Cybersecurity Informationssicherheit. Webinar:

Transkript

1 Cybersecurity Informationssicherheit Webinar:

2 Cybersecurity - Informationssicherheit Agenda: Vorstellung Sicherheits-Bedrohungen und Risiken im Wandel der Zeit Beziehung Cybersecurity - Informationssicherheit Aktuelle Bestrebungen und Programme Internationale Normen Zertifizierungen und Ausbildungen

3 Kennen. Wir beraten Sie, wie Sie Ihre IT- Anforderungen in Unternehmensmehrwert verwandeln Business, Strategie und Sourcing Consulting Audit, Assessments und «Readiness-Checks» Sourcing-, Service und Prozess-Improvement- Roadmaps Können. Wir schulen Sie und Ihr Team, damit Sie heute schon fit für die IT-Governance von morgen sind. Cloud Computing und Sourcing Governance Agile Methoden und DevOps Cyber und Information Security Management Service Management IT-Governance und Assessment Architektur Management Projekt Management Tun. Wir begleiten Sie, wenn Sie Ihre IT-Strategien in die Praxis umsetzen Cloud & Sourcing Transformation Governance, Risk & Compliance Service und Sourcing Management Cyber Security und Informations-Sicherheit ITSM Tool-Assessment und - Evaluation

4 Vorstellung Daniel Frutschi CSX Cybersecurity Fundamentals (ISACA) CISA (Certified Information System Auditor/ISACA) CISM (Certified Information Security Manager/ISACA) ISO/IEC Lead Auditor (BSI) CCC Accredited Trainer (CCC) CCC Cloud Service Manager (CCC) ISO/IEC Auditor und Consultant (APMG) ITIL V3 Expert (AXELOS) ITIL Tool Assessor (AXELOS) Consultant Auditor Trainer Partner Glenfis AG

5 Cybersecurity - Informationssicherheit Agenda: Vorstellung Sicherheits-Bedrohungen und Risiken im Wandel der Zeit Beziehung Cybersecurity - Informationssicherheit Aktuelle Bestrebungen und Programme Internationale Normen Zertifizierungen und Ausbildungen

6 Sicherheits-Bedrohungen und Risiken im Wandel der Zeit Aktuelle Trends Cloud Computing Wo sind meine Daten (Werte)? Wer bearbeitet meine Daten? Big Data Informationsverdichtung und Datenschutz? Anwendbares Recht? BYOD (Bring Your Own Device) Verwaltung von Sicherheitsrichtlinien? Häufigkeit von Verlust oder Diebstahl? Löschung von Daten bei Beendigung Anstellung? Social Network (Zu) einfache Veröffentlichung von privaten und geschäftlichen Informationen? Internet of things Verdichtung von Informationen (z.b. Ferien-Abwesenheiten via Parameter von Heizungssteuerungen erkennbar)?

7 Sicherheits-Bedrohungen und Risiken im Wandel der Zeit CH: Melde- und Analysestelle Informationssicherung (MELANI) Halbjahresbericht 2014: Aktuelle Vorfälle (1/2) Pishing mit Website von Bundesamt für Energie (2014) Gefälschte Website, Kreditkarten Informationen für Rückerstattung Heartbleed bei OpenSSL (2014) Sicherheitslücke bei Verschlüsselung, Teile des Key in Memory zugreifbar Spionage und Sabotage-Vorbereitung für Industrieanlagen Trojaner, Back Doors etc. via Mail oder Drive-By Infektionen Hauptsächlich Bereich Energieversorgung Ähnlich wie Stuxnet in Computer Wurm für Siemens Simatic S7 Steuerungen Kriegerische Konflikte Störung von Mobiltelefonie auf der Krim Angriffe auf Webseiten von Russland, Ukraine und NATO Credit/Links [1]

