CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP

Größe: px

Ab Seite anzeigen:

Download "CON.ECT Informunity. Rudolf Kochesser Krzysztof Müller, CISA, CISSP 21.02.2008"

Karlheinz Emil Blau
vor 8 Jahren
Abrufe

1 IT in Balance - Bedeutung von Risikomanagement und Compliance CON.ECT Informunity Rudolf Kochesser Krzysztof Müller, CISA, CISSP

2 Management In Balance ROI Organization Business Quality Compliancy 2

3 Management In Balance ROI Organisation Business Compliancy Quality 3

4 Management In Balance Desktop Service Housing ROI Organization Hosting Business Quality Compliancy IT Consulting IT Security LAN Solutions WAN Solutions 4

5 Das Umfeld 5

6 Aktuelle Schwarzmarktpreise 15 $: erfolgreiche Installation von Spyware pro PCs 25 $ - 50$: pro 1 Million Adressen 50 $: für Landings (Besuche einer Website, durch vorher installierte Spy/Addware) z.b. durch Weiterleiten beim Surfen, ein Pop-Up oder einen simplen Link in einer SPAM Mail 2 50 $: Kreditkartennummern (inkl. SecurityCode/ Ablaufdatum) 250 $ Miete für ein Botnetz von 1000 PCs (pro Tag!) Ab 300 $ für Designer MalwareTrojaner die andere Systeme ausspionieren oder kontrollieren, und dafür eigens entwickelt wurden) Spezialisierte online banking Trojaner kosten bis zu $. 6

SecurityCode/ Ablaufdatum) 250 $ Miete für ein Botnetz von 1000 PCs (pro Tag!

7 Offene Türen sind käuflich 7

8 7247 neue Vulnerabilities wurden in 2006 gefunden Gefundene Schwachstellen in 2006 (Quelle: IBM) Das sind ~ 20 neue Schwachstellen die pro Tag entdeckt werden! 8

9 Unsichere Webapplikationen Heise Security vom 19. August 2007 Golem.de Artikel vom 11. Jänner 2007 Defacement von MTV.de vom 31. Mai 2007 Defacement von MTV.de vom 26. Juni

10 Was braucht IT um in Balance zu bleiben? Risiko Management -> ermöglicht Konzentration aufs Wesentliche Anlehnung an Standards (COBIT, ITIL, ISO27001) -> Ganzheitliche Betrachtung des IT-Betriebes und Auswahl relevanten Komponenten Compliance -> Internes Nutzen durch Erfüllung der Verpflichtungen IT-Security -> Grundlegender Schutz der Firmenund Kundeninformationen 10

(COBIT, ITIL, ISO27001) -> Ganzheitliche Betrachtung des IT-Betriebes und Auswahl relevanten

11 Risikamanagement 11

12 Pragmatisches Risikomanagement ermöglicht die Fokussierung aus Wesentliche Einfacher Prozess 1. Qualitative Risiko Bewertung 2. Erkennungskriterien für Erkennung der Risken (Cobit, ISO, ) 3. Entscheidung über Risken Risiko eliminieren oder minimieren Risiko delegieren Risiko akzeptieren 4. Verwaltung der Risiken Risikomanagement auf Basis von Cobit Auswahl der relevanten Information Criteria Entscheidung über Kontrollziele basierend auf ausgewählten Information Criteria Das eigentliche Ziel nie vergessen Vollständigkeit und Richtigkeit des FRs 12

Entscheidung über Risken Risiko eliminieren oder minimieren Risiko delegieren Risiko akzeptieren 4.

13 IT General Controls Optimierung alle Systeme und Kontrollen wurden in drei Risikoklassen zusammengefasst Risiko Klasse A Direkter Einfluss auf finanzielles Reporting Beispiel: Internes Kontrollsystem der Telekom Austria Risiko Klasse B - Lieferungssysteme - Kontrollen mit indirekten Einfluss auf finanzielles Reporting Risiko Klasse C - Support- und Schutz- Systeme - Kontrollen ohne Einfluss auf finanzielles Reporting 13

Kontrollsystem der Telekom Austria Risiko Klasse B - Lieferungssysteme - Kontrollen mit indirekten Einfluss

14 Standards 14

15 COBIT, ITIL, ISO27001, sind ausgezeichnete Orientierungshilfen. Standards befolgen einen ganzheitlichen Ansatz Ein gutes Framework kann Orientierungshilfe leisten Standards stellen einen ideellen Model des IT- Betriebs, das grundlegende Betrachtung vollständig berücksichtigt Standards sind gut strukturiert und dadurch übersichtlich Auswahl der geeigneter Elemente aus unterschiedlichen Standards ermöglicht gezielte und effiziente Abdeckung des Bedarfes des IT-Betriebes 15

einen ideellen Model des IT- Betriebs, das grundlegende Betrachtung vollständig berücksichtigt Standards sind gut

16 COBIT ist eine gute Grundlage für Etablierung von IT-Compliance und IT Governance 16

17 Cobit oder ITIL oder etwas anderes? Kontrollansatz Prozessansatz CobiT + Konzentration aufs Wesentliche! + Befolgung der Control Objectives - einheitliche Implementierung der Prozesse ist kein Muss! - Der Kontrollansatz ist nicht intuitiv verständlich ITIL + Der Prozessansatz ist für die Mehrheit leichter verständlich + Mehr Best-Practice Beispiele schon vorhanden - Die vollständige Implementierung ist sehr langwierig und aufwendig Dank größtenteils gemeinsamer Betrachtung der IT-Themen ist die Nutzung der Synergie-Effekte von unterschiedlichen Frameworks durchaus möglich ITK Betrieb Cobit ITIL ISO Unternehmen 17

- Der Kontrollansatz ist nicht intuitiv verständlich ITIL + Der Prozessansatz ist für die Mehrheit leichter verständlich + Mehr Best-Practice Beispiele

18 IT Compliance 18

19 Heutzutage müssen die Unternehmen eine Fülle von regulativen Anforderungen erfüllen Datenschutzgesetz Telekommunikationsgesetz SOX Basel II PCI DSS (Payment Card Industry Data Security Standard) Euro-SOX (8 EU-Richtlinie) kommt 2008 sicher! Branchenspezifische Gesetzte und Regelungen HIPAA Österreichisches IT-Sicherheitshandbuch (nur Behörden) andere 19

Data Security Standard) Euro-SOX (8 EU-Richtlinie) kommt 2008 sicher!

20 SOX fordert ein internes Kontrollsystem (IKS) und die Überprüfung dessen Wirksamkeit Sarbanes-Oxley Act (SOX) Section 302 Paul S. Sarbanes Michael G. Oxley Act (Gesetz) SOA oder SOX Die erforderlichen Veröffentlichungen (Bilanzen etc.) müssen vollständig und richtig sein CEO und CFO müssen eine eidesstattliche Erklärung bei der Börsenaufsichts- Behörde (SEC) für die Korrektheit der Finanzberichte abgeben Der Sarbanes-Oxley Act (SOX) betrifft alle Unternehmen, deren Aktien an US-amerikanischen Börsen notiert sind. SOX soll nach den Bilanzskandalen in Amerika (Enron) und Europa (Parmalat) das Vertrauen der Anleger wieder stärken. Die zwei wichtigsten Paragraphen dieses Gesetzes sind Section 302 und Section 404. Section 404 Das Management muss ein effizientes internes Kontrollsystem für finanzielles Reporting implementieren und warten Unternehmen sind dazu verpflichtet die Wirksamkeit des internen Kontroll- Systems (IKS) für die Finanzgericht- Erstattung explizit zu bestätigen SOX Internes Kontroll- System 20

) müssen vollständig und richtig sein CEO und CFO müssen eine eidesstattliche Erklärung bei der Börsenaufsichts- Behörde (SEC) für die Korrektheit der Finanzberichte abgeben Der Sarbanes-Oxley Act

21 Die Erfüllung der Verpflichtungen muss nicht der einzige Vorteil von IT-Compliance sein! IT-Compliance*) Einhaltung der gesetzlichen oder regulativen Verpflichtungen. Alle notwendigen Regeln und Maßnahmen dafür Voraussetzungen Konzentration aufs Wesentliche Präzise Definition der Kontrollen Vermeidung von unnötigen Formalismen Potentiellen Vorteile für die Firma Einsatz von einem Standard Risikomanagement Selbstkontrolle Klare Rollen und Verantwortlichkeiten Bessere Doku Transparenz Nachvollziehbarkeit *) Definition from Wikipedia 21

22 Rolle von Information Security 22

23 Information Security ist ein wichtiger Bestandteil von IT-Compliance Gesetzliche und regulative Verpflichtungen des Unternehmens SOX, EURO_SOX. Integriertes Management der compliance Internes Kontrollsystem und SOX Competence Center Compliance der IT Abteilung IT General Controls Integrität der (Finanz-) Daten - Eigentliche Aufgabe von Information security ISO

24 Information Security umfasst alle für Schutz der Daten notwendigen Maßnahmen Angesichts vielfältiger Bedrohungen ist ein ganzheitlicher Schutz der Informationen erforderlich IS B O as 27 is 00 1 Sicherheitsorganisat. Sicherheitsprozess Awareness & Education Risikomanagement Firewalls IDS/IPS Antivirus Antispam Info Zutrittskontrolle Zugriffsschutz / Benutzerverwaltung Informationsklassifizierung Patching Hardening Verschlüsselung 24

25 Danke für Ihre Aufmerksamkeit! 25

Ähnliche Dokumente

Cobit als De-facto-Standard der IT-Governance

Cobit als De-facto-Standard der IT-Governance Praxisbericht über die Einführung von SOX Krzysztof Müller, CISA, CISSP 19.02.2006 1 Agenda Anforderungen an Compliance (SOX) CobiT als Framework und Integration