber Defense Maturity Report 2014

Neueste IDG-Studie: Cyber Defense Maturity Report 2014 Medienkontakt: Susanne Sothmann / Erna Kornelis Kafka Kommunikation 089 74 74 70 580 ssothmann@kafka-kommunikation.de ekornelis@kafka-kommunikation.de Neueste IDG-Studie: Cyber Defense Maturity Report

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

IT-SECURITY. 360 Sicherheit für Ihre Daten IT SOLUTIONS PRINZIP PARTNERSCHAFT

IT-SECURITY. 360 Sicherheit für Ihre Daten IT SOLUTIONS PRINZIP PARTNERSCHAFT IT-SECURITY 360 Sicherheit für Ihre Daten PRINZIP PARTNERSCHAFT IT SOLUTIONS IT-SECURITY UNSER COMPETENCE CENTER FÜR IT-SECURITY Als Spezialist für IT-Security bietet Konica Minolta IT Solutions den Kunden

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Informationssicherheitsmanagement

Informationssicherheitsmanagement Informationssicherheitsmanagement Q_PERIOR AG 2014 www.q-perior.com Einführung Die Herausforderungen an die Compliance in der Informationssicherheit steigen Neue Technologien Fraud und Industriespionage

Mehr

OASIS on-call Contact Center aus der Cloud

OASIS on-call Contact Center aus der Cloud OASIS on-call Contact Center aus der Cloud OASIS on-call Contact Center Die perfekte ACD für Ihr Geschäft Medienübergreifend und leistungsstark Medienübergreifend, schnell im Einsatz und direkt aus der

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Strategische Technologien im Fokus

Strategische Technologien im Fokus ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer AstraZeneca simon strickland, Global Head of Security Automatic Data Processing roland cloutier, Vice President, Chief

Mehr

Profil. The Remote In-Sourcing Company. www.intetics.com

Profil. The Remote In-Sourcing Company. www.intetics.com The Remote In-Sourcing Company Profil Für weitere Informationen senden Sie uns bitte eine E-Mail an: contact@intetics.com oder rufen Sie uns bitte an: +49-211-3878-9350 Intetics erstellt und betreibt verteilte

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

Accenture Clone and Test for Cloud. Personaldaten in SuccessFactors Employee Central kopieren, anonymisieren und testen

Accenture Clone and Test for Cloud. Personaldaten in SuccessFactors Employee Central kopieren, anonymisieren und testen Accenture Clone and Test for Cloud Personaldaten in SuccessFactors Employee Central kopieren, anonymisieren und testen Accenture Software for Human Capital Management unterstützt Unternehmen dabei, die

Mehr

Wir suchen Menschen, die mehr bewegen

Wir suchen Menschen, die mehr bewegen OMV Gas & Power OMV Gas & Power GmbH ist die Leitgesellschaft für die Gasund Stromaktivitäten der OMV und umfasst die drei Geschäftsfelder Supply, Marketing & Trading sowie Gas Logistics und Power. Die

Mehr

Best Practice: On-demand Lösungen bei der Software AG. Dr. Dirk Ventur CIO and Head of Global Support

Best Practice: On-demand Lösungen bei der Software AG. Dr. Dirk Ventur CIO and Head of Global Support Best Practice: On-demand Lösungen bei der Software AG Dr. Dirk Ventur CIO and Head of Global Support Software AG ist der weltweit größte unabhängige Anbieter von Infrastruktursoftware für Geschäftsprozesse

Mehr

Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite

Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite Interviewrunde: Name: Funktion/Bereich: Organisation: Homepage Orga: Hosted Security & Security

Mehr

Lehrgang Information Security Management

Lehrgang Information Security Management Lehrgang Security Management Das Zeitalter der Datenkommunikation bietet ungeahnte Möglichkeiten der, Kommunikation, der Vereinfachung, Beschleunigung von Arbeitsabläufen, Geschäftsabschlüssen. Geschäftsprozesse

Mehr

Executive Summary BIG DATA Future Chancen und Herausforderungen für die deutsche Industrie

Executive Summary BIG DATA Future Chancen und Herausforderungen für die deutsche Industrie Executive Summary BIG DATA Future Chancen und Herausforderungen für die deutsche Industrie BIG DATA Future Opportunities and Challanges in the German Industry Zusammenfassung Die Menge der verfügbaren