8 Sicherheits-Bedrohungen und Risiken im Wandel der Zeit CH: Melde- und Analysestelle Informationssicherung (MELANI) Halbjahresbericht 2014: Aktuelle Vorfälle (2/2) Aktivitäten von staatliche Organisationen Z.B. Snowden Report betreffend NSA-Affäre: Verheimlichung von erkannten Schwachstellen (z.b. Heartbleed) CISCO Router werden beim Post Versand abgefangen, mit Spionage- Hardware/Software versehen und neu verschickt. Gestohlene Passwörter Botnetwerk 16 Mio Zugangsdaten (Bundesamt für Informationstechnik BSI) Schadsoftware in japanischen Kernkraftwerk Durch Update von Gratis-Videosoftware Abfluss von s Automatisierung der Medizinaltechnik ohne angepassten Schutz Medizinsysteme mit unsicher eingebetteten Webdiensten. Verwendung von Standardpasswörter. Credit/Links [1]

9 Sicherheits-Bedrohungen und Risiken im Wandel der Zeit World Economics Forum (WEF) 2015: Global Risk Report Credit/Links [2]

10 Sicherheits-Bedrohungen und Risiken im Wandel der Zeit EU: European Union Agency for Network and Information Security (ENISA): 2014 Bedrohung Tendenz Bedrohung Tendenz Malicious code: Worms/Trojans Data breaches Web-based attacks Physical damage/theft/loss Web application attacks/injection attacks Botnets Denial of service Spam Phishing Insider threat Information leakage Identity theft/fraud Cyber espionage Ransomware/Rogueware/Scare ware (*) Exploit Kits (*) Ransomware: Schadprogramm, welches dem Nutzer die Kontrolle über den PC oder Daten wegnimmt (z.b. Entschlüsselung der Daten gegen eine Gebühr via Bitcoins) Roqueware: Software, welche nicht angeblichen Nutzen dient (z.b. Anti-Virus Software stiehlt Passwörter) Scareware: Schadprogramm um den Anwender zu verängstigen und damit zu Handlungen zu verleiten (z.b. Zahlung einer Busse) Credit/Links [3]

11 Sicherheits-Bedrohungen und Risiken im Wandel der Zeit Information Systems Audit and Control Association (ISACA): Report 2013 Credit/Links [4]

12 Sicherheits-Bedrohungen und Risiken im Wandel der Zeit Advanced Persistent Threat (APT) APT stellen eine neue Qualität der Bedrohung dar. Sie benötigen einen grösseren Aufwand und eine längere Zeit um ihr Ziel zu erreichen. Einsatz von APTs und ihre Ziele: Staatliche Geheimdienste (Politische-, Militärische- oder Geschäfts-Geheimnisse ) Kriminelle Vereinigungen (Kreditkarten-Infos, Geldtransfer ) Terroristen (Erpressung, Terror ) Aktivisten (Vertrauliche Informationen für ideologische Ziele ) Militär (Elektronische Kriegsführung ) Die Merkmale sind: Längere Planungsphase. APTs sind keine keine Ad-Hoc Aktionen. Das Ziel wird oft längere Zeit ausgekundschaftet, der Angriff umfassend geplant. Speziell auf das Ziel konzipiert. Durch die Planungsphase können diverse Angriffs- Vektoren geplant und benutzt werden (z.b. Social Engineering, Drive-By etc.). Allfällige Gegenmassnahmen werden konstant geprüft und umgangen. Persistenz (langanhaltend): Der Angriff kann Monate, wenn nicht Jahre dauern.

13 Cybersecurity - Informationssicherheit Agenda: Vorstellung Sicherheits-Bedrohungen und Risiken im Wandel der Zeit Beziehung Cybersecurity - Informationssicherheit Aktuelle Bestrebungen und Programme Internationale Normen Zertifizierungen und Ausbildungen

14 Beziehung Cybersecurity - Informationssicherheit Informationsicherheit und Cybersecurity Definition gemäss ISACA: Informationssicherheit: Behandelt die Sicherheitsaspekte unabhängig vom Format der Information (Papierdokumente, digitalisierte Dokumente, Datenbanken, IPRs etc) Cybersecurity: Behandelt die Sicherheitsaspekte von digitalen Werten (von Netzwerk, Hardware, Informationen etc.) Zusätzlich die neuen Bedrohungen wie APTs. Cybersecurity ist ein Bestandteil von Informationssicherheit ISO/IEC : Guidelines for Cybersecurity Als Ergänzung zur Norm ISO/IEC Information Security Management System (ISMS) Cybersecurity: Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Cyberspace. Information Security Application Security Cybersecurity Network Security Internet Security Critical Information Infrastructure Protection

15 Cybersecurity - Informationssicherheit Agenda: Vorstellung Sicherheits-Bedrohungen und Risiken im Wandel der Zeit Beziehung Informationssicherheit und Cybersecurity Aktuelle Bestrebungen und Programme Internationale Normen Zertifizierungen und Ausbildungen

16 Aktuelle Bestrebungen und Programme NIST Cybersecurity Framework (using COBIT 5) In den USA gab es wiederholte Angriffe (Kreditkarten, Passwörter, SONY) 2013: US Präsident Barack Obama sieht Bedarf für ein Cybersecurity Framework (CSF). Internationale Organisationen und NIST (National Institute of Standards and Technologie) erstellen einen Entwurf. ISACA integriert das bestehende COBIT 5 Framework in das CSF. ISACA enwickelt einen Guide für die Implementierung des CSF. 2015: Das CSF wird von Barack Obama offiziell freigegeben. Budget für Umsetzung 2015: 14 Milliarden US$ Ziel: Austausch von Security relevanten Informationen vom Privaten Sektor mit U.S. Homeland Security. Modernisierung der Vollzugsbehörden für die Anforderungen von Cybersecurity Kommunikation von Verletzungen der Informationssicherheit Weitere Ziele Schutz der Personal Identifiable Informationen (PII), wie Kreditkarten etc. Schutz der Studenten an den Universitäten (Vermutlich eher Schutz der Forschung) Credit/Links [5]

17 Aktuelle Bestrebungen und Programme CH: Bundesgesetz über Informationssicherheit (ISG) 2014: Entwurf für ein Bundesgesetz über Informationssicherheit. Regelt: Risikomanagement, Klassifizierung, Betriebssicherheitsverfahren etc. Anwendbar: Bundesverwaltung, Armee, Parlament, Bundesverwaltung, Nationalbank u.ä. Kantone, Wirtschaft und Private nur, falls sie für den Bund sicherheitsrelevante Aufträge ausführen. 2014: Vernehmlassung abgeschlossen Das ISG wird allgemein begrüsst. Ja, aber Die Opting Out Regel für Behörden und Kantone wird hinterfragt, keine durchgängige Lösung. Unterschiedliche Kantone haben unterschiedliche Anforderungen ( Kantönligeist ) Bundesgesetz ist noch nicht verabschiedet Credit/Links [6]

18 Aktuelle Bestrebungen und Programme ENISA Cloud Certification Schemes List (CCSL) CCSL ist eine Auflistung von bestehenden Zertifizierungen für Cloud Consumer: Certified Cloud Service TUEV Rheinland Cloud Security Aliance CSA Attestation ISO/IEC CCSL zeigt die Charakteristiken der verschiedenen Zertifizierungen auf und beantwortet Fragen wie: Was sind die verwendeten Audit Kriterien? Wer führt ein Audit durch? ENISA Cloud Certification Schema Metaframework (CCSM) CCSM ist ein Metaframework der bestehenden Zertifizierungs Schemas. Kontrollziele können zu den Schemas gemappt werden. Ein Online Tool hilft bei der Evaluation von Cloud Service Provider. Kontrollziele können selektiert und Fragebogen und Checklisten erstellt werden. Credit/Links [7]

19 Aktuelle Bestrebungen und Programme EuroCloud Europäische Vereinigung zur Förderung von Cloud Lösungen Self-Assessment für Cloud Lösungen ( 400.-) Breites Angebot an Zertifizierungen: EuroCloud Star Audit: Angeblich umfassender als ISO/IEC Raiffeisen Informatik, Wien (A), SaaS: Premium Business Cloud Pironet, Köln (D), SaaS: Pironet Office Web Apps Personen Organisation Auditor Ambassador Credit/Links [8]

20 Cybersecurity - Informationssicherheit Agenda: Vorstellung Sicherheits-Bedrohungen und Risiken im Wandel der Zeit Beziehung Cybersecurity - Informationssicherheit Aktuelle Bestrebungen und Programme Internationale Normen Zertifizierungen und Ausbildungen

21 Internationale Normen Auszug ISO Normen der er Serie (Information Security) ISO/IEC : Overview and vocubulary ISO/IEC : Information Security Management System (ISMS) Requirements ISO/IEC : Code of practice for information security controls ISO/IEC : Implementation guidance ISO/IEC : Measurements ISO/IEC : Risk management ISO/IEC : Code of practice for telecommunication organizations ISO/IEC : Code of practice for cloud service (draft) ISO/IEC : Code of practice for protection for personally identfiable information (PII) ISO/IEC : Guidelines for cybersecurity Weiter ISO Normen ISO/IEC TR 27019: Information security guidelines for energy utility industry ISO : Health informatics infomation security management in health using ISO/IEC ISO : Information security for supplier relationship Part 3: Supply chain security ISO : Cloud Computing Overview and vocabulary ISO : Cloud Computing Reference Architecture Credit/Links [9]

22 Cybersecurity - Informationssicherheit Agenda: Vorstellung Sicherheits-Bedrohungen und Risiken im Wandel der Zeit Beziehung Cybersecurity - Informationssicherheit Aktuelle Bestrebungen und Programme Internationale Normen Zertifizierungen und Ausbildungen

23 Zertifizierungen und Ausbildungen Organisationen ISO/IEC Information Security Management System (evt. mit Kombination mit weiteren Guidelines) ISO/IEC IT Service Management (sinnvolle Ergänzung für einen Service Provider) Cloud Services Cloud Security Alliance EuroCloud Star Audit Personen ISO/IEC Foundation (z.b. Glenfis AG) CSX Cybersecurity Fundamentals (z.b. Glenfis AG ab 2015/Q2) How to implement NIST Cybersecurity Framework (z.b. Glenfis AG ab 2015/Q3) COBIT 5 Foundation (z.b. Glenfis AG) Als Vorbereitung für How to implement NIST Cybersecurity Framework Certified Information Security Manager (ISACA)

24 Cybersecurity - Informationssicherheit Credits and Links [1] Melde- und Analysestelle Informationssicherung (MELANI): MELANI Halbjahresbericht 2014, [2] World Economic Forum: The Global Risks Report 2015; [3]Europan Union Agency for Network and Information Security (ENISA): ENISA s Threat Landscape 2014, [4] Information Systems Audit and Control Association (ISACA): Responding to Targeted Cyberattacks; [5] NIST Cybersecurity Framework using COBIT 5; [6] Entwurf eines Bundesgesetzes über die Informationssicherheit (ISG); [7] ENISA Cloud Certification Schemes Metaframework; resilience.enisa.europe.eu [8] EuroCloud; [9] International Institution of Organization;

25 Fragen?

26 Vielen Dank für Ihre Teilnahme! Aufzeichnung des Webinars ist abrufbar ( Folgen Sie unserem Blog: blog.itil.org/tag/cloud Trainingsübersicht: Nächstes Webinar: Cloud Sourcing Prozess: Vorgehensweise und Fallstricke 29. Mai 15:00

27 Nächstes Webinar: 15:00 Ben Martin Cloud Sourcing Prozess: Vorgehensweise und Fallstricke Mit der kürzlich Freigabe der Standards ISO Guidance on Outsourcing und ISO Cloud computing Reference architecture wird es tendenziell einfacher werden, den Sourcing Prozess für neue Cloud Services strukturiert und geordnet zu definieren und zu implementieren. Das Webinar hat das Ziel, die Prozesse und Vorgehensweisen für das onbording von Cloud Services vorzustellen. Nehmen Sie an unserem Webinar teil. Es findet statt am um 15:00 Anmeldung: Nach der Anmeldung erhalten Sie eine Bestätigungs- mit Informationen zur Teilnahme am Webinar.

28 Glenfis AG Badenerstrasse Zürich Schweiz +41 (0) (0) glenfis.ch shop.glenfis.ch blog.itil.org