GRC Erfahrungen mit dem Tool Risk Vision in einem Bankprojekt Holger Heimann/it.sec

Transkript

1 GRC Erfahrungen mit dem Tool Risk Vision in einem Bankprojekt Holger Heimann/it.sec GI Fachgruppe Management von Informationssicherheit Frankfurt am Main, Holger Heimann 2010 it.sec

2 Dipl. Ing (FH) Holger Heimann (CISA) - Geschäftsführer der it.sec GmbH & Co. KG - Mehr als 20 Jahre Berufserfahrung im IT- Security Umfeld - Member of the Board OWASP Germany Contributions zu Tools wie nessus, nmap, nikto Etc. Holger Heimann 2010 it.sec 2

3 Compliance, Risiko und Sicherheit Holger Heimann 2010 it.sec 3

4 Compliance & Risk Management Compliance bedeutet nichts anderes als Konform sein mit (irgendwelchen) Vorgaben i.d.r umgesetzt über Kontrollfragen (Controls) Unterstützt durch Frameworks wie ISO/IEC27001, Cobit Holger Heimann 2010 it.sec 4

5 Compliance & Risk Management Holger Heimann 2010 it.sec 5

6 Compliance & Risk Management Zusammenhang zwischen Compliance & Risiko: Erfüllte Controls können Risiken reduzieren Compliant = sicher? Möglicherweise Holger Heimann 2010 it.sec 6

7 Compliance heute Teils immense Ressourcenanforderungen durch Audits und Compliance Management Immer wiederkehrende Fragen Kaum Automatisierung Verschiedene Abteilungen/Personen erarbeiten immer wiederkehrende Dinge Erhebung von Daten durch individuelle Befragungen Security und Compliance Angaben i.d.r. nur tagesgenaue Samples Kaum Detailgenauigkeit bei großen Umgebungen Holger Heimann 2010 it.sec 7

8 Tools sollen helfen Holger Heimann 2010 it.sec 8

9 Agiliance Act Decide Transform Collect RiskVision 4.0 Risk and Compliance Engine Agiliance Open Connector Architecture Prioritize Change People Processes Facilities Management & Operational Controls Windows NetIQ Unix TripWire CMDB BigFix ESM Nessus ncircle Tenable Qualys Webinspect AppScan Fortify SkyBox ArcSight Novell Sentinel Oracle DB Oracle EM MS SQL Active Directory LDAP SiteMinder Oracle Salesforce OracleApp PeopleSoft Apache Approva SAP Virsa Oracle Logical Apps Phulaxis Data Center Management Patch Mgmt Change Mgmt Agiliance Inc. Confidential and Proprietary Holger Heimann 2010 it.sec 9

10 Die Agiliance content library ist über das ISO framework verlinkt Standards Automated controls Risk\Threat\Vulnerability andere Wird ein Control einmal bearbeitet, kann es gegen unterschiedliche Kataloge getestet werden Holger Heimann 2010 it.sec 10

11 Tooleinsatz: Vorteile / Vision: Gemeinsame Datenbasis für unterschiedliche Abteilungen Anforderungen Konsistente(re) Datenbasis Gemeinsame up-to-date Risikokataloge Bessere und schellere Aussagen über Compliance & Risk Aufwandsminierung Holger Heimann 2010 it.sec 11

12 Der Kunde Holger Heimann 2010 it.sec 12

13 Der Kunde International aufgestellter Bankenkonzern Töchterunternehmen (i.d.t. Banken) in mehr als neun Ländern Töchter i.d.r. gekaufte, vormals selbstständige Banken Holdingstruktur Insgesamt einige zehntausend Mitarbeiter Mehr als 3000 Filialen Cross-Country Outsourcing von den Banken in (partiell) Bankeneigene Töchter für Dritte von einzelnen Banken/Töchtern Holger Heimann 2010 it.sec 13

14 Das Projekt Holger Heimann 2010 it.sec 14

15 Das Projekt entstanden aus der Anforderung nach Log-Management Nach drei Jahren Anforderungevolution Eines gruppenweites Security/Risk/Compliance Monitoring Projekt Getrieben durch SecMgmt der Holding Operativ bei Technikern angesiedelt Partner- und Produkwahl nach PoC Projekt gestartet (Unterschrift) Pünktlich zur Bankenkrise Ende 2008 Geplante Laufzeit: 5 Jahre Umfeld KEIN Gruppenprojekt Budgetlage volatil Unterstützung der Projektziele durch beteilige ebenfalls volatil Managementsupport ebenfalls volatil Dadurch: Projektschritte in abgestimmten Einzelschritten Projektziel Nicht genau definiert Muss teilweise noch nebst Teilzielen verkauft werden Holger Heimann 2010 it.sec 15

