Wirkungsvolle Lösungsansätze für einen störungsfreien IT-Betrieb

Transkript

1 Wirkungsvolle Lösungsansätze für einen störungsfreien IT-Betrieb Michael Meixner, CISSP Manager Security & Privacy Services

2 Agenda Verlosung: Web-Applikation Audit, Client-Site Penetration Audit Fehleinschätzungen Lösungsansätze technologieneutral, herstellerunabhängig Wieso IT-Security Deloitte Wir zertifizieren keine Brandschutztüren

3 Verlosung

4 Verlosung Die Gewinner erhalten von Deloitte jeweils einen Gutschein für die Durchführung eines Web-Applikation Audits bzw. eines Client-Site Penetration Audits Web-Applikation Audit Cross Site Scripting (XSS), SQL-Injection, PHP-File Inclusion, Cross Site Tracing (XST), OS Commanding vulnerabilities, Cross Site Request Forgery (XSRF) Umfang des Audits: Vorbesprechung Koordinierte Durchführung Qualitätssicherung - Kurzbericht Abschlussbesprechung Wert: EUR 1.400,-- Client-Site Penetration Audit Versuch kontrolliert von außen in Ihr Firmen LAN einzudringen Umfang des Audits: Vorort Durchführung des Audits Wissenstransfer über aktuelle Angriffsmuster und Methoden Qualitätssicherung Kurzbericht Wert: EUR 2.800,--

5 Fehleinschätzungen

6 Weit verbreitete Irrtümer..Ich setze eine Firewall und ich bin sicher..unser Unternehmen setzt auf VPN Technologie und laut dem Hersteller sind wir TOP geschützt.. wir setzen nur komplexe Passwörter ein, die mindestens 8 Zeichen lang sind! Unser Virenscanner hat bis heute noch jeden Virus gefunden

7 Firewall Design - Ruleset

8 Lösungsansätze Wer darf Firewall Regeln ändern? Werden alle Firewall Regeln geloggt? Werden die FW-Logfiles auch einem Review unterzogen? Existieren sogenannte any to any Verbindungen? Sind spezielle FW-Rule als Alert Rules hinterlegt? Hat Ihr Unternehmen eine VPN-Policy? Ist Split-Tunnel aktiviert? Wie viele Passwort Datenbanken hat Ihr Unternehmen? Würde ich es mitbekommen wenn die Datenbank geklaut werden würde? Wann wurde Ihre AV Lösung das letzte mal getestet?

9 Lösungsansätze

10 Weit verbreitete Irrtümer bei IT Sicherheit..wen interessiert schon mein Business?..technische Lösungen alleine machen Sicher.. Sicherheit geht mich nichts an, ich habe alle IT- Systeme outgesourced

11 Möglicher Lösungsansatz

12 Sechs Schritte zu einem wirkungsvollen Lösungsansatz Risiken erkennen Was ist wichtig / wo sind die Chancen? Strategie erarbeiten Wohin will ich? Gesetzliche Rahmenbedingungen berücksichtigen Was betrifft mich / und in welchem Umfang? Prozesse festlegen Abläufe / Verantwortlichkeiten Kontrollziele definieren Bezogen auf das Risiko und die Strategie Kontrollmaßnahmen erarbeiten Präventive Kontrollen Aufdeckende Kontrollen Technik / Umsetzung Technologieauswahl Herstellerauswahl Implementierung

13 Chancen- und Risikomanagement ermöglicht.. den Security Fokus auf die wirklich wichtigen Bereiche lenken das spart unnötige Sicherheitsaufwände auch nicht-routinemäßige Abläufe abzudecken 50% Routinekontrollen / 30% wesentliche Kontrollen / 15% Produktion kritisch im Fehlerfall die Ressourcen zielgerichtet einzusetzen Kein verzetteln in unwichtigen Details eine bedarfsgerechte Darstellung der gesetzten Kontrollen Berichtswesen und Reporting konzentrieren sich auf die wesentlichen Punkte Veränderungen schnell zu erkennen Auf geänderte Rahmenbedingungen kann schneller reagiert werden

14 Deloitte Risk Intelligence Map Enthält umfangreiche Auflistung an Risikodefinitionen, die für die meisten Unternehmen größte Relevanz haben Liefert eine einheitliche Sprache der Risikodefinition Dient als Diskussionsgrundlage zur Risiko-Identifikation und Bewertung Zeigt die Querverbindungen und Abhängigkeiten von RM Silos Pendant zur Deloitte Value Map

15 Wieso IT-Security?

16 Neues Gesetz in Deutschland ab 1. September 2009 DE: Neuer Bestandteil des Bundesdatenschutzgesetzes ist der Artikel 42a zur 'Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten'. Er betrifft Unternehmen und öffentliche Stellen, über deren Systeme sich ein Unbefugter Zugriff auf vertrauliche Daten verschafft. Die Daten, die das Gesetz meint, sind neben Bank- oder Kreditkarteninformationen auch personenbezogene Angaben wie ethnische Herkunft oder Gewerkschaftszugehörigkeit sowie Daten zur Gesundheit oder zu strafbaren Handlungen. Unternehmen oder öffentliche Stellen müssen demnach alle Betroffenen informieren, wenn ihre Daten von Unbefugten eingesehen wurden. Vorgesehen ist entweder eine direkte Benachrichtigung oder wenn eine Benachrichtigung anders nicht möglich ist - durch halbseitige Anzeigen in zwei überregionalen Tageszeitungen. Die Gesetzesänderung ist Teil eines größeren Pakets an datenschutzrechtlichen Vorschriften, das der Bundestag kurz vor der Sommerpause verabschiedet hatte.

17 US Security Spezialisten schätzen, dass nur ca. 40% der Unternehmen Sicherheitsvorfälle melden!

18 Deloitte Wir zertifizieren keine Brandschutztüren

19 Deloitte - Security & Privacy Services Highlights Mehr als Security, Privacy und IT-Risk Management Professional weltweit Über 1,000 Certified Information Systems Security Professionals (CISSP) Mehr als 2,000 Certified Information Systems Auditors (CISA) weltweit / Certified Information Security Managers (CISM) weltweit Mehr als 50 ISO series Qualified Lead Auditors and Implementation Experten 30 verbundene Security Technology Centers (STCs) verteilt auf der ganzen Welt

20 Deloitte ERS Dienstleistungen

21 Herzlichen Dank für Ihre Aufmerksamkeit

22 Audit Wirtschaftsprüfungs GmbH Martin Novak, CISSP Manager ERS Security & Privacy Renngasse 1/Freyung 1010 Wien, Österreich Tel +43(0) Fax +43(0) Namen und Kontaktadressen Member of Deloitte Touche Tohmatsu Deloitte Audit Wirtschaftsprüfungs GmbH Michael Meixner, CISSP Manager ERS Security & Privacy Renngasse 1/Freyung 1010 Wien, Österreich Tel +43(0) Fax +43(0) Member of Deloitte Touche Tohmatsu Deloitte Audit Wirtschaftsprüfungs GmbH Rudolf Mayer, CISSP Senior ERS Security & Privacy Renngasse 1/Freyung 1010 Wien, Österreich Tel +43(0) Fax +43(0)