Informationssicherheit als Outsourcing Kandidat

Transkript

1 Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Frankfurt Thomas Freund Senior Security Consultant / ISO Lead Auditor

2 Agenda Informationssicherheit Outsourcing Kandidat 1. Einleitung 2. Anforderungen an Informationssicherheit 3. Rahmenbedingungen 4. / Herausforderungen aus Kundenprojekten 5. Zusammenfassung Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 2

3 Informationssicherheit als Outsourcing Kandidat Das Ergebnis vorweg genommen Ja, es geht, aber nur unter bestimmten Rahmenbedingungen Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 3

4 Bereitstellung Ressourcen Informationssicherheit als Outsourcing Kandidat Anforderungen an Informationssicherheit Um Informationssicherheit zu betreiben sind ausreichend Ressourcen zur Verfügung zu stellen. Dies betrifft sowohl finanzielle als auch personelle Ressourcen. Commitment der Unternehmensleitung Die Unternehmensleitung des Auftraggebers muss für das Thema Informationssicherheit die Verantwortung übernehmen. ISMS-Team Aufbau Es muss ein geeignetes ISMS-Team aufgebaut werden. Die Aufgaben und Verantwortlichkeiten müssen definiert und zugewiesen werden. Auswahl des Verfahrens Es muss das Verfahren (z.b. COBIT, ISO27k oder IT-Grundschutz), nachdem das IT-Sicherheitskonzept erstellt und durchgeführt wird, ausgewählt werden. Hierbei ist zu regeln ob und - wenn ja - welche Zertifizierung angestrebt wird Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 4

5 Outsourcing Vertrag Informationssicherheit als Outsourcing Kandidat Rahmenbedingungen Um externe Unterstützung im Thema Informationssicherheit nutzen zu können, muss zwischen Auftragnehmer und Auftraggeber ein Outsourcing-Vertrag erstellt werden, der die Schnittstelle zwischen Auftraggeber und Auftragnehmer detailliert beschreibt. Regelung der Verantwortlichkeit Der Auftragnehmer übernimmt nicht die Verantwortlichkeit für die Informationssicherheit, sondern unterstützt bei Erstellung, Einführung und Betrieb des ISMS. Vor-Ort Termine Es müssen regelmäßige Vor-Ort Termine zwischen AG und AN durchgeführt werden. Outsourcing im Bereich Informationssicherheit als Managed Service komplett von Remote ist nicht sinnvoll. Ressourcen Es muss klar definiert und geregelt werden, wer welche Ressourcen zur Verfügung stellt Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 5

6 Informationssicherheit als Outsourcing Kandidat aus Kundenprojekten Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 6

7 Informationssicherheit als Outsourcing Kandidat Keine Verantwortung der Unternehmensleitung Die Unternehmensleitung eines KMU hat in dem Outsourcing-Porjekt eine unklare Verantwortung der Informationssicherheit übernommen. Es existierte keine Policy zur Informationssicherheit. Folgende Probleme entstanden dadurch: Das Thema Informationssicherheit wurde vom AG nur grob erfasst, Zu wenig Ressourcen wurden bereitgestellt (intern und seitens des AN), Mitarbeiter (insbesondere im Fachbereich) haben weing/kein Interesse zur Bearbeitung des Themas Die Erstellung des IT-Sicherheitskonzept wird dadurch sehr erschwert Resultat: Eine Unterstützung seitens der Unternehmensleitung ist essentiell zur Erstellung eines IT- Sicherheitskonzeptes und damit letztendlich zur Steigerung der Informationssicherheit des AG Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 7

8 Informationssicherheit als Outsourcing Kandidat Keine Sensibilisierung zur Notwendigkeit der Informationssicherheit Das international aufgestellte Unternehmen hat klare Vorgaben zur Bearbeitung von Informationssicherheit. Die Fachbereiche haben keine klare Sensibilität für die Notwendigkeit von Informationssicherheit. Folgende Probleme entstanden dadurch: Die internen Mitarbeiter kümmerten sich nur oberflächlich um die Erstellung von IT-Sicherheitskonzepten Keine inhaltliche Auseinandersetzung der Mitarbeiter der Fachabteilungen mit dem Thema Informationssicherheit IT-Sicherheitskonzepte wurden durchgereicht Resultat: Informationssicherheit wird durch die zentralen Stellen getrieben und die Erstellung von IT- Sicherheitskonzepten kann durch diese betrieben werden. Innerhalb von Projekten muss jedoch die Sensibilität der Mitarbeiter der Fachabteilungen gestärkt werden Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 8

9 Informationssicherheit als Outsourcing Kandidat Eingliederung in anderes Unternehmen Während der Umsetzung des Outsourcings von Informationssicherheit wird das Unternehmen in ein anderes Unternehmen eingegliedert. Die Informationssicherheit wird durch den Mutterkonzern betrieben. Folgende Probleme entstanden dadurch: Informationssicherheit wurde neu betrachtet, Weiterhin Mitarbeit des AN bis zur Beendigung des Vertrages, Outsourcing wurde beendet Resultat: In dem Fall einer neuen Eingliederung in ein anderes Unternehmen während der Laufzeit des Vertrages ist es wichtig, dass der Auftragnehmer bis zur Beendigung des Vertrages den Kunden unterstützt Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 9

