Security for Business Innovation Council

Größe: px
Ab Seite anzeigen:

Download "Security for Business Innovation Council"

Transkript

1 ABN Amro Dr. Martijn Dekker, Senior Vice President, Chief Information Security Officer Airtel Felix Mohan, Senior Vice President und Global Chief Information Security Officer AstraZeneca Simon Strickland, Global Head of Security Automatic Data Processing Roland Cloutier, Vice President, Chief Security Officer The Coca-Cola Company Renee Guttmann, Chief Information Security Officer Security for Business Innovation Council Informationssicherheit im Wandel t Dieser Report basiert auf Gesprächen mit dem Wie man ein erstklassiges erweitertes Team zusammenstellt EMC Corporation Dave Martin, Vice President und Chief Security Officer FedEx Denise D. Wood, Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer Fidelity Investments Tim McKnight, Executive Vice President, Enterprise Information Security and Risk HDFC Bank Vishal Salvi, Chief Information Security Officer und Senior Vice President HSBC Holdings plc. Bob Rodger, Group Head of Infrastructure Security Intel Malcolm Harkins, Vice President, Chief Security und Privacy Officer Johnson & Johnson Marene N. Allison, Worldwide Vice President of Information Security JPMorgan Chase Anish Bhimani, Chief Information Risk Officer Nokia Petri Kuivala, Chief Information Security Officer SAP AG Ralph Salomon, Vice President IT Security and Risk Office TELUS Kenneth Haertling, Vice President und Chief Security Officer T-Mobile USA William Boni, Corporate Information Security Officer (CISO) und Vice President, Enterprise Information Security Walmart Stores, Inc. Jerry R. Geisler III, Office of the Chief Information Security Officer Informationssicherheit im Wandel Empfehlungen von Global-1000-Verantwortlichen Das neue Anforderungsprofil In diesem Report: Neue Chancen zur Zusammenarbeit Tipps zur optimalen Nutzung von Ressourcen Empfehlungen für die nächsten Schritte Übersicht der Aufgabenverteilung in einem erweiterten Team Eine von RSA unterstützte Brancheninitiative

2 * Inhalte Highlights 1 1. Einführung: Teams im Wandel 2 2. Die neue Leistungsbeschreibung 3 Tabelle 1: Das veränderte Aufgabenprofil der Informationssicherheit>>>>>>> 4 3. Herausforderungen und Chancen 6 4. Empfehlungen 7 1. Kernkompetenzen neu definieren und ausbauen>>>>>>>>>>>>>>>>>>>>> 7 2. Routinevorgänge delegieren>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 9 3. Expertendienstleistungen leihen oder einkaufen>>>>>>>>>>>>>>>>>>> Risikoeigentümer beim Risikomanagement anleiten>>>>>>>>>>>>>>>> Prozessoptimierungsspezialisten einstellen>>>>>>>>>>>>>>>>>>>>>>> Schlüsselpersonen ins Boot holen>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> Quereinsteiger anwerben und ausbilden>>>>>>>>>>>>>>>>>>>>>>>>>> 12 Zusammenfassung 13 Informationen zum Security for Business Innovation Council 13 Anhang Tabelle 2: Aufbau eines erstklassigen erweiterten Informationssicherheitsteams>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 14 Mitwirkende 16 Haftungsausschluss: Dieser Security for Business Innovation Council-Report (nachfolgend der Report ) enthält Informationen und Material (nachfolgend der Inhalt ), die jederzeit geändert werden können. RSA Security LLC, EMC Corporation und die einzelnen Autoren des Security for Business Innovation Council (nachfolgend Autoren ) sind nicht verpflichtet, den Inhalt zu aktualisieren. Der Inhalt wird ohne Gewähr zur Verfügung gestellt. Die Autoren übernehmen keine ausdrücklichen oder stillschweigenden Garantien, keine Mängelgewährleistung, keine Gewähr zur Eignung, keine Garantie der Nicht-Verletzung, der Genauigkeit oder Zweckmäßigkeit oder andere Garantien zur Nutzung des Inhalts. Der Inhalt wird zu Informationszwecken bereitgestellt und stellt keine Rechtsauskunft von RSA Security LCC, seinem Mutterunternehmen EMC Corporation, deren Anwälten oder einer der Autoren dieses SBIC-Reports dar. Handeln Sie auf Grundlage dieses Reports erst, nachdem Sie sich von einem in Ihrem Land zugelassenen Anwalt beraten lassen haben. Die Autoren sind nicht für Fehler in diesem Report oder für Schäden verantwortlich, die sich aus der Nutzung dieses Reports (inklusive allen Inhalts) ergeben, darunter direkte und indirekte Schäden, Schadensersatz, konkrete Schäden, Folgeschäden oder Bußgelder, egal, ob aufgrund eines Vertrags, unerlaubter Handlung oder einer anderen Anspruchsgrundlage, selbst wenn die Autoren sich der Möglichkeit solcher Fehler oder Schäden bewusst sind. Die Autoren übernehmen keine Verantwortung für Fehler oder Auslassungen im Inhalt. 2 Security for Business Innovation Council-Report RSA, The Security Division of EMC

3 Highlights Welche Kenntnisse und Kompetenzen sind notwendig, um in einem weltweit tätigen Unternehmen die Risiken für Informationsressourcen zu managen? Deutlich mehr als noch vor wenigen Jahren. Besonders in den letzten 18 Monaten sind die Anforderungen enorm gestiegen, unter anderem bedingt durch sich häufende Cyberangriffe, die rasante Einführung neuer Technologien, eine verstärkte Überprüfung durch Regulierungsorgane und eine immer engmaschiger vernetzte Wirtschaftswelt. Bei der Informationssicherheit geht es nicht mehr nur um die Implementierung und Anwendung von Sicherheitsmaßnahmen. Diese Aufgabenstellung wurde nun vielmehr um umfangreiche technische und geschäftsorientierte Aufgaben erweitert: Geschäftsrisikoanalyse, Ressourcenbewertung, Integrität der IT-Lieferkette, Cyber-Intelligence, Analyse von Sicherheitsdaten, Data Warehousing und Prozessoptimierung. Das Anforderungsprofil hat sich deutlich erweitert und so ist es schwieriger geworden, ein effektives Team zusammenzustellen. Es fehlt schlicht an Personal mit geeigneten Kompetenzen. Aber auch Chancen ergeben sich, denn in vielen Unternehmen wächst unter den nicht mit Sicherheitsfragen betrauten Mitarbeitern die Erkenntnis, dass sie selbst und nicht nur die Sicherheitsabteilung für den Umgang mit den Risiken für ihre Informationsressourcen verantwortlich sind und dass sie aktiv mit der Sicherheitsabteilung zusammenarbeiten müssen, um diese Risiken zu managen. Informationssicherheit in Unternehmen kann nur erfolgreich sein, wenn alle Beteiligten an einem Strang ziehen und die Sicherheitsprozesse vollständig in die Geschäftsprozesse integriert sind. Das erweiterte Team setzt sich zusammen aus IT-Mitarbeitern, den Geschäftsbereichen sowie Abteilungen wie Beschaffung, Recht und Marketing. Das Kernteam für die Informationssicherheit überwacht und koordiniert alle damit verbundenen Maßnahmen und übernimmt Aufgaben, die Spezialwissen oder eine Zentralisierung erfordern. Die folgenden sieben Empfehlungen können als Hilfestellung für den Aufbau eines erstklassigen erweiterten Teams dienen, um die Risiken der Internetsicherheit wirksam zu managen, optimalen Nutzen aus den vorhandenen Personalmitteln zu ziehen und sicherzustellen, dass das Team über die erforderlichen neuen Kompetenzen und Kenntnisse verfügt. 1. Kernkompetenzen neu definieren und ausbauen: Das Kernteam sollte auf vier Hauptgebieten neue Kenntnisse erwerben: Internetrisikoanalyse und Sicherheitsdatenanalyse, Sicherheitsdatenmanagement, Risikoberatung sowie Entwicklung von Überwachungs- und Kontrollmaßnahmen. 2. Routinevorgänge delegieren: Delegieren Sie wiederholbare, gut etablierte Sicherheitsprozesse an die IT, die Geschäftsbereiche und/oder externe Serviceprovider. 3. Expertendienstleistungen leihen oder einkaufen: Erweitern Sie das Kernteam um Experten von innerhalb oder außerhalb des Unternehmens, um fehlende Spezialisierungen kurzfristig abzudecken. 4. Risikoeigentümer beim Risikomanagement anleiten: Unterstützen Sie das Unternehmen beim Management von Internetsicherheitsrisiken und sorgen Sie für einen konsistenten Ansatz. Geben Sie Hilfestellung und weisen Sie Verantwortlichkeiten zu. 5. Prozessoptimierungsspezialisten einstellen: Holen Sie Mitarbeiter mit Erfahrung bzw. Zertifizierungen in den Bereichen Qualitäts-, Projekt- oder Programmmanagement, Prozessoptimierung und Servicebereitstellung ins Team. 6. Schlüsselpersonen ins Boot holen: Sichern Sie sich Unterstützung und Gehör der Schlüsselpersonen in den wichtigsten Geschäftsbereichen, im mittleren Management sowie bei externen Serviceprovidern. 7. Quereinsteiger anwerben und ausbilden: Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Dafür eignen sich vor allem Quereinsteiger aus Fachgebieten wie Datenbankadministration, Softwareentwicklung, Geschäftsanalyse, militärische Aufklärung, Rechts- oder Datenschutzbeauftragte, Data Science, Mathematik oder Geschichte. RSA, The Security Division of EMC Security for Business Innovation Council-Report 1

4 1 Einführung: Teams im Wandel Noch vor wenigen Jahren stand in Informationssicherheitsabteilungen die Technik unverkennbar im Mittelpunkt. Es ging um Themen wie Perimetersicherung, Compliancechecklisten und Virenschutzupdates. Wenn Sie heute dieselben Abteilungen betreten, bietet sich ein grundlegend verändertes Bild. Teams bestehen jetzt aus fachübergreifenden Spezialistengruppen, zu denen Bedrohungsanalysten, Risikoberater, Data Scientists und Prozessexperten zählen. Dabei rücken Themen wie Geschäftsrisikomanagement, Datenanalyse, Controls Assurance und Serviceprovider-Governance zunehmend in den Vordergrund. Nicht alle Unternehmen sind in ihren Bemühungen in diese Richtung gleich weit fortgeschritten, die meisten haben jedoch erkannt, dass sie bei der Informationssicherheit neue Wege gehen müssen. In einer aktuellen Sicher- heitsumfrage wurde die grundlegende Neukonzeption der Informationssicherheitsprogramme sogar als zweitwichtigste Investitionspriorität bei weltweit tätigen Unternehmen genannt. 1 Punktuelle Lösungen oder inkrementelle Verbesserungen reichen nicht mehr aus. Wie aber sieht ein fortschrittliches Informationssicherheitsprogramm aus? Der vorliegende Report ist der erste in einer Fortsetzungsreihe, die sich mit der Umgestaltung und Modernisierung von Informationssicherheitsprogrammen in Unternehmen befasst und versucht, diese zentrale Frage mithilfe des Knowhows und Weitblicks einiger der weltweit führenden Informationssicherheitsexperten des Security for Business Innovation Council (SBIC) zu beantworten. Dieser erste Report handelt von den neuen Kompetenzen und Kenntnissen, die Unternehmen erwerben müssen, und zeigt auf, wie die Verantwortlichkeiten für die Informationssicherheit im Unternehmen verteilt sind. Er enthält spezifische und praxisorientierte Empfehlungen für den Aufbau eines erstklassigen erweiterten Teams. 1 E&Y Weltweite Umfrage zum Thema Informationssicherheit, November Security for Business Innovation Council-Report RSA, The Security Division of EMC

5 2 Die neue Leistungsbeschreibung I nformationssicherheit lässt sich nicht mehr auf die reine Implementierung und Anwendung von Maßnahmen beschränken. Zahlreiche neue Aufgaben sind mit der Zeit hinzugekommen. Und nur wenn das gesamte Aufgabenspektrum bekannt ist, lässt sich ein erstklassiges Team mit den jeweils fähigsten Mitarbeitern zusammenstellen. Welche Kenntnisse und Kompetenzen sind nötig, um in einem weltweit tätigen Unternehmen die Risiken für Informationsressourcen zu managen? Deutlich mehr als noch vor wenigen Jahren. Besonders in den letzten 18 Monaten sind die Anforderungen enorm gestiegen, unter anderem bedingt durch sich häufende Cyberangriffe, die rasante Einführung neuer Technologien, eine verstärkte Überprüfung durch Regulierungsorgane und eine immer engmaschiger vernetzte Wirtschaftswelt. Unternehmen stehen unter dem enormen Druck, aktiv gegen Internetsicherheitsrisiken vorzugehen. Diese Veränderung setzt neue Methoden für die Abwehr von immer komplexeren Bedrohungen voraus. Die Informationssicherheit muss dafür in die Geschäfts- und Technologiestrategien integriert werden und Sicherheitsprozesse müssen wirksam und effizient sein. Gefordert sind neue Kompetenzen auf technischer und geschäftlicher Seite, wie zum Beispiel: Informationsrisikomanagement/Geschäftsrisiken- Chancen-Analyse Systematisierung von Risiken-Chancen- Entscheidungen Sicherheitsdatenmanagement und Data Warehousing Entwicklung einer übergreifenden Strategie sowie einer Infrastruktur für die Erfassung von Daten aus verschiedenen Quellen und Nutzung dieser für verschiedene Zwecke, wie zum Beispiel Bedrohungserkennung, Kontrollenüberwachung und Compliance-Reporting Optimierung der Sicherheitsprozesse Formulierung einer Strategie zur Effizienzsteigerung der Sicherheitsprozesse Schnelle Anpassung der Kontrollen Nutzung neuer Methoden zur Anpassung der Sicherheitskontrollen als Reaktion auf Trends wie Cloud und Mobile Computing Ein zentraler Eckpfeiler der Teamstrategie ist die Festlegung einer Aufgabenbeschreibung. Erst danach können die einzelnen Aufgaben verteilt werden. In Tabelle 1 werden die Aufgaben der Informationssicherheit in modernen, führenden Unternehmen von den einfacheren bis hin zu den komplexeren Aktivitäten charakterisiert. Unternehmen mit einem konvergierten Programm können zusätzlich Aufgaben wie Betrugserkennung, ediscovery, Datenschutz, Produktqualität bzw. physische Sicherheitsmaßnahmen in die Aufgabenbeschreibung aufnehmen. In diesem Report beschäftigen wir uns ausschließlich mit den Informationssicherheitskomponenten und gehen auf die erforderliche Koordination mit anderen, zugehörigen Aktivitäten nur am Rande ein. Inventarisierung und Bewertung von Ressourcen Priorisierung von Sicherheitsstrategien und Konzentration auf den Schutz der Kronjuwelen Management von Fremdanbieterrisiken/Integrität der IT-Lieferkette Bewertung der wachsenden Zahl von weltweit bezogenen Dienstleistungen von Serviceprovidern bzw. verwendeten Systemkomponenten Internetrisikoanalyse und Bedrohungsanalyse Aufklärung über das Verhalten der gegnerischen Seite und Erkennen der typischen Anzeichen für einen Angriff Sicherheitsdatenanalyse Anwendung fortschrittlicher Analyseverfahren, die anormales System- oder Benutzerverhalten in IT-Umgebungen erkennen RSA, The Security Division of EMC Security for Business Innovation Council-Report 3

6 Die neue Leistungsbeschreibung Tabelle 1 Das veränderte Aufgabenprofil der Informationssicherheit Die Übersicht ist grob von den einfacheren zu den komplexeren Aktivitäten geordnet. Programmmanagement Festlegung einer Gesamtstrategie und Planung für das Informationssicherheitsmanagement- Programm Sicherstellen, dass das Programm die wichtigsten geschäftlichen Anforderungen des Unternehmens abdeckt Abstimmung mit ähnlichen Aufgaben wie Betrugserkennung, ediscovery, physische Sicherheit, Produktsicherheit und/oder Datenschutz Sicherheitsrichtlinie und -standards Entwicklung und Dokumentation der allgemeinen Leitlinien und Regeln, die festlegen, wie das Unternehmen beim Schutz von Informationen vorgeht Beschreibung aller administrativen, technischen und physischen Informationssicherheitskontrollen, die im Unternehmen verwendet werden (das Kontrollen-Framework), einschließlich Zugriffskontrollen, Verschlüsselung, Identifizierung und Authentifizierung, Konfigurationsmanagement, Überwachung, Auditprotokollierung, Anwendungssicherheit und Schulung (von Personal und Kunden) Beachtung der Anforderungen verschiedener Gesetze und Regulierungen (z. B. SOX, HIPAA, PCI) Sicherstellen, dass die Kontrollen agil sind und sich an neue Geschäfts- und Bedrohungsszenarien anpassen lassen Implementierung von Kontrollen Implementierung von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen und externen Umweltfaktoren Betrieb von Kontrollen Betrieb von Kontrollen unter Einbeziehung von Richtlinien und Standards sowie internen und externen Umweltfaktoren Design von Kontrollen (Sicherheitsarchitektur) Entwicklung neuer Kontrollen oder neuer Wege zur Implementierung von Kontrollen unter Beachtung veränderter Geschäfts-, IT- und Bedrohungsszenarien Dies schließt Verfahren in der Anwendungsentwicklung, das Spezifizieren, Ausrollen, Anpassen und/oder Entwickeln neuer Sicherheitstechnologie sowie neue Anwendervereinbarungen und -verfahren ein Überprüfung von Kontrollen/Controls Assurance Bewertung aller Kontrollen, um sicherzustellen, dass sie den geltenden Richtlinien und Standards entsprechen Überprüfung aller Kontrollen auf Vorhandensein und korrekte Funktionsweise Sicherstellen, dass alle Kontrollen konsistent überwacht und attestiert werden Vorfallsbehandlung/ Ausfallsicherheit Koordinierung und Verwaltung der Reaktion des Unternehmens auf Sicherheitsvorfälle, einschließlich Business Continuity/Disaster Recovery Evaluierung der Risiken eines Programms, Prozesses, Projekts, einer Initiative oder eines Systems anhand von Merkmalen wie Informationswert, Datenbestand, möglichen Bedrohungen und Schwachstellen, Wahrscheinlichkeit einer Kompromittierung, Auswirkung auf das Unternehmen (z. B. Ruf, Umsatz, fehlende regulatorische Compliance) sowie geschätzte Verluste Informationsrisikobewertung Informationsrisikomanagement/Geschäftsrisiken- Chancen-Analyse Festlegung von Risikograden und Zuordnung der jeweiligen Risikoeigentümer; Festlegung autorisierter Risikoakzeptanzgrade Risikobewertung jedes einzelnen Programms, Prozesses, Projekts, Initiative oder System und anschließende Formulierung von Maßnahmen zur Risikominimierung sowie einer Korrekturstrategie Etablierung eines konsistenten Prozesses zur Abwägung von Informationssicherheitsrisiken gegen Geschäftschancen Festlegen der erforderlichen Kontrollen, um Risiken auf ein akzeptables Maß zu senken Integration der Informationsrisikomaßnahmen in das Risikomanagement-Framework bzw. -Programm des Unternehmens 4 Security for Business Innovation Council-Report RSA, The Security Division of EMC

7 Die neue Leistungsbeschreibung Inventarisierung und Bewertung von Ressourcen Aufstellung über den gesamten Bestand an Geschäftsprozessen, vertraulichen Daten und Informationssystemen, die ein Unternehmen verwendet Erstellung einer ausführlichen Dokumentaktion zu den Geschäftsprozessen mit Abbildung des Datenflusses, um schützenswerte Prozesse und Daten zu ermitteln und Sicherheitsstrategien zu entwickeln Ermittlung der privilegierten Benutzer im erweiterten Unternehmen, die Zugriff auf wichtige Systeme haben Ermittlung des Werts von Ressourcen zur Priorisierung von Sicherheitsstrategien Management von Fremdanbieterrisiken/ Integrität der IT- Lieferkette Durchführung einer Risikoevaluierung, bevor das Unternehmen eine Beziehung zu einem Fremdanbieter eingeht Entwicklung eines Due-Diligence-Prozesses zur Bewertung von Anbietern, Partnern und Zulieferern Regelmäßige Evaluierung der Risiken, die mit der Geschäftstätigkeit mit Anbietern, Partnern und Zulieferern verbunden ist Verstehen der IT-Lieferkette und Evaluierung der Sicherheit von Hardware und Software, die in der IT-Umgebung des Unternehmens zum Einsatz kommt Effizienzsteigerung durch gemeinsame Bewertungen und laufende Überwachung der Kontrollen Internetrisikoanalyse und Bedrohungsanalyse Verstehen der gegnerischen Seite in Bezug auf die Unternehmensressourcen (Identität, Kompetenzen, Motivationen, Ziele) Sammeln von sicherheitsrelevanten Informationen über Bedrohungen für das Unternehmen Verwalten der Quellen dieser sicherheitsrelevanten Informationen, Interpretieren von Daten, Durchführen von Analysen und Erstellen von Bedrohungsanalysereports und Warnmeldungen Integration eines Bedrohungsmodells sowie von Informationen in den gesamten Sicherheitsmanagementprozess und -lebenszyklus Sicherheitsdatenanalyse Nutzung fortschrittlicher Analysetechniken und Data Science zur Analyse von Sicherheitsdaten unter Einbeziehung der gesammelten Informationen Entwicklung von Abfragen, Algorithmen und Datenmodellen zur Erkennung oder Vorhersage böswilliger Aktivitäten Sicherheitsdatenmanagement und Data Warehousing Entwicklung einer Datenmanagementstrategie und Infrastruktur zur Sammlung und Analyse von Sicherheitsdaten aus verschiedenen Quellen (Sicherheitssysteme, Datenbanken, Anwendungen, Bedrohungsfeeds) zu verschiedenen Zwecken (z. B. Bedrohungserkennung, Risikomanagement und Compliance in Unternehmen, laufende Kontrollenüberwachung) Erstellen eines Data Warehouse für Sicherheitsdaten Optimierung der Sicherheitsprozesse Konsistente Nachverfolgung und Messung der Effizienz von Sicherheitsprozessen und Umsetzung von Verbesserungen mithilfe definierter Qualitätsmanagement-, Projektmanagement- und Servicebereitstellungsmethodologien Langfristige Planung Beobachtung zukünftiger Trends im Unternehmen, der Technologie und Regulierung, um proaktive Sicherheitsstrategien formulieren zu können. Dazu gehören zum Beispiel technische Entwicklungen wie das Internet der Dinge oder Wearable-Geräte, die neue Sicherheitsprobleme mit sich bringen RSA, The Security Division of EMC Security for Business Innovation Council-Report 5

