IT-Sicherheit Risiken erkennen und behandeln. Hanau,

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheit Risiken erkennen und behandeln. Hanau, 12.11.2014"

Leopold Maier
vor 8 Jahren
Abrufe

1 IT-Sicherheit Risiken erkennen und behandeln Hanau,

2 Agenda GAP-Analysis Schwachstellen finden Risk-Management - Risiken analysieren und bewerten TOMs - Technische und organisatorische Maßnahmen Praxis: Wo fange ich an? Sicherheit: preiswert und angemessen 14. November

organisatorische Maßnahmen Praxis: Wo fange ich an?

3 GAP-Analysis Schwachstellen finden Die Suche nach Sicherheitslücken (englisch gap) ist der erste Schritt für den Aufbau von Sicherheit. Prüfung vorhandener Dokumentationen Prüfung auf IT-Ebene, z. B. Firewall Konfiguration Berechtigungskonzepte Anti-Malware Datensicherheit: Zutritt, Zugang, physische Sicherheit Backup & Restore, Medien-Handling, etc. Verhalten der Mitarbeiter (Risiko-Bewusstsein) Das Ergebnis ist eine Liste mit bewerteten Sicherheitslücken 14. November

Firewall Konfiguration Berechtigungskonzepte Anti-Malware Datensicherheit: Zutritt, Zugang, physische Sicherheit Backup &

4 Risikomanagement Risikoanalysen sind ein effektiver Weg Ein angemessenes Sicherheitsniveau zu erreichen Bestehende Risiken zu überblicken Entsprechende Maßnahmen einzuleiten Das Budget optimal einzusetzen 14. November

zu überblicken Entsprechende Maßnahmen einzuleiten Das Budget

5 Ziele einer Risikoanalyse Transparenz für Management und Fachbereiche hinsichtlich bestehender Risiken Auswahl von angemessenen Schutzmaßnahmen im Rahmen des Budgets Erreichen eines angemessenen Sicherheitsniveaus 14. November

angemessenen Schutzmaßnahmen im Rahmen des Budgets Erreichen

6 Strategien der Risikobegegnung Eingehen des Risikos Nichts tun Vermeiden des Risikos Unterlassen von riskantem Handeln Überwälzen des Risikos Versichern Aktive Reduzierung des Risikos Risikobewusstes Handeln 14. November

Überwälzen des Risikos Versichern Aktive Reduzierung des

7 Welches Risiko ist akzeptabel? 14. November

8 Gründe für die Einführung eines IT-Risikomanagements Wirtschaftliche Gründe Knowhow-Schutz Kostensenkung Gewinnsteigerung Betriebliche Gründe Verbesserung der IT-Prozesse schneller, effizienter, transparenter, flexibler Rechtliche Gründe 14. November

Gründe Verbesserung der IT-Prozesse schneller, effizienter,

9 Risikomanagement Standards BSI-Standard ISO/IEC Risk IT Framework der ISACA COBIT Institut der Wirtschaftsprüfer IDW PS November

10 TOMs Technische und organisatorische Maßnahmen Organisatorisch Management: Übernahme der Verantwortung, Bereitstellung Ressourcen Aufbau einer Sicherheitsorganisation minimal 1 Sicherheitsbeauftragter Berechtigungskonzept(e) und Arbeitsanweisungen Durchführung von Schulungsmaßnahmen Kontinuierliche Überprüfung und Verbesserung der Maßnahmen Technisch Verbesserung des Malwareschutzes UTM Unified Threat Management SIEM Security Incident and Event Management DLP Data Leakage Prevention Optimierung von Backup und Restore-Prozessen 14. November

Kontinuierliche Überprüfung und Verbesserung der Maßnahmen Technisch Verbesserung des Malwareschutzes UTM Unified Threat Management SIEM

11 9 Satz 1 BDSG Anlage - Technische und organisatorische Maßnahmen 1. Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabekontrolle 6. Auftragskontrolle 7. Verfügbarkeitskontrolle 8. Möglichkeit differenzierter Verarbeitung 14. November

Weitergabekontrolle 5. Eingabekontrolle 6. Auftragskontrolle 7.

12 Praxis: Wo fange ich an? Prüfung auf Sicherheitslücken (GAP-Analysis) Erste einfache Bewertung von Risiken Ziele für die Sicherheit definieren Verantwortliche für die Umsetzung bestimmen Risikoanalyse Setzen von Prioritäten für die Behandlung der Risiken Aufbau von technischen und organisatorischen Maßnahmen Dokumentation Regelmäßige Überprüfung 14. November

Sicherheit definieren Verantwortliche für die Umsetzung bestimmen Risikoanalyse Setzen von

13 Sicherheit: preiswert und angemessen Finden Sie Ihre spezifischen Bedrohungen Schätzen Sie Ihre Risiken ein Vermeiden Sie Risiken => Gratis Versichern Sie Risiken Reduzieren Sie Risiken mit kostenlosen oder preiswerten Maßnahmen Der Hebel entscheidet: Geringer Aufwand => hoher Nutzen Sicherheit ist kein Produkt sondern ein ständiger Prozess 14. November

kostenlosen oder preiswerten Maßnahmen Der Hebel entscheidet: Geringer Aufwand => hoher Nutzen

14 Nutzen für das Management Haftung Risiken aus Fahrlässigkeit werden drastisch reduziert Sorgfaltspflicht wird dokumentiert und überprüft Markt Nachvollziehbare und dokumentierte Prozessqualität Wettbewerbsvorteile durch Zuverlässigkeit Risikoidentifikation Risiken werden kalkulierbar Steuerung des IT-Einsatzes wird möglich Finanzierung Möglichkeit der Risikodarstellung zu Finanz- und Kreditgebern Transparenz der zu versichernden Risiken => Prämienberechnung 14. November

Risikoidentifikation Risiken werden kalkulierbar Steuerung des IT-Einsatzes wird möglich Finanzierung Möglichkeit der

15 Nutzen für das IT-Management Qualität Qualität wird nachweisbar Laufende Qualitätsverbesserung durch kontinuierlichen RM-Prozess Service Levels mit Dienstleister werden transparent Verantwortung Verantwortung der Unternehmensleitung / Einbeziehung der Nutzer Planung/Budgetierung Vereinfachte Budgetplanung Nachweis der Budgetwahrheit Nutzwert der Investition kann dargestellt werden (ROI) Technologieeinsatz Investitionen können priorisiert werden Notfallplanung wird aus Business-Sicht getrieben 14. November

Planung/Budgetierung Vereinfachte Budgetplanung Nachweis der Budgetwahrheit Nutzwert der Investition kann dargestellt werden (ROI)

16 Vielen Dank für Ihre Aufmerksamkeit Stefan Stumpf An der Schmidtsei 7a Taunusstein Berater für Informationssicherheit Externer Datenschutzbeauftragter 14. November

Ähnliche Dokumente

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

EIN C.A.F.E. FÜR DEN DATENSCHUTZ Organisatorische Datenschutzbeauftragter Martin Esken Datenschutzbeauftragter (TÜV) Organisatorische Technische gemäß 9 Satz 1 Punkte 1-8 BUNDESDATENSCHUTZGESETZ Organisatorische