Branchenkonforme IT-Sicherheit. Markus Siffert - Sicherheitsbeauftragter Informatik Klassifikation: öffentlich. sicher

Transkript

1 Branchenkonforme IT-Sicherheit Markus Siffert - Sicherheitsbeauftragter Informatik Klassifikation: öffentlich sicher

2 Zielsetzungen Leitgedanken To manage company-wide risk and compliance you must be able to see through walls, around corners, and thousands of miles away. Impossible? It depends on how you look at it (ca).

3 Agenda Einleitung Ausgangslage Lösungsansatz Compliance Strategie / Cartography Risk und Policy Management Risk Control Self Assessment Key Risk Monitoring Fragen / Diskussion

5 Die Lösungen 100 Applikationen für mehr als 70 Marktangebote pf.ch E-Finance ZV

6 Die Technologie Über 850 Server, über 300km Kabel

7 Die Organisation Entwicklung, Test und Betrieb aus einer Hand PF5 Informatik PF5-FU Führungsunterstützung PF5-CO Controlling PF51 Informatik Zahlungsverkehr PF52 Informatik Finanz und Distribution PF53 Informatik Card Issuing & Acquiring PF54 Infrastrukturapplikationen PF55 Systeminfrastruktur PF56 Informatik Marketing und Controlling PF57 Informatik Strategie, Sicherheit und Risikomanagement Strategie Management Risk Management Security Management Prozess Management

9 Ausgangslage (1/2) Herausforderungen Business / Int. Rev. IT-SIBE PF Kartengeld IT-SIBE Post GL / VR Stakeholder IKS Cobit ISMS ISO27xx PCI Stand. GSHB ISO27xx CH Gesetze Verord.... MA PM FA BV NV SV AV PM Business Informatik

10 Ausgangslage (2/2) Herausforderungen Organisatorische Silos Die organisatorischen Silos besitzen unterschiedliche Sichten auf teilweise identische Schwachstellen und Risiken. Duplizieren von Informationen Wichtige Controls werden mehrfach in unterschiedlichen Compliance Programmen getestet (Keypersonen sind zusätzlich belastet). Redundante Aktivitäten in Silos Programm-Silos starten selbständig Vorhaben zur Beseitigung der Schwachstellen. Oft adressieren unterschiedliche Compliance Programme identische Vorhaben. Ineffektivität und Ineffizienz, hohe Kosten und geringe Produktivität

12 Chancen und Lösungsansatz (1/3) Wichtige Elemente Zentrales Programm Management Initiierung, Planung und Umsetzung mit Management Attention. Zentralisiert und verwaltbar Ein Repository für alle relevanten Vorgaben, Risiken und Compliance Programme. Integriertes Risk Management Integriertes Risk Management inkl. geeigneter Key Risk Indikatoren. Reporting - Key Risk Indikatoren Einfache Darstellung für unterschiedliche organisatorische Silos in Dashboard. Integriertes Risiko- und Compliance Management

13 Chance und Lösungsansatz (2/3) Zentrales Programm Management Business / Int. Rev. IT-SIBE PF Kartengeld IT-SIBE Post GL / VR Stakeholder IKS COSO ISMS ISO27xx PCI Stand. GSHB ISO27xx CH Gesetze Verord.... Integriertes Risiko- und Compliance Management Gemeinsame Daten- und Technologie Architektur Gemeinsamer Risiko und Compliance Managementprozess Gemeinsame Risiko und Compliance Anforderungen MA PM FA BV NV SV AV PM Business Informatik

14 Chancen und Lösungsansatz (3/3) Methodik Business / Int. Rev. IT-SIBE PF Kartengeld IT-SIBE Post GL / VR Stakeholder IKS COSO ISMS ISO27xx PCI Stand. GSHB ISO27xx CH Gesetze Verord.... Integriertes Risiko- und Compliance Management Compliance Strat. Cartography Risiko und Policy Management Risk / Control Self Assessments Key Risk Monitoring (Harmonisierung) (Rationalisierung) (Synchronisierung) (Ueberwachung) MA PM FA BV NV SV AV PM Business Informatik

16 Compliance Strategie (1/2 ) Konzeption Int. Risiko- und Compliance Management Compl. Strat. Allgemeines Owner: Informatik Strategie, Sicherheit und Risikomanagement Beteiligte: Sicherheit, Prozessmanagement, Riskmanagement, IKS, Revision, Linie Strategie Welche Vorgaben gelten für uns als PostFinance? Welche Vorgaben wirken auf was (Informationen, Applikationen, Prozesse, etc.) Ergebnis: Compliance Strategie -> Compliance Cartography Taktik Wie werden wir compliant und wie setzen wir Revisionen, Audits, Zertifizierungen, Self-Assessments ein? Verantwortlichkeiten, Zyklus, etc.? Ergebnis: Compliance Strategie -> Methodik

17 Compliance Strategie (2/2 ) Umsetzung Int. Risiko- und Compliance Management Compl. Strat. Koordination Ist-Aufnahme Planung, Abstimmung mit allen Stakeholdern Durchführen Ist-Aufnahme (Self-Assessment) Ergebnis: Schwachstellenanalyse Koordination Massnahmen Umsetzung Planung, Abstimmung mit allen Stakeholdern Kosten (Effektivität / Effizienz) Ergebnis: Reporting - Dashbord

19 Risk und Policy Management (1/4 ) Welche Vorgaben wirken auf was? Int. Risiko- und Compliance Management Policy Mgmt

20 Risk und Policy Management (2/4 ) Welche Vorgaben wirken auf was (Prozesse)? Int. Risiko- und Compliance Management Policy Mgmt

21 Risk und Policy Management (3/4 ) Welche Vorgaben wirken auf was (e)? Int. Risiko- und Compliance Management Policy Mgmt Insight & Steering DWH Financial Services Verkauf und Beziehungspflege Interbank Belegerfassung Kundenschnittstellen Zahlungsverkehr Compliance Verarbeitung Output Management Personen, Kunden, Verträge Card Issuing & Accuiring Archiv Ext. Schnittstellen Onlinekanal Finance & Risk Management RW RW & MIS Tresorerie Entwicklungs- und Betriebs-Support Integration Support Autorisierungsverwaltung

22 Risk und Policy Management (4/4 ) Wie und wo setzen wir welche Methodiken ein? Int. Risiko- und Compliance Management Policy Mgmt Methodiken Externe Zertifizierungen Externe Revision Externe Audits Interne Revision Interne Audits Interne SelfAssessment e Rexxx PF Quariter Quariter Höchstkritisch Hochkritisch Kritisch

24 Risk Control Self Assessment (1/6 ) Open Source somap.org Int. Risiko- und Compliance Management Self Assess.

25 Risk Control Self Assessment (2/6 ) Modell Int. Risiko- und Compliance Management Self Assess. Regulatorien (OR, NBV, ) IT GSHB Post (ISO27002) IKS (EBK - FINMA) Weitere (Audits, IR, ) zusammengefasst in Compliance Kartografie Prozess IT Compliancemanagement Prinzipien der Compliance aufgezeigt in Auditplan sichergestellt mit geprüft mit wirkt auf IT-Assets überwacht mit Kontrollfragen Prüfpunkten Risikolandschaft Hilfsmittel, Werkzeuge, Gestaltungsnorm, Mapping Normen Verantwortliche

26 Risk Control Self Assessment (3/6 ) Erhebung Umsetzungsgrad Impressionen Int. Risiko- und Compliance Management Self Assess. Zeitaufwand für Schutzobjektverantwortlicher: 2h

27 Risk Control Self Assessment (4/6 ) Ergebnisse Phase1: Gesamtsicht Int. Risiko- und Compliance Management Self Assess. Legende Skala Inhaltsverzeichnis ISO Sicherheitsleitlinie 6. Organisation der Informationssicherheit 7. Management von Informationseigenen Werten 8. Personalsicherheit 9. Physische und Umgebungsbezogene Sicherheit 10. Betriebs- und Kommunikationsmanagement 11. Zugangskontrolle 12. Beschaffung, Entwicklung und Wartung von Informationssystemen 13. Umgang mit Sicherheitsvorfällen 14. Sicherstellung des Geschäftsbetriebs 15. Einhaltung von Vorgaben

28 Risk Control Self Assessment (5/6 ) Welche Vorgaben wirken auf was ()? Int. Risiko- und Compliance Management Self Assess Insight & Steering DWH Verkauf und Beziehungspflege Datenreihen höchstkritisch Financial Services Interbank 11.1 Belegerfassung Kundenschnittstellen Zahlungsverkehr Compliance Verarbeitung Output Datenreihen1 Management hochkritisch Personen, Kunden, Verträge Onlinekanal Card Issuing 2 & Accuiring Archiv Ext. Schnittstellen Finance & Risk Management RW RW & MIS Tresorerie Datenreihen1 kritisch Entwicklungs-11.6 und Betriebs-Support Integration Support Autorisierungsverwaltung

29 Risk Control Self Assessment (6/6 ) nächste Schritte Int. Risiko- und Compliance Management Self Assess. Erstellen einer Planung in der Linie Die IT-Sicherheit präsentiert an den FM s der Linien die OE spezifischen Schwachstellen Eine Koordinationsstelle innerhalb der OE übernimmt den Lead zur Erarbeitung der Planung (Massnahmen, Kosten, Termine) Zur Erstellung der Planung arbeitet die Koordinationsstelle eng mit den Schutzobjektverantwortlichen und IT-Architekten zusammen. IT-Sicherheit unterstützt die Koordinationsstelle bei Bedarf. Die Resultate werden von der IT-Sicherheit konsolidiert. Es werden der IT- Führung anschliessend Massnahmen und Varianten aufgezeigt, die zum erreichen der angestrebten branchenkonformen Sicherheit beitragen. Die Reduktion der Schwachstellen wird innerhalb der zuständigen Linie geplant und umgesetzt Die nächste IT-GSHB Umsetzungsgraderhebung im 2010 ist für alle Schutzobjekte durchzuführen

31 Key Risk Monitoring Risk Management und Key Risk Indikatoren Int. Risiko- und Compliance Management Risk Mon. Erfassen von Ergebnissen zu einzelnen Audits oder Empfehlungen Das Tool stellt verschiedene Reports zur Verfügung Zum einen detaillierte Ansichten sortiert nach Schutzobjekt Marktangebot Oder Übersichtsreports in unterschiedlicher Granularität Die Ergebnisse lassen sich in ein Excel exportieren Hier können verschiedene Berichte für Plausibilitätsprüfungen geöffnet werden

32 Key Risk Monitoring Risk Management und Key Risk Indikatoren Int. Risiko- und Compliance Management Risk Mon.

33 Key Risk Monitoring Risk Management und Key Risk Indikatoren Int. Risiko- und Compliance Management Risk Mon.

35 Vielen Dank für Ihre Aufmerksamkeit. Markus Siffert Sicherheitsbeauftragter Informatik Sicherheit für alle. Die Schweizerische Post PostFinance Informatik Sicherheit Engehaldenstrasse 37 CH-3030 Bern Internet: