IT-Policy und IT-Compliance Management Definieren Kontrollieren - Durchsetzen Erfolgreiche Lösungsansätze und Praxisbeispiele

Transkript

1 IT-Policy und IT-Compliance Management Definieren Kontrollieren - Durchsetzen Erfolgreiche Lösungsansätze und Praxisbeispiele Tracy Varnum 14. April 2007

2 Agenda 1 IT-Compliance Überblick 2 Von der Regularie zum Compliance Nachweis 3 Vorteile einer fortschrittlichen Compliance Lösung IT-Symposium

3 IT-Risk Management und Compliance Compliance Angemessene Kontrollen gewährleisten Automatisierter Nachweis Interne Unternehmensrichtlinien u. externe Regelungen Interne u. externe Bedrohungen Informationen IT Infrastruktur Verfügbarkeit Funktionsfähigkeit von Systemen sichern Schnelle Wiederherstellung ermöglichen Naturkatastrophen u. Systemausfälle IT-Servicequalität Gefahren abwehren Vertrauliche Informationen sichern Sicherheit Leistung maximieren Ressourcen optimieren Leistung IT-Symposium

4 IT-Risk in EMEA und Deutschland Deutschland ist #1 (19% von der malicious IT-Aktivität in EMEA) * Deutschland hat die höchste Prozentzahl von Phishing-Sites in EMEA * 69% von den Top 50 Attacken in EMEA zielten auf vertraulichen Daten * Der Verlust von kritischen Daten wird immer problematischer ** 88% von EMEA-Firmen leiden unter 6 oder mehr Datenverluste im Jahr Datenverluste werden meistens durch Verhaltensfehler (50%) und Verstoße gegen Unternehmens-Policy (25%) verursacht Die Konsequenzen: 8% Kundenverlust und 8% Umsatzverlust pro Vorfall Die Konsequenzen: $100 pro Datensatz, um Kunden zu informieren und Daten wiederherzustellen * Quelle: Symantec EMEA Internet Security Threat Report Voume XI **Quelle: Taking Action to Protect Sensitive Data - IT Policy Compliance.com IT-Symposium

5 Organisationen müssen einer Vielzahl von Regelwerken entsprechen HIPAA* IT-Grundschutz (BSI) Finanzdienstleister Gesundheitswesen Öffentliche Verwaltung Übergreifende Regularien EU Data Protection Directive KonTragG Energie Pharma Industrie Basel II SOX MARisk Gesetz für Kreditwesen NERC CIP 1300 Energy Bill of 2005 FDA BaFin, Bundesbank IT-Symposium

6 IT-Relevanz und Kostenverteilung 79% von Compliance Aufgaben sind nicht IT-relevant 76% von Compliance Kosten werden aufgrund der Häufigkeit von IT-relevanten Aufgaben verursacht Quelle: Using Security Compliance Software to Improve Business Efficiency and Reduce Costs, IDC, % 24% 79% 76% Nicht-IT Aufgaben IT-Aufgaben Nicht-IT Stunden/Jahr IT Stunden/Jahr IT-Symposium

7 Compliance Trends 75% von Organisationen müssen Compliance gegenüber 2+ Regularien bzw. Standards nachweisen 34% von ihren IT-Ressourcen werden dafür blockiert 27% setzen auf primär automatisierte Methoden Quelle: "The Struggle to Manage Security Compliance for Multiple Regulations 27% 5% 68% Automatisiert und manuell Primär manuell Primär automatisiert IT-Symposium

8 Erkentnisse für die Umsetzung einer fortschrittlichen IT-Compliance Lösung Die Einhaltung von unterschiedlichen Richtlinien betrifft in weiten Teilen immer wieder dieselben Kontrollen im Unternehmen Eine zentrale Instanz zur Erfassung und Darstellung der Kontrollen lässt sich für verschiedene Compliance Aufgaben nutzen Eine Automatisierung der ITrelevanten Compliance Aufgaben erhöht die Effizienz und senkt die Kosten IT-Symposium

9 Agenda 1 IT-Compliance Überblick 2 Von der Regularie zum Compliance Nachweis 3 Vorteile einer fortschrittlichen Compliance Lösung IT-Symposium

10 IT-Compliance: Herangehensweise Definieren Kontrollieren Erhalten REGULATIONS FRAMEWORKS STANDARDS CORPORATE POLICIES IT CONTROL CHECKS MEASURE REMEDIATE SOX Basel II KWG COBIT ISO17799 NIST Interne Policies PCI-DSS CIS Operating Systems Databases Applications REPORT RECORD MARisk Directories People Mapping von Regelwerken über Frameworks zu tatsächlichen Policies mit Best Practice Richtlinien Umfangreiches, Plattform-übergreifendes Sammeln von Nachweisen über die Einhaltung der Compliance Policies Darstellung des Compliance Status und Korrigieren der Abweichungen IT-Symposium

11 Definieren einer Policy Regularie Framework Policy Kontrolle / Nachweis SOX 404(a)(2) [The Commission shall prescribe rules requiring each annual report to contain an internal control report, which shall] contain an assessment, SOX 404(a)(2) as of the end of the most recent fiscal year of the issuer, of the effectiveness of the internal control structure and procedures of the issuer for financial reporting. COBIT DS5.19 Malicious Software Prevention, Detection and Correction - Regarding malicious software, management should establish a framework of COBIT DS5.19 adequate preventative, detective and corrective control measures, and occurrence response and reporting. Endpoint Protection Malware Policy Anti-Virus & Firewall Software Is Installed Endpoint Policy Anti-Virus & Firewall Software Is Running Anti-Virus & Firewall Software Is Up To Date AV Checks IT-Symposium