8 3 Herausforderungen und Chancen D ie Zusammenstellung eines leistungsfähigen Informationssicherheitsteams ist mit einer Reihe aktueller Herausforderungen verbunden: Es fehlt an Fachwissen, gute Mitarbeiter lassen sich nur schwer halten Spezialisten für das Sicherheits- und Geschäftsrisikomanagement sind sehr gefragt Knappe Budgets Sicherheitsteams sind bereits voll ausgelastet Der Vorstand erwartet Mitarbeiter mit Geschäftssinn Weil die Informationssicherheit mehr und mehr in den Mittelpunkt der Geschäftsstrategie rückt, wird von Sicherheitsspezialisten heute auch unternehmerisches Wissen verlangt Es ergeben sich aber auch neue Chancen: Das Bewusstsein wächst Vom einfachen Anwender bis zur Führungsebene wächst das Bewusstsein für Sicherheitsfragen. Diese Entwicklung ist unter anderem der verstärkten Präsenz in den Medien, persönlichen Erfahrungen mit Internetangriffen oder dem Druck durch die Regulierungsorgane geschuldet. Das gesamte Unternehmen übernimmt Risikoverantwortung In vielen Unternehmen zeichnen sich umwälzende Veränderungen ab, denn unter den nicht mit Sicherheitsfragen betrauten Mitarbeitern wächst die Erkenntnis, dass sie selbst und nicht nur die Sicherheitsabteilung für den Umgang mit den Risiken für ihre Informationsressourcen verantwortlich sind und dass sie aktiv mit der Sicherheitsabteilung zusammenarbeiten müssen, um diese Risiken zu managen. Sicherheitsberufe sind zunehmend gefragt Das Spektrum der Informationssicherheit weitet sich auf neue Aspekte wie Geschäftsrisikoanalyse, Cyber-Intelligence und Data Science aus und wird damit interessanter. Immer neue Nachrichtenmeldungen und Hollywood- Darstellungen von Sicherheitsspezialisten, die das Netz vor den unterschiedlichsten Bedrohungen bewahren, sorgen für Aufmerksamkeit und steigern das Interesse an diesem Berufsfeld. Dave Martin Vice President und Chief Security Officer, EMC Corporation Er ist wirklich erstaunlich. Früher herrschte bei uns die Einstellung: Ihr Sicherheitsleute steht uns im Weg, muss das denn sein?. Inzwischen nutzen die Unternehmenseinheiten unsere zentralen Beratungsservices, um Strategien für die Risikoreduzierung umzusetzen. Das ist immer häufiger der Fall, da den Unternehmenseinheiten klar wird, dass sie ihre Risiken selbst managen müssen und sich dabei nicht auf andere verlassen oder den Kopf in den Sand stecken können. Angebot und Reichweite von Serviceprovidern wachsen Der Markt reagiert auf die neuen Anforderungen, wodurch Unternehmen nun leichter externe Sicherheitsserviceprovider beauftragen können, um Kosten zu senken, Spezialwissen zu nutzen, Unterstützung bei der Bewältigung des Arbeitsaufwands oder unabhängige Bewertungen zu erhalten. 6 Security for Business Innovation Council-Report RSA, The Security Division of EMC

9 4 Empfehlungen I nformationssicherheit in Unternehmen kann nur erfolgreich sein, wenn alle Beteiligten an einem Strang ziehen und die Sicherheitsprozesse vollständig in die Geschäftsprozesse integriert sind. Das erweiterte Informationssicherheitsteam kann aus folgenden Beteiligten bestehen: Personal, das mit der IT-Implementierung und dem Betrieb der Sicherheitskontrollen zuständig ist Risikomanager in den einzelnen Geschäftsbereichen, die mit dem Ausräumen von Risiken beschäftigt sind Mitarbeiter aus dem Einkauf, die Anbieterüberprüfungs- und Risikobewertungsprotokolle anwenden, um Zulieferer zu evaluieren Die Datenschutzstelle, die für die Kontrolle der Einhaltung von Regulierungen zuständig ist Marketingmitarbeiter, die in den Social Media nach Hinweisen auf mögliche Gefahren suchen Das Kernteam für die Informationssicherheit überwacht und koordiniert alle damit verbundenen Maßnahmen und übernimmt Aufgaben, die Spezialwissen oder eine Zentralisierung erfordern. Einige Mitarbeiter, die für Sicherheitsaufgaben außerhalb des Kernteams zuständig sind, können direkt oder fachlich unterstellt sein; andere orientieren sich möglicherweise an Sicherheitsstandards oder Service- Level-Agreements (SLAs). Tabelle 2 im Anhang illustriert die Aufgabenverteilung in einem erweiterten Team, bestehend aus dem Kernteam für Informationssicherheit, der IT, den einzelnen Unternehmensbereichen und den Serviceprovidern. Die nachfolgenden Empfehlungen dienen als Anleitung für den Aufbau eines erstklassigen erweiterten Teams mit dem Ziel, Sicherheitsrisiken effektiv zu managen und die vorhandenen Personalressourcen optimal auszunutzen. Je nachdem, wie weit ein Unternehmen in diesem Prozess bereits gediehen ist, kann dieser Leitfaden zur anfänglichen Planung, zur Überprüfung des gewählten Ansatzes oder zur Beschleunigung der Umsetzung in bestimmten Bereichen verwendet werden. Kernkompetenzen neu definieren und ausbauen Routinevorgänge delegieren Expertendienstleistungen leihen oder einkaufen Risikoeigentümer beim Risikomanagement anleiten Prozessoptimierungsspezialisten einstellen Schlüsselpersonen ins Boot holen Quereinsteiger anwerben und ausbilden 1. Kernkompetenzen neu definieren und ausbauen In führenden Unternehmen sind die für die Informationssicherheit zuständigen Kernteams aktuell bemüht, ihre Kenntnisse auf den folgenden Gebieten zu erweitern: Internetrisikoanalyse und Sicherheitsdatenanalyse, Sicherheitsdatenmanagement, Risikoberatung sowie Entwicklung von Überwachungsund Kontrollmaßnahmen. Je nach Größe des Kernteams bzw. Spezialisierungsgrad sind einzelne Mitglieder für spezifische Aufgaben oder für mehrere Bereiche zuständig. Für jeden Bereich sind verschiedene Kompetenzen erforderlich, die Teammitglieder häufig erst erlernen müssen. Ab diesem Punkt muss entweder das vorhandene Personal durch entsprechende Schulungen mit den erforderlichen Kompetenzen ausgestattet werden, oder das Kernteam muss neue Mitglieder aufnehmen bzw. Dienstleistungen von externen Serviceprovidern einkaufen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 7

10 Empfehlungen 1. Internetrisikoanalyse und Sicherheitsdatenanalyse Angesichts des wachsenden Bedrohungspotenzials müssen die meisten Unternehmen auf der Welt ihre Bedrohungserkennung verbessern und dafür einen informationsorientierten Ansatz (vgl. SBIC-Report Getting Ahead of Advanced Threats: Achieving Intelligence-Driven Information Security) entwickeln. Dieser Ansatz umfasst im ersten Schritt das Sammeln und Zusammenführen von Cyber-Intelligence-Daten, die aus internen (z. B. Sensoren in IT-Systemen und Geschäftsanwendungen) sowie externen Quellen (z. B. Bedrohungsfeeds von staatlichen Stellen oder kommerziellen Anbietern) stammen. Im zweiten Schritt werden diese Daten dann mithilfe leistungsfähiger Verfahren analysiert, um Angriffsindikatoren oder anormale Verhaltensmuster herauszufiltern. Das Kernteam sollte dann die Möglichkeit haben, das gesamte Unternehmen auf sicherheitsrelevante Situationen aufmerksam zu machen. Für die Ermittlung relevanter Datenquellen und die Durchführung aussagekräftiger Analysen muss über die wahre Beschaffenheit der Geschäftsumgebung, die zu schützenden Ressourcen und die möglichen Internetbedrohungen absolute Klarheit herrschen. Einige Sicherheitsteams nutzen bereits Big Data-Technologien, um Angriffe nicht nur zu erkennen, sondern auch vorherzusagen. Zentrale Soft Skills: Internes und externes Networking zur Ermittlung guter Quellen von sicherheitsrelevanten Informationen, Kommunikationsfähigkeit zur Erstellung von Reports und Präsentation von Sicherheitseinweisungen Zentrale Prozesskompetenzen: Entwicklung eines End-to-End-Informationserfassungsprozes ses, einschließlich der Gewinnung und Filterung von Daten, der Durchführung von Analysen, Kommunikation der Ergebnisse, des Treffens einer Risikoentscheidung und des Ergreifens von Maßnahmen Zentrale technische Kompetenzen: Analyse (Herstellen von Verbindungen zwischen scheinbar unverbundenen Daten), Datenanalyseverfahren und Data Science 2. Sicherheitsdatenmanagement Unternehmen, die zur Erkennung von Bedrohungen auf die Datenanalyse setzen, haben erkannt, dass sie eine übergeordnete Strategie und Infrastruktur für das Management von Sicherheitsdaten benötigen. Zu diesem Zweck müssen Sicherheitsdaten aus der gesamten IT-Umgebung zusammengestellt werden, unter anderem Protokolle, komplette Paketdatenströme und unstrukturierte Daten aus Systemen, Datenbanken und Geschäftsanwendungen. Diese Daten können außerhalb der Bedrohungserkennung zum Beispiel für das Unternehmensrisikomanagement, die Compliance und die ständige Kontrollenüberwachung verwendet werden. Zentrale Soft Skills: Schnittstelle zur IT und zum Unternehmen, einschließlich der Unternehmensdatenmanagement-Architekten Zentrale Prozesskompetenzen: Abbildung der Sicherheitsdatenflüsse in der gesamten IT-Umgebung des Unternehmens Zentrale technische Kompetenzen: Zentrale IT- Kompetenzen in den Bereichen Speicherarchitektur, Verarbeitungsarchitektur, Datenbankschema, Normalisierung und Umgang mit Netzwerkengpässen 3. Risikoberatung Das Kernteam berät das Unternehmen hinsichtlich des Risikomanagements von Informationsressourcen, einschließlich jener, die mit Sicherheit, Datenschutz und rechtlichen Fragen, regulatorischer Compliance und ediscovery in Zusammenhang stehen. Das Kernteam muss die Geschäftsprozesse genauestens kennen. Bei der Risikobewertung, der Einschätzung des Wertes von Ressourcen und der Festlegung von Strategien zur Risikominimierung muss das Team mit den verschiedenen Stakeholdern zusammenarbeiten und es muss dafür sorgen, dass bei Projektstarts Risikobesprechungen durchgeführt werden. Zahlreiche Risiken entstehen erst durch die Zusammenarbeit mit Fremdanbietern. Globale Sourcing- und Cloud-Computing-Strategien haben dafür gesorgt, dass Unternehmen Aufgaben verstärkt an Serviceprovider auslagern und mit neuen Geschäftspartnern und Zulieferern zusammenarbeiten. Das Know-how um effiziente und effektive Due-Diligence- Das Fachwissen des Kernsicherheitsteams sollte vor allem dafür eingesetzt werden, zu beraten, die Richtung vorzugeben, die Strategie voranzutreiben, Risiken zu ermitteln und dem Unternehmen zu erklären, Bedrohungen zu verstehen und das Unternehmen voranzubringen und nicht auf Routineaufgaben verschwendet werden. Bob Rodger Group Head of Infrastructure Security, HSBC Holdings plc. 8 Security for Business Innovation Council-Report RSA, The Security Division of EMC

