IT-Security Governance und Awareness im RWE-Konzern

Transkript

1 IT-Security Governance und Awareness im RWE-Konzern IBM Club of Excellence, , Starnberg Dr. Joachim Cramer cronos Unternehmensberatung RWE IT GmbH Date Field Footer Field SEITE 1

2 Agenda > Kurzübersicht RWE Konzern > Bedeutung, Gefahren- und Problembereiche der Informationssicherheit > Elemente des IT Governance Frameworks für die IT-Sicherheit > Elemente und Erfolgsfaktoren der Awareness-Kampagne für die Informationssicherheit > Weiterentwicklung des Governance-Frameworks für die IT-Sicherheit RWE IT Gm bh Date Field Footer Field SEITE 2

3

4 Die IT-Durchdringung der Geschäftsprozesse der RWE ist hoch Mehrere 100 IT-Anwendungssysteme Große SAP-Anwendungen, z. B.: IT-Anwendungen SAP Enterprise Portal mit mehr als Usern SAP ERP Systeme mit Usern, größtes ERP System mit Usern. ca Personal Computer IT-Infrastruktur IT-Budget IT-Mitarbeiter ca. 70% Desktop PC ca. 30% Notebooks ca Blackberrys / PDAs ca. 700 Mio. Euro ca RWE IT GmbH Date Field Footer Field SEITE 4

5 Agenda > Kurzübersicht RWE Konzern > Bedeutung, Gefahren- und Problembereiche der Informationssicherheit > Elemente des IT Governance Frameworks für die IT-Sicherheit > Elemente der Awareness-Kampagne für die Informationssicherheit > Weiterentwicklung des Governance-Frameworks für die IT-Sicherheit RWE IT Gm bh Date Field Footer Field SEITE 5

6 Die Bedeutung der IT-Sicherheit für ein Unternehmen steigt mit der Bedeutung der IT > Ziel ist die Erreichung eines angemessenen IT-Sicherheitsniveaus für das jeweilige Geschäft 12% > Eine ganzheitliche Betrachtung von IT- und Informationssicherheit ist erforderlich Sicherheit Informationssicherheit 42% 13% > Das Bewusstsein auf Geschäftsseite ist zu verbessern IT-Sicherheit 33% Informationssicherheit ist*... Mehrwert für andere Bereiche vorrangiges Ziel der IT gleichrangiges Ziel der IT eher "lästiges Übel" * Quelle: <kes> Sicherheitsstudie 2008 RWE IT GmbH Date Field Footer Field SEITE 6

7 Es existieren viele Gefahren für die IT- und Informationssicherheit in Unternehmen > Malware sowie Irrtum und Nachlässigkeit eigener Mitarbeiter sind größter Gefahrenbereich für Informationssicherheit Bedeutung der Gefahrenbereiche für die Informationssicherheit Malware (Viren, Würmer, Troj. Pferde,...) Bedeutung heute Rang Priorität 1 1,12 Schäden ja, bei 21 % > Mangel an Bewusstsein und Geld sind das größte Hindernis für Informationssicherheit Irrtum und Nachlässigkeit eigener Mitarbeiter Hacking (Vandalismus, Probing, Missbrauch, ) Unbefugte Kenntnisnahme, Informationsdiebstahl, Wirtschaftsspionage ,93 0,58 0,55 36 % 11 % 12 % > Governance und Schaffung eines Bewusstseins sind Erfolgsfaktoren für IT- und Informations- Sicherheit Bei der Verbesserung der Informationssicherheit behindern am meisten: Es fehlt an Bewusstsein bei den Mitarbeitern Es fehlt an Bewusstsein und Unterstützung im Top-Management Es fehlt an Bewusstsein beim mittleren Management Es fehlt an Geld Es fehlen verfügbare und kompetente Mitarbeiter Die Kontrolle auf Einhaltung ist unzureichend 69 % 55 % 45 % 43 % 43 % 41 % Es fehlt an Möglichkeiten und Durchsetzung sicherheitsrelevanter Maßnahmen 38 % * Quelle: <kes> Sicherheitsstudie 2008 Es fehlen die strategischen Grundlagen / Gesamt-Konzepte 36 % RWE IT GmbH Date Field Footer Field SEITE 7