12 Übergreifende Abdeckung automatisch darstellen Regularie SOX 404(a)(2) Basel II Framework COBIT ISO Policy Endpoint Policy DataRec Policy Password Policy Kontrolle / Nachweis AV Checks Backup Checks Archive Checks IT-Symposium

13 Übergreifende Abdeckung automatisch darstellen Regularie SOX 404(a)(2) Basel II KonTraG Framework COBIT ISO ISO Policy Endpoint Policy DataRec Policy Password Policy Kontrolle / Nachweis AV Checks Backup Checks Archive Checks IT-Symposium

14 Compliance Vision: SOX View COBIT View ISO View Policy & Evidence Integration Engine NAC Archive Backup Anti-Virus User Access Sys Config IT-Symposium

15 Agenda 1 IT-Compliance Überblick 2 Von der Regularie zum Compliance Nachweis 3 Vorteile einer fortschrittlichen Compliance Lösung IT-Symposium

16 Symantec IT-Compliance Portfolio Compliance & Reporting Symantec BindView Policy Manager Policy Management Symantec Control Compliance Suite Symantec Enterprise Security Manager Standards & Konfiguration Symantec Security Information Manager Symantec Network Access Control Netzwerk Symantec Sygate Enterprise Protection Systeme & Clients IT-Symposium

17 Symantec IT-Compliance Portfolio Compliance & Reporting Symantec Bindview Policy Manager Policy Management Symantec Control Compliance Suite Symantec Enterprise Security Manager Standards & Konfiguration Symantec Security Information Manager Netzwerk Symantec Sygate Enterprise Protection Systeme & Clients IT-Symposium

18 Symantec Security Information Manager Identifizieren Ereignisse und Bedrohungen automatisch identifizieren, klassifizieren und korrelieren Priorisieren Prioritäten abhängig vom Stellenwert der Assets anpassen Beheben Bi-direktionale Integration zu bestehenden Ticketing Systemen Review Effektivität messen und darstellen SIM 4.0 WWSMC Demo Board Symantec Confidential 10 IT-Symposium

19 Symantec IT-Compliance Portfolio Compliance & Reporting Symantec Bindview Policy Manager Policy Management Symantec Control Compliance Suite Symantec Enterprise Security Manager Standards & Konfiguration Symantec Security Information Manager Netzwerk Symantec Sygate Enterprise Protection Systeme & Clients IT-Symposium

20 Symantec Control Compliance Suite Automatisierte Bearbeitung von Abweichungen von technischen Standards Standards etablieren Interne sowie externe wie CIS, SANS, NSA, etc. Abweichungen erkennen Analyse von Konfigurationen, Schwachstellen, Patch Level, etc. Analyse von Berechtigungen NTFS und Share Permissions, Effektive Gruppenzugehörigkeit (Universal, Global, Local) Maschinen-Rechte (z.b. Take Ownership) Berichte erstellen und verteilen Zeitgesteuert oder Ad-Hoc, mit sofortiger Anpassung IT-Symposium

21 Symantec IT-Compliance Portfolio Compliance & Reporting Symantec BindView Policy Manager Policy Management Symantec Control Compliance Suite Symantec Enterprise Security Manager Standards & Konfiguration Symantec Security Information Manager Netzwerk Symantec Sygate Enterprise Protection Systeme & Clients IT-Symposium

22 Symantec BindView Policy Manager Automatisierte Bewertung von Firmenrichtlinien gegenüber Regelwerken, Frameworks und Best Practices Definieren Erstellung und Verteilung von Richtlinien Verfolgung von Benutzerakzeptanz Referenzieren Universelle, übergreifende Kontrollen für die Einhaltung von Richtlinien in unterschiedlichen Regelwerken Nachweisen Berichte und Analysen über die Einhaltung von Richtlinien durch Konsolidierung von Informationen unterschiedlichster Herkunft IT-Symposium

23 Vorteile einer modernen Compliance Lösung Strukturierter und aktueller Compliance Nachweis gegenüber Dritten. Wesentlicher Baustein für die effektive Umsetzung eines unternehmensweiten Risikomanagements (operationelle Risiken) Kostenersparnis Reduzierter Prüfungsaufwand Geringere Schäden durch effektives Risikomanagement Marktführende Gesamtlösung eines namhaften Herstellers Investitionsschutz Integration mit bestehenden Systemen / Vorgaben IT-Symposium

24 Empfehlungen IT-Sicherheit (funktionell und organisatorisch) analysieren Compliance-Aktivitäten inventarisieren Compliance Policies, Prozesse und Kontrollen optimieren standardisieren automatisieren Kontrollen und Audits regelmäßig durchführen Quelle: "The Struggle to Manage Security Compliance for Multiple Regulations IT-Symposium

25 Vielen Dank! Tracy Varnum Symantec T: Copyright 2007 Symantec Corporation. All rights reserved. Symantec and the Symantec Logo are trademarks or registered trademarks of Symantec Corporation or its affiliates in the U.S. and other countries. Other names may be trademarks of their respective owners. This document is provided for informational purposes only and is not intended as advertising. All warranties relating to the information in this document, either express or implied, are disclaimed to the maximum extent allowed by law. The information in this document is subject to change without notice. IT-Symposium