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Die IT-Service AG. Beratung, Technologie, Outsourcing

Die IT-Service AG. Beratung, Technologie, Outsourcing Die IT-Service AG Beratung, Technologie, Outsourcing QUALITÄT B e r a t u n g Erfahrungen aus der Praxis. Aus unzähligen Projekten. Spezialwissen und objektive Analysen. Mit uns überwinden Sie Hindernisse

Mehr

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt)

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) Umfassendes Know How Ein starkes Team Pragmatische, methodengestützte Vorgehensweise OYSTER Consulting GmbH greift auf einen langjährigen weltweiten

Mehr

Risiken kann man eingehen. Oder man kann sie meistern.

Risiken kann man eingehen. Oder man kann sie meistern. IBM Global Technology Services Risiken kann man eingehen. Oder man kann sie meistern. Einsichten und Erkenntnisse aus der IBM Global IT Risk Study. 2 IBM Global IT Risk Study Wie steht es mit dem Sicherheitsbewusstsein

Mehr

Benötigt Ihr Unternehmen ein Projekt Management Office?

Benötigt Ihr Unternehmen ein Projekt Management Office? Oracle White Paper April 2009 Benötigt Ihr Unternehmen ein Projekt Management Office? Bessere Erfolgsquoten bei Projekten mit einem PMO Einführung Kein Projekt wird mit der Absicht geplant, zu scheitern.

Mehr

IMPLEMENTIERUNG EINER SECURITY- ANALYTICS-ARCHITEKTUR

IMPLEMENTIERUNG EINER SECURITY- ANALYTICS-ARCHITEKTUR IMPLEMENTIERUNG EINER SECURITY- ANALYTICS-ARCHITEKTUR Lösungsübersicht ZUSAMMENFASSUNG Neue Sicherheitsbedrohungen erfordern einen neuen Ansatz für das Sicherheitsmanagement. Sicherheitsteams benötigen

Mehr

Cloud Computing Erfahrungen eines Anbieters aus der Interaktion mit seinen Kunden und der Marktentwicklung

Cloud Computing Erfahrungen eines Anbieters aus der Interaktion mit seinen Kunden und der Marktentwicklung Cloud Computing Erfahrungen eines Anbieters aus der Interaktion mit seinen Kunden und der Marktentwicklung 29.10.2013 Susan Volkmann, IBM Cloud Leader Deutschland, Österreich, Schweiz (DACH) "The Grounded

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

1 von 6 27.09.2010 09:08

1 von 6 27.09.2010 09:08 1 von 6 27.09.2010 09:08 XaaS-Check 2010 Die Cloud etabliert sich Datum: URL: 26.08.2010 http://www.computerwoche.de/2351205 Eine Online-Umfrage zeigt: Viele Unternehmen interessieren sich für das Cloud

Mehr

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS)

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS) (IGS) SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Services (AMS) Martin Kadner, Product Manager SAP Hosting, GTS Klaus F. Kriesinger, Client Services Executive,

Mehr

IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud

IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud Pressemeldung Frankfurt, 24. April 2013 IDC Studie: Deutsche Unternehmen verlassen sich auf IT Service Management für die Cloud Unternehmen verlassen sich für das Management ihrer Cloud Services auf IT

Mehr

Beschaffungslogistik

Beschaffungslogistik Beschaffungslogistik Trends und Handlungsempfehlungen Ralf Grammel Steigender Interregionaler Handel Quelle: 2009; www.bpb.de Entwicklung der Logistik in Europa Und morgen? Ab 1970 Klassische Logistik

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV )

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) TÜV NORD Akademie Personenzertifizierung Zertifizierungsprogramm - Merkblatt Chief Information Security Officer (TÜV ) Merkblatt Chief Information Security Officer (TÜV ) Personenzertifizierung Große

Mehr

Datenintegration, -qualität und Data Governance. Hannover, 14.03.2014

Datenintegration, -qualität und Data Governance. Hannover, 14.03.2014 Datenintegration, -qualität und Data Governance Hannover, 14.03.2014 Business Application Research Center Führendes europäisches Analystenhaus für Business Software mit Le CXP (F) objektiv und unabhängig

Mehr

WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN?

WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN? WIE KANN ICH DIE KOSTEN- UND LEISTUNGSZIELE MEINER ORGANISATION OHNE NEUE INVESTITIONEN ERFÜLLEN? Wie kann ich die Kosten- und Leistungsziele meiner Organisation ohne neue Investitionen erfüllen? Das CA

Mehr

Big Data im Bereich Information Security

Big Data im Bereich Information Security Der IT-Sicherheitsverband. TeleTrusT-interner Workshop Bochum, 27./28.06.2013 Big Data im Bereich Information Security Axel Daum RSA The Security Division of EMC Agenda Ausgangslage Die Angreifer kommen

Mehr

Wenn komplexe Systeme sicher sein müssen...

Wenn komplexe Systeme sicher sein müssen... Wenn komplexe Systeme sicher sein müssen... IT-Services Schleupen.Mobility Management IT-Security www.schleupen.de Effiziente IT-Lösungen für die Energiewirtschaft Die Situation Ohne IT funktioniert heutzutage

Mehr

PM & IT Business Consulting mit IS4IT FÜR SIE.

PM & IT Business Consulting mit IS4IT FÜR SIE. PM & IT Business Consulting mit IS4IT FÜR SIE. Business Consulting IT Architektur IT Projektmanagement IT Service- & Qualitätsmanagement IT Security- & Risikomanagement Strategie & Planung Business Analyse

Mehr

Durchgängig IT-gestützt

Durchgängig IT-gestützt Beschaffung aktuell vom 03.09.2012 Seite: 026 Auflage: 18.100 (gedruckt) 10.253 (verkauft) 18.032 (verbreitet) Gattung: Zeitschrift Supplier Lifecycle Management Durchgängig IT-gestützt Obwohl die Identifizierung,

Mehr

Virtual Roundtable HR BPO

Virtual Roundtable HR BPO Virtual Roundtable HR BPO Name: Thomas Eggert Funktion/Bereich: Geschäftsführer Organisation: TDS HR Services & Solutions Liebe Leserinnen und liebe Leser, zunehmend setzen Unternehmen auf die Auslagerung

Mehr

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme 1 Die Unternehmens-IT steht vor vielfältigen Herausforderungen: Kostenreduzierung, Standardisierung, Komplexitätsreduktion, Virtualisierung, Verfügbarkeit und Steuerung externer Dienstleister werden häufig

Mehr

Sicherheit und Compliance in der Cloud

Sicherheit und Compliance in der Cloud Sicherheit und Compliance in der Cloud Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds für regionale Entwicklung

Mehr

Banken tun sich mit der Umsetzung von BCBS 239 schwer

Banken tun sich mit der Umsetzung von BCBS 239 schwer Banken tun sich mit der Umsetzung von BCBS 239 schwer Andreas Bruckner Das Baseler Komitee für Bankenaufsicht (BCBS) hat am 23. Januar 2015 den Bericht über den Umsetzungsstand der Grundsätze für die effektive

Mehr

Workflowmanagement. Business Process Management

Workflowmanagement. Business Process Management Workflowmanagement Business Process Management Workflowmanagement Workflowmanagement Steigern Sie die Effizienz und Sicherheit Ihrer betrieblichen Abläufe Unternehmen mit gezielter Optimierung ihrer Geschäftsaktivitäten

Mehr

Wieso Kollaboration? Wir haben doch schon ein Wiki! Über die Digitale Vernetzung in Unternehmen

Wieso Kollaboration? Wir haben doch schon ein Wiki! Über die Digitale Vernetzung in Unternehmen Wieso Kollaboration? Wir haben doch schon ein Wiki! Über die Digitale Vernetzung in Unternehmen Wiki ist eine schöne Insel. Aber einsam. {{Begriffsklärungshinweis}} Ein '''Wiki''' ([[Hawaiische Sprache

Mehr

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen?

White Paper. 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? e:digital media GmbH software distribution White Paper Information Security Management System Inhalt: 1. GRC und ISMS - Warum Einsatz von Software-Lösungen? 2. Was sind die QSEC-Suiten? 3. Warum ein Information

Mehr

Zuerst zu Open Source wechseln

Zuerst zu Open Source wechseln Zuerst zu Open Source wechseln Zuerst zu Open Source wechseln Inhaltsverzeichnis Zuerst zu Open Source wechseln... 3 In die Mitte.... 4 Veränderungen in der Wirtschaftlichkeit der IT.... 6 2 Zuerst zu

Mehr

Hybrid ITSM Because Having Only One Option Isn t An Option

Hybrid ITSM Because Having Only One Option Isn t An Option Hybrid ITSM Because Having Only One Option Isn t An Option Seit über 20 Jahren spezialisiert sich FrontRange Solutions auf die Entwicklung von Software zur Steigerung von IT-Effizienz und Wertschöpfung.

Mehr

GET Information Technology. Strategies and Solutions

GET Information Technology. Strategies and Solutions GET Information Technology Strategies and Solutions Seit mehr als 20 Jahren ist es meine Aufgabe, IT-Organisationen in ihren Möglichkeiten zu entwickeln. Als Mitarbeiter war ich in allen Bereichen der

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher

IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Pressemeldung Frankfurt, 01. August 2011 IDC-Studie: Abwehr neuer Angriffsszenarien, Cloud und Mobile Security sind die Top 3 Prioritäten deutscher IT Security Verantwortlicher Die Bedrohungsszenarien

Mehr

Wir unterstützen Sie heute auf Ihrem Weg in die Zukunft...

Wir unterstützen Sie heute auf Ihrem Weg in die Zukunft... Wir unterstützen Sie heute auf Ihrem Weg in die Zukunft... Firmenprofil... damit Sie die richtigen Entscheidungen treffen und Ihr Unternehmen langfristig wettbewerbsfähig bleibt. Als finanziell unabhängiges

Mehr

CA Clarity PPM. Übersicht. Nutzen. agility made possible

CA Clarity PPM. Übersicht. Nutzen. agility made possible PRODUKTBLATT CA Clarity PPM agility made possible CA Clarity Project & Portfolio Management (CA Clarity PPM) unterstützt Sie dabei, Innovationen flexibel zu realisieren, Ihr gesamtes Portfolio bedenkenlos

Mehr

Studie,,IT-Sicherheit und Datenschutz 2015. Nationale Initiative für Internetund Informations-Sicherheit e.v.

Studie,,IT-Sicherheit und Datenschutz 2015. Nationale Initiative für Internetund Informations-Sicherheit e.v. Studie,,IT-Sicherheit und Datenschutz 2015 Nationale Initiative für Internetund Informations-Sicherheit e.v. Studiendesign Zielgruppe: Fach- und Führungskräfte Stichprobe: N = 100 Befragungszeitraum: 7.

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

Agenda. Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende

Agenda. Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende Agenda Der Support von Windows XP und Office 2003 wurde eingestellt Das neue Windows Das neue Office Ende Der Support von Windows XP und Office 2003 wurde eingestellt Microsoft Support Lebenszyklus http://support.microsoft.com/lifecycle

Mehr

Executive Briefing. Big Data und Business Analytics für Kunden und Unternehmen. In Zusammenarbeit mit. Executive Briefing. In Zusammenarbeit mit

Executive Briefing. Big Data und Business Analytics für Kunden und Unternehmen. In Zusammenarbeit mit. Executive Briefing. In Zusammenarbeit mit Big Data und Business Analytics für Kunden und Unternehmen Umfangreiche und ständig anwachsende Datenvolumen verändern die Art und Weise, wie in zahlreichen Branchen Geschäfte abgewickelt werden. Da immer

Mehr

Oracle Datenbank: Chancen und Nutzen für den Mittelstand

Oracle Datenbank: Chancen und Nutzen für den Mittelstand Oracle Datenbank: Chancen und Nutzen für den Mittelstand DIE BELIEBTESTE DATENBANK DER WELT DESIGNT FÜR DIE CLOUD Das Datenmanagement war für schnell wachsende Unternehmen schon immer eine große Herausforderung.

Mehr

Über SAM consulting 1 SAM CONSULTING 2013

Über SAM consulting 1 SAM CONSULTING 2013 Über SAM consulting SAM CONSULTING ist ein weltweit agierendes Lizenzmanagement-Beratungshaus mit Sitz in Düsseldorf. Wir unterstützen Unternehmen dabei, das Lizenzmanagement umzusetzen, die zugehörigen

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

SAS Analytics bringt SAP HANA in den Fachbereich

SAS Analytics bringt SAP HANA in den Fachbereich Pressemitteilung Hamburg, 08. November 2013 SAS Analytics bringt SAP HANA in den Fachbereich Ergonomie kombiniert mit Leistungsfähigkeit: die BI-Experten der accantec group geben der neuen Partnerschaft

Mehr

Die Möglichkeiten der Cloud. Warum HP? Erleben Sie die Zukunft schon jetzt ganz nach Ihren Vorstellungen

Die Möglichkeiten der Cloud. Warum HP? Erleben Sie die Zukunft schon jetzt ganz nach Ihren Vorstellungen Die Möglichkeiten der Cloud Warum HP? Erleben Sie die Zukunft schon jetzt ganz nach Ihren Vorstellungen Warum HP? Weltweiter Support Unser Team aus über 300.000 Mitarbeitern betreut mehr als eine Milliarde

Mehr

Master-Thesis (m/w) für unseren Standort Stuttgart

Master-Thesis (m/w) für unseren Standort Stuttgart Master-Thesis (m/w) für unseren Standort Abschlussarbeit im Bereich Business Process Management (BPM) Effizienzsteigerung von Enterprise Architecture Management durch Einsatz von Kennzahlen Braincourt

Mehr

PTC Retail PLM Solution

PTC Retail PLM Solution PTC Retail PLM Solution PTC Retail PLM Solution Pünktlich, trendgemäß und budgetgerecht Die PTC Retail PLM Solution kann die kollaborative Planung, das Design, die Entwicklung und Beschaffung von Produkten

Mehr

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache:

Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: EIN SERVERSYSTEM, DAS NEUE WEGE BESCHREITET Wir haben den Markt durch Innovationen grundlegend verändert. Über 11.000 zufriedene Kunden sprechen eine deutliche Sprache: 80 % verbesserte Produktivität von

Mehr

Relevante Kundenkommunikation: Checkliste für die Auswahl geeigneter Lösungen

Relevante Kundenkommunikation: Checkliste für die Auswahl geeigneter Lösungen Relevante Kundenkommunikation: Checkliste für die Auswahl geeigneter Lösungen Sven Körner Christian Rodrian Dusan Saric April 2010 Inhalt 1 Herausforderung Kundenkommunikation... 3 2 Hintergrund... 3 3

Mehr

Berner Fachhochschule. Bildung und Forschung auf dem faszinierenden Gebiet der Informatik. bfh.ch/informatik

Berner Fachhochschule. Bildung und Forschung auf dem faszinierenden Gebiet der Informatik. bfh.ch/informatik Berner Fachhochschule Bildung und Forschung auf dem faszinierenden Gebiet der Informatik. bfh.ch/informatik Berner Fachhochschule Technik und Informatik Postfach, CH-2501 Biel/Bienne T +41 32 321 61 11

Mehr

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012

Ihr Berater in Sachen Datenschutz und IT-Sicherheit. Berlin, August 2012 ISi Ihr Berater in Sachen Datenschutz und IT-Sicherheit 01 Berlin, August 2012 Vorstellung ISiCO 02 Die ISiCO Datenschutz GmbH ist ein spezialisiertes Beratungsunternehmen in den Bereichen IT-Sicherheit,

Mehr

Wir sind Ihr kompetenter Partner für das komplette HR

Wir sind Ihr kompetenter Partner für das komplette HR Wir sind Ihr kompetenter Partner für das komplette HR Application Outsourcing Prozesse Projekte Tools Mit PROC-IT die optimalen Schachzüge planen und gewinnen In der heutigen Zeit hat die HR-Organisation

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung Ihr Partner für das der IT von der Strategie bis zur Lösung Agenda In aller Kürze 1. Tätigkeitsfelder 2. Leistungen 3. Referenzen 4. Unternehmen 2015 2 Lieferanten 1. Tätigkeitsfelder Gestalten Sie die

Mehr

Pressemitteilung. IT muss neu gedacht werden: adesso stellt Konzept "New School of IT" vor. Neuer Ansatz sorgt für eine schnellere und produktivere IT

Pressemitteilung. IT muss neu gedacht werden: adesso stellt Konzept New School of IT vor. Neuer Ansatz sorgt für eine schnellere und produktivere IT Pressemitteilung IT muss neu gedacht werden: adesso stellt Konzept "New School of IT" vor Neuer Ansatz sorgt für eine schnellere und produktivere IT Dortmund, 4. Juli 2013 Mobilität, Agilität und Elastizität

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr