CHANCEN UND MÖGLICHKEITEN DES MODERNISIERTEN IT-GRUNDSCHUTZES. Delivering Transformation. Together.

Größe: px

Ab Seite anzeigen:

Download "CHANCEN UND MÖGLICHKEITEN DES MODERNISIERTEN IT-GRUNDSCHUTZES. Delivering Transformation. Together."

Barbara Baumhauer
vor 8 Jahren
Abrufe

1 CHANCEN UND MÖGLICHKEITEN DES MODERNISIERTEN IT-GRUNDSCHUTZES Delivering Transformation. Together.

2 AGENDA 1 Kurze Vorstellung 2 Sopra Steria Consulting 3 Ist-Zustand vs. heutige Anforderungen 4 Wesentliche Änderungen 5 Chancen / Vorteile 6 Neue Möglichkeiten 7 Fazit 8 Fragen & Diskussion 3

3 VORSTELLUNG: STEFAN BECK Abschlüsse: Mitgliedschaften: Master-Studium M.Sc. Security Management (Schwerpunkt IT-Forensik) Bitkom Diplom (FH) Betriebswirtschaft (Schwerpunkt Organisation und Wirtschaftsinformatik) ISO/IEC ISMS-Lead-Auditor IT-Sicherheit in der Netzleittechnik > 10 Jahre IT-Security Auditteamleiter für ISO Audits auf der Basis von IT-Grundschutz IS-Revisions- und IS-Beratungsexperte SAP Security Cyber-Security Practitioner Datenschutz und Datensicherheit in der Energiewirtschaft Datenschutzbeauftragter DSB-TÜV ITIL Foundation Certificate in IT Service Management 4 BSI (AG Krypto, AG PKI) Publikationen: Kompetenzen: Manager ISACA (Berufsverbandes der IT-Revisoren, ITSicherheitsmanager, IT-Governance-Experten) Fachbuch: Aktualisierung der ISO/IEC (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen <kes> (Zeitschrift für Informationssicherheit) ew Magazin für Energiewirtschaft Kommunalwirtschaft Wallstreet-Online Kontakte: BMI Hochschulen BNetzA Bitkom BSI Kooperationspartner

Netzleittechnik > 10 Jahre IT-Security Auditteamleiter für ISO 27001 Audits auf der Basis von IT-Grundschutz IS-Revisions- und IS-Beratungsexperte SAP Security Cyber-Security Practitioner Datenschutz

4 EINE STARKE PRÄSENZ WELTWEIT davon offshore Berlin Frankfurt Hamburg Köln Leipzig München Schrobenhausen Wien Präsenz in Deutschland und Österreich DEUTSCHLAND* 236,4 Mio. Umsatz Mitarbeiter 5 *Umsatz / Mitarbeiter Sopra Steria GmbH und Sopra Group GmbH 2015

Schrobenhausen Wien Präsenz in Deutschland und Österreich

5 BRANCHEN- UND LÖSUNGSPORTFOLIO GESCHÄFTSPROZESSBERATUNG BRANCHENSPEZIFISCHES LÖSUNGSPORTFOLIO Aerospace Banking Insurance Public Services Telecommunications Automotive Health Care Manufacturing Transport Energy& Utilities TECHNOLOGIEPORTFOLIO Business Intelligence & Analytics SAP Solutions Customer CentricManagement Mobility Collaborative & Information Management Information Security Solutions INDUSTRIALISIERTE SERVICE LINES Application Management Testing Services Infrastructure Management Business Process Services 6

Intelligence & Analytics SAP Solutions Customer CentricManagement Mobility Collaborative & Information Management Information

6 INFORMATION SECURITY SERVICES PORTFOLIO IT Grundschutz Schwachstellenmanagement Advanced Persistent Berechtigungsmanagement Threats Business Continuity Identity and Access Management MaRisk Mobile Security Security Incident Management Managed Security Services Awareness PCI DSS Ethical Hacking Biometrie Information Security CERT SIEM System Hardening Notfallmanagement Cyber Security Authentifizierung Disaster Recovery Zutrittsmanagement CERT Mobile Security Kritische Infrastrukturen Rollenmanagement Mobile Security Advanced Persistent Threats Rollenmanagement Intrusion Detection Ethical Hacking Data Loss Prevention CERT System Hardening Security Incident Management SIEM PCI DSS Cloud Computing MaRisk Cloud Computing Ethical Hacking Security Operation Center Kritische Infrastrukturen Compliance SIEM Biometrie PCI DSS IT Grundschutz Rollenmanagement Awareness Industrial IT Security Datenschutz Sicherheitsorganisation System Hardening Vulnerability Scanning Penetration Testing Managed Security Services Cloud Computing Data Loss Prevention Cyber Security CERT Identity and Access Management SIEM Advanced Persistent Threats SIEM IT Sicherheitsgesetz ISMS Mobile Security Industrial IT Security 7

Authentifizierung Disaster Recovery Zutrittsmanagement CERT Mobile Security Kritische Infrastrukturen Rollenmanagement Mobile Security Advanced Persistent Threats Rollenmanagement Intrusion Detection

7 INFORMATION SECURITY SOLUTIONS Unsere Kernthemen: Informationssicherheits-Management Sicherheitskonzepte mit Augenmaß Bewertung von Technologie und Architektur Auditierungvon Systemen und Organisationen Unsere Stärken: 40 erfahrene Expertinnen / Experten in Deutschland (europaweit 650 Mitarbeiter) Erstellen kundenindividueller Lösungen unter Einsatz standardisierter Methoden Lieferung von ManagedSecurity Services Leistungen Geschäftsprozess- und Branchenwissen 8

erfahrene Expertinnen / Experten in Deutschland (europaweit 650 Mitarbeiter) Erstellen kundenindividueller Lösungen

8 IT-GRUNDSCHUTZ Ist-Zustand vs. Heutige Anforderungen 10

9 GESTIEGENE ANFORDERUNGEN Ist-Zustand Eine Standard-Vorgehensweise Adaption an neue Anforderungen(z. B. Cloud, ICS) relativ träge Heutige Anforderungen Flexible,unterschiedliche Vorgehensweisen Schnelligkeit, dynamische Anpassung Ursprünglich für Öffentliche Verwaltung heute in nahezu jeder Branche Vermischung Anforderungen, Maßnahmen, Empfehlungen, Erläuterungen (hoher Umfang, unübersichtlich) Rollenspezifische Texte, Dokumente; Übersichtlichkeit Generalistischer Ansatz Einsatzin mittleren und großen Organisationen Berücksichtigung anwenderspezifischer Anforderungen Skalierbarkeit 11

Öffentliche Verwaltung heute in nahezu jeder Branche Vermischung Anforderungen, Maßnahmen, Empfehlungen, Erläuterungen (hoher Umfang,

10 DER MODERNISIERTE IT-GRUNDSCHUTZ Wesentliche Änderungen 12

11 WICHTIGE ÄNDERUNGEN Skalierbarkeit Flexible Vorgehensweise Verschlankung Bessere Strukturierung Dynamisierung Für mehr Organisationen anwendbar Verschiedene Absicherungsarten Anforderungen, Umsetzungsempfehlung, Absicherungen Weniger Anforderungen, Lageinformationen Schnellere, organisationsspezifische und effizientere Umsetzung 13

Absicherungsarten Anforderungen, Umsetzungsempfehlung, Absicherungen Weniger

12 DER MODERNISIERTE IT-GRUNDSCHUTZ Chancen / Vorteile 14

13 ALLGEMEINE CHANCEN / VORTEILE Bausteine enthalten Anforderungen Bausteine weniger umfangreich Bessere Zuordnung zu Rollen Initial weniger Anforderungen Mehrstufige Vorgehensweise Schnellere Umsetzbarkeit 15

Zuordnung zu Rollen Initial weniger Anforderungen

14 BAUSTEINVERGLEICH ALT-NEU WENIGER ANFORDERUNGEN Baustein Personal Anzahl Anforderungen alt: 101 Anzahl Anforderungen neu (Basisabsicherung): 46 Einsparung: ca. 55 % Baustein Allgemeiner Server Anzahl Anforderungen alt: 242 Anzahl Anforderungen neu (Basisabsicherung): 60 Einsparung: ca. 75 % Baustein Mobile Datenträger Anzahl Anforderungen alt: 59 Anzahl Anforderungen neu (Basisabsicherung): 21 Einsparung: ca. 64 % 16

55 % Baustein Allgemeiner Server Anzahl Anforderungen alt: 242 Anzahl Anforderungen neu

15 MEHRSTUFIGE VORGEHENSWEISE VORTEILE DER BASISABSICHERUNG Überschaubarer Aufwand (personell, finanziell) Reduzierung schwerwiegender Bedrohungen/Risiken im gesamten IT- Verbund Zügige Umsetzung möglich Erfahrungen sammeln Etablieren wichtiger Grundlagen IS-Organisation (z. B. Rollen, Aufgaben, Berichtswege) Prozesse (z. B. Malware-Schutz,) Dokumente (z. B. Leitlinie, Prozesse, Richtlinien) Awareness/Sensibilisierung Auditoren-Bestätigung möglich 17

sammeln Etablieren wichtiger Grundlagen IS-Organisation (z. B. Rollen, Aufgaben, Berichtswege) Prozesse (z. B. Malware-Schutz,) Dokumente (z.

16 MEHRSTUFIGE VORGEHENSWEISE VORTEILE DER KERNABSICHERUNG Kleiner Geltungsbereich des ISMS Überschaubarer Aufwand (personell, finanziell) Schnelle Umsetzung Reduzierung relevanter Bedrohungen/Risiken Schutz wichtiger Vermögensgegenstände (z. B. Geschäftsprozesse, Daten) Zügige Umsetzung möglich Erfahrungen im kleinen Informationsverbund sammeln Etablieren wichtiger Grundlagen IS-Organisation (z. B. Rollen, Gremien, Berichtswege) Prozesse (z. B. Malware-Schutz, Hochverfügbarkeitskonzeption) Dokumente (z. B. Leitlinie, Prozessdokumentation, Richtlinien) Awareness/Sensibilisierung Auditoren-Bestätigung möglich 18

drohungen/Risiken Schutz wichtiger Vermögensgegenstände (z. B.

17 MEHRSTUFIGE VORGEHENSWEISE STANDARDABSICHERUNG Vorteileder Standardabsicherung: Angemessenes Informationssicherheitsniveau Übersicht über Gesamt-Risikoexposition Reduzierung untragbarer Risiken im gesamten IT-Verbund Zertifikat möglich Nachteile der Standardabsicherung: Relativ hoher Aufwand (personell, finanziell) Relativ hoher Zeitaufwand 19

Reduzierung untragbarer Risiken im gesamten IT-Verbund Zertifikat möglich Nachteile

18 DER MODERNISIERTE IT-GRUNDSCHUTZ Neue Möglichkeiten 20

19 NEUE VORGEHENSWEISEN 1. Kernabsicherung Kernabsicherung(-en) Basisabsicherung Standardabsicherung 2. Basisabsicherung Kernabsicherung Standardabsicherung Kernabsicherung(-en) Basisabsicherung 3. Kernabsicherung(-en) Standardabsicherung Kernabsicherung(-en) 21

20 IT-GRUNDSCHUTZ-PROFILE Anpassung des IT-Grundschutzes auf Anwendergruppen Wasserversorger Krankenhäuser Erfüllung der Vorgaben des IT-Sicherheitsgesetzes Definition von branchenspezifische Sicherheitsstandards Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß 8a (2) BSIG ISACA (Leitfaden und Seminar zur Erstellung einer branchenspezifischen Standards gemäß 8a BSI-Gesetz) Mapping von IT-Grundschutz-Maßnahmen möglich Vorteile Aufteilung des Aufwands zur Erstellung und Pflege eines Sicherheitskonzepts Kooperation in Teilbereichen (z. B. Produktauswahl, Dokumentation) Erfahrungsaustausch, Vernetzung Effizientere Einführung eines ISMS 22

(Leitfaden und Seminar zur Erstellung einer branchenspezifischen Standards gemäß 8a BSI-Gesetz) Mapping von IT-Grundschutz-Maßnahmen möglich Vorteile Aufteilung des Aufwands

21 DER MODERNISIERTE IT-GRUNDSCHUTZ Fazit 23

22 KRITISCHE WÜRDIGUNG DER MODERNISIERUNG Lobenswert Flexible Vorgehensweise Skalierbarkeit Aufteilung in Anforderungen und Umsetzungsempfehlungen Dynamisierung durch Profile, Bausteine, Lageinformationen Einbindung der Community und Anwender Breitere Themenabdeckung Berücksichtigung IT-Sicherheitsgesetz Prüffragen oder Listen der Anforderungen Auditoren-Testate bzw. Zertifikate für alle Absicherungsarten Alle Informationen im HTML-Format Schaffung einer Community-Plattform Schlanke Risikomanagement-Methode Standards für mehr wirksame Informationssicherheit Verbesserungspotenzial 24

23 FRAGEN & DISKUSSION 25

24 KONTAKT IHR ANSPRECHPARTNER Stefan BECK Manager Sopra Steria Consulting Information Security Solutions Barcelona-Allee Köln T (0) F. +49 (0) M. +49 (0) stefan.beck@soprasteria.com 26

25 27

Ähnliche Dokumente

DAS IT-SICHERHEITSGESETZ UND SEINE AUSWIRKUNGEN AUF WEB APPLIKATIONEN. Delivering Transformation. Together.

DAS IT-SICHERHEITSGESETZ UND SEINE AUSWIRKUNGEN AUF WEB APPLIKATIONEN Delivering Transformation. Together. AGENDA 1 Kurze Vorstellung 2 Das IT-Sicherheitsgesetz 3 Wie können die Anforderungen umgesetzt