10 Know-How Auftraggeber Informationssicherheit als Outsourcing Kandidat Bei einem neuen Vertrag im Bereich Informationssicherheit ist das Know-How des Auftraggebers zur Informationssicherheit minimal. Bei der Erstellung des Vertrags wurde das Wissen zu Informationssicherheit auf Seiten des AG als durchschnittlich empfunden/dargestellt. Folgende Probleme entstanden dadurch: Kein gemeinsames Grundverständnis zur Informationssicherheit, Die Notwendigkeit und der Inhalt von Tätigkeiten wurden durch den Auftraggeber nicht verstanden, Erhöhte Kosten bei der Durchführung des Vertrags. Resultat: Im Falle des fehlenden Know-Hows auf der Seite des Auftraggebers sind erhöhte Kosten im Projekt zu erwarten. Es muss ein Coaching der Mitarbeiter des Auftraggebers durchgeführt werden, da ein Grundverständnis des Thema Informationssicherheit vorherrschen muss. Das bedeutet zusätzlichen Aufwand, der im ursprünglichen Vertrag nicht abgedeckt ist Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 10

11 Wechsel des Verfahrens Informationssicherheit als Outsourcing Kandidat Innerhalb der Durchführung des Vertrages wird durch Anforderungen von Lieferanten oder durch gesetzliche Anforderungen ein Wechsel des Verfahrens notwendig. Folgende Probleme entstanden dadurch: Bereits geleistete Arbeiten/Ergebnisse waren teilweise unzureichend oder überarbeitungsbedürftig, Nur teilweise konnten die Ergebnisse ohne Überarbeitung weiter verwendet werden, Ein Projektchange oder Neuverhandlung des Vertrags wurde nötig. Resultat: Falls während eines Vertrags das Verfahren gewechselt wird, kann dies weitreichende Konsequenzen nach sich führen. Rechtfertigungsdruck wegen vermeintlicher Verschwendung von Ressourcen entsteht. Generell ist von einem Wechsel abzuraten. Es kann sogar zur Notwendigkeit einer Neuverhandlung des Vertrags kommen Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 11

12 Wenige Vor-Ort Termine Informationssicherheit als Outsourcing Kandidat Der Auftragnehmer möchte wenig Vor-Ort Termine und das Thema Informationssicherheit soll von Außen betrieben werden. Folgende Probleme entstanden dadurch: Neuigkeiten aus dem Unternehmen bekamm der Auftragnehmer nicht mit, Risiko der Diskrepanz von dokumentierter und gelegter Wirklichkeit Mitarbeiter kannten das ISMS-Team nicht, Keine/kaum Auseinandersetzung mit den speziellen Kundenwünschen. Resultat: Innerhalb der Durchführung der Informationssicherheit ist es wichtig, ausreichende Vor-Ort-Termine zu machen. Insbesondere beim Start des Vertrages ist eine regelmäßige Vor-Ort Kommunikation zwingend erforderlich. Bei einem etablierten ISMS können die Vor-Ort Termine dann reduziert werden Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 12

13 Vertrag beendet Informationssicherheit als Outsourcing Kandidat Der Vertrag zur Erstellung und Durchführung eines ISMS wurde beendet. Das Unternehmen führt das ISMS nicht weiter durch. Folgende Probleme entstanden dadurch: Neue Themen im Bereich Informationssicherheit wurden nicht aufgegriffen, Neue gesetzliche Anforderungen wurden nicht beachtet, Die Sensibilität der internen Mitarbeiter sank, Das Niveau der Informationssicherheit sank. Resultat: Ein ISMS ist stets ein kontinuierlicher Prozess und muss auch nach Beendigung des Vertrags mit dem Dienstleister weiterhin betrieben werden. Dies muss innerhalb des Vertrags zum Outsourcing dem Auftraggeber dargestellt werden die Verantwortung für Informationssicherheit nach Vertragsende ist klar zu regeln Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 13

14 Outsourcing? Ja, aber. Informationssicherheit als Outsourcing Kandidat Zusammenfassung Ein Outsurcing im Thema Informationssicherheit ist möglich. Jedoch sind immer Rahmenbedingungen einzuhalten. Verantwortlichkeit bleibt im Unternehmen Die Verantwortlichkeit im Bereich der Informationssicherheit bleibt weiterhin im Unternehmen. Nur die Durchführung eines ISMS kann extern betrieben und bearbeitet werden. Ständige Vor-Ort Termine Regelmäßige Vor-Ort Termine sind wichtig und notwendig. Die Mitarbeiter des Auftragnehmers müssen wissen, wer das Thema Informationssicherheit treibt. Outsourcing-Vertrag Der Outsourcing-Vertrag muss klar definiert werden nicht nur formaljuristisch und finanziell, sondern auch inhaltlich. Alle Verantwortlichkeiten für Aktivitäten und Produkte/Ergebnistypen müssen entsprechend festgeschrieben werden Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 14

15 Informationssicherheit als Outsourcing Kandidat Vielen Dank. Fragen? Allianz zur Cybersicherheit - Informationssicherheit Outsourcing Thomas Freund 15