IT Sicherheit Teil 4 IT Security Management

Transkript

1 IT Sicherheit Teil 4 IT Security Management 1 ITIL IT Infrastructure Library OGC (Office of Governance Commerce) in Norwich (England) Kernpublikationen: ITIL Service Design ITIL Service Transition ITIL Service Operation ITIL Service Strategy ITIL Continual Service Improvement 2 1

2 ITIL Service Strategie Service Portfolio Management Demand Management IT Financial Management 3 ITIL Service Design Service Catalogue Management Service Level Management Risk Management Capacity Management Availability Management IT Service Continuity Management Information Security Management Compliance Management IT Architecture Management Supplier Management 4 2

3 ITIL - Service Transition Service Asset and Configuration Management Service Validation and Testing Evaluation Release Management Change Management Knowledge Management 5 ITIL Service Operation Event Management Incident Management Problem Management Request Fulfillment Access Management 6 3

4 ITIL - Continual Service Improvement Service Level Management Service Measurement and Reporting Continual Service Improvement 7 ITIL v3 Certification Levels ITIL v3 Certification Levels: Foundation Intermediate Expert Master 8 4

5 ITIL (Service Design) Security Management Information Security Management System Framework: Policy, Prozesse, Standards, Guidelines und Tools Sicherstellen, dass die Organisation die Security Management Ziele erreicht werden Information Security Policy Diese Grundsätze steuern das Vorgehen der Security Management der Organisation 9 ITIL (Service Design) Security Management Information Security Management Prozess sichert Vertraulichkeit Integrität Verfügbarkeit für Assets, Informationen, Daten und IT Services. Organisatorischer Ansatz ist weiter zu fassen als ein IT Service: Scope ist u.a. Umgang mit Papieren, Gebäudezutritt, Telefonanrufe 10 5

6 ITIL Security Management Ziele Umsetzung der Sicherheitsanforderungen Service Level Agreements (SLAs) externe Anforderungen Verträge / Gesetze / interne und externe Grundsätze (Policies) Umsetzung eines Sicherheitsbasislevels Durchgängigkeit des Managements garantieren Einführung eines vereinfachten Security Service Level Management 11 Beispiel: PC Arbeitsplätze Sicherheitsanforderungen aus SLAs: Datenverfügbarkeit: Backup-Zyklus, Recovery Time Firewall Betrieb Verteilung v. Sicherheitsupdates Physikalischer Schutz (Diebstahl) externe Anforderungen z.b.: BDSG Leasingverträge Ziel: Umsetzung der Anforderungen 6

7 ITIL Security Management Ergebnis der Zieledefinition Inputs für Prozess Initialisierung Messung der Ziele: Key Performance Indikatoren (KPI) 13 ITIL Security Management KPIs = S.M.A.R.T. Spezifisch eindeutig definiert nicht vage, sondern so präzise wie möglich Messbar: Kriterien Akzeptiert Realisierbar + Erreichbar Termin: klare Vorgabe 14 7

8 ITIL Security Management Vorgehen: kontinuierlicher zyklischer Prozess PDCA Paradigma Plan Do Check Act 15 ITIL Security Management Prozess 8

9 ITIL Security Management Security Management Prozess: Control (Steuerung) Plan (Planung) Implementation (Umsetzung) Evaluation (Auswertung) Maintenance (Pfelge) Control Plan Implement Evaluate Maintain 17 ITIL Security Management Prozess Control Aktivitäten Security Grundsätze einführen Anforderungen + Regeln Ergebnis: Policy Statement Security Organisation definieren Verantwortlichkeiten, etc Ergebnis: Security Management Framework Reporting Control Plan Implement Evaluate Maintain 18 9

10 ITIL Security Management Prozess Plan Aktivitäten SLAs um Security Aspekte erweitern untermauernde Verträge aufsetzen Externe Dienstleister Beratung, Support OLAs Security Planung d. Organisationseinheiten Reporting Control Plan Implement Evaluate Maintain 19 ITIL Security Management Prozess Implementation Aktivitäten Klassifizierung und Management von IT Applikationen einführen Configuration Items Change Management / Steuerung Personalbezogene Sicherheit einführen Sicherheitsmanagement einführen Zugangskontrollsystem einführen Reporting Control Plan Implement Evaluate Maintain 20 10

11 ITIL Security Management Prozess Evaluation Aktivitäten Selbstbewertung (Self assessment) Interne Prüfung (Audit) Externe Prüfung (Audit) Auswertung von Security Events Reporting Control Plan Implement Evaluate Maintain 21 ITIL Security Management Prozess Maintenance Aktivitäten Pflege der SLAs Pflege der OLAs Change Request (CR) für SLAs und OLAs Reporting Control Plan Implement Evaluate Maintain 22 11

12 ITIL Security Management Prozess Schnittstellen zu anderen ITIL Prozessen: IT Customer Relationship Management Service Level Management Availability Management Capacity Management IT Service Continuity Management Configuration Management Release Management Incident Management & Service Desk Problem Management Change Management (ITSM) 23 ITIL Security Management Was kann schief gehen? Ausrichtung auf Security Audit Keine Problembewusstsein Potentielle Schäden werden unterschätzt Fehlende Verpflichtungen (Nachweis?) Verantwortung wird weggeschoben zahnloser Security Officer Verankerung in den Prozessen fehlt Planung (Vertrag, Projekt, Angebot, Service, ) Einkauf Q-Gates Abnahme 12

13 ITIL Security Management Was kann schief gehen? Analyse der Sicherheitsanforderungen und Risikoanalysen werden zurück gestellt Sicherheit ist in Projekt-Budgets nicht eingeplant Verzicht auf Experten Clean Desk / Wall Policy wird nicht akzeptiert Policies / Konzepte: Unvollständig Scheingenau Verzettelt ITIL-Sicherheitsaspekte im Betriebskonzept schriftlich? Sicherheitsvorfällen werden herunter gespielt ITIL Security Management Owner, Verantwortung ITIL Security Verpflichtungen CIO Zulieferer Doing Betrieb, Service Koordination Service Manager Berater Assistenz 13

14 IT Security Management: ADV ADV = Auftragsdatenverarbeitung Verantwortliche Stelle Dritte Auftragsdatenverarbeitung 11 BDSG Funktionsübertragung Übermittlung Gesetzlich erlaubt? BDSG 28 und 32 IT Security Management: ADV Kriterien Auftragsdatenverarbeitung: fehlende Entscheidungsbefugnis des Auftragnehmers weisungsgebundene Unterstützung des Auftraggebers Keine Verarbeitung oder Nutzung der Daten zu eigenen Zwecken des Auftragnehmers fehlende vertragliche Beziehung des Auftragnehmers zum Betroffenen Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt Beispiele: Wartung/Pflege IT, Fehlersuche in Software, Daten-/Systemmigration, Software weiterentwickeln 14

15 IT Security Management: ADV Kriterien Funktionsübertragung: Überlassung von Nutzungsrechten an den Daten, Eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister, Weisungsfreiheit des Dienstleisters bezüglich dessen, was mit den Daten geschieht, Sicherstellen der Rechte von Betroffenen, wie Benachrichtigungspflicht und Auskunftsanspruch. Beispiele: Buchhaltung, HR, Handelsvertreter IT Security Management: ADV 11 BDSG: schriftlicher Vertrag notwendig 1. Gegenstand, Dauer 2. Umfang, Art, Zweck 3. organisatorische u. technische Maßnahmen 4. Berichtigung, Löschung, Sperrung von Daten 5. Pflichten den Auftragnehmers (Kontrolle) 6. Unterauftragnehmer 7. Kontrollrecht, Duldung, Mitwirkung d. Auftaggebers 8. Umgang mit Verstößen zum Datenschutz 9. Daten-Rückgabe, Löschung nach Auftragende 15

16 Übung zu ITIL Security Management Bsp.: Hochschule Die Verwendung von s beinhalten diverse potentielle Sicherheitsprobleme. Welche Themen sind für eine s Security Policy relevant. Wie wäre der Ablauf eine Security Policy für ihre Universität einzuführen? 31 Analysetechniken 16

17 Analysetechniken Mengen / Prozesse Bedeutung von Mengengruppen? ABC-Analyse / Pareto-Analyse Priorisierung und Konzentration auf vielversprechende Maßnahmen Vergleichsfragen Portfolio Analyse Bewertung anhand weniger Kriterien Symptombearbeitung und Fehleranalyse Ursache-Wirkungs-Analyse Wirkungskette und Ursachenwurzel Analysetechniken Zusammenhänge und soziale Systeme Projektstart und Findungsphase Umfeldanalyse Projektpartner und ihre Bedeutung Contracting / Audits Stakeholder und Erwartungen analysieren Einschätzung von Interessen Strategieentwicklung für Kooperationen und Konkurrenzsituationen Analyse von Mit- und Gegenspielern Situationsanalyse des sozialen Systems 17

18 Analysetechniken Qualitative Zusammenhänge Bewertung von Ausgangssituation und Status Quo Förderliche und verhindernde Faktoren SWOT Analyse Entscheidungsfindung bei Zielalternativen Kraftfeldanalyse Bewertung der Erreichbarkeit von Zielen Analysetechniken ABC- oder Pareto Analyse 18

19 Analysetechniken ABC-Analyse / Pareto-Analyse Eine kleine Anzahl von Elementen trägt viel zum Gesamtumfang bei 80% der Ziele können mit 20% der Mittel erreicht werden Worauf konzentieren? Welche Prioritäten? Worauf verzichten? Analysetechniken ABC-Analyse / Pareto-Analyse Vorgehen: 1. Verbrauch ermitteln Assets, Informationen/Daten, Services 2. Rangreihung z.b. nach Verwendung, Kunden/Userzahl, Verbreitung, Nutzungintensität 3. Priorisierung in Klassen Klasse A bis C 4. Maßnahmen ableiten 19

20 Pareto Analyse einfaches Beispiel: ISP nach Umsatz Service Preis p.m. Kunden Umsatz p.m. Web Pack S Web Pack M Web Pack L Root Server GB Storage Box Service Preis p.m. Kunden Umsatz p.m. Ums akk p.m.0 Box 2, Web Pack S 5, GB Storage 3, Web Pack L 15, Web Pack M 10, Root Server 20, Pareto Analyse Beispiel: ISP nach Umsatz 100% 90% Kumulierter Umsatz 80% 70% 60% 50% 40% 30% 20% 10% 0% A Services B Services C Services Box Web Pack S 1GB Storage Web Pack L Web Pack M Root Server 20

21 Pareto Analyse Beispiel für Maßnahmenableitung: Security-Policies für A-Services erstellen für A-Service eigener Security Officer Sicherheitsanalyse für A-Services Risiken / Schadenspotential Servicedesk und Trouble Ticket System für A-Services optimieren Separates A-Services Reporting Analysetechniken SWOT Analyse 21

22 Analysetechniken SWOT Gegenwart Stärken (Strength) Probleme (Weaknesses) Zukunft Chancen (Opportunities) Positiv Risiken (Threads) Negativ Analysetechniken SWOT Stärken: Was sind unsere Stärken? Was läuft gut? Worauf können wir uns verlassen? Was stellt uns zufrieden? Was gibt uns Energie? Worauf sind wir stolz? Probleme: Was ist schwierig? Was fehlt uns? Welche Störungen behindern uns? Was fällt uns schwer? Wo liegen unsere verwundbaren Stellen, Selbstbehinderungen? 22

23 Analysetechniken SWOT Chancen: Wozu könnten wir noch fähig sein? Was sind die Zukunftschancen und neue Trends? Was können wir im Umfeld nutzen? Welches Potential haben wir noch? Was könnten wir ausbauen? Welche Möglichkeiten stehen noch offen? Risiken: Wo lauern künftig Gefahren und Risiken? Was kommt an Schwierigkeiten auf uns zu? Was kann uns geschehen? Welche Fehlentwicklungen befürchten wir? Analysetechniken SWOT Gegenwart Stärken (Strength) Probleme (Weaknesses) Zukunft Chancen (Opportunities) Ansatz Risiken (Threads) 23

24 SWOT Analyse Serviceprozess Stärken / Schwächen im Vergleich zu Risiken Kriterium o Reaktionszeit Servicegrad Sicherheit Security SLAs Security OLAs Unsere Stärken: Anderswo nutzen? dringender Handlungsbedarf Chancen? Trends? Mögliche Abwehr? SWOT Analyse Vorgehensweise: 1. Sammeln ca. 3-5 Aussagen pro Quadrant; ausgeglichenes Bild über alle Quadranten bei Konflikten: vorhandenen Konsens feststellen; dann Dissens gesondert bearbeiten 2. Priorisierung 3. Aktionspläne für o o W O T O 24

25 Services SWOT Analyse Stärken / Schwächen (Security) im Vergleich zu Chancen (Umsatz) Kriterium o Root Server Web Pack M Web Pack L Web Pack S Kann man Ausbauen? Fehlentwicklung? Auswirkungen? Übertragen? Kosten? Service Preis p.m. Kunden Umsatz p.m. Ums akk p.m.0 Box 2, Web Pack S 5, GB Storage 3, Web Pack L 15, Web Pack M 10, Root Server 20, Analysetechniken Portfolio Analyse 25

26 Beispiel: Portfolio Analyse Wachstum niedrig hoch Wild Cat Poor Dog Root Server 1GB Star Cash Cow Boston Consulting Group: BCG-Matrix Web Pack S Box niedrig Umsatz (oder Marktanteil) hoch Portfolio Analyse Poor Dogs: Security Sicht: Reduce & Simplify: Abschaffen? Schadenspotential vs. Nutzen? Cash Cows: bringen Geld: Achtung: Da will keiner ran, da kein Wachstum mehr Wild Cat: benötigen Investition und Aufmerksamkeit offensive Strategie notwendig hier können auch die größten Fehler gemacht werden Stars wegen Wachstum besteht hoher Investitionsbedarf, Hohes Risiko und Schadenspotential ITIL Prozesse darauf abstimmen 26

27 Portfolio Analyse Original BCG Matrix Relativer Marktanteil vs. Marktwachstum Vorschlag: Schaden durch Sicherheitsvorfälle vs. Zunahme von Sicherheitsproblemen Analysetechniken Analyse von Ursache und Wirkung Ishikawa Diagramm 27

28 Ishikawa Diagramm Ursache Wirkung Ausstattung Prozesse Menschen Nebenursache Hauptursache Problem Material Umgebung Management geht auch als Mind Map Ishikawa Diagramm Ziel: Verbesserung der Servicequalität systematisches Qualitätsmanagement 4 Ss of Service Industry 1. Surroundings 2. Suppliers 3. Systems 4. Skills 28

29 Analysetechniken Umfeld Analyse Analyse des Umfeldes Service Manager CIO Controlling ITIL Projekt Einkauf Service Desk Rechenzentrum Stakeholder Management Plan Betroffenheit ext. Berater SeD Gesetzte RZ Unberührte EK Co eb Einfluss kritisch befreundet Arbeitsebene Spielmacher SeM CIO Joker 29