Audit Security Governance Risk Management Internationale Zertifikate CISA, CISM, CGEIT und CRISC. KURSÜbersicht_ Top-Kurse zu aktuellen Themen

Transkript

1 ISACA Switzerland Chapter ISACA ist ein weltweites Netzwerk von Spezialisten, die sich mit der Sicherheit, Kontrolle, Audit und Governance von Informationssystemen befassen. Das 1988 gegründete Switzerland Chapter hat über Mitglieder und wurde für seine Dienstleistungen für die Mitglieder und die internationale Berufs gemeinschaft mehrfach ausgezeichnet, z.b. als «Best Very Large Chapter Worldwide» sowie für die Webseite und die eigene Zeitschrift Auszeichnungen, welche die zahlreichen Freiwilligen zu weiteren Höchstleistungen anspornen. Interessieren Sie sich für Governance, Sicherheit, Risikomanagement oder Revision im Informatikumfeld? Werden Sie Mitglied! Weitere Informationen finden Sie auf Kursübersicht Audit Security Governance Risk Management Internationale Zertifikate CISA, CISM, CGEIT und CRISC Top-Kurse zu aktuellen Themen Januar bis Juni 2014 ITACS Training AG

2 2 Audit Security Governance Risk Management Internationale Zertifikate CISA, CISM, CGEIT und CRISC Top-Kurse zu aktuellen Themen Januar bis Juni 2014 Interested in CISA, CISM, CGEIT or CISM training and other related courses in English or French? See the website of our accredited partner ardantic SA Ch. de la Résidence 3 CH-1009 Pully +41 (21)

3 Inhaltsverzeichnis Kursübersicht nach Daten 2 3 Kursübersicht nach Daten 3 Kursübersicht nach Themen 4 ISACA der Berufsverband für Governance, Sicherheit, Risikomanagement und Audit 6 ITACS Training AG Ihr Ausbildungs-Provider 8 Kurse Details 10 Partnerfirmen 78 Schulungsräume 82 Allgemeine Geschäftsbedingungen 84 Unsere Prüfungsvorbereitungskurse sind ausserordentlich erfolgreich: Sämtliche Teilnehmer der kompakten CISA-, CISM-, CGEIT- und CRISC- Prüfungstrainings haben die Prüfung im Juni 2012 bestanden! 1. Rang Juni Rang Dez Rang Dez Unsere Teilnehmer schneiden an den internationalen Zertifikatsprüfungen immer wieder hervorragend ab Juni 2001: weltbeste CISA-Prüfung; Dezember 2010: weltweit zweitbeste CGEIT-Prüfung; Dezember 2012: weltbeste CISM-Prüfung. Die vorgestellten CISA-, CISM-, CGEIT- und CRISC-Kurse sind die (einzigen) offiziellen Zertifikatskurse des ISACA Switzerland Chapter. Sie werden von ITACS Training AG sowie in der Westschweiz von Ardantic SA durchgeführt. Der Dachverband ISACA verlangt aus rechtlichen Gründen den nachfolgenden Hinweis: ISACA does not endorse, approve, or sponsor ITACS Training AG, its CISA, CISM, CGEIT or CRISC courses or any of its other products and/or services, nor is affiliated with ITACS Training AG in any manner. CISA, CISM, CGEIT and CRISC are registered trade marks of the Information System Audit and Control Association. Seite CISA-VK CISA-Vertiefungskurs * CISM-VK CISM-Vertiefungskurs * CGEIT-VK CGEIT-Vertiefungskurs * CRISC-VK CRISC-Vertiefungskurs * GOV-CH IT-Governance ISACA-CH Zertifikat GOV-KK Governance für IT, Security und Risikomanagement AUD-CH IT-Audit ISACA-CH Zertifikat 50 3./ AUD-KK Standards und Verfahren der (IT-) Revision IRM-CH IT-Risikomanagement ISACA-CH Zertifikat ISM-CH Informationssicherheits-Management ISACA-CH Zertifikat RM-KK Risikomanagement-Methoden wirksam anwenden PER-KK Effizientes Messen von Leistungs- und Risiko-Indikatoren COB-KK in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance / PVS-RW Wie vermeidet der Prüfer im Sicherheitsumfeld, dass er selber zum Risiko wird? STR-KK Strategische Ausrichtung von Geschäft (Business) und Informatik (IT) ISM-KK ISMS gemäss ISO 2700x implementieren und verbessern RIM-KK