Rudolf Schraml. Beratung und Vertrieb IT-Security und IT-Risikomanagement

Transkript

1 Rudolf Schraml Beratung und Vertrieb IT-Security und IT-Risikomanagement

2 CISO (Chief Information Security Officer) Ein IT-Job mit Zukunft

3 Inhalt Wer oder was ist ein CISO? Warum ein CISO? IT - Risikomanagementprozess Was tut ein CISO Risikobewertung Abhängigkeiten Zeitmodelle Chancen mit einem CISO 3

4 Wer oder was ist der CISO Ein Chief Information Security Officer (CISO) bezeichnet die Rolle des Verantwortlichen für Informationssicherheit in einer Organisation. (Wikipedia) Die Aufgaben variieren in der Praxis je nach Bedürfnis der Firma, die diese Rolle ausschreibt und besetzt, sie können aber auch von den einschlägigen Normen zur Informationssicherheit (BSI GS, ISO 27001, ) abgeleitet werden. (Wikipedia) Diese Rolle kann sowohl durch extern als auch durch intern besetzt werden Keine gesetzliche Verpflichtung wie der bdsb 4

5 Warum ein CISO Hohe IT-Risiken lauern im Geschäftsbetrieb Logistik Produktion Office / kfm. Administration. Die IT Security muss verwaltet werden Oftmals Selbstläufer ohne Konzept Oder läuft nebenbei mit Nicht nur Technik, zum Großen Teil Organisation. 4-Augen Prinzip (Kontrolle) notwendig Vergabe von Kritische Berechtigungen. 5

6 Warum ein CISO Die IT-Risiken werden komplexer PRISM NSA Cloud Big Data zunehmende Vernetzung der Systeme untereinander Die Zeit der Admins wird immer weniger Recherchezeiten Einarbeitung in neue Techniken Die Systeme müssen laufen 6

7 Warum ein CISO Die Angriffsmöglichkeiten werden einfacher USB Gadget am Parkplatz (oder beim G20 Gipfel) Zwölfjähriger Kanadier bekennt sich schuldig für Einbrüche in Webseiten - Ein zwölfjähriger kanadischer Schüler soll im Auftrag der Hackergruppe Anonymous verschiedene Webseiten in Kanada lahm gelegt haben Quelle: heise online :43 7

8 Warum ein CISO Die Fehleranfälligkeit der User unterbinden Interner Mitarbeiter versendet versehentlich Konstruktionsdaten an Externen Empfänger Versehentlich Herausgegebene Notizen von Geheimnisträgern 8

9 IT-Risikomanagementprozess Wie sieht der typische IT-Risikomanagementprozess aus? Risikoerkennung Risikoanalyse Implementierung Risikostrategie Definition Risikoüberwachung Automatisierung? 9

10 Was tut ein CISO Übernimmt Lenkungsaufgaben Schafft Sensibilität Nicht alles was kostenlos ist, ist sicher! Informiert sich und andere über neue Risiken Berät und schult Mitarbeiter Kunden Geschäftsleitung Schaut voraus Erkennt und bewertet Risiken im IT-Betrieb Unterstützt bei der Minimierung der IT-Risiken 10

11 Auswirkung Risikobewertung Katastrophe Wesentlich Mäßig Niedrig zu Vernachlässigen Katastrophe STOP Unakzeptabel 15 Sofortige Aktion Unerwünscht 8-12 Aktion Akzeptabel 4-6 Überwachen Erwünscht 1-3 Keine Aktion notwendig ferne Zukunft Gelegentlich nicht wahrscheinlich wahrscheinlich Eintrittswahrscheinlichkeit häufig Formel für die Berechnung: R=pE x se R = Risko pe = Eintrittswahrscheinlichkeit se = Auswirkung 11

12 Abhängigkeiten Wovon ist der Einsatz eines CISO abhängig? Mitarbeiterzahl? Komplexität der IT Systeme? Anzahl der Clients / Standorte /? Ausmaß der Außenbeziehungen? Branchenzugehörigkeit? Schutzbedürftigkeit der Daten?.. 12

13 Abhängigkeiten Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Geschäftsstrategie und Informatikeinsatz Die Geschäftsstrategie basiert wesentlich auf der Nutzung des Internets bzw. von neuen Technologien sowie aktivem Informationsaustausch über Datennetze. Die Geschäftsstrategie basiert teilweise auf der Nutzung des Internets bzw. von neuen Technologien; wichtige Geschäftsprozesse basieren auf Informationsaustausch über Datennetze. Die Geschäftsstrategie ist kaum von neuen Technologien abhängig; wichtige Geschäftsprozesse nutzen diese Technologien aber bereits. Die Geschäftsstrategie ist nicht von neuen Technologien (z.b. Internet oder e-commerce) abhängig. Innovationsgrad beim Informatikeinsatz Das Unternehmen nutzt eine moderne und komplexe IT-Infrastruktur und adaptiert aufkommende Technologien deutlich vor der Branche. Das Unternehmen nutzt eine komplexe IT- Infrastruktur und adaptiert neue Technologien ohne Verzögerung. Das Unternehmen nutzt eine umfangreiche, vorwiegend aus Standardkomponenten bestehende IT-Infrastruktur und adaptiert neue Technologien mit Verzögerung. Das Unternehmen nutzt eine unkomplizierte IT- Infrastruktur, die vorwiegend aus Standardkomponenten besteht; die IT-Infrastruktur bleibt eher hinter technologischen Entwicklungen zurück. Abhängigkeit von Verfügbarkeit der Informatikmittel Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft resp. Primärprozesse) ein kritischer Faktor; die akzeptable Ausfallzeit liegt unter 4 stunden. Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft resp. Primärprozesse) wichtig; die akzeptable Ausfallzeit liegt zwischen 4 Stunden und 2 Tagen. Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft resp. Primärprozesse) bedingt wichtig; die akzeptable Ausfallzeit liegt zwischen 2 Tagen und einer Woche. Die IT-Verfügbarkeit ist für den operativen Betrieb und die internen Primärprozesse unkritisch; ein Ausfall von mehr als einer Woche scheint akzeptabel. 13

14 Zeitmodelle CISO in Vollzeit Kosten Auslastung Tiefes Wissen Neutral CISO in Teilzeit Wer überwacht den Überwacher? Zumeist interner Administrator? Unabhängigkeit? In Personalunion mit dem bdsb? Nur wenn entsprechende Fachkenntnis vorhanden 14

15 Zeitmodelle CISO von extern vs. intern Nachteile extern: jeweils weniger internes Prozesswissen Weniger Flurfunk Einarbeitungszeit in interne Technik hoch Vorteile extern: Spezifisches Wissen Kann effektiv überwachen / neutraler Blick Projektbezogen einsetzbar Bringt andere Sichtweisen mit Auch für KMU nutzbar 15

16 Chancen mit einem CISO Effektivitätserhöhung Sicherheit bei Personalfluktuation Aufteilung der Verantwortlichkeiten Amortisation der Kosten durch weniger oder keine Stillstandszeiten bei Ausfällen Haftungsfolgen werden minimiert Absicherung des internen Know Hows besseres Rating (Banken) und Ansehen (Kunden). 16

17 Resümee: Ein CISO, oder wie diese Stelle auch immer benannt wird (ISMS Beauftragter, ), unterstützt das Unternehmen für die Zukünftige Entwicklung und schützt vor Gefahren. 17

18 Viel Erfolg bei der Einstellung / Beauftragung des CISO!!! Rudolf Schraml Betriebswirt ISO Lead Auditor (BSI-Group) Datenschutzauditor und Manager Industrieallee1 D- Tel: +49 (0)9231 / Fax: +49 (0)9231 / Rudolf.Schraml@procomp.de 18