Informations- Sicherheitsmanagement bei Hubert Burda Media avedos/ey GRC Erfahrungsaustausches

Transkript

1

2 Informations- Sicherheitsmanagement bei avedos/ey GRC Erfahrungsaustausches

3 Agenda eine Tech und Media Company Organisation der Informationssicherheit bei HBM zentrale Steuerung versus dezentrale Verantwortung Nutzung von risk2value ISM-Risikomanagement, ISM-Prozesse, Maßnahmenverfolgung Weitere Ausbaustufen Cloud-Assessment, automatisierte Schnittstellen zu anderen Kontrollsystemen

4 Dr. Hubert Burda Eigentümer, Verleger Vorstand Ein Familienunternehmen mit einer mehr als 100 jährigen Tradition. Führend im nationalen Zeitschriftenmarkt, im Dialogmarketing sowie im Tiefdruck- Markt hat Burda frühzeitig in digitale Geschäftsmodelle investiert und seine Marktposition national und international weiter ausgebaut. Im Jahr 2015 hat Burda einen Außenumsatz von 2,21 Mrd. Euro erwirtschaftet und beschäftigt weltweit ca Mitarbeiter Stefan Winners Digitalmarken national Holger Eckstein Finanzen & Services Andreas Rittstieg Compliance & Recht Philipp Welte Medienmarken national Dr. Paul-Bernhard Kallen CEO Seite 4

5 Burda wird weiterhin in wachstumsstarken Ländern expandieren, sowohl im Print- als auch im digitalen Markt Deutschland UK Frankreich Hong Kong Indien Kasachstan Malaysia Polen Rumänien Russland Singapur Taiwan Thailand Tschech. Republik Türkei Ukraine USA Brasilien Spanien Portugal Seite 5

6 Marken Portfolio Fashion & Beauty Garten Urlaubsreise Consumer Tech News Beruf Unterhaltung Food Lifestyle Wohnen Gesundheit Service Seite 6

7 Organisation der Informationssicherheit bei HBM zentrale Steuerung versus dezentraler Verantwortung Seite 7

8 Aus der Unternehmensstrategie ergeben sich Implikationen für die IT/I-Sicherheit bei Hoheitliche Aufgaben Ausgewählte IT-Aufgabenbereiche: IT Security, Datenschutz IT Risk & Compliance IT-Controlling zentral gesteuerte Aufgaben: IT Standards und Transformation Enterprise Architecture Lizenz Management IT Asset Management Hoheitliche Aufgaben Geschäftsbereichs IT Geschäftsbereichs IT Auswahl differenzierender IT- Lösungen Geschwindigkeit und Innovation stehen im Vordergrund Eigene Kompetenz in den Geschäftsbereichen Standard IT Differenzierende IT Standard IT Bereitstellung u. Betrieb von Basis Funktionalitäten: Infrastruktur Netzwerk Arbeitsplatz-IT Hohe Qualität Differenzierende IT IT-Lösungen mit unmittelbarem Einfluss auf den Geschäftserfolg Wahlweise Interne oder Externe IT- Dienstleister Steuerung durch Geschäftsbereich

9 Das Informationssicherheits Management basiert auf einer zentralen Steuerung und einer dezentralen Verantwortung in den Geschäftsbereichen Entscheidung ISM Controlboard 4 mal pro Jahr - Entscheidungen über IS-Strategie - Entscheidung zu IS-Projekten - Freigabe von Richtlinien und Vorgaben zur Informationssicherheit Mitglieder: Vorstände Digital, Recht & Compliance, Finanzen, CIO/CTOs, CISO, Audit & Riskmgm. Compliance & Recht Audit Enterprise Riskmgm. Steuerung isecurity - Beratung der Geschäftsbereiche - Begleiten von Incidents, Projekten, - Steuerung ISM - Erarbeiten von Richtlinien und Vorgaben - Schulung von Mitarbeitern Follow Up min.1 x pro Jahr CISO & Team 2 wöchige Abstimmungen CIO/CTO Interne IT- Dienstleister Umsetzung ISO je Gesellschaft Treffen der ISOs 2 x pro Jahr, - Umsetzung des ISM im Geschäftsbereich - Mitarbeit bei Richtlinien und Vorgaben - Dezentrale Steuerung ISM und Datenschutz - Erarbeiten von spezifischen Regelungen und Vorgaben ISO für eine oder mehrere Gesellschaften Externe IT- Dienstleister CISO= Corporate Information Security Officer; ISO= Information Security Officer Seite 9

10 Das Ziel ist eine kontinuierliche, angemessene Sicherheit der Informationswerte Kontinuierliche Verbesserung IS Bewertung des Reifegrads der ISM/IT-Prozesse 1 Risikomanagement Schutzbedarfsfeststellung Informationswerten =BIA Abgleich mit Soll-Reifegrad Kontrollkatalog 2 Zuordnung von IT-Systemen zu Informationswert Soll-Reifegrad Erarbeiten von Maßnahmen Gefährdungs -katalog 3 Risiko Analyse Abgleich IST-Schutzniveau zu Soll-Reifegrad Priorisieren der Maßnahmen Steuern der Maßnahmen Implement. Erarbeiten von Maßnahmen Kontrollkatalog 2 1) Management IS, Organisation IS, Compliance-Mgm., Notfall-Mgm., Incident-Mgm. 2) Kontrollkatalog auf Basis ISO ) Eigener Risikokatalog auf Basis ISO27005 Seite 10

11 Nutzung von risk2value ISM-Risikomanagement, ISM-Prozesse, Maßnahmenverfolgung Seite 11

12 Das komplette IS-Risikomanagement wird in risk2value abgebildet HBM Business Unit n Digital Burda Forward Cyberport Burda Direkt Services Tomorrow Focus AG Gesellschaft n Gesellschaft 1 1 Client Applikationen Datenverwaltung Computerunvierse Informations Informations Informations -werte -werte -werte -werte Schutzbedarf Server 3 2 Infrastrukturkomponenten SOLL- Reifegrad Risikowert IST- Reifegrad SOLL - IST Aktivitäten Aktivitäten (Maßnahmen) Aktivitäten (Maßnahmen) (Maßnahmen) Seite 12

13 Die Bewertung der ISM-Prozesse erfolgt ebenfalls in risk2value HBM Business Unit n Digital Burda Forward Cyberport Burda Direkt Services Tomorrow Focus AG Gesellschaft n Gesellschaft 1 Computerunvierse IS- Manage ment Manuelle Vorgabe IS- Organisation Compliance Mgm. SOLL- Reifegrad Incident Mgm. Notfall Mgm. 3 IST- Reifegrad SOLL - IST Aktivitäten Aktivitäten (Maßnahmen) Aktivitäten (Maßnahmen) (Maßnahmen) Seite 13

14 Für die einzelnen Controls werden je Betrachtungsbereich unterschiedliche Schwerpunkte gesetzt Seite 14

15 Ziel ist es wesentliche Risiken zu erfassen und geeignete Maßnahmen zu ergreifen Die Top 5 IT-Risiken je Bereich werden an das Enterprise Risikomanagement weitergeleitet Seite 15

16 Der ISO kann seine vereinbarten Maßnahmen ebenfalls in risk2value steuern Seite 16

17 Weitere Ausbaustufen Cloud-Assessment, automatisierte Schnittstellen zu anderen Kontrollsystemen Seite 17

18 Die Risikobewertung hinsichtlich Informationssicherheit und Datenschutz findet auf Basis von vier Faktoren statt A: Compliance-Vorgaben: Gesetzliche & regulatorische Anforderungen Datenschutzanforderungen ISO Grundsätze ordnungsgemäßer Buchführung im Outsourcing IDW ERS FAIT 5 C: Schutzbedarf der Daten Schutzbedarf der Daten nach Vertraulichkeit, Verfügbarkeit und Integrität Risiko-Kataloge Risiko-Bewertung Empfehlung IS/DS Private Cloud Hybrid Cloud Public Cloud SaaS PaaS IaaS B: Art der Cloud Quelle: J. Kempter; 2016 Beim Dienstleister vorhandene Kontrollen, Sicherheitsmaßnahmen, Zertifikate, Ort der Datenspeicherung, Verschlüsselung, Schnittstellensicherung, Backup, D: Spezifika Dienstleister Seite 18

19 Verschiedene Kontrollkataloge können verknüpft werden. Somit müssen gleichlautende Fragestellungen nur einmal beantwortet werden Nr. Thema Frage A Management der Informationssicherheit A.1 Scope und Ziele A.2 Rollen und Verantwortlichkeiten A.3 Risiko Management A.4 Überwachen, Überprüfen und Verbessern A.5 Management von Dokumenten und Aufzeichnungen B Organisatorische Maßnahmen B.1 Informationssicherheitsrichtlinien und Vorgaben B.2 Third Party Management B.3 Personalsicherheit B.4 Informationsklassifizierung und - handhabung B.5 Management von Vorfällen (Incident Management) B.6 Business Continuity Management C Technische Maßnahmen ISO Checkliste technischorganisatorische Maßnahmen gemäß 9 BDSG Nr. Frage Existiert eine übergeordnete Richtlinie/Policy zum Datenschutz? Ist die Richtlinie/Policy zum Datenschutz den Mitarbeitern bekannt? Gibt es im Unternehmen etablierte Prozesse und Verfahren zur Einhaltung von Datenschutz und Datensicherheit? Gibt es im Unternehmen etablierte Prozesse und Verfahren zur Einhaltung von Datenschutz und Datensicherheit? Zertifizierte Prozesse (z.b. gemäß ISO 27001,BSI)? Beschreibung: Seite 19

20