Risikoprüfung und kontinuierliche Risikoüberwachung IKS-KK Design, Betrieb und Überwachung von Kontrollen OUT-KK Risiken, Überwachung und Prüfung von Outsourcing-Providern IM-KK Informationsmanagement in der Informationssicherheit CSA-KK ISO 27001/2 Self Assessment effiziente ISMS-Standortbestimmung / LAB-SMA (J) Secure Mobile Apps / LAB-SMA (B) Secure Mobile Apps CISA-PV CISA-Prüfungsvorbereitungskurs CISM-PV CISM-Prüfungsvorbereitungskurs / LAB-WAB (J) Web Applications Security: Basics / LAB-WAA (J) Web 2.0 Web Applications Security: Advanced CRISC-PV CRISC-Prüfungsvorbereitungskurs CGEIT-PV CGEIT-Prüfungsvorbereitungskurs AWA-KK Wirksame Awareness-Kampagnen gestalten und umsetzen 22 6./ ERM-UF Effektives Management von IT-bezogenen Risiken mit «CobiT 5 for Risk» 24 6./ LAB-WAB (B) Web Applications Security: Basics 58 8./ LAB-WAA (B) Web 2.0 Web Applications Security: Advanced SAM-VD Risikominimierung durch Software Asset- und Lizenz-Management (SAM&SLM) LM5-VD Revision von Software Asset Management Lizenzmodelle der Top 5-Hersteller COB-BL (E) Introduction to CobiT 5 all you need to know! PAM-BL (E) Understanding and Using the New CobiT Process Assessment Model (PAM) GL-SAP Grundlagen zur Prüfung von SAP-Systemlandschaften 53 3./ SP-SAP Systemprüfung von SAP-Systemen 54 5./ FIBU-SAP Prüfung der Finanzbuchhaltung (FI) in SAP-Systemen / APR-BJ High-Level Analyse von Projektrisiken / LAB-ABT (J) Network Analysis & Advanced Persistent Threats COB-KK in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance 30 * stag am 13. Dezember 2013 für CISA-, CISM-, CGEIT-, und CRISC-Vertiefungskurse n Garantierte Durchführung (E) Course in English (J) Kurs in Jona (B) Kurs in Bern Seite

4 Kursübersicht nach Themen 4 5 Risikomanagement/Sicherheit RM-KK PER-KK ISM-KK RIM-KK IM-KK CSA-KK AWA-KK ERM-UF 6./ APR-BJ 12./ Risikomanagement-Methoden wirksam anwenden Identifikation, Bewertung und Management von (IT-) Risiken Effizientes Messen von Leistungs- und Risiko-Indikatoren Gute Leistungsindikatoren effizient erheben und auswerten ISMS gemäss ISO 2700x implementieren und verbessern Wirkungsvolles Sicherheitsmanagementsystem in 30 Schritten entwickeln/verbessern Risikoprüfung und kontinuierliche Risikoüberwachung Wirksame Über wachung und Überprüfung von Risiken Informationsmanagement in der Informationssicherheit Wissen, welche Informationen wann, wo und wie aufbewahrt werden müssen ISO 27001/2 Self Assessment effiziente ISMS-Standortbestimmung ISMS-Ausbaugrad effizient und korrekt messen Wirksame Awareness-Kampagnen gestalten und umsetzen Systematische Planung/Durchführung von Aktivitäten und Kampagnen Effektives Management von IT-bezogenen Risiken mit «CobiT 5 for Risk» Unternehmensweites Risiko management wirksam umsetzen High-Level Analyse von Projektrisiken Kritische Projekte auf ihre Risiken analysieren IT-Governance und IKS GOV-KK COB-KK STR-KK IKS-KK SAM-VD LM5-VD Governance für IT, Security und Risikomanagement Typische Problemfelder erkennen und vermeiden in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance Das neue Framework verstehen, korrekt anwenden und von CobiT 4.1 migrieren Strategische Ausrichtung von Geschäft (Business) und Informatik (IT) Anwendung verschiedener Hilfsmittel wie z.b. CobiT 5 zur gegenseitigen Ausrichtung Design, Betrieb, Überwachung & Unterhalt von Kontrollen Effizientes Design & wirksame Überprüfung von anwendungsabhängigen Kontrollen Risikominimierung durch Software Asset- und Lizenz-Management (SAM&SLM) Hohe Straf zahlungen bei Lizenz -Audits vermeiden und generell ROI verbessern Revision von Software Asset Management Lizenzmodelle