11 Empfehlungen Verfahren für Fremdanbieter, laufende Bewertungen und die Evaluierung von Hardware und Software rückt daher als zentrale Fähigkeit in den Vordergrund. Zentrale Soft Skills: Führungsstil, internes Networking, um das Bewusstsein für Geschäftsstrategien auszubauen, Kommunikation (Zuhören, verbale Ausdrucksfähigkeit, Führen schwieriger Gespräche, Beachten auch kleiner kultureller und unternehmensspezifischer Unterschiede) Zentrale Prozesskompetenzen: Zuordnung und Dokumentation von Geschäftsprozessen, Frameworks für das Risikomanagement, Protokolle zur Bewertung von Fremdanbieterrisiken und Controls Assurance (einschließlich gemeinsamer Bewertungen), Managen ausgelagerter Serviceprovider und Lieferkettencommunitys Zentrale technische Kompetenzen: Risikoevaluierung, Messung vielfältiger Risiken und unterschiedlicher Risikobereitschaft innerhalb eines Unternehmens anhand einer standardisierten Methode, Automatisierung von Risikomanagement und Anbieterbewertung, fortlaufende Überwachung der Kontrollen 4. Design von Kontrollen und Controls Assurance Zu den zentralen Aufgaben des Kernteams sollte das Designen innovativer, auf die Geschäftsziele ausgerichteter Kontrollen ebenso gehören wie das Erarbeiten fortschrittlicher Testverfahren für die Controls Assurance. Dies umfasst auch das Recherchieren, Entwickeln, Evaluieren und Bereitstellen neuer Sicherheitstechnologien. Kontrollanalysten müssen nicht nur dafür sorgen, dass das gesammelte Beweismaterial belegt, dass Kontrollen wie vorgesehen greifen, sondern auch dafür, dass diese optimal gegen neueste Bedrohungen geschützt sind und die Agilität des Unternehmens nicht beeinträchtigen. Zentrale Soft Skills: Umsetzung von Unternehmensund Complianceanforderungen in Sicherheitsanforderungen unter Berücksichtigung der Enterprise- Architektur Zentrale Prozesskompetenzen: Dokumentation des Kontroll-Frameworks des Unternehmens, Entwicklung von Protokollen zur Bewertung und Belegung der Kontrollen Zentrale technische Kompetenzen: Sicherheitsarchitektur, Anwendungs-, mobile und Cloudsicherheit, fortlaufende Überwachung der Kontrollen, erweiterte Tests und Analysen der Sicherheitskontrollen 2. Routinevorgänge delegieren Sicherheitsteams bevorzugen es in der Regel, alles selbst zu machen. Doch das muss sich ändern. Denn durch Delegieren von Routinesicherheitsvorgängen an andere interne Gruppen oder externe Serviceprovider kann das Kernteam sich darauf konzentrieren, proaktiver und strategischer zu handeln und so das vorhandene technische Fachwissen und Potenzial für unternehmerisches Risikomanagement voll auszuschöpfen. Zudem können gute Serviceprovider dank ihrer Skalierbarkeit und Spezialisierung nicht nur kostengünstiger, sondern auch qualitätsbewusster arbeiten. Gerade wiederholbare, etablierte Prozesse eignen sich für das Delegieren. So können beispielsweise Gruppen in der IT oder Managed-Security-Serviceprovider (MSS- Ps) mit dem Betreiben von Firewalls, Authentifizierung, Intrusion-Prevention-Systemen und/oder Antivirussoftware betraut werden. Überlassen Sie das Bereitstellen von Benutzerzugriffen auf der Anwendungsebene und die Administration von Benutzerkonten den einzelnen Unternehmenseinheiten. Schulen Sie Entwickler in der Anwendungssicherheit und statten Sie sie mit Tools zur Ermittlung von Schwachstellen aus. Ziehen Sie für das Scannen und Tests Security-as-a-Service in Betracht. Auch wenn das Kernteam Aufgaben delegiert, muss es weiterhin über angemessene Befehls- und Kontrollgewalt verfügen. Dies kann mithilfe von umfassenden Anforderungen, Standards und SLAs erreicht werden. Um eine effektive Aufsicht zu ermöglichen, muss das Kernteam außerdem über ausreichendes technisches Sicherheitsfachwissen sowie über Kompetenzen im Bereich des Anbietermanagements verfügen. Unternehmen, die die Sicherheit nicht an Fremdanbieter vergeben möchten, können häufig vergleichbare Ergebnisse erzielen, indem sie sie an interne IT-Gruppen auslagern. Unabhängig von der Art des gewählten Serviceproviders ist jedoch dasselbe Maß an Aufsicht erforderlich. Das Kernteam sollte regelmäßig evaluieren, welche Aufgaben effizienter und kostengünstiger von anderen erledigt werden können. So kann zum Beispiel das Kernteam zunächst die Bereitstellung und den Betrieb neuer Sicherheitstechnologien übernehmen, nachdem diese zum Standard geworden sind, den laufenden Betrieb jedoch delegieren. RSA, The Security Division of EMC Security for Business Innovation Council-Report 9

12 Empfehlungen 3. Expertendienstleistungen leihen oder einkaufen Ein häufiges Problem ist, dass das Kernteam in bestimmten Bereichen nicht über das nötige Fachwissen verfügt. Hier können Experten von außerhalb der Sicherheitsabteilung Abhilfe schaffen. Einige Sicherheitsteams setzen zum Beispiel Datenanalysemitarbeiter ein, die von Serviceprovidern oder anderen Abteilungen des Unternehmens (z. B. Betrug oder Marketing) bereitgestellt werden. Big Data ist zwar im Bereich der Sicherheit ein noch neues Konzept, doch andere Unternehmensbereiche verfügen über langjährige Erfahrung mit Datenanalyseverfahren. Wenn es nicht realistisch oder einfach zu teuer ist, bestimmte Experten in Vollzeit verfügbar zu halten dies kann zum Beispiel bei Spezialisten in der Schadsoftwareforensik oder Analysten aus dem Bereich Internetbedrohungen der Fall sein, können sich Unternehmen bei Bedarf auch an externe Serviceprovider wenden. So können Kernteams bei Bedarfsspitzen oder im Falle eines Ausscheidens von Teammitgliedern zusätzliche Fachkräfte heranziehen. Auch die Partnerschaft mit einem Anbieter von Sicherheitsberatung, der vielfältige, hochqualifizierte Sicherheitsfachkräfte auf Honorarbasis zur Verfügung stellt, ist eine Überlegung wert. Sie erweitern nicht nur die Kompetenzen des Kernteams, sondern können auch eine unvoreingenommene Sichtweise bieten. Für das Lösen besonders komplexer Probleme ist es häufig sinnvoll, Fachpersonal etwa einen auf eine bestimmte Technologie spezialisierten Berater für Sicherheitsarchitektur heranzuziehen. Berücksichtigen Sie jedoch, dass das Kernteam selbst über die erforderlichen Kompetenzen verfügen muss, um ausgelagertes Fachwissen anzuwenden. Wenn mir eine wichtige Kompetenz fehlt, baue ich sie auf oder kaufe sie ein. Ob man sie aufbaut oder einkauft ist eine Frage, die anhand der Total Cost of Ownership entschieden werden sollte. Bei einigen Kompetenzen kann es sinnvoller sein, an einen Serviceprovider heranzutreten. Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson 4. Risikoeigentümer beim Risikomanagement anleiten Normalerweise übernehmen Senior Manager innerhalb des Unternehmens Verantwortung für Risikomanagemententscheidungen, die sich aus Initiativen wie der Markteinführung neuer Produkte oder Services, Programmen wie BYOD, Informationsressourcen wie Websites für Kunden und Unternehmensprozessen wie der Finanzberichterstattung ergeben. Da sich Unternehmensleitungen zunehmend ihrer Verantwortung dafür bewusst sind, die mit der Internetsicherheit einhergehenden Risiken zu managen, entscheiden sich jedoch auch immer mehr Unternehmen für Risikomanager für Informationssicherheit in den Unternehmenseinheiten, die für die Risikobeseitigung zuständig sind. Aufgabe des Kernteams ist es, die Aktivitäten im Bereich Informationsrisikomanagement zu steuern und die Internetsicherheitsrisiken gemeinsam mit dem Unternehmen zu managen. Dies umfasst unter anderem das Koordinieren eines einheitlichen Ansatzes bei der Identifizierung, Bewertung, Reduzierung, Beseitigung und dem Reporting von Risiken, das Abwägen von Risiken und Chancen, Entscheidungen über das Maß an Risikobereitschaft und -akzeptanz sowie das Einbeziehen des Informationsrisikos in das gesamte Programm für das Unternehmensrisikomanagement. Zentrale Ziele sind, das Risikomanagement für das Unternehmen zu vereinfachen und es gleichzeitig dafür in die Pflicht zu nehmen, indem Selfservicetools bereitgestellt, das Risikomanagement in die Unternehmensprozesse integriert und Automatisierung implementiert werden. Bisher hat sich das Team für Informationssicherheit eher auf die Technologie konzentriert. Doch die Zusammenarbeit mit dem Unternehmen spielt eine immer größere Rolle, um dessen Anforderungen in der Sicherheitsabteilung zu berücksichtigen und umgekehrt die Sicherheitsperspektive in das Unternehmen zu tragen. Felix Mohan Senior Vice President und Global Chief Information Security Officer, Airtel 10 Security for Business Innovation Council-Report RSA, The Security Division of EMC

13 Empfehlungen 5. Prozessoptimierungsspezialisten einstellen Prozesskenntnisse sind längst zu einem wichtigen Bestandteil moderner Teams geworden. Ihr Ziel sollten Teammitglieder sein, die über Erfahrung in den Bereichen Qualitäts-, Projekt- bzw. Prozessmanagement, Prozessoptimierung und Servicebereitstellung verfügen und im Bereich Sicherheit geschult werden können. Ziehen Sie Mitarbeiter in Betracht, die über Qualifikationen in den Bereichen Six-Sigma-Prozessverbesserung, IT- Servicemanagement (ITSM), COBIT-IT-Governance und/oder TOGAF-Unternehmensarchitektur verfügen. Einigen Kernteams gelingt es, Prozess- oder Programmmanagementexperten aus anderen Bereichen des Unternehmens zum Beispiel der Qualitätsabteilung oder dem Enterprise Program Office abziehen. Mit Prozesskenntnissen im Team können Sie den wachsenden Anforderungen an Prozessverbesserungen Rechnung tragen. Aufgrund der Bedrohungslandschaft streben zum Beispiel einige Unternehmen ein Patching aller kritischen Systeme innerhalb von Stunden statt von Wochen an. Unternehmenseinheiten möchten die Auswirkungen der Sicherheit auf Geschäftsprozesse reduzieren, Reibungspunkte für Endanwender und Serverausfallzeiten minimieren. Regulierungsorgane fordern engmaschigere Kontrollen für den Informationszugriff, z. B. die Sperrung abgelaufener Berechtigungen innerhalb von Minuten, nicht von Tagen. Zunehmend wird von der Sicherheitsabteilung erwartet werden, dass sie die Produktivität von Sicherheitsinvestitionen misst und langfristig auch quantifizierbare Verbesserungen vorweisen kann. Hierzu gehören auch Prozesswiederholbarkeit, -flexibilität und -skalierbarkeit. Ermitteln Sie vor einem größeren Internetprojekt Ihre kritischen Serviceprovider und bauen Sie eine solide Beziehung zu ihnen auf. Geben Sie Angreifern keine Chance, sich zu verstecken, indem Sie dafür sorgen, dass die Sicherheitsstandards im gesamten Ökosystem eingehalten werden. William Boni Corporate Information Security Officer (CISO), Vice President, Enterprise Information Security, T-Mobile USA Es gibt einen wesentlichen Eckpfeiler unserer Sicherheitsabteilung und der lautet Vorschriften zählen. Unsere Prozesse müssen genauestens dokumentiert und geprüft werden. Wie können wir sie effizienter machen? Und effektiver? Haben wir etwas übersehen? Man benötigt Mitarbeiter mit erstklassiger Prozess- und Qualitätserfahrung, um die Unternehmensführung zu überzeugen. Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation 6. Schlüsselpersonen ins Boot holen Enge Beziehungen zu allen Beteiligten innerhalb des Unternehmens sind für das Kernteam unerlässlich, um sich die Kooperation einer wachsenden Anzahl von Mitarbeitern mit Sicherheitsverantwortung zu sichern, ein gemeinschaftliches Umfeld zu schaffen und dafür zu sorgen, dass Mitglieder des erweiterten Teams ihre Aufgaben verstehen und ausführen. Das Kernteam muss alle Unternehmensbereiche und -ebenen einbeziehen. Es muss sich für eine Einflussnahme auf Schlüsselpersonen positionieren z. B. auf diejenigen, die über Technologieinvestitionen und strategische Unternehmensentscheidungen entscheiden. Zu den wichtigsten Beziehungen gehören zweifellos jene zu den Hütern der Kronjuwelen des Unternehmens etwa den Datasets und Geschäftsprozessen mit geistigem Eigentum oder proprietären Daten. Eine wichtige Rolle spielt auch die Beziehung zum mittleren Management, mit dessen Unterstützung sehr viel erreicht werden kann. Auch Provider, die das Outsourcen von Geschäftsprozessen anbieten (Business Process Outsourcing, BPO) sollten Sie gezielt für sich gewinnen. Das Kernteam sollte ein starkes Netzwerk aus Sicherheitsexperten bei BPOs schaffen und gemeinsam mit ihnen für hohe Sicherheitsstandards und Informationsweitergabe innerhalb der gesamten Community sorgen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 11

14 7. Quereinsteiger anwerben und ausbilden Obwohl das Interesse an der Informationssicherheit steigt, wird es kurzfristig zu Engpässen bei Fachkräften mit sofort einsetzbaren Kompetenzen in den Bereichen Internetsicherheit und Risikoberatung kommen. Qualifizierte Mitarbeiter mit Know-how über neue Sicherheitstechnologien zu finden, stellt eine besonders große Herausforderung dar. Als Übergangslösung wenden sich einige Unternehmen an MSSPs, da das Beschaffen und/ oder Binden von Mitarbeitern mit bestimmten technischen Kompetenzen ein Problem darstellt. Sicherheitsteams benötigen außerdem Fachkräfte, die neben technischem Fachwissen auch die Fähigkeit mitbringen, produktive Gespräche mit wichtigen Stakeholdern zu führen. Eine langfristige Strategie für die Personalbeschaffung ist für den Aufbau eines effektiven Sicherheitsteams unerlässlich. Arbeiten Sie mit den Geschäftseinheiten und der Personalabteilung zusammen, um die Anforderungen an und mögliche Quellen für qualifizierte Mitarbeiter zu evaluieren. Unternehmen stellen zunehmend Mitarbeiter ohne Sicherheitserfahrung ein, die jedoch über wertvolle Kompetenzen verfügen und im Sicherheitsbereich geschult werden können. Eine Möglichkeit ist es, eine interne Akademie für Internetsicherheit ins Leben zu rufen. Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Eine weitere kann sein, einzelne Teammitglieder beim Absolvieren externer Schulungen und dem Erwerb externer Qualifikationen zu unterstützen und/oder Mentoringprogramme einzurichten. Neben Berufseinsteigern können auch interne Mitarbeiter aus der IT oder anderen Bereichen geworben werden, die sich für eine berufliche Laufbahn im Sicherheitsbereich interessieren. Sie sind häufig die beste Wahl, da sie mit dem Unternehmen und bestehenden Netzwerken vertraut sind. Angesichts des Mangels an sofort verfügbarem Fachwissen ist für die meisten Unternehmen die einzig gangbare langfristige Lösung, Mitarbeiter auszubilden. Seien Sie bei der Suche nach Mitarbeitern, die für Sicherheitspositionen geschult werden könnten, aufgeschlossen. Es gibt viele Quereinsteiger mit geeigneten Kompetenzen, darunter Datenbankadministration, Softwareentwicklung, Unternehmensanalyse, militärische Aufklärung und Rechts- oder Datenschutzbeauftragte. Es gibt Kernteams, die in letzter Zeit Data Scientists eingestellt haben, die bisher in der DNA-Sequenzierung tätig waren. Mitarbeiter mit theoretischem Wissen in Bereichen wie Ökonometrie oder Mathematik können ihre praktischen technischen Kompetenzen ausbauen. Solche mit einem Werdegang in den Bereichen Geschichte oder Journalismus bringen exzellente Recherchekompetenzen mit. Wenn man Mitarbeitern zu begehrten Sicherheitskompetenzen verhilft, stellt die Mitarbeiterbindung eine große Herausforderung dar. Deshalb ist es wichtig, jedem Mitglied des Teams eine absehbare und attraktive berufliche Laufbahn und eine marktübliche Vergütung zu bieten. Bei neuen Mitarbeitern für das Unternehmen sollten Sie unbedingt Wert auf Gedankenvielfalt legen. Das war noch nie so wichtig, weil sich das Unternehmen schneller verändert, als die Sicherheit reagieren kann und zur Lösung dieser Probleme ist Innovation gefragt. Jerry R. Geisler III Office of the Chief Information Security Officer, Walmart Stores Inc. Viele Unternehmen arbeiten außerdem mit Universitäten zusammen, um die Verfügbarkeit qualifizierter Sicherheitsmitarbeiter längerfristig zu sichern. Konkret kann dies das Schaffen von Führungsentwicklungsprogrammen, das Beeinflussen von Lehrplänen, um sie an die Branchenanforderungen anzupassen, oder das Anbieten von Praktikums-/Kooperationsmöglichkeiten umfassen. Informationsprogramme an Universitäten und sogar Gymnasien können helfen, mögliche Nachwuchskräfte für eine Laufbahn in der Internetsicherheit zu interessieren. 12 Security for Business Innovation Council-Report RSA, The Security Division of EMC

15 Zusammenfassung Teams für Informationssicherheit befinden sich im Wandel, um den Anforderungen gerecht zu werden, die sich aus zunehmend schwierigeren Unternehmensumgebungen, Bedrohungslandschaften und Regulierungsbedingungen ergeben. Ein wachsendes Bewusstsein für Sicherheitsprobleme ermöglicht eine Neupositionierung der Informationssicherheit innerhalb von Unternehmen weg von einem technischen Silo hin zu einer wirklich gemeinschaftlichen Anstrengung. Unternehmen wird außerdem zunehmend bewusst, dass die Einhaltung von Sicherheitsanforderungen ein größeres Augenmerk auf Prozesse erfordert. Effektive Sicherheitsteams verfügen heute über ein klares Verständnis der Geschäftsprozesse und der Bedeutung guter Sicherheitsprozesse für die Erfüllung ihres Mandats. Im nächsten Report dieser dreiteiligen Fortsetzungsreihe über den Wandel in der Informationssicherheit beschäftigen wir uns damit, wie führende Unternehmen Prozesse überdenken und optimieren. Im dritten Report gehen wir auf die Frage ein, wie neue Technologien in ein modernes Programm für Informationssicherheit auf der Basis eines kreativen und vorausschauenden Teams passen. Informationen zur Security for Business Innovation Council Initiative Geschäftliche Innovationen stehen längst auf der Prioritätenliste der meisten Unternehmen ganz oben, da Geschäftsführungen das Potenzial von Globalisierung und Technologie für die Schaffung neuer Werte und Effizienzen nutzen möchten. Und doch wird ein wichtiges Bindeglied übersehen. Obwohl Informationen und IT-Systeme treibende Kräfte für geschäftliche Innovationen darstellen, wird der Schutz von Informationen und IT-Systemen in der Regel nicht als strategisch erforderlich betrachtet und das, obwohl Unternehmen zunehmend mit Regulationsdruck und eskalierenden Bedrohungen zu kämpfen haben. Die Informationssicherheit ist häufig ein nachträglicher Einfall, der erst am Ende eines Projekt oder unter Umständen gar nicht berücksichtigt wird. Doch ohne eine gute Sicherheitsstrategie können geschäftliche Innovationen im Keim erstickt werden oder aber das Unternehmen kann großen Risiken ausgesetzt sein. RSA ist der Meinung, dass Sicherheitsteams, die echte Partner im Prozess für geschäftliche Innovationen sind, ihren Unternehmen zu beispiellosen Ergebnissen verhelfen können. Die Zeit ist reif für einen neuen Ansatz: Sicherheit muss mehr sein als ein technisches Spezialgebiet nämlich eine Unternehmensstrategie. Obwohl die meisten Sicherheitsteams längst erkannt haben, dass sie Sicherheit und Unternehmen besser aufeinander abstimmen müssen, fällt es vielen nach wie vor schwer, diese Erkenntnis in konkrete Maßnahmenpläne zu überführen. Sie kennen das Ziel doch wie sie es erreichen sollen, wissen viele nicht. Deshalb arbeitet RSA mit einigen der weltweit wichtigsten Experten aus dem Sicherheitsbereich zusammen, um den branchenweiten Dialog zur Lösung dieses Problems zu fördern. RSA hat den Security for Business Innovation Council, eine Gruppe äußerst erfolgreicher Sicherheitsverantwortlicher aus Global-1000-Unternehmen der verschiedensten Branchen, einberufen. Wir führen detaillierte Befragungen mit dem Council durch, veröffentlichen seine Ideen in einer Reportreihe und fördern unabhängige Forschungen in diesen Themenbereichen. Die Reports und Informationen zu den Forschungen finden Sie auf Gemeinsam können wir diesen wichtigen Wandel in der Branche voranbringen. RSA, The Security Division of EMC Security for Business Innovation Council-Report 13

16 A Anhang Aufbau eines erstklassigen erweiterten Informationssicherheitsteams Tabelle 2 Geschäftsführung und Vorstand beaufsichtigen das Programm Team- mitglieder Kerninformationssicherheit IT Unternehmen Serviceprovider ( häufiger Einsatz) Breites Angebot an Spezialisten Mitarbeiter können mehr als eine Rolle übernehmen An strategischen und operativen Sicherheitsrollen beteiligte Mitarbeiter Geschäftsbereich und funktionale Bereiche (z. B. Datenschutz, HR, Marketing, Recht, Audit, Beschaffung) Consultants mit Fachwissen auf dem jeweiligen Gebiet (SMEs), Managed-Security- Serviceprovider (MSSPs) und Cloudanbieter (SAAS) Kann mit den Teams für ediscovery, physische Sicherheit und/ oder Produktsicherheit konvergieren Aktivitäten Konkrete Verantwortungsbereiche Programmmanagement CISO leitet Programm und funktionsübergreifendes Informationsrisikokomitee CIO beteiligt sich am Informationsrisikokomitee Bestimmte Führungskräfte beteiligen sich am Informationsrisikokomitee Sicherheitsrichtlinie und -standards Entwicklung von Richtlinie und Standards Beratung zu Richtlinie und Standards Beratung zu Richtlinie und Standards Implementierung von Kontrollen Managen und Überwachung der Implementierung Implementierung von Kontrollen in komplexeren Fällen Implementierung von Kontrollen gemäß Sicherheitsstandards oder Bereitstellung von Services, die Sicherheits-SLA entsprechen Unterstützung bei der Implementierung von Kontrollen MSSPs stellen Services für die Implementierung von Kontrollen gemäß Sicherheits-SLA bereit Betrieb von Kontrollen Managen und Überwachung des Betriebs von Kontrollen Betrieb neuerer oder komplexerer Kontrollen Betrieb von Kontrollen gemäß Sicherheitsstandards oder Bereitstellung von Services, die Sicherheits-SLA entsprechen Sicherstellen, dass geschäftliche Abläufe den Anforderungen der Sicherheitskontrollen entsprechen MSSPs stellen Services für den Betrieb von Kontrollen gemäß Sicherheits-SLA bereit Controls Assurance Bewertung von Kontrollen und Entwicklung fortschrittlicher Tools für die Erprobung und Analyse von Kontrollen MSSPs stellen Services bereit, z. B. Quellcodeüberprüfungen, Schwachstellenscans Implementierung fortlaufender Kontrollenüberwachungen Design von Kontrollen (Sicherheitsarchitektur) Voranbringen des Designs neuer Sicherheitskontrollen Beratung zum Design neuer Sicherheitskontrollen Beratung zum Design neuer Sicherheitskontrollen Arbeit mit der Enterprise- IT-Architektur Vorfallsbehandlung/Ausfallsicherheit Managen und Koordination von unternehmensübergreifenden Reaktionen Arbeit an technischen Aspekten von Reaktionen Arbeit an rechtlichen, PR-, HR-Aspekten von Reaktionen SMEs stellen Forensik und Schadsoftwareanalysen bereit 14 Security for Business Innovation Council-Report RSA, The Security Division of EMC

17 Informationsrisikobewertung Managen des Risikobewertungsprogramms Durchführung von Risikobewertungen in komplexeren Fällen Bereitstellung von Tools zur Vereinfachung von Risikobewertungen Durchführung der Risikobewertung mit den Tools des Kernteams Durchführung der Risikobewertung mit den Tools des Kernteams Beratung durch Mitarbeiter aus der Rechtsabteilung zu rechtlichen und Compliancerisiken Trend geht zu von Serviceprovidern gemäß Sicherheits- SLA durchgeführten Risikobewertungen Informationsrisikomanagement/ Geschäftsrisiken- Chancen-Analyse Voranbringen von Risikomanagementaktivitäten Zusammenarbeit mit IT und Unternehmen Beratung zu Risikomanagement Bereitstellung von Tools zur Vereinfachung des Risikomanagements Zusammenarbeit mit Kernteam zum Managen von Risiken Unterstützung bei der Beseitigung ermittelter Risiken Regelmäßiges Reporting zum Status von Risiken Zusammenarbeit mit Kernteam zum Managen von Risiken Unterstützung bei der Beseitigung ermittelter Risiken Regelmäßiges Reporting zum Status von Risiken Management von Fremdanbieterrisiken/Integrität der IT-Lieferkette Vorantreiben des Managements von Fremdanbieterrisiken und des Lieferkettenintegritätsprogramms Entwicklung von Standards und Bereitstellung von Tools für die Bewertung von Fremdanbietern und der Evaluierung von Hard- und Software Durchführung von Due- Diligence- und Fremdanbieterbewertungen mit den Tools des Kernteams Durchführung von Hardware- und Softwareevaluierungen mit den Tools des Kernteams Durchführung von Due- Diligence- und Fremdanbieterbewertungen mit den Tools des Kernteams Beschaffung integriert Sicherheitsbewertungen in den Beschaffungsprozess Beratung zu Compliancerisiken und Verfassen von Verträgen durch Mitarbeiter aus der Rechtsabteilung SMEs führen anhand der Standards des Kernteams Due-Diligence- und Fremdanbieterbewertungen durch Inventarisierung und Bewertung von Ressourcen Voranbringen der Entwicklung eines Bestandsregisters Zusammenarbeit mit Kernteam, um Ressourcen zu katalogisieren und ihren Wert zu bestimmen Zusammenarbeit mit Kernteam, um Ressourcen zu katalogisieren und ihren Wert zu bestimmen Internetrisikoanalyse und Bedrohungsanalyse Managen des Intelligence- Programms Koordination von Quellen Weitergabe von Intelligence- Daten (z. B. Phishing- s) Weitergabe von Intelligence- Daten (z. B. Social-Media- Überwachung) SMEs stellen Quellen und Bedrohungsanalysen bereit Sicherheitsdatenanalyse Voranbringen der Entwicklung von Abfragen und Modellen Beratung zu und/oder Bereitstellung von Datenanalyseservices Beratung zu und/ oder Bereitstellung von Datenanalyseservices SMEs und/oder MSSPs stellen Datenanalyseservices bereit Sicherheitsdatenmanagement und Data Warehousing Voranbringen der Strategie für Sicherheitsdatenmanagement und der Sicherheits- Data-Warehouse-Architektur Voranbringen der Datenmanagementstrategie des gesamten Unternehmens Beratung zu Sicherheitsstrategie und Datenquellen (z. B. Netzwerkprotokollen) Beratung zu Datenquellen (z. B. Anwendungs- und Datenbankprotokollen) SMEs stellen Bedrohungsfeeds bereit MSSPs stellen Feeds aus Sicherheitssystemprotokollen bereit Optimierung der Sicherheitsprozesse Voranbringen der Optimierung der Sicherheitsprozesse im gesamten Unternehmen Beratung zu und Unterstützung bei der Implementierung von Verbesserungen Beratung zu und Unterstützung bei der Implementierung von Verbesserungen Langfristige Planung Beobachtung zukünftiger Unternehmen-, Technologieund Regulierungstrends, um proaktive Sicherheitsstrategien formulieren zu können Zusammenarbeit bei zukünftigen Trends und proaktiven Strategien Zusammenarbeit bei zukünftigen Trends und proaktiven Strategien RSA, The Security Division of EMC Security for Business Innovation Council-Report 15

18 Mitwirkende Security for Business Innovation Council Marene N. Allison Worldwide Vice President of Information Security, Johnson & Johnson Anish Bhimani Cissp Chief Information Risk Officer, JPMorgan Chase William Boni CISM, CPP, CISA Corporate Information Security Officer (CISO), VP, Enterprise Information Security, T-Mobile USA Roland Cloutier Vice President, Chief Security Officer, Automatic Data Processing, Inc. Dr. Martijn Dekker Senior Vice President, Chief Information Security Officer, ABN Amro Jerry R. Geisler III GCFA, GCFE, GCIH, Office of the Chief Information Security Officer, Walmart Stores, Inc. Renee Guttmann Chief Information Security Officer, The Coca-Cola Company Malcolm Harkins Vice President, Chief Security und Privacy Officer, Intel Kenneth Haertling Vice President und Chief Security Officer, TELUS Petri Kuivala Chief Information Security Officer, Nokia Dave Martin CISSP Vice President und Chief Security Officer, EMC Corporation Tim McKnight CISSP Executive Vice President, Enterprise Information Security and Risk, Fidelity Investments Felix Mohan Senior Vice President und Global Chief Information Security Officer, Airtel Robert Rodger Group Head of Infrastructure Security, HSBC Holdings, plc. Ralph Salomon CRISC Vice President IT Security and Risk Office, SAP AG Vishal Salvi CISM Chief Information Security Officer und Senior Vice President, HDFC Bank Limited Simon Strickland Global Head of Security, AstraZeneca Denise D. Wood Corporate Vice President, Information Security, Chief Information Security Officer, Chief IT Risk Officer, FedEx Corporation Vollständige Biografien der SBIC-Mitglieder finden Sie auf 16 Security for Business Innovation Council-Report RSA, The Security Division of EMC

19 EMC, EMC 2, das EMC Logo, RSA und das RSA-Logo sind eingetragene Marken oder Marken der EMC Corporation in den USA und/oder anderen Ländern. Alle anderen in diesem Dokument genannten Produkte und/oder Services sind Marken ihrer jeweiligen Inhaber EMC Deutschland GmbH. Alle Rechte vorbehalten H12227 CISO RPT 0813 RSA, The Security Division of EMC Security for Business Innovation Council-Report 17

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

CA Business Service Insight

CA Business Service Insight PRODUKTBLATT: CA Business Service Insight CA Business Service Insight agility made possible Mit CA Business Service Insight wissen Sie, welche Services in Ihrem Unternehmen verwendet werden. Sie können

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen

Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen IT-DIENST- LEISTUNGEN Transparenz mit System Qualität im IT-Management sichert wichtige Ressourcen und schafft Vertrauen TÜV SÜD Management Service GmbH IT-Prozesse bilden heute die Grundlage für Geschäftsprozesse.

Mehr

CA Clarity PPM. Übersicht. Nutzen. agility made possible

CA Clarity PPM. Übersicht. Nutzen. agility made possible PRODUKTBLATT CA Clarity PPM agility made possible CA Clarity Project & Portfolio Management (CA Clarity PPM) unterstützt Sie dabei, Innovationen flexibel zu realisieren, Ihr gesamtes Portfolio bedenkenlos

Mehr

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5 Das Management von Informations- Systemen im Wandel Die Informations-Technologie (IT) war lange Zeit ausschließlich ein Hilfsmittel, um Arbeitsabläufe zu vereinfachen und Personal einzusparen. Sie hat

Mehr

AUFWERTUNG. durch Kompetenz. Globale Trends im Corporate Real Estate 2015

AUFWERTUNG. durch Kompetenz. Globale Trends im Corporate Real Estate 2015 AUFWERTUNG durch Kompetenz Globale Trends im Corporate Real Estate 2015 Dritte zweijährliche globale CRE-Umfrage von JLL Nord- und Südamerika 20% 544 teilnehmende CRE-Manager 44% APAC 36 Länder EMEA 36%

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Test zur Bereitschaft für die Cloud

Test zur Bereitschaft für die Cloud Bericht zum EMC Test zur Bereitschaft für die Cloud Test zur Bereitschaft für die Cloud EMC VERTRAULICH NUR ZUR INTERNEN VERWENDUNG Testen Sie, ob Sie bereit sind für die Cloud Vielen Dank, dass Sie sich

Mehr

Einführung eines ISMS nach ISO 27001:2013

Einführung eines ISMS nach ISO 27001:2013 Einführung eines ISMS nach ISO 27001:2013 VKU-Infotag: Anforderungen an die IT-Sicherheit (c) 2013 SAMA PARTNERS Business Solutions Vorstellung Olaf Bormann Senior-Consultant Informationssicherheit Projekterfahrung:

Mehr

Die IT-Service AG. Beratung, Technologie, Outsourcing

Die IT-Service AG. Beratung, Technologie, Outsourcing Die IT-Service AG Beratung, Technologie, Outsourcing QUALITÄT B e r a t u n g Erfahrungen aus der Praxis. Aus unzähligen Projekten. Spezialwissen und objektive Analysen. Mit uns überwinden Sie Hindernisse

Mehr

- LÜCKENLOSE VORBEREI TUNG AUF SICHERHEITS- VERLETZUNGEN EINBLICKE DES SECURITY FOR BUSINESS INNOVATION COUNCIL

- LÜCKENLOSE VORBEREI TUNG AUF SICHERHEITS- VERLETZUNGEN EINBLICKE DES SECURITY FOR BUSINESS INNOVATION COUNCIL I R B R O V LÜCKNLOS S IT H R H IC TUNG AUF S N G N U Z T L R V INSS OR BUS F Y IT R U C S S INBLICK D NCIL INNOVATION COU ÜBRSICHT Dieses -Book enthält inblicke zur Vorbereitung auf Sicherheitsverletzungen,

Mehr

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS)

SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Management Services (AMS) (IGS) SAP Support On Demand - IBMs kombiniertes Service-Angebot für SAP Hosting und SAP Application Services (AMS) Martin Kadner, Product Manager SAP Hosting, GTS Klaus F. Kriesinger, Client Services Executive,

Mehr

Dienstleistungsportfolio

Dienstleistungsportfolio Dienstleistungsportfolio Die klassischen Grenzen zwischen einzelnen Ingenieur- und Informatikbereichen werden immer mehr aufgehoben. Im Vordergrund steht ein durchgängiger effizienter Entwicklungsprozess.

Mehr

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen Das Zusammenspiel von Security & Compliance Dr. Michael Teschner, RSA Deutschland Oktober 2012 1 Trust in der digitalen Welt 2 Herausforderungen

Mehr

Mehrwert durch Beratungen aus einer Hand

Mehrwert durch Beratungen aus einer Hand Mehrwert durch Beratungen aus einer Hand Lösungen für Versicherungen Versicherung Business & Decision für Versicherungen Die Kundenerwartungen an Produkte und Dienstleistungen von Versicherungen sind im

Mehr

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services

eg e s c h ä f t s p r o z e s s MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services eg e s c h ä f t s p r o z e s s erfahrung service kompetenz it-gestützte MEHR ZEIT FÜR IHR GESCHÄFT SHD managed Ihre IT-Services erfolgssicherung durch laufende optimierung Als langjährig erfahrenes IT-Unternehmen

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

IT- Sicherheitsmanagement

IT- Sicherheitsmanagement IT- Sicherheitsmanagement Wie sicher ist IT- Sicherheitsmanagement? Dipl. Inf. (FH) Jürgen Bader, medien forum freiburg Zur Person Jürgen Bader ich bin in Freiburg zu Hause Informatikstudium an der FH

Mehr

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC 27001 bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG) Unternehmen: Branche: Ansprechpartner: Position: Straße: PLZ / Ort: Tel.: Mail: Website: Kontaktdaten Datenschutzbeauftragter: Fax: Sicherheitspolitik des Unternehmens JA NEIN 01. Besteht eine verbindliche

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Interne Revision Ressourcen optimieren Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht! Wertetreiber Interne Revision Internationalisierung und Wettbewerbsdruck zwingen Unternehmen dazu, ihre

Mehr

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes

IT-Prüfung nach dem COBIT- Ansatz. Erfahrungen des oö. Landesrechnungshofes IT-Prüfung nach dem COBIT- Ansatz Erfahrungen des oö. Landesrechnungshofes Oö. Landesrechnungshof Landesrechnungshof ist zuständig für die Prüfung von IT-Organisationen des Landes und von Beteiligungsunternehmen

Mehr

Best Practice: On-demand Lösungen bei der Software AG. Dr. Dirk Ventur CIO and Head of Global Support

Best Practice: On-demand Lösungen bei der Software AG. Dr. Dirk Ventur CIO and Head of Global Support Best Practice: On-demand Lösungen bei der Software AG Dr. Dirk Ventur CIO and Head of Global Support Software AG ist der weltweit größte unabhängige Anbieter von Infrastruktursoftware für Geschäftsprozesse

Mehr

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in)

3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5 IT Security Coordinator (IT-Sicherheitskoordinator/in) 3.5.1 Kurzbeschreibung IT Security Coordinators konzipieren angemessene IT Sicherheitslösungen entsprechend geltender technischer Standards, Gesetze

Mehr

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager TÜV SÜD Management Service GmbH Sicherheit, Verfügbarkeit und Zuverlässigkeit von Informationen stehen

Mehr

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Informationssicherheit - Last oder Nutzen für Industrie 4.0 Informationssicherheit - Last oder Nutzen für Industrie 4.0 Dr. Dina Bartels Automatica München, 4.Juni 2014 Industrie braucht Informationssicherheit - die Bedrohungen sind real und die Schäden signifikant

Mehr

Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud

Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud Die Cloud Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud Die Auswirkungen und Aspekte von Cloud-Lösungen verstehen Cloud-Lösungen bieten Unternehmen die Möglichkeit,

Mehr

Workflowmanagement. Business Process Management

Workflowmanagement. Business Process Management Workflowmanagement Business Process Management Workflowmanagement Workflowmanagement Steigern Sie die Effizienz und Sicherheit Ihrer betrieblichen Abläufe Unternehmen mit gezielter Optimierung ihrer Geschäftsaktivitäten

Mehr

Wir organisieren Ihre Sicherheit

Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Wir organisieren Ihre Sicherheit Unternehmen Die VICCON GmbH versteht sich seit 1999 als eigentümergeführtes und neutrales Unternehmen für Management- und Sicherheitsberatung.

Mehr

Wenn komplexe Systeme sicher sein müssen...

Wenn komplexe Systeme sicher sein müssen... Wenn komplexe Systeme sicher sein müssen... IT-Services Schleupen.Mobility Management IT-Security www.schleupen.de Effiziente IT-Lösungen für die Energiewirtschaft Die Situation Ohne IT funktioniert heutzutage

Mehr

Profil. The Remote In-Sourcing Company. www.intetics.com

Profil. The Remote In-Sourcing Company. www.intetics.com The Remote In-Sourcing Company Profil Für weitere Informationen senden Sie uns bitte eine E-Mail an: contact@intetics.com oder rufen Sie uns bitte an: +49-211-3878-9350 Intetics erstellt und betreibt verteilte

Mehr

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik

Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Fachhochschule für Technik und Wirtschaft Berlin FB4: Wirtschaftsinformatik Entwicklung und Evaluation eines Vorgehensmodells zur Optimierung des IT-Service im Rahmen eines IT-Assessment Framework Oliver

Mehr

Die Cloud, die für Ihr Unternehmen geschaffen wurde.

Die Cloud, die für Ihr Unternehmen geschaffen wurde. Die Cloud, die für Ihr Unternehmen geschaffen wurde. Das ist die Microsoft Cloud. Jedes Unternehmen ist einzigartig. Ganz gleich, ob im Gesundheitssektor oder im Einzelhandel, in der Fertigung oder im

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Microsoft Cloud Ihr Weg in die Cloud

Microsoft Cloud Ihr Weg in die Cloud Microsoft Cloud Ihr Weg in die Cloud Komfort Informationen flexibler Arbeitsort IT-Ressourcen IT-Ausstattung Kommunikation mobile Endgeräte Individualität Mobilität und Cloud sind erfolgsentscheidend für

Mehr

Interne Revision. Mit Outsourcing Servicequalität verbessern, Risiken besser angehen und Kosten effizienter managen!

Interne Revision. Mit Outsourcing Servicequalität verbessern, Risiken besser angehen und Kosten effizienter managen! Interne Revision Mit Outsourcing Servicequalität verbessern, Risiken besser angehen und Kosten effizienter managen! Unser Leistungsangebot für Banken und Mittelstand Durch unseren großen Erfahrungsschatz

Mehr

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de

ISO9001 2015 QM-Dienstleistungen Holger Grosser Simonstr. 14 90766 Fürth Tel: 0911/49522541 www.qm-guru.de ISO9001 2015 Hinweise der ISO Organisation http://isotc.iso.org/livelink/livelink/open/tc176sc2pub lic Ausschlüsse im Vortrag Angaben, die vom Vortragenden gemacht werden, können persönliche Meinungen

Mehr

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework

Microsoft Solutions Framework. Daniel Dengler CN7. Unterschied MSF - MOF Microsoft Solutions Framework Einführung MSF MOF Microsoft Solutions Framework Microsoft Operations Framework Daniel Dengler CN7 Agenda Unterschied MSF - MOF Microsoft Solutions Framework Elementare Komponenten grundlegende Richtlinien

Mehr

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n

A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Anleitung A u f b a u u n d O r g a n i s a t i o n s- s t r u k t u r I n f o r m a t i o n s s i c h e r- h e i t i n G e m e i n d e n Inhalt 1 Einleitung... 2 2 Zweck der Informationssicherheitsorganisation...

Mehr

Wieso Kollaboration? Wir haben doch schon ein Wiki! Über die Digitale Vernetzung in Unternehmen

Wieso Kollaboration? Wir haben doch schon ein Wiki! Über die Digitale Vernetzung in Unternehmen Wieso Kollaboration? Wir haben doch schon ein Wiki! Über die Digitale Vernetzung in Unternehmen Wiki ist eine schöne Insel. Aber einsam. {{Begriffsklärungshinweis}} Ein '''Wiki''' ([[Hawaiische Sprache

Mehr

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen -

Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Zertifizierung der IT nach ISO 27001 - Unsere Erfahrungen - Agenda Die BDGmbH Gründe für eine ISO 27001 Zertifizierung Was ist die ISO 27001? Projektablauf Welcher Nutzen konnte erzielt werden? Seite 2

Mehr

geschlechtsspezifischer Gewalt ausgesetzt sind und von Unterstützung- und Dienstleistungen ausgeschlossen sein können,

geschlechtsspezifischer Gewalt ausgesetzt sind und von Unterstützung- und Dienstleistungen ausgeschlossen sein können, Beschluss Nr. 110 des UNHCR-Exekutivkomitees über Flüchtlinge mit Behinderungen und andere Personen mit Behinderungen, die Schutz und Unterstützung von UNHCR erhalten verabschiedet auf seiner 61. Sitzung

Mehr

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013

PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses. Version 3 2012-2013 PARNDORF DESIGNER OUTLET Arbeits- und Gesundheitsschutz-Strategie Verbesserung des Kundenerlebnisses Version 3 2012-2013 Erklärung des Vorstands Die Herausforderung ist es, eine langfristige und nachhaltige

Mehr

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen

Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Cloud Computing PaaS-, IaaS-, SaaS-Konzepte als Cloud Service für Flexibilität und Ökonomie in Unternehmen Name: Manoj Patel Funktion/Bereich: Director Global Marketing Organisation: Nimsoft Liebe Leserinnen

Mehr

Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite

Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite Echtes SaaS oder nur eine Hosted-Lösung? - SaaS heißt Verzicht auf jegliche Hard- oder Software auf Kundenseite Interviewrunde: Name: Funktion/Bereich: Organisation: Homepage Orga: Hosted Security & Security

Mehr

Interne Revision als Voraussetzung für ein effektives Risikomanagement. Internal Audit Services (IAS)

Interne Revision als Voraussetzung für ein effektives Risikomanagement. Internal Audit Services (IAS) Interne Revision als Voraussetzung für ein effektives Risikomanagement Internal Audit Services (IAS) Die moderne Rolle der Internen Revision Erhöhte Anforderungen an Unternehmensleitung und Interne Revision

Mehr

Die richtige Cloud für Ihr Unternehmen.

Die richtige Cloud für Ihr Unternehmen. Die richtige Cloud für Ihr Unternehmen. Das ist die Microsoft Cloud. Jedes einzelne Unternehmen ist einzigartig. Ob Gesundheitswesen oder Einzelhandel, Produktion oder Finanzwesen keine zwei Unternehmen

Mehr

Michael Grünschloß - Geschäftsführer der Teraport GmbH -

Michael Grünschloß - Geschäftsführer der Teraport GmbH - IT-Betriebsverantwortung durch externe Spezialisten Wie Managed Services dem Mittelstand helfen, die eigenen Strategien umzusetzen Michael Grünschloß - Geschäftsführer der Teraport GmbH - Regulatorische

Mehr

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June

Software EMEA Performance Tour 2013. Berlin, Germany 17-19 June Software EMEA Performance Tour 2013 Berlin, Germany 17-19 June Change & Config Management in der Praxis Daniel Barbi, Solution Architect 18.06.2013 Einführung Einführung Wer bin ich? Daniel Barbi Seit

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud - Der sichere Weg in die Cloud - 1 Bayerischer IT-Sicherheitscluster e.v. 05.10.2015 Was macht der Bayerische IT-Sicherheitscluster e.v.? Bündelung der IT-Sicherheits-Kompetenz

Mehr

Asset Management Strategie. Inhalt. White Paper Verbessern Sie Risikomanagement, Compliance und Kundenzufriedenheit durch Asset Management mit PAS 55

Asset Management Strategie. Inhalt. White Paper Verbessern Sie Risikomanagement, Compliance und Kundenzufriedenheit durch Asset Management mit PAS 55 White Paper Verbessern Sie Risikomanagement, Compliance und Kundenzufriedenheit durch Asset Management mit PAS 55 Kevin Price, Senior Product Manager, Infor EAM, beleuchtet, inwiefern die Spezifikation

Mehr

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko

Bestimmungen zur Kontrolle externer Lieferanten. Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko 1. Ressourcenschutz und Systemkonfiguration 2. Änderungs- und Patchmanagement Die

Mehr

IT-Grundschutzhandbuch: Stand Juli 1999 1

IT-Grundschutzhandbuch: Stand Juli 1999 1 1. Information Security Policy 1.1. Einleitung Die Firma/Behörde ist von Informationen abhängig. Informationen entscheiden über unseren Erfolg und den unserer Kunden. Von größter Wichtigkeit ist neben

Mehr

Workload-Bewusstsein ist entscheidend. für effektive Hybrid-Cloud-Strategien von Großunternehmen

Workload-Bewusstsein ist entscheidend. für effektive Hybrid-Cloud-Strategien von Großunternehmen Workload-Bewusstsein ist entscheidend Oktober 2014 Ziele der Studie Für diesen Bericht führte IDC unter Großunternehmen weltweit eine Umfrage durch, um die Trends im Bereich der IT-Integration von Public,

Mehr

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016

IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Universität Zürich Prorektorat Rechts- und Künstlergasse 15 CH-8001 Zürich Telefon +41 44 634 57 44 www.rww.uzh.ch IT-Strategie der zentralen Leistungserbringer der UZH 2014-2016 Version vom 6. Juni 2014

Mehr

Die perfekte Verbindung von Optimierung und Innovation

Die perfekte Verbindung von Optimierung und Innovation Die perfekte Verbindung von Optimierung und Innovation OPTiVATiON Optimized Technology & Business Innovation GmbH Erfolg durch Kompetenz Das können Sie von uns erwarten Wir von OPTiVATiON definieren uns

Mehr

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt)

IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) IT- Fähigkeitsmodell nach OYSTER (Exemplarischer Ausschnitt) Umfassendes Know How Ein starkes Team Pragmatische, methodengestützte Vorgehensweise OYSTER Consulting GmbH greift auf einen langjährigen weltweiten

Mehr

Beschaffungslogistik

Beschaffungslogistik Beschaffungslogistik Trends und Handlungsempfehlungen Ralf Grammel Steigender Interregionaler Handel Quelle: 2009; www.bpb.de Entwicklung der Logistik in Europa Und morgen? Ab 1970 Klassische Logistik

Mehr

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit zur Erlangung des akademischen Grades Bachelor of Science (B.Sc.) im Studiengang Wirtschaftswissenschaft

Mehr

IT IM FOCUS. bes-systemhaus.de

IT IM FOCUS. bes-systemhaus.de IT IM FOCUS. bes-systemhaus.de POTENZIALE AUFZEIGEN. VERANTWORTUNGSVOLL HANDELN. Die Zukunft beginnt hier und jetzt. Unsere moderne Geschäftswelt befindet sich in einem steten Wandel. Kaum etwas hat sich

Mehr

Der entscheidende Vorteil. Bernd Leukert Mitglied des Vorstands und Global Managing Board, SAP SE

Der entscheidende Vorteil. Bernd Leukert Mitglied des Vorstands und Global Managing Board, SAP SE Der entscheidende Vorteil Bernd Leukert Mitglied des Vorstands und Global Managing Board, SAP SE Bernd Leukert Mitglied des Vorstandes Products & Innovation SAP SE Digitale Transformation Das digitale

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012

Safety Management Systeme in der Luftfahrt. Joel Hencks. AeroEx 2012 1 12/09/2012 Safety Management Systeme in der Luftfahrt Joel Hencks AeroEx 2012 1 Agenda Warum SMS? Definitionen Management System laut EASA SMS vs. CM SMS vs. Flugsicherheitsprogramme Schlüsselprozesse des SMS SMS

Mehr

Executive Summary BIG DATA Future Chancen und Herausforderungen für die deutsche Industrie

Executive Summary BIG DATA Future Chancen und Herausforderungen für die deutsche Industrie Executive Summary BIG DATA Future Chancen und Herausforderungen für die deutsche Industrie BIG DATA Future Opportunities and Challanges in the German Industry Zusammenfassung Die Menge der verfügbaren

Mehr

HYBRID CLOUD IN DEUTSCHLAND 2015/16

HYBRID CLOUD IN DEUTSCHLAND 2015/16 Fallstudie: IBM Deutschland GmbH IDC Multi-Client-Projekt HYBRID CLOUD IN DEUTSCHLAND 2015/16 Mit hybriden IT-Landschaften zur Digitalen Transformation? IBM DEUTSCHLAND GMBH Fallstudie: Panasonic Europe

Mehr

Strategien und Konzepte des Facility Management Sourcing fmpro Fachtagung, 22.April 2015

Strategien und Konzepte des Facility Management Sourcing fmpro Fachtagung, 22.April 2015 Strategien und Konzepte des Facility Sourcing fmpro Fachtagung, 22.April 2015 Institut für Facility an der ZHAW Ronald Schlegel 1 Facility in erfolgreichen Unternehmen Erfolgreiche Unternehmen sind in

Mehr

Servicespezifikation. H&S IT Configuration Management Service. simplify your business. www.hs-reliablesolutions.com

Servicespezifikation. H&S IT Configuration Management Service. simplify your business. www.hs-reliablesolutions.com Servicespezifikation H&S IT Configuration Management Service simplify your business www.hs-reliablesolutions.com H&S reliable solutions GmbH 2010 H&S IT Configuration Management Service Eine der wichtigsten

Mehr

Ihre Business-Anwendungen in besten Händen Fujitsu Application Services

Ihre Business-Anwendungen in besten Händen Fujitsu Application Services Ihre Business-Anwendungen in besten Händen Fujitsu Application Services Worauf Sie sich verlassen können: Hochzuverlässigkeit. Qualitätssprünge. Effizienzsteigerung. Starten Sie jetzt. Jederzeit. Bei Ihnen

Mehr

SkyConnect. Globale Netzwerke mit optimaler Steuerung

SkyConnect. Globale Netzwerke mit optimaler Steuerung SkyConnect Globale Netzwerke mit optimaler Steuerung Inhalt >> Sind Sie gut vernetzt? Ist Ihr globales Netzwerk wirklich die beste verfügbare Lösung? 2 Unsere modularen Dienstleistungen sind flexibel skalierbar

Mehr

Campana & Schott Unternehmenspräsentation

Campana & Schott Unternehmenspräsentation Campana & Schott Unternehmenspräsentation Campana & Schott Unternehmenspräsentation Campana & Schott 1 / 14 Über Campana & Schott. Wir sind eine internationale Unternehmensberatung mit mehr als 230 Mitarbeiterinnen

Mehr

Datenintegration, -qualität und Data Governance. Hannover, 14.03.2014

Datenintegration, -qualität und Data Governance. Hannover, 14.03.2014 Datenintegration, -qualität und Data Governance Hannover, 14.03.2014 Business Application Research Center Führendes europäisches Analystenhaus für Business Software mit Le CXP (F) objektiv und unabhängig

Mehr

Glenfis macht Sie fit für das Cloud-Zeitalter und die wachsenden Multi-Sourcing Anforderungen. Cloud & Sourcing Excellence Kennen. Können. Tun.

Glenfis macht Sie fit für das Cloud-Zeitalter und die wachsenden Multi-Sourcing Anforderungen. Cloud & Sourcing Excellence Kennen. Können. Tun. Glenfis macht Sie fit für das Cloud-Zeitalter und die wachsenden Multi-Sourcing Anforderungen. Cloud & Sourcing Excellence Kennen. Können. Tun. Kennen. Beratung. Die beste Beratung basiert auf dem Verständnis

Mehr

Ihr Erfolg ist unser Programm

Ihr Erfolg ist unser Programm Ihr Erfolg ist unser Programm 2 3 Mit Messungen vor Projektbeginn und nach Implementierung der Sevitec-Lösungen belegen wir Ihre Effizienz-Steigerungen. Auf Erfolg programmiert Sevitec liefert ihren Kunden

Mehr

C R I S A M im Vergleich

C R I S A M im Vergleich C R I S A M im Vergleich Ergebnis der Bakkalaureatsarbeit Risiko Management Informationstag 19. Oktober 2004 2004 Georg Beham 2/23 Agenda Regelwerke CRISAM CobiT IT-Grundschutzhandbuch BS7799 / ISO17799

Mehr

Über SAM consulting 1 SAM CONSULTING 2013

Über SAM consulting 1 SAM CONSULTING 2013 Über SAM consulting SAM CONSULTING ist ein weltweit agierendes Lizenzmanagement-Beratungshaus mit Sitz in Düsseldorf. Wir unterstützen Unternehmen dabei, das Lizenzmanagement umzusetzen, die zugehörigen

Mehr

Datenschutz-Management

Datenschutz-Management Dienstleistungen Datenschutz-Management Datenschutz-Management Auf dem Gebiet des Datenschutzes lauern viele Gefahren, die ein einzelnes Unternehmen oft nur schwer oder erst spät erkennen kann. Deshalb

Mehr

Outsourcing kaufmännischer Aufgaben

Outsourcing kaufmännischer Aufgaben Outsourcing kaufmännischer Aufgaben speziell für Existenzgründer und kleine Unternehmen 7-it Forum am 1.12.2003 Outsourcing Fragen Was ist eigentlich Outsourcing? Für welche betrieblichen Aufgaben ist

Mehr

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke

CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke CISO nur eine sinnlose Jobbezeichnung? Prof. Dr. Thomas Jäschke Vorstellung - Ihr Referent Prof. Dr. Thomas Jäschke Professor für Wirtschaftsinformatik an der FOM Hochschule für Oekonomie & Management

Mehr

ITIL IT Infrastructure Library

ITIL IT Infrastructure Library ITIL IT Infrastructure Library Einführung in das IT-Service-Management Andreas Linhart - 2009 Agenda IT-Service-Management Der ITIL-Ansatz Lizenzen & Zertifizierungen ITIL-Prozessmodell (v2) Service Support

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung

Mehr

Raber+Märcker Business Intelligence Lösungen und Leistungen

Raber+Märcker Business Intelligence Lösungen und Leistungen Business Intelligence Raber+Märcker Business Intelligence Lösungen und Leistungen www.raber-maercker.de 2 LEISTUNGEN Business Intelligence Beratungsleistung Die Raber+Märcker Business Intelligence Beratungsleistung

Mehr

Outpacing change Ernst & Young s 12th annual global information security survey

Outpacing change Ernst & Young s 12th annual global information security survey Outpacing change Ernst & Young s 12th annual global information security survey Alfred Heiter 16. September 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 11 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter Informationssicherheit lösungsorientiert Informationssicherheit ist für Unternehmen mit IT-basierten Prozessen grundlegend: Neben dem

Mehr

Process Consulting. Beratung und Training. Branchenfokus Energie und Versorgung. www.mettenmeier.de/bpm

Process Consulting. Beratung und Training. Branchenfokus Energie und Versorgung. www.mettenmeier.de/bpm Process Consulting Process Consulting Beratung und Training Branchenfokus Energie und Versorgung www.mettenmeier.de/bpm Veränderungsfähig durch Business Process Management (BPM) Process Consulting Im Zeitalter

Mehr

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014

ITSM-Health Check: die Versicherung Ihres IT Service Management. Christian Köhler, Service Manager, Stuttgart, 03.07.2014 : die Versicherung Ihres IT Service Management Christian Köhler, Service Manager, Stuttgart, 03.07.2014 Referent Christian Köhler AMS-EIM Service Manager Geschäftsstelle München Seit 2001 bei CENIT AG

Mehr

Der starke Partner für Ihre IT-Umgebung.

Der starke Partner für Ihre IT-Umgebung. Der starke Partner für Ihre IT-Umgebung. Leistungsfähig. Verlässlich. Mittelständisch. www.michael-wessel.de IT-Service für den Mittelstand Leidenschaft und Erfahrung für Ihren Erfolg. Von der Analyse

Mehr

Account Information Security Programme - Allgemeine Informationen -

Account Information Security Programme - Allgemeine Informationen - Account Information Security Programme - Allgemeine Informationen - Neue Sicherheitsstandards für die Aufbewahrung und Weiterverarbeitung sensibler Karteninhaberdaten Kreditkartenzahlungen erfreuen sich

Mehr

Durch Zahlen zu Maßnahmen: Verbesserung des Travel Management Programms durch strategische KPIs und sinnvolle Messungen

Durch Zahlen zu Maßnahmen: Verbesserung des Travel Management Programms durch strategische KPIs und sinnvolle Messungen Durch Zahlen zu Maßnahmen: Verbesserung des Travel Management Programms durch strategische KPIs und sinnvolle Messungen Management Summary Durch Zahlen zu Maßnahmen: Verbesserung des Travel Management

Mehr

BCM Schnellcheck. Referent Jürgen Vischer

BCM Schnellcheck. Referent Jürgen Vischer BCM Schnellcheck Referent Jürgen Vischer ISO 9001 ISO 9001 Dokumentation - der Prozesse - der Verantwortlichen - Managementverantwortlichkeit - Verbesserungszyklus - Mitarbeiterschulung & Bewusstsein Datenschutz

Mehr

Strukturierte Informationssicherheit

Strukturierte Informationssicherheit Strukturierte Informationssicherheit Was muss getan werden ein kurzer Überblick. Donnerstag, 16.Juli 2009 Mark Semmler I Security Services I Mobil: +49. 163. 732 74 75 I E-Mail: kontakt_mse@mark-semmler.de

Mehr

Lexmark Nutzt zur Umgestaltung der IT Lösungen von CA Service Assurance

Lexmark Nutzt zur Umgestaltung der IT Lösungen von CA Service Assurance CUSTOMER SUCCESS STORY März 2014 Lexmark Nutzt zur Umgestaltung der IT Lösungen von CA Service Assurance KUNDENPROFIL F Branche: IT-Services S Unternehmen: n Lexmark Mitarbeiter: 12.000 Umsatz: 3,8 Mrd.

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten Outsourcing Advisor Bewerten Sie Ihre Unternehmensanwendungen auf Global Sourcing Eignung, Wirtschaftlichkeit und wählen Sie den idealen Dienstleister aus. OUTSOURCING ADVISOR Der Outsourcing Advisor ist

Mehr

ERP-Systeme für den Mittelstand. SAP Business ByDesign 02.05.2012. Agenda. -Systemhaus in Ihrer Nähe. am Beispiel von:

ERP-Systeme für den Mittelstand. SAP Business ByDesign 02.05.2012. Agenda. -Systemhaus in Ihrer Nähe. am Beispiel von: ERP-Systeme für den Mittelstand am Beispiel von: SAP Business ByDesign Das -Systemhaus in Ihrer Nähe Über sine qua non und SAP-Basis-Technologien und Positionierung Business bydesign Details - Agenda ITbyCloud_Industry_Templates

Mehr

Der Digital Business Index (DBI)

Der Digital Business Index (DBI) Der Digital Business Index (DBI) Modell zur Erfassung der digitalen Reife und strategischer Kompass zur Sicherung der Wettbewerbsfähigkeit ihres Unternehmens ideers Consulting GmbH Warum bedarf es eines

Mehr

Informations- / IT-Sicherheit - Warum eigentlich?

Informations- / IT-Sicherheit - Warum eigentlich? Informations- / IT-Sicherheit - Warum eigentlich? Hagen, 20.10.2015 Uwe Franz Account Manager procilon IT-Solutions GmbH Niederlassung Nord-West Londoner Bogen 4 44269 Dortmund Mobil: +49 173 6893 297

Mehr

Risikoanalyse mit der OCTAVE-Methode

Risikoanalyse mit der OCTAVE-Methode Risikoanalyse mit der OCTAVE-Methode 07.05.2013 Dr. Christian Paulsen DFN-CERT Services GmbH Bedrohungslage Trends der Informationssicherheit: Hauptmotivation der Angreifer: Geld, Informationen Automatisierte

Mehr