9 Das IT Governance Framework definiert den Rahmen für das Management der IT-Sicherheit RWE IT GmbH Date Field Footer Field SEITE 9

10 Das IT Governance Framework wird durch konzernweite IT Initiativen umgesetzt Anforderungen IT Strategie IT Architektur IT Governance IT Organisation IT Sicherheitsstatus A Zugriff auf vertrauliche Informationen gemäß "need-to-know-"prinzip Identity Management! Leitfaden Berechtigungsmanagement! Standard IDM-Werkzeug! CIO! IT Governance Council! Berechtigungsmanagementprozesse Umsetzungsgrad Maßnahmen Informationssicherheit! IT-Sicherheitsverantwortlicher B Kontinuität kritischer Geschäftsprozesse auch im Notfall IT Service Continuity Management! Leitfaden Business Continuity Management! Standard Notfallservice! Konzernarbeitsgruppe IT Sicherheit! IT Standardisierungsgremium! Notfallmanagementprozesse Umsetzungsgrad Maßnahmen IT Service Continuity Management C Sichere mobile Unterstützung der Geschäftsprozesse Sichere mobile IT Devices! Sicherheitsstandards Windows XP Client! Sicherheitsstandards BlackBerry! Standardisierungsprozesse! Patch Management Prozesse Roll-Out-Level sicherer mobiler IT-Infrastrukturen RWE IT GmbH Date Field Footer Field SEITE 10

11 Standardisierte IDM-Prozesse und -Werkzeuge stellen den Zugriff auf vertrauliche Informationen sicher! Weniger (komplexe) Benutzerkonten! Effizientere Einrichtung oder Änderung von Berechtigungen Business Anforderungen IT Anforderungen! Durchgehende IT-Unterstützung der Beantraguns- und Genehmigungs-prozesse! Standardisierung und Automatisierung der Benutzeradministration! Berechtigungs- Management- Werkzeuge! Single-Sign-On- Werkzeuge Technologische Entwicklungen Identity Management Gesetzliche / Regulatorische Anforderungen! Transparenz über aktuell eingerichtete Berechtigungen! Lückenloser Nachweis über Berechtigungs-historie RWE IT GmbH Date Field Footer Field SEITE 11

12 Eine systematische Vorgehensweise stellt die Kontinuität kritischer Geschäftsprozesse auch im Notfall sicher Definiere Business Continuity Grundlagen Definiere Business Implementiere Business Entwickle Business Continuity Anforderungen Continuity AnforderungenContinuity Plan Teste und optimiere Business Continuity Plan A u f g a b e n! Definition BCM- Begriffe! Analyse Kritikalität Geschäftsfunktionen! Definition Business Continuity Anforderungen (je IT- Anwendung)! Harmonisierung! Festlegung BCM- Szenarien! Festlegung zu analysierender Geschäftsfunk-tionen! Definition Wiederanlaufklassen (max. Wiederan-lauf- und Daten-verlustzeit) Business Continuity Anforderungen (für IT-Architektur)! Entwicklung Lösungsansätze zur Implemen-tierung Business Continuity-Anforderungen (je IT- Anwendung)! Vereinbarung Service Level Agreements zur Implementierung Lösungsansatz (für IT-Architektur)! Entwicklung Business Continuity Plan! Benennung verantwortlicher Rollen-inhaber zur Umset-zung und Aktuali-sierung BC-Plan! Information über BC-Plan und ggf. Schulung relevan-ter Mitarbeiter! Planung Szenarien zum BC-Plan-Test! Durchführung Szenarien zum BC-Plan-Test! Auswertung Testszenarien und Ableitung Maßnah-men zur Verbesse-rung BC-Plan E r g e b n i s! BCM- Grundlagen! Business Continuity Anforderungen (je IT-Anwendung)! Service Level Agreements (inkl. Business Continuity-Anforderungen je IT- Anwendung)! Business Continuity Plan! Business Continuity Verbesserungsmaßnahmen RWE IT GmbH Date Field Footer Field SEITE 12

13 Standards für Verschlüsselung schützen vertrauliche Informationen auf mobilen IT-Devices Verschlüsselte Festplatten Verschlüsselter USB-Stick Sichere mobile IT Devices Verschlüsselte Dateien/ Verzeichnisse Verschlüsselte und signierte s RWE IT GmbH Date Field Footer Field SEITE 13

15 Die Awareness Kampagne schafft Bewusstsein für Themen der Informationssicherheit Ziele Botschafter > Information und Sensibilisierung der Mitarbeiter für angemessenen Umgang mit Informationen und Daten im dienstlichen und privaten Umfeld > Nutzung lebendiger und unkonventioneller Wege und Medien zur nachhaltigen Schaffung und Bewahrung des Bewusstseins der Mitarbeiter für Informationssicherheit Penny Pollmeyer Walt Jens Frau Sherpa RWE IT GmbH Date Field Footer Field SEITE 15

16 Die Awareness Kampagne nutzt verschiedene Medien um relevante Themen zu transportieren Medien Informationswege Themen > Verantwortung: Informationsschutz ist nicht nur Chefsache > Umgang mit vertraulichen Informationen: Woher weiß ich, wie schützenswert eine Information ist? Und wenn ich es weiß, wie gehe ich damit um? > Zutritt und Zugriff: Wissenswertes zum geschützten Zutritt zu Gebäuden und zum Zugriff auf Daten und Informationen > Am Arbeitsplatz und außer Haus: Was sollte man am Arbeitsplatz und unterwegs beachten? > Mitarbeiterzeitschrift (, ") > Kalender (, "") > Themen-Flyer (, "") > Give Aways (, "") > Konzern-Intranet (, "") > Bildschirmschoner (, "") > Web Based Training (, "") > Interaktive Ausstellung (, " ") > Life-Hacking (, """) > Cartoons > Animationen > Kurzfilme Zeit/Aufwand/Kosten: gering mittel hoch Awareness Effekt: gering " mittel "" hoch """ RWE IT GmbH Date Field Footer Field SEITE 16

17 Agenda > Kurzübersicht RWE Konzern > Bedeutung, Gefahren- und Problembereiche der Informationssicherheit > Elemente des IT Governance Frameworks für die IT-Sicherheit > Elemente und Erfolgsfaktoren der Awareness-Kampagne für die Informationssicherheit > Weiterentwicklung des Governance-Frameworks für die IT-Sicherheit RWE IT Gm bh Date Field Footer Field SEITE 17

18 Das Governance-Framework für die IT-Sicherheit wird kontinuierlich weiterentwickelt IT Architektur > Weiterentwicklung der IT Sicherheitsrichtlinien zu einem Information Security Management System gemäß ISO > Weiterentwicklung der IT-Sicherheitsstandards für mobile Endgeräte IT Governance > Weiterentwicklung der IT-Sicherheitsorganisation zwecks engerer Integration von Informations- und IT-Sicherheit IT Organisation > Weiterentwicklung der Patch Management Prozesse > Weiterentwicklung der Incident Management Prozesse IT Sicherheitsstatus > Weiterentwicklung des IT Security Statusreporting für das Top-Management RWE IT GmbH Date Field Footer Field SEITE 18

19 Zusammenfassung Die Bedeutung der IT-Sicherheit und der Informationssicherheit für das Geschäft hat zugenommen. IT- und Informationssicherheit müssen ganzheitlich betrachtet und umgesetzt werden. Eine klare und umfassende Governance und die nachhaltige Schaffung eines Bewusstseins für IT- und Informationssicherheit sind unabdingbare Erfolgsfaktoren. Die Elemente eines Governance-Frameworks für die IT- und Informationssicherheit müssen konsistent ineinander greifen, konsequent umgesetzt und kontinuierlich weiterentwickelt werden. Zur Schaffung eines nachhaltigen Bewusstseins für IT- und Informationssicherheit sind lebendige und unkonventionelle Wege und Medien erforderlich. RWE IT GmbH Date Field Footer Field SEITE 19

20 Make it safe. Make it work. Vielen Dank für Ihre Aufmerksamkeit! Dr. Joachim Cramer RWE IT GmbH IT Governance IT Infrastructure & IT Security Opernplatz 1, Essen RWE IT GmbH Date Field Footer Field SEITE 20