der Top 5-Hersteller Lizenz modelle verstehen, Ver stösse vermeiden und Audits risikovermindernd begleiten COB-BL (E) Introduction to CobiT 5 all you need to know! Get to know the new framework and migrate from CobiT 4.1 PAM-BL (E) Understanding and Using the New CobiT Process Assessment Model (PAM) Correctly evaluate and direct process maturity COB-KK in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance Das neue Framework verstehen, korrekt anwenden und von CobiT 4.1 migrieren Spezielles Fachwissen für alle PVS-RW 27./ Wie vermeidet der Prüfer im Sicherheitsumfeld, dass er selber zum Risiko wird? Verbesserung der psychologischen Verhaltensstrategie in kritischen Situationen n Garantierte Durchführung Folgende Referenzierungen können Ihnen bei der Auswahl der Kurse helfen: Z mit Zertifikat R Risikomanagement A Audit S Security G Governance (E) Course in English Seite R A S G 10 R A S G 12 R S G 14 R A S G 16 R A S G 18 R S G 20 R S G 22 R S G 24 R A S G 26 R A S G 28 R A S G 30 R G 32 R A S 34 R A G 36 R A G 38 R A S G 40 R A S G 42 R A S G 30 R A S G 44 (IT-) Revision/Audit AUD-KK 3./ OUT-KK Standards und Verfahren der (IT-) Revision Eine kompakte Risiken, Überwachung und Prüfung von Outsourcing-Providern Bekommen Sie Ihr Outsourcing in Griff speziell auch für KMUs A 46 R A S G 48 SAP-Knowhow für Sicherheitsbeauftragte und Prüfer («Hands-on»-Seminare) GL-SAP Grundlagen zur Prüfung von SAP-Systemlandschaften R A S 53 SP-SAP Systemprüfung von SAP-Systemen 3./ R A S 54 FIBU-SAP Prüfung der Finanzbuchhaltung (FI) in SAP-Systemen 5./ R A S 55 Security Labor mit Compass Security LAB-SMA Network Analysis & Advanced Persistent Threats 18./ Jona 20./ Bern A S 57 LAB-WAB Web Applications Security: Basics 8./ Jona 6./ Bern A S 58 LAB-WAA Web 2.0 Web Applications Security: Advanced 10./ Jona 8./ Bern A S 59 LAB-ABT Network Analysis & Advanced Persistent Threats 19./ Jona A S 59 Offizielle Zertifikatskurse des ISACA Switzerland Chapter CISA-VK CISA-Vertiefungskurs Die intensive, berufsbegleitende Aus- und Weiterbildung für IT-Revisoren und IT-Sicherheitsbeauftragte CISM-VK CGEIT-VK CRISC-VK GOV-CH AUD-CH IRM-CH ISM-CH CISM-Vertiefungskurs Die intensive, berufsbegleitende Aus-und Weiterbildung für Informationssicherheitsbeauftragte CGEIT-Vertiefungskurs Die intensive, berufsbegleitende Aus- und Weiterbildung im Bereich IT-Governance resp. Governance of Enterprise IT (mit Berücksichtigung CobiT 5) CRISC-Vertiefungskurs Die intensive, berufsbegleitende Aus- und Weiterbildung für Risikomanagement und IKS-Design im IT-Umfeld IT-Governance ISACA-CH Zertifikat Kompakter Zertifikatskurs des ISACA Switzerland Chapters in IT-Governance IT-Audit ISACA-CH Zertifikat Kompakter Zertifikatskurs des ISACA Switzerland Chapters in IT-Revision IT-Risikomanagement ISACA-CH Zertifikat Kompakter Zertifikatskurs des ISACA Switzerland Chapters in IT-Risikomanagement Informationssicherheits-Management ISACA-CH Zertifikat Z Z R A S G 60 R S G 64 Z R G 68 Z R A S G 72 Z G 51 Z A 50 Z R 51 Z S Kompakter Zertifikatskurs des ISACA Switzerland Chapters in Informationssicherheits-Management CISA-PV CISA-Prüfungsvorbereitungskurs Kompakte Variante zur Vorbereitung auf die internationale CISA-Prüfung CISM-PV CISM-Prüfungsvorbereitungskurs Kompakte Variante zur Vorbereitung auf die internationale CISM-Prüfung CRISC-PV CRISC-Prüfungsvorbereitungskurs Kompakte Variante zur Vorbereitung auf die internationale CRISC-Prüfung CGEIT-PV CGEIT-Prüfungsvorbereitungskurs Kompakte Variante zur Vorbereitung auf die internationale CGEIT-Prüfung Seite 50 Z A 62 Z S 66 Z R 74 Z G 70 Pour plus d'informations par les courses d approfondissements CISA, CISM, CGEIT et CRISC en français, par notre partenaire d'entraînement Ardantic, voir

5 ISACA 6 7 ISACA der Berufsverband für Governance, Sicherheit, Risikomanagement und Audit ISACA ist eine internationale Körperschaft, die 1969 unter dem Namen EDPAA gegründet wurde. Ursprünglich standen die zunehmenden Auswirkungen der Computertechnik auf die Revisionstätigkeit im Fokus. Mit der Namensänderung 1994 ging eine Ausweitung der Tätigkeiten in Richtung Management und Sicherheit von Informationssystemen einher. Heute ist ISACA zusammen mit dem IT Governance Institute der Knowledge-Provider für IT Governance, IT Risk Management, IT Assurance und IT Security. Die ISACA setzt sich in professioneller Art mit allen Entwicklungen in diesen Themen auseinander und macht ihre diesbezüglichen Erkenntnisse interessierten Kreisen weltweit zugänglich. Zu den bekanntesten Produkten gehören die international anerkannten Standards CobiT, Val IT und Risk IT sowie die vier internationalen Zertifikate CISA, CISM, CGEIT und CRISC. ISACA hat weltweit über Mitglieder, organisiert in über 190 Chapter in mehr als 75 Ländern. Das ISACA Switzerland Chapter wurde 1988 als Verein gegründet. Es richtet sich ebenso an Vertreter der internen und externen Revision wie an Spezialisten, welche sich mit Fragen zu Risiken, Informationssicherheit, Governance oder IKS beschäftigen. Wir haben heute rund Mitglieder, die aus den verschiedensten Bereichen der Informationstechnologie (IT) kommen. Unsere Mitglieder arbeiten u.a. in Bund und Kantonen, Banken und Versicherungen, im Fabrikations- und Dienstleistungssektor sowie z.b. an Hochschulen. In den letzten Jahren haben wir zunehmend Mitglieder in Führungsfunktionen dazu gewonnen, welche für Governance-Aspekte verantwortlich sind. Als ISACA-Mitglied können Sie von folgenden Vorteilen profitieren Zugriff auf ISACA s internationale Standards, Frameworks, Guidances, Practices, Benchmarks und Tools, sowie auf das IT Professional Networking and Knowledge Center, dem Treffpunkt für IT-Fachleute mit diversen Informationsaustausch- und Kollaborationsmöglichkeiten. Möglichkeit zur Gratis-Teilnahme an Online-Kursen zu Themen im Bereich IT Governance, Control, Security, Risk, Audit Rabatte bei sämtlichen nationalen und internationalen ISACA-Konferenzen Rabatte bei den Zertifikatsprüfungen CISA, CISM, CGEIT und CRISC Rabatte auf dem Sortiment des ISACA Bookstore Periodische Informationen via und der Zeitschrift «ISACA Journal» Ausbildung ist uns sehr wichtig! Seit seiner Gründung ist das ISACA Switzerland Chapter in der Aus- und Weiterbildung aktiv. Seit 2003 arbeiten wir eng mit ITACS Training AG zusammen und können dadurch unseren ISACA-Mitgliedern bessere Konditionen bei jährlich weit über 40 Kursen anbieten. Nicht zuletzt der qualitativ hochstehenden Ausbildung wegen wurde unser Verein für 2011 und erneut auch für 2012 zum besten Chapter in Europa/Afrika gewählt. Profitieren Sie auch dieses Jahr von unseren vielfältigen Angeboten für Mitglieder. Vorteile für Mitglieder des ISACA Switzerland Chapter After Hours-Seminare zu aktuellen Themen: monatlich in Zürich und 3 4 Mal pro Jahr in Genf oder Lausanne; für Mitglieder jeweils gratis Für deutschsprachige Mitglieder gratis die Fachzeitschrift «Swiss IT Magazin» Durch das Switzerland Chapter herausgegebene enews (10 mal pro Jahr) Rabatte auf sämtlichen Kursen der ITACS Training AG Ausgezeichnete Vorbereitungsunterlagen und Kurse mit international anerkanntem Zertifikat für CISA, CISM, CGEIT und CRISC (Ausbildung sowie Prüfungsvorbereitung) Vier neue Zertifikatskurse des Switzerland Chapters für IT-Revision, IT-Governance, Informationssicherheitsmanagement und IT-Risikomanagement Möglichkeit zur Mitarbeit in verschiedenen Interessengruppen, welche spezifische Themen behandeln und Hilfsmittel (z.b. Prüfprogramme, Checklisten) erarbeiten Enge Zusammenarbeit mit den grossen Revisionsgesellschaften, der Schweizerischen Treuhand-Kammer, der Akademie der Treuhand-Kammer, dem Schweizerischen Verband für interne Revision (SVIR) sowie mit anderen Schweizer IT Security- Organisationen (siehe Damit verbunden sind hauptsächlich ein gegenseitiger Informationsaustausch und teilweise gemeinsame Veranstaltungen (mit entsprechenden Vergünstigungen). Alle Personen mit Interesse an Governance, Risikomanagement, Sicherheit und Audit von Informationssystemen sind als Mitglied willkommen. Weitere Informationen finden Sie auf unserer Website. Haben Sie Interesse? Werden Sie Mitglied! Daniela Gschwend, CISA, CGEIT, CRISC Präsidentin ISACA Switzerland Chapter

6 ITACS 8 9 ITACS Training AG Ihr Ausbildungs-Provider Praxisgerechte Ausbildung Als Ausbildungsanbieter setzen wir uns seit über 20 Jahren für sorgfältig konzipierte S eminare mit hohem Praxisanteil ein. Dazu wählen wir unsere Kurspartner und Referenten gewissenhaft aus und legen besonderen Wert darauf, dass diese auch in der Praxis eine hohe Akzeptanz haben. Wo immer möglich, passen wir die an die spezifischen Bedürfnisse unserer Zielgruppen an und verknüpfen die Inhalte mit einschlägigen Standards wie CobiT 5, ISO 2700x und den spezifischen Berufsbildern CISA, CISM, CGEIT und CRISC. Auch wenn Sie bei anderen Kurs anbietern Kurse zu ähnlichen Themen finden, sind die von uns angebotenen Kurse in dieser speziellen Form einzigartig. Ganzheitlicher Schulungsansatz Nach den ausgezeichneten Erfahrungen und dem positiven Feedback von Kursteilnehmern und Ausbildungsverantwortlichen grösserer Unternehmungen setzen wir uns weiter hin für einen ganzheitlichen Schulungsansatz ein, der neben dem themenspezifischen Fachwissen über Technologien und Prozesse wenn möglich auch den Aspekt Mensch einbezieht. Wir legen grossen Wert darauf, diese drei Elemente Technologie, Prozesse und Mensch in jedem einzelnen Kurs zu berücksichtigen gerade weil es Kurse mit bewusst gesetzten Schwerpunkten gibt, achten wir auch auf ein ausgeglichenes Gesamtangebot. Externe Kurse zu «Inhouse-Preisen» Aufgrund des positiven Feedbacks behalten wir unser Angebot für Unternehmen bei und bieten für die meisten Kurse einen speziellen Firmenrabatt an: Der zweite Teil nehmer derselben Firma erhält auf den Kurspreis 30%, alle weiteren Mitarbeiter derselben Firma 50% Rabatt. Ausgeschlossen davon sind einige wenige Kurse mit einem extrem hohen Vorbereitungs-, Betreuungs- oder Infrastrukturaufwand. Praktisch sämtliche Kurse können wir Ihnen auch intern mit individueller Anpassung (z.b. auch in Englisch statt Deutsch) offerieren. Wir garantieren ein ausgezeichnetes Preis-/Leistungs-Verhältnis Unsere Seminargebühren beinhalten alle notwendigen Kursunterlagen sowie die Kosten für die Pausen- und Mittagsverpflegung in bestimmten Fällen auch die weitergehende Fachliteratur oder Über nachtung. Wir berücksichtigen dabei die minimale und maximale Teilnehmerzahl, die Anzahl der im Unterricht gleichzeitig eingesetzten Referenten, Art und Umfang der benötigten Hilfsmittel usw. und garantieren Ihnen ein ausgezeichnetes Preis-/Leistungs-Verhältnis! Die überdurchschnittliche Qualität unserer Aus bildung wird letztlich auch durch das im Jahre 2010 erhaltene Schweizerische Zertifikat für Weiterbildungsinstitutionen von EduQua bestätigt. Unsere Partnerschaft mit dem ISACA Switzerland Chapter Seit 1992 führen wir in enger Zusammenarbeit mit dem Switzerland Chapter den CISA-, seit 2003 den CISM-, seit 2009 den CGEIT- und seit Dezember 2010 auch den CRISC-Zertifikatskurs durch. ITACS Training hat sich verpflichtet, nicht nur das gesamte Vereins sekretariat gratis zu betreiben sondern als «Ausbildungsprovider» neben den vier Zertifikatskursen ein umfassendes Programm mit Kursen für (IT-) Sicherheitsspezialisten, Risikomanager und Revisoren anzubieten. Wir verstehen diese Partnerschaft als Verpflichtung, dem Switzerland Chapter und seinen Mitgliedern nicht nur finanzielle Vergünstigungen sondern ein ausgewogenes Angebot hochstehender Kurse zu bieten. Bleiben Sie fit! Für uns Fachkräfte ist es unabdingbar, dass wir uns ein Leben lang fit halten im eigentlichen wie auch im übertragen Sinn. Nun für Ihre gesundheitliche Fitness fühlen wir uns nicht wirklich zuständig, aber zur Erhaltung Ihrer fachlichen Fitness können wir sehr wohl einen Beitrag leisten. Kommen Sie in unsere 13- bis 15-tägigen ISACA-Zertifikatskurse CISA, CISM, CGEIT oder CRISC oder buchen Sie einen Upgrade-Kurs von einem zum anderen Zertifikat! Darüber hinaus enthält das neue Kursprogramm eine Fülle von bewährten Tageskursen aber auch zahlreiche neue Kurse zu spannenden Themen wie z.b. CobiT 5, die eigentlich alle zum Pflichtprogramm für Ihre fachliche Fitness gehören. Ergreifen Sie die Initiative melden Sie sich oder Ihre Mitarbeiter an, online direkt über das Internet oder auch per Telefon oder Mail. Peter R. Bitterli, CISA, CISM, CGEIT, Inhaber ITACS Training AG

7 Risikomanagement-Methoden wirksam anwenden Termin: 6. Februar 2014 (1 Tag) Referent 1 R A S G RM-KK Identifikation, Bewertung und Management von (IT-) Risiken mit unterschiedlichsten Methoden wirksam implementieren Risikomanagement wird vielfach auf einem erschreckend niedrigen Reifegrad betrieben auch wenn wegen aktueller Regulatorien und Gesetz gebungen (z.b. Anpassung im Schweiz. Obligationenrecht, neue Richtlinien vom Bundesamt für Privatversicherungen, Basel II/ III, Sarbanes Oxley) sowie aufgrund von zunehmendem Druck von Geschäftspartnern bezüglich der Einhaltung von Standards und Zertifizierungen (COSO ERM, ISO 27001, ITIL, CMM, ) ein systematisches Risikomanagement immer wichtiger wird. Der wirtschaftliche Umgang mit den viel fältigen Risiken der Informationstechnologie erfordert ein planmässiges und strukturiertes Vorgehen, das als Risikomanagement bezeichnet wird. Entscheidend ist, dass die Risiken der Informations technik mit operativen Risiken aus anderen Bereichen zusammengeführt und auf strategischer Ebene dargestellt und bewertet werden. Lernziel Nach unserem Kompaktkurs mit zahlreichen Praxisbeispielen: kennen Sie die korrekten Begriffe aus dem Gebiet des Risikomanagements; kennen Sie die Bedeutung und die Aufgaben des IT-Risikomanagements; sind Sie mit unterschiedlichen Ansätzen und Ideen für das IT-Risikomanagement vertraut; sind Sie in der Lage, einen wirkungsvollen Risikomanagement-Prozess zu entwerfen; verstehen Sie, warum ein hybrider Ansatz aus Gap-Analyse und Risikoszenarien erfolgswirksam ist. Dieser Kompaktkurs richtet sich an alle Personen, welche entweder bereits über viel Erfahrung in verschiedenen Aspekten von IT-Risikomanagement verfügen und das so erworbene Wissen vervollständigen und mit praktischen Tipps abrunden wollen oder über wenig(er) Erfahrung in der Thematik verfügen und sich in kurzer Zeit einen qualitativ hochstehenden Überblick gepaart mit viel Praxis- Knowhow verschaffen wollen. Einschlägige Erfahrungen sind von Vorteil aber nicht zwingend. Ein vertieftes Informatikwissen ist nicht notwendig. Die Teilnehmer sollten aber an einer intensiven Auseinandersetzung mit allen Aspekten des Themas interessiert sein. Kurs-Spezialitäten Der Kurs vermittelt anhand verschiedener Beispiele, wie die konkreten Lösungsansätze an die spezifischen Unter nehmensbedürfnisse angepasst werden können. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Die Kursteilnehmer erhalten zudem die aktuelle Ausgabe von ISO Systematische in die Begriffswelt: z.b. Risikoanalyse, Risikomanagement (Selbststudium) Risikoanalyse für IT-Systeme, IT-Projekte und IT-Anwendungen: Vorstellung und Vergleich verschiedener Ansätze Vergleich verschiedener nationaler und internationaler Standards für Risikomanagement, wie z.b. COSO ERM, CobiT EDM03 und APO12, ISO 27005, ISO 31000, Risk IT, CobiT 5 for Risk, Strategisches IT-Risikomanagement als hybrider Lösungsansatz: szenariobasierte Risikolandschaft gekoppelt mit Gap-Analyse zu Grundschutz Entwicklung von Risikoprofilen Bewertung und Auswahl verschiedener Risikobehandlungsoptionen inkl. Business Case Abgrenzungsproblematik IT-Risikomanagement zu Operational Risk Management Gemeinsamkeiten und Unterschiede von CobiT 5 EDM03 (Ensure Risk Optimization) und APO12 (Manage Risk) n CISA Tasks: 2.2 (2.6) 2.9 n CISM Tasks: (1.8) n CGEIT Tasks: (1.7) n CRISC Tasks: n CobiT 5 Prozesse: (EDM03) APO12 (APO13) n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren / Rabatte CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Risikoprüfung und kontinuierliche Risikoüberwachung» (RIM-KK) vom 10. März 2014 (siehe Seite 16).

8 Effizientes Messen von Leistungs- und Risiko-Indikatoren Termin: 7. Februar 2014 (1 Tag) Lernziel Kurs-Spezialitäten 1 R A S G PER-KK Gute Leistungs-, Ziel- und Risiko- Indikatoren effizient erheben «Wer nicht weiss, wo er ist, weiss auch nicht, wohin er muss» Dieser altbekannte Spruch bringt das Thema unseres Kompaktkurses auf den Punkt: das Messen von Indikatoren für Standort, Zielerreichung, Leistung sowie von Risiken inner halb der IT. In einschlägigen Standards wie ISO 20000, ISO oder auch CobiT 5 wird vorausgesetzt, dass das Unternehmen in der Lage ist, Leistungs-, Risiko- und andere Metriken innerhalb (und ausserhalb) der Informatik effizient und ausreichend genau zu ermitteln was leider in der Praxis alles andere als einfach und effizient ist. Unser Kompaktkurs zeigt an unzähligen theore tischen und praktischen Bei spielen auf, welche Metriken unter welchen Umständen sinnvoll sind und wie sie effizient erhoben werden können. Zudem macht Sie der Kurs vertraut mit den (wenigen) Standardwerken zu Metriken. Nach diesem Kompaktseminar sind Sie in der Lage: die wichtigsten Anforderungen an gute Metriken vorzustellen; vorgeschlagene Metriken auf ihre Eignung zu überprüfen; für unterschiedlichste IT-Themen geeignete Leistungsindikatoren zu ermitteln und zu etablieren; sinnvolle Key Control Indicators (KCI) und Key Risk Indicators (KRI) auszuwählen und zu messen; mittels Control Self Assessment (CSA) die Bewertung von Leistungen vorzunehmen; (IT-Governance) Compliance Reviews durchzuführen. Der Kurs richtet sich an alle Personen, welche verantwortlich sind für (Teilbereiche der) IT-Governance; insbesondere an Unternehmer, IT-Manager, IT-Projektleiter, (IT) Security Manager, IKS-Verantwortliche, Risikomanager und Informatikrevisoren. Am Beispiel eines ISMS gemäss ISO wird konkret aufgezeigt, wie ein umfassendes Messsystem aussehen könnte. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, er halten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Die Kursteilnehmer erhalten zudem die aktuelle Ausgabe von ISO In diