Informationssicherheit durch IT Service Management

Transkript

1 Informationssicherheit durch IT Service Management Informationssicherheit als wichtige Unternehmenssäule it-sa 2014 Die IT Security Messe und Kongress

2 Wir leben Dienstleistung - für täglich mehrere Kunden RETHMANN-Gruppe Eine Gruppe mit mehr als 12,0 Mrd. Umsatz* und Beschäftigten* Wasser- und Kreislaufwirtschaft Public Private Partnership Company Partnership Entsorgung & Recycling Anlagenbetrieb & Produktion Logistik Contract Logistics Freight Logistics Port Logistics Public Transport Bio-Industries Lebensmittelzusätze Futtermittel-Vorprodukte Kosmetikzusätze Neue Energien Düngemittel Umsatz*: 6,4 Mrd. Beschäftigte*: Umsatz*: 4,1 Mrd. Beschäftigte*: Umsatz*: 1,5 Mrd. Beschäftigte*: * Konsolidierte Zahlen für 2013 Confidential 1

3 Die Rhenus Office Systems und der Papier Lifecycle Leistungen sind einzeln oder auch miteinander kombinierbar Über 20 Jahre Erfahrung im Bereich der Dokumenten- und Informationslogistik Spezialisierte Gesellschaften und Standorte Verantwortung für mehr als 10 Mrd. Dokumente Mehr als Kunden im In- und Ausland 2

4 Gelebte Sicherheit 3

5 Definition Informationen und Informationssicherheit Beispiel Vertraulichkeit: Angebote / Verträge für Kunde xyz dürfen nur von der Geschäftsführung zu lesen sein Beispiel Verfügbarkeit: darf nicht mehr als 4 Std. ausfallen Verfügbarkeit Informationen sind bei Bedarf verfügbar und brauchbar. Vertraulichkeit Informationen werden ausschließlich von informationsberechtigten Personen überwacht oder sind nur für diese zugänglich. Information Security Authentizität und Nachweisbarkeit Business Transaktionen und der Austausch von Informationen zwischen Unternehmen oder Partnern sind vertrauenswürdig. Integrität Informationen sind vollständig, genau und vor unberechtigten Änderungen geschützt. Beispiel Integrität: Lizenzmanagement muss zu 100% verlässlich sein Beispiel Authentizität und Nachweisbarkeit: Online Banking 4

6 IT Security als wichtige Unternehmenssäule Zitat aus dem BSI Leitfaden Informationssicherheit: Wachsende Verwundbarkeit und die Gefahr massiver wirtschaftlicher Schäden in Folge von Risiken bei der Informationsverarbeitung erhöhen den Handlungsdruck, durch aktives Informationssicherheitsmanagement Schäden zu verhindern und das Restrisiko zu minimieren. Die Verantwortung beschränkt sich keineswegs auf die jeweiligen IT- Fachabteilungen. Vielmehr gilt: Sicherheit ist Chefsache. Dem hat auch der Gesetzgeber Rechnung getragen. Verschiedene Gesetze und Regelungen belegen die persönliche Haftung von Geschäftsführern bzw. Vorständen im Falle von Versäumnissen. Aktiengesetz 91 Abs. 2 und 93 Abs.2 AktG GmbH-Gesetz 43 Abs. 1 GmbHG Handelsgesetzbuch 317 Abs. 2 und 4 HGB Strafgesetzbuch 203 StGB KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) enthält Ergänzungen 5

7 Die Bedrohungen Beispiele aus der Praxis Kein Backup Administrator bemerkte nicht, dass das Bandlaufwerk defekt war. Das letzte funktionstüchtige Band war 5 Jahre alt Befall durch Computer-Viren Virenschutzprogramm vorhanden, aber kein Update Konzept für die Signaturen. Ausfall des einzigen Administrators Keinen Vertretungsregelung existent, keine Passwörter (sicher hinterlegt), keine Dokumentation vorhanden. Hackerangriff aus dem Internet Krankenakten sind im Internet aufgetaucht. Internetzugang bei einem Arzt war nicht gesichert und vertrauliche Daten waren nicht verschlüsselt Innentäter Geheime Rezeptur taucht in einem anderem Unternehmen auf. Ein Mitarbeiter hatte zum Konkurrenten gewechselt. Türen und Gebäude waren nicht gegen unbefugten Zutritt gesichert. Mitarbeiter Schwächstes Glied in der Kette Fehlende Kenntnisse Fehlende Schulungen / Trainings Oft zu viele Berechtigungen Keine Bewusstseinsbildung 6

8 Security Management ist mehr als nur Basissicherheit Business Continuity Management - Notfallmanagement Notfallmanagement ist ein systematischer, an den Geschäftsprozessen einer Institution orientierter Ansatz zur Vorsorge gegen Notfälle und Krisen. Es zielt darauf ab, solche Ausnahmesituationen, wenn schon nicht zu verhindern, so doch zumindest in ihren Schadenswirkungen zu begrenzen. Dazu gehört es, organisatorische Strukturen aufzubauen sowie Konzepte zu entwickeln und umzusetzen, die eine rasche Reaktion auf Notfälle und die Fortsetzung zumindest der wichtigsten Geschäftsprozesse ermöglichen. 7

9 Security Management ist mehr als nur Basissicherheit Basis des Business Continuity Managements ist die Business Impact Analyse Input Kernprozess 1 Kernprozess 2 Unterstützungsprozess 1 Output Geschäftsprozesse Personal Facilities IT Dienstleister Services kritische Ressourcen Vorgehensmodell Business Impact Analyse Geschäftsprozess und Org.- Einheit auswählen Mögliche Schäden analysieren Wiederanlaufparameter festlegen Abhängigkeiten berücksichtigen GP anhand ihrer Kritikalität priorisieren Ressourcen für den Normal- und Notbetrieb erheben Kritikalität und Wiederanlaufzeiten für Ressourcen bestimmen 8

10 Security Management ist mehr als nur Basissicherheit Informationssicherheit ist Bestandteil vom Notfallmanagement (BCM) zur Sicherstellung der kritischen Ressourcen im Unternehmen und Minimierung von Reputationsschäden in Krisenfällen Vorfallsart Erläuterung Behandlung Einfache Störung Kurzzeitiger Ausfall von Behandlung ist Teil der Prozessen oder Ressourcen üblichen Störungsbehebung mit nur geringem Schaden Notfall Krise Störungen, Notfälle, Krisen und Katastrophen im Verständnis des BSI-Standards Katastrophe Länger andauernder Ausfall von Prozessen oder Ressourcen mit hohem oder sehr hohem Schaden Im Wesentlichen auf die Institution begrenzter verschärfter Notfall, der die Existenz der Institution bedroht oder die Gesundheit oder das Leben von Personen beeinträchtigt Räumlich und zeitlich nicht begrenztes Großschadensereignis, zum Beispiel als Folge von Überschwemmungen oder Erdbeben Behandlung verlangt besondere Notfallorganisation Da Krisen nicht breitflächig die Umgebung oder das öffentliche Leben beeinträchtigen, können sie, zumindest größtenteils, innerhalb der Institution selbst behoben werden Aus Sicht einer Institution stellt sich eine Katastrophe als Krise dar und wird intern durch deren Notfallorganisation in Zusammenarbeit mit den externen Hilfsorganisationen bewältigt 9

11 Informationssicherheit mit IT Service Management Basis für die Informationssicherheit ist die Business Impact Analyse 10

12 Informationssicherheit durch IT Service Management Was ist ITIL V3 - IT Infrastructure Library V3 2011? Die IT Infrastructure Library (ITIL) ist eine Sammlung von Best Practices zur Umsetzung eines IT-Service-Managements (ITSM) und gilt inzwischen als internationaler De-facto- Standard im Bereich IT-Geschäftsprozesse. Dabei werden die Effizienz-Optimierung von IT-Serviceleistungen im Hinblick auf ihren Nutzen als relevante Faktoren zur Erreichung der Geschäftsziele eines Unternehmens betrachtet. ITIL sagt was getan werden sollte, aber nicht wie. Der geistige Eigentümer ist das OGC Office of Government Commerce (Wirtschaftsministerium), unter deren Regie ITIL gegen Ende der 80er-Jahre ITIL V1 (40 Büchern) entwickelt wurde. In den Jahren 2000 und 2004 entstand ITIL V2 (8 Bücher) und im Jahr 2011 die letzte Version von ITIL V3 (5 Bücher). 11

13 Informationssicherheit durch IT Service Management Information Security Management nach ITIL V3 Ziel des ISM-Prozesses ist es, die IT Sicherheit auf die Business Sicherheit abzustimmen, um den effektiven Umgang mit Informationssicherheit für alle Service- und Service Management Aktivitäten zu gewährleisten. 12

14 Informationssicherheit durch IT Service Management Framework für das Management der IT Sicherheit nach ITIL V3 Reports Kunde / Business SLA Service Level Agreements Service Level Management SLR Service Level Requirements Verwaltung Planen Durchführen Überprüfen Handeln Evaluierung Interne Audits Externe Audits Selbstbewertungen Security Incidents - plan - do - check - act Steuerung Organisieren Festlegung eines Frameworks Verteilung der Verantwortlichkeiten Planung Service Level Agreements Underpinning Contracts Operational Level Agreements Richtlinieninhalte Implementierung Schärfung des Bewusstseins Klassifizierung und Registrierung der Mitarbeitersicherheit Physische Sicherheit Netzwerk, Anwendungen, Computer Management von Zugriffsrechten Security Incident Verfahren 13

15 Informationssicherheit durch IT Service Management Klare Rollenverteilung Die Einführung, der Betrieb und die Weiterentwicklung eines Prozesses erfordern finanzielle Mittel. Die Rolle des Prozess Sponsors ist als Instanz zur Bereitstellung der benötigten Mittel und Autorisierung erforderlicher Investitionen definiert. Er sorgt für die kontinuierliche Management Attention. Sponsor CIO Der Prozess-Manager ist verantwortlich für den täglichen Betrieb seines Prozesses. Er sorgt für die Einhaltung der definierten Arbeitsabläufe. Der Prozess- Manager ist außerdem verantwortlich für die Erhebung und das Reporting der Leistungskennzahlen. Prozess Owner Chief Security Officer Prozess Manager Der Prozess-Owner ist verantwortlich für das Design und die Weiterentwicklung seines Prozesses. Er schafft die Rahmenbedingungen und sorgt für die Qualitätssicherung der Arbeitsabläufe. Sein Fokus liegt auf der kontinuierlichen Verbesserung der Workflows. Er legt Messpunkte zur Ermittlung von Leistungsindikatoren (KPIs) fest. 14

16 Abgesicherte Business Prozesse Informationssicherheit durch IT Service Management Die Umsetzung des Frameworks für die Informationssicherheit liefert sechs Ergebnisse Strategische Ausrichtung Schaffen von Werten/Nutzen Sicherheitsanforderungen werden durch Unternehmensanforderungen getrieben Sicherheitslösungen werden an Unternehmensprozesse angepasst Investitionen in die Informationssicherheit sollten sich an dem vereinbarten Risikoprofil des Unternehmens ausrichten Standardpakete an Sicherheitspraktiken Priorisierung und Aufwandsverteilung auf Bereiche die am meisten betroffen sind und den größten Businessnutzen haben Kultur der kontinuierlichen Verbesserung Risikomanagement Performance Management Ressourcenmanagement Risikoerkennung Risikoreduzierung Risikoakzeptanz/- berücksichtigung Vereinbartes Risikoprofil Definierte, vereinbarte und aussagekräftige Messgrößen Prozess zur Identifizierung, Beseitigung von Mängeln Feedback zum Fortschritt ergriffener Maßnahmen Erfasstes und verfügbares Wissen Dokumentierte Sicherheitsprozesse und praktiken Entwickelte Sicherheitsarchitektur zur effizienten Nutzung der Infrastrukturressourcen 15

17 Informationssicherheit durch IT Service Management Fazit Konsistente IT Security Strategie statt Feuerwehreinsätze Aufbau eines Business Continuity Management - BCM Input Output Business Impact Analyse IT Security Strategie Rollenverteilung Aufbau des IT Security Management Prozess nach ITIL V3 16

18 Die Herausforderung Informationssicherheit fängt bei den Menschen an Gelebte Sicherheit Es ist ein Huhn! Öffnet das Tor und stelle es neben das große Holzpferd! 17

19 Ich berate Sie gern Monika Ern Senior Sales and Project Consultant Rhenus Office Systems GmbH Office: +49 (0) Mobile: +49 (0)

20 Since 1912