16 Vereinfachte Struktur Novel Sentinel SIEM Event Operational Level Land 1 Novel Sentinel SIEM Operational Level Land 2 Novel Sentinel SIEM Operational Level Land A O P / T E C H Management Level Connector Connector Agiliance RiskVision H o l d i n g Connector Connector Connector Connector Connector M G M T Holger Heimann 2010 it.sec 16

17 Die Umsetzung Holger Heimann 2010 it.sec 17

18 Theoretischer Ablauf (vereinfacht) In Anlehnung an Projektziele Projekt planen, z.b: Anforderungen/Requirements erheben Assets erheben und definieren Kritikalitäten und Loss Values definieren Assets auf passende Controls Frameworks mappen, bzw. diese erstellen Risikokataloge erheben und zuordnen KRIs, KIPs erheben Controls aus zutreffenden Frameworks/Control Lists auf Assets zuordnen Hinterlegen in Agiliance (inkl. Usermanagement, Rollen etc.) Alles mit Arbeitspaketen und Budgets unterlegen Holger Heimann 2010 it.sec 18

19 Praxis Investitionen in das ursprüngliche Design fanden nicht statt ursprüngliches Design nicht in-place Wir brauchen Quick-Wins, ausserdem fordert PCI-DSS ein Logfile Management und da steht ein Audit an Projekt nicht auf Grüner Wiese Chronologisch korrektes Vorgehen nicht unbedingt möglich Grundlagenprobleme Verständnis für den Aufbau einer Holdingstruktur und den hieraus resultieren Anforderungen kaum vorhanden Kaum Requirement-Kataloge vorhanden Es gibt kein gruppenweites Verständnis (Policiy) für Assets, Risiken, etx. Sparen, koste es was es wolle: Lizenzen Technische Herausforderungen Single-Sign on Anforderungen in einer Non-Single-Sign-On Umgebung Auswahl der funktionstragenden Komponenten (Produktfeatures überlappen) Holger Heimann 2010 it.sec 19

20 Praxis Politische Probleme Innenpolitisch Herausarbeiten von gemeinsamen Anforderungen verschiedener Abteilungen OpRisk Risk Legal Datenschutz Fraud Aber wir haben schon ein Tool oder Ihr Tool kann aber keinen Export in OpenOffice Außenpolitisch Nichts menschliches ist uns Fremd (Interferenzen mit lokalen Projekten) Länderzusammenarbeit schwierig Z.B. Tschechien/Slowakei aus historischen Gründen Geben und nehmen Kein Gruppenprojekt: Kein zentrales Projektmanagement Kein Häuptling Kein Fixes Budget Nicht zwangsweise gemeinsames Wünsche: Transparenzfurcht Holger Heimann 2010 it.sec 20

21 Folgen Homöopathisches Vorgehen Lobbyarbeit Verabreichung kleiner Funktionalitäts -Dosen Schmackhaft machen und einfangen von Stakeholder durch Köder Kaum chronologisches korrektes Vorgehen möglich Planung folgt teils der Implementierung Teils mehrere Anläuft wg. mangelnder Grundlagen vs. Quick-wins Holger Heimann 2010 it.sec 21

22 Lessons Learned Die schwierigen Probleme sind in der Regel nicht die technischen (IT-) GRC Projekte kosten Geld schüren Ängste vor zu viel Transparenz Kratzen oft an Bestehendem Brauchen Management-Support Projektteile müssen verkauft werden Politischer Overhead ist immens Stakeholder sind potentiell alle hierachischen Ebenen Holger Heimann 2010 it.sec 22

23 Wo steht das Projekt Verschiedene Abteilungen der Holding suchen Anschluss OpRisk und SecMgmt Implementierung von Projektfreigabesurveys Implementierung von KRI, KPI Erfassungen Holding streut Köder Länder werden auf Anschluss vorbereitet Requirement Assessment wurde partiell durchgeführt Implementierung des Sentinel wird nun auch an Anforderungen angepasst Holger Heimann 2010 it.sec 23

24 Fragen/Diskussion Holger Heimann 2010 it.sec 24

25 it.sec GmbH & Co. KG Sedanstraße 10 D Ulm USt Id Nr.: DE Steuernummer: 88012/53709 Amtsgericht Ulm: HRA 3129 vertreten durch den Geschäftsführer Dipl. Ing. (FH) Holger Heimann. Haftender Komplementär: it.sec Verwaltungs GmbH Amtsgericht Ulm: HRB 4593 Sedanstr. 10 D Ulm Holger Heimann 2010 it.sec 25