Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Transkript

1 Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

2 Risikomanagement Eine Einführung Risikomanagement ist nach der Norm ISO eine identifiziert, analysiert und bewertet Führungsaufgabe, die Risiken einer Organisation

3 Risikomanagement mit IT-Grundschutz Führungsaufgabe Informationssicherheitsleitlinie IT-Sicherheitsbeauftragter ist Stabstelle zur Leitungsebene

4 Risikomanagement mit IT Grundschutz Risiken identifizieren Risiken analysieren Risiken bewerten Vorgehen nach Risikoanalyse

5 Compliance?! Compliance ist entweder der Status, mit Gesetzen/Richtlinien/Vorschriften zu sein, oder der Prozess der dies anstrebt. Es gibt hier zig Bereiche des Unternehmens/der Behörde die Compliance nachweisen müssen.

6 Compliance im IT-Grundschutz entweder der Status Grundschutz umgesetzt Ja Nein Teilweise Entbehrlich Sicherheitsniveau Sicherheitsaspekte Bundesamt für Sicherheit in der Informationstechnik

7 Compliance im IT-Grundschutz oder der Prozess Vorgehen nach BSI Grundschutzvorgehensweise

8 Risikomanagement und Compliance Und wie hängen Risikomanagement und Compliance in der Praxis zusammen?

9 Risikomanagement und Compliance ISO 27001:2013 PDCA Zyklus Plan Phase Risikoidentifikation und Bewertung Do Phase Identifizierung und Entwicklung von Vorgehensweisen zum Risikomanagement Auswahl von Zielen und Kontrollen

10 Kurz gesagt! Anforderungen Risiken Vorschriften Compliance Anforderungen Passend für die Unternehmung/Behörde

11 Ein Beispiel aus dem Leben

12 Ein Beispiel aus der Praxis! Sieht doch erstellt gut aus! Aber wie machen die das genau? Risikomanagement der Holding Hört sich gut an! Compliance Kataloge Töchterunternehmen

13 Wie wurde es bei dem Beispiel gemacht? Das Risikomanagement hat auf Basis mehrerer Standards Compliance Kataloge erstellt. ISO 27001/27002/Grundschutz/ISAE3402 etc. Diese wurden dann in Excel-Tools aufbereitet. Diese wurden an die Töchterunternehmen verteilt. Die Töchter haben nun jeder für sich festgestellt ob Sie compliant waren oder nicht. Nicht compliance = Risiko

14 Was sind die Probleme gewesen? Standards wurden nicht in Anforderungen sondern in Maßnahmen umgewandelt. Viele Töchter konnten keine Compliance nachweisen da Maßnahmen zu strikt definiert waren. Non-Compliance wurde als Risiko festgestellt aber nicht weiter an das zentrale Risikomanagement gemeldet bzw. nicht weiterverfolgt.

15 Was sind die Probleme gewesen? Maßnahmen wurden als unwirtschaftlich behandelt, weil die Umsetzung nur mit dem Budget der einzelnen Bereiche gemessen wurde. Reports bezogen sich immer nur auf einen Teilbereich. Das Zusammenführen der Ergebnisse war zu kompliziert. Durch fehlende Rückmeldung waren die Checklisten schnell veraltet.

16 Wie kann man es besser machen? 1. Standards als Hilfsmittel nutzen. 2. Anforderungen und Werkzeuge zentral festlegen und dezentral ausrollen aber zentral managen Gesamtkatalog den man reduzieren kann Tools die Daten aggregieren können 3. Kommunikation zwischen dem Risikomanagement und dem Informationssicherheitsmanagement herstellen

17 Kann ich das auch mit BSI Grundschutz? JA, können Sie! Wie? Ok ein Schnelldurchgang!

18 Anwenden von Standards Wer kennt das nicht?! Bundesamt für Sicherheit in der Informationstechnik

19 Wie kann man es besser machen mit Grundschutz Gemeinsame Vorgehensweise durch Sicherheitsrahmenkonzept (SRK) ISMS Tool zum zentralen Risikomanagement etablieren und dezentral zugänglich machen Risikoanalysen in den dezentralen Bereichen als Informationen für die Weiterentwickelung des zentralen Risikomanagements nutzen Restrisiken MELDEN!

20 Und gehen Sie zum äußersten REDEN SIE MITEINANDER!!!!

21 Vielen Dank! Referent: Kontakt: Dirk Brand T.I.S.P. / CISSP SILA Consulting GmbH Landwehr Borken / Internet: