QSEC ISMS und egrc nach internationalen Standards und Methoden

Transkript

1 QSEC ISMS und egrc nach internationalen Standards und Methoden

2 WMC das Unternehmen IT-GRC und ISMS Software + Consulting Consulting Software + SW-Pflege + Support Information Security Management Compliance Management Information Security IT Security IT Risk Management Data Security Business Impact Analysis (BIA) Business Continuity Management QSEC Multi-Standard Compliance Management nach internationalen Regelwerken und Gesetzen Information Security Management Compliance Management IT Risk Management Security Incident Management Measure Management Business Impact Analysis (BIA) Reporting + mehr: PCI DSS; SOX, ISO QSEC Software Referenzen IT GRC Einführung und Umsetzung in Time und Budget QSEC Partner WMC PKA

3 GRC und ISMS Definition und Ziele Governance, Risk Management und Compliance (GRC) ist der Oberbegriff für alle Aktivitäten die Organisationen zu den Themen Steuerung und Kontrolle = Governance Vermeidung von Risiken = Risk Management Konformität zu verpflichtenden Regelwerken = Compliance betreiben. Im Information Security Management System (ISMS) sind alle Verfahren und Regeln festgelegt, die erforderlich sind um die Informationssicherheit in Organisationen dauerhaft definieren, steuern, kontrollieren, aufrechtzuerhalten und permanent verbessern Wichtige Ziele, die Organisationen damit in der Praxis verfolgen: Haftungsreduzierung durch den Nachweis des verantwortungsvollen Handelns Absicherung von Unternehmenswerten durch stetige Verbesserung der Prozess- und Informationssicherheit Risikoreduzierung durch Schaffung von Transparenz und Umsetzung angemessener Aktivitäten gegen Bedrohungen Imagegewinn und Wettbewerbsvorteil die Gewinnung von Vertrauen (bei Kunden, Lieferanten, Banken, Versicherungen und Investoren) Kostenoptimierung durch Steigerung des Kosten-/Nutzenverhältnisses zu können. QSEC Copyright

4 IT-GRC und ISMS die Herausforderung Die Komplexität: Risiken im Zusammenwirken von Menschen, Technik und Organisation beherrschen! Mobilität 24,148 Apps heruntergeladen vom Apple AppStore 463 mobile Banking- Transaktionen in Europa Anwenderverhalten IST-Situation 70+ neue Domänen registriert Applikationen 168 Millionen s versandt IN 60 SEKUNDEN 1,500 und mehr Blogposts 510,000 Kommentare auf FAcebook SOCIAL MEDIA Methodik Komplexe IT Infrastrukturen verteilte Datenhaltung + ISO / IEC oder DIN/ISO Normen sind international anerkannte Regel für die Umsetzung von Managementsystemen zur Governance, Risk Management und Compliance Umsetzung eines IT GRC / ISMS bisher: Unzählige Zugriffe auf Geschäftsdaten + Zunehmende Risiken und Bedrohungen für das Kerngeschäft Dilemma komplex zeitund personalaufwändig teuer unklar risikoreich vielfach lückenhaft oft nur technisch Die Lösung QSEC die IT GRC / ISMS Komplettlösung! Consulting

5 IT-GRC und ISMS Themen der Verantwortungsebenen Management (Vorstand, GF) + Die Kosten für non-compliance können nicht ignoriert werden! + Die gesetzlichen Haftungsrisiken kennen und minimieren! + Management-Prozesse definieren und kontrollieren! + Die Werte des Unternehmens absichern! + Das eigene und das Unternehmens-Image verbessern und die Zukunft absichern! Summary Verantwortliche (CIO, CISO, K- DSB, Risikomanager, IS RM) + Die Kosten für egrc mit ISMS reduzieren! + Eine hohe Prozessqualität schaffen! + Die operativen Risiken kennen und bewerten! + Best Practice Methoden und Prozesse für egrc einführen! + Haftungsrisiken identifizieren! + Geschäftsprozess-Impacts identifizieren und minimieren! + Die Werte des Unternehmens kennen klassifizieren und sichern! + Neue Technologien planen! Mitarbeiter (z.b. IS- Beauftragter) + Geschäftsprozesse und Geschäftsprozessveränderungen überwachen, bewerten und optimieren! + Compliance-Bewertungen schnell und effektiv durchführen! + Dokumentationen auf den aktuellen Stand halten! + Maßnahmenplanung effektiv erstellen! + objektive Kostenplanung! + Optimiertes, unterbrechungsfreies arbeiten! + Verbessertes Wissensmanagement!Wo, Wer, Wann, Warum, Wie

6 QSEC folgt exakt internationalen Gesetzen, Standards und Vorgaben Act Plan Check Do

7 QSEC - Prozesse der Informationssicherheit Prozesse des Managementsystems Informationssicherheitsprozesse (ISMS) ISMS planen, unterstützen, betreiben, messen, verbessern ISMS-Verbesserungsprozess je Control Technische Prozesse Risiko Einschätzung der IS-Risiken Behandlung von IS-Risiken Disziplinarprozess bei Sicherheitsverstößen IT-Managementprozesse Dokumentenlenkung Management von Dokumenten Mitarbeitereinstellung, -betreuungsund -austrittsprozess Richtlinienerstellungsprozess Compliance Gesetzliche-, vertragliche-, organisatorische-anforderungen Sensibilisierungsprozess BIA-/BCM-Prozesse Audit/Review Überprüfungsprozess zum KVP und Compliance Informationsklassifizierungs-prozess Security Incident Prozess Asset Inventarisierungs-/ Klassifizierungsprozess Monitoring Prozess Consulting

8 QSEC: IT-GRC / ISMS Komplettlösung mit Mehrwert Softwareunterstützung durch die Verbindung von Methodik / Prozesse Best Practices Programmierung /Technologie international gültige Standards: ISO 9001, ISO 14001, ISO 20000, OHSAS 18001, SOX, PCI DSS integriert (optional) umfangreiche Unterstützung, Führung und Ergänzungen: Microsoft SQL Datenbank (SQL Server 2008/2008 R2) und.net Web- Technologie (Windows Server R2, Microsoft IlS, ASP.NET 4.0), Client (Web Browser, SSL) ISO 27001/2 Originaltexte komplett und exakt dargestellt Risikomanagementmethode nach komplett umgesetzt BIA nach ISO umgesetzt Führung durch den kompletten Prozess (Plan Do Check Act) der Methoden Umsetzung aller Vorgaben und Anforderungen Verknüpfung aller Daten und Informationen mit ihren Abhängigkeiten weltweit praxiserprobte Lösungsangebote hohe Benutzerfreundlichkeit mit keinem Wettbewerber vergleichbare Maßnahmenvorschläge ausgereifte Musterdokumente Terminüberwachung, Mailerinnerungen Verbindung von Compliance- und Risikomanagement, Maßnahmen- Security Incident- und Dokumentenmanagement in einer Lösung! hochintegrierte Programmierung flexible Anpassbarkeit an Kundenbedürfnisse umfangreiche Reporting-Funktionen Berechtigungskonzepte Sprachvarianten Datenübernahme aus vorhandenen Systemen (Schnittstellen) keine Doppelerfassung von Daten Fehlerreduktion Consulting

9 QSEC verbindet die Geschäftsprozesse mit der IT auf allen Ebenen

10 QSEC: IT-GRC / ISMS Komplettlösung mit Mehrwert! Hohe Wertschöpfung hohes Sicherheitsniveau sinkende Kosten/Risiken Niedriges Sicherheitsniveau hohe Kosten/Risiken Mit QSEC: Ohne QSEC: alle Sicherheitsaktivitäten und Daten in einem System nur punktuelle Sicherheit vollständige Ermittlung von und angemessener Umgang mit kritischen Geschäftsprozesse Business kein Bezug zu Geschäftsprozessen Handling von Informationen entsprechend ihrer eindeutigen Klassifikation + Sicherheitsorganisation bis in die Fachabteilungen etabliert und eingeführt valide Daten aus dem IT- Risikomanagement liefern Fakten für Entscheidungen Information Applications keine Klassifizierung von Informationen keine durchgängige Sicherheitsorganisation keine validen Daten für das IT-Risikomanagement schnellere Prozesse bei gleichzeitigen Zeit- und Kostenersparnissen Infrastructure hoher Zeit- und Kostenaufwand für unvollständige Sicherheitsaktivitäten QSEC

11 QSEC die USP s auf einen Blick Schnelle Implementierung QSEC ist eine flexible webbasierte Software, die in kurzer Zeit implementiert werden kann bei exakter Zeit-/ und Kostenplanung Usability Multi-Norm Compliance Mehrwert durch die Unterstützung weiterer weltweit anerkannten Standards wie ISO 9001 (Qualitätsmanagement), ISO (Umweltmanagement), ISO (IT Service Management), ISO (BIA & BCM), ISO 27001/2 (Information Security Management), ISO (IT Risk Management) PCI DSS, SOX, Basel II, OHSAS (Arbeitssicherheit). Individuelle Anforderungen mit eigenem Inhalte oder branchenspezifische Standards können integriert werden Best Practice Prozesse In QSEC implementierte Methoden und Prozesse für ISMS, Risiko, BIA, BCM mit Maßnahmen- und Dokumentenmanagement basieren auf praxiserprobten Best Practice Standards Die Referenzen bestätigen die hohe operative Integration und eine übersichtliche Benutzeroberfläche Wettbewerbsvorteil Keine andere egrc-lösung ist so umfassend in Bezug auf Best Practices im Bereich des Maßnahmenmanagements Lizenzkauf oder SaaS Zwei Suiten und eine Cloudbasierte Lösung bedienen alle Kundenbedürfnisse Schnittstellen Über Schnittstellen können Daten aus Mail-Systemen, Active Directory, Asset Management Systeme (z.b. SAP, Spider) und Ticket-Systemen (z.b. SAP, helpline) in QSEC integriert werden Content In QSEC sind die Normen mit Fragenkatalogen einschließlich Bedrohungs- und Schwachstellenkatalogen sowie Maßnahmenvorschlägen komplett vorhanden

12 QSEC "all in one compliance (1/2) QSEC - Varianten Easy Express Enterprise Edition GRC Edition Technology Content Standardbrowseranwendung Administrations-Tool / User-Berechtigungen Internationale Regelwerke (ISO 72001/2/5; ISO etc.) Musterdokumente, Maßnahmenvorschläge, Risikokataloge Schnittstellen Mailsystem, Active Directory, Ticket System etc. Individuelle Datenübernahme (CSV, XML etc.) Prozessunterstützung ISMS Prozesse (Compliance-, Risikobewertung, BIA/BCM) Maßnahmen-, Dokumenten- und Incidentmanagement Reporting Mehr als 45 Berichte mit Reifegraddarstellungen Dashboard QSEC schneller mehr Ergebnis Usability Hohe Anwenderakzeptanz durch Benutzerkomfort Ständige Softwarepflege, Support und Verbesserungsprozesse QSEC

13 Bedrohungswert + Schachstellenwert QSEC "all in one compliance (2/2) Alle ISMS und IT GRC Ziele werden nachhaltig unterstützt! QSEC - Ergebnisse umfassend nachhaltig kostensparend Haftungsreduzierung Absicherung der Unternehmenswerte nachhaltiger Nachweis der Historie aller Aktivitäten permanente, umfassende u. nachhaltige Steuerung der Sicherheitsaktivitäten -, transparent, bewertbar und verbesserbar Heatmap Anzahl Assetgruppen je Risikowert S+B (bzw. S*B)^ AG-Wert > Scope: Standort Hamburg Assetgruppen Risikoreduzierung Imagegewinn / Wettbewerbsvorteile Kostenoptimierung Identifikation der businesskritischen Prozesse und Etablierung angemessener Maßnahmen Steigendes Vertrauen bei Kunden, Lieferanten, Banken, Versicherungen, Investoren durch Dokumentation der Einhaltung internationaler Standards Personal-, Zeit-, und Kosteneinsparungen bei Einführung u. Betrieb d. ISMS/IT-GRC Konzentration der Investitionen auf risikorelevante Maßnahmen QSEC

14 QSEC-Enterprise und GRC Edition - die Module im Überblick Compliance Security- Risiko Maßnahmen Dokument Incidents Reporting Dashboard Audit (in Planung) Stammdaten Administration Business Continuity BIA Business Continuity BCM A Katalog Erfassungsund Pflege Tool (KEP) Administrations Tool QSEC Schnittstellen: Mailsystem, Asset Management (z. B. SAP, Spider), AD, Ticketsystem (z. B. SAP, helpline) Core Server, Gemeinsame Plattform, Berechtigungen QSEC Versionen QSEC Enterprise Edition QSEC GRC Edition QSEC Erweiterungen

15 QSEC integriert sich in die vorhandene IT-Infrastruktur Asset Management SAP / Spider Assetgruppe Kritikalität Geschäftsprozesse Vertraulichkeit Verfügbarkeit Integrität Mitarbeiterdaten Active Directory (AD) Vulnerability Management z. B. Qualys Assetgruppe Schwachstellen Maßnahmen QSEC-Suite ISMS / BDSG Geschäftsprozesse Prozess Management Aris / Adonis Mailsystem Benachrichtigungen Integriertes Management System Security-Incidents Incident Management SAP / helpline Riskmanagement Übergabe operative Risiken Vorfälle SIEM QSEC

16 QSEC schafft Transparenz - valide Daten im Reporting Beurteilung IT-Sicherheitslevel Stand Q4/2010, Q1/2011 und Q1/ ,0 9,0 8,0 7,0 6,0 5,0 4,0 3,0 2,0 1,0 0,0 Controls nach ISO A5 A6 A7 A8 A9 A10 A11 A12 A13 A14 A15 IST - Status 2010 Q4 Risikostatus kritische Assetgruppen 7% 10% < % 19% 13% IST - Status 2011 Q1 IST - Status 2012 Q1 Soll - Status 13% 15% Großklage Wüpperführt Müller Ulrich Weidemann Schulz Kehr Meyer Rat Schmidt Compliance- Maßnahmenstatus davon grün davon gelb davon rot Anzahl gesamt Mitarbeitermaßnahmenstatus (Top 10) sortiert nach rot rot gelb grün integrierte Reports Standardberichte Managementberichte Arbeitsberichte SOA Maßnahmen Status Risiko Status Reifegrad Verfahrensbericht nach BDSG Individuelle Berichte nach Vorgabe QSEC

17 QSEC - IS - Key Performance Indikatoren (IS-KPIs) / Kennzahlen (Auszug) IS-Organisation Compliancemanagement Reifegrad der Rollenbesetzung Anzahl Rollen Reifegrad je Scope / Reifegrad Scope-Vergleich / Maßnahmen je Control mit Umsetzungsgrad Reifegrad je Scope 8 16 Anzahl Mitarbeiter Scope1 Scope2 Scope3 Scope4 Risikomanagement Kritische Assetgruppen mit Risiken, mit Maßnahmen, mit Risikoakzeptanz BIA/BCM Anzahl kritische Geschäftsprozesse, Anzahl kritische Assetgruppen, Assetgruppen Soll/Ist Vergleich (GAP-Analyse), Anzahl Notfallpläne, IT-Notfallpläne Security Incident Management Anzahl Security Incidents, je Assetgruppe, je Geschäftsprozess Maßnahmenmanagement Anzahl Sicherheitsmaßnahmen, Fälligkeit, je Mitarbeiter, Kosten, Umsetzungsgrad, Dokumentenmanagement Anzahl Dokumente, Bearbeitungsstatus, Wiedervorlage KPI C WMC GmbH 2014

18 A Risk Manager Datenschutz-beauftragter Key User Compliance Manager Revision Security Manager Aufsichtsrat Vorstand / GF Mitarbeiter CIO Administrator Prozessowner Auditor Werkschutz QSEC-Suite Technik Die QSEC-Suite ist eine webbasierte Anwendung: Risiko Maßnahmen Dokument Compliance Incident Reporting Dashboard Client Webserver Datenbank Audit (in Planung) Stammdaten Administration BIA BCM Katalog Erfassungsund Pflege Tool (KEP) Administrations Tool QSEC Schnittstellen: Mailsystem, Asset Management (z. B. SAP, Spider), AD, Ticketsystem (z. B. SAP, helpline) Web-Browser SSL Keine Installation Keine Wartung Microsoft Windows Server 2003/2008R2/2012R2 Microsoft IIS ASP.NET 4.0 Microsoft SQL Server 2008/ 2008R2 / 2012R2 Schnittstellen zu anderen Systemen Anforderungen Compliance Informationssicherheit Risikomanagement Risiken Core Server, Gemeinsame Plattform, Berechtigungen Analysen Vorgaben Bewertungen Chancen Normen & Gesetze ISO ISO Methoden Maßnahmen Genehmigungen Reifegrad Programmierung mit Microsoft Visual Studio 2010 Wirksamkeitsverbesserung ung Haftungsreduzierung Ergebnisse Sicherheitsverbesser Business Impact Analyse Risikomanagement Compliancemanagement Prozesse Aktuelle Version: 4.2 QSEC-Suite - der sichere, softwaregestützte Weg zum ganzheitlichen Information Security Management System (ISMS) nach ISO/IEC 2700x QSEC

19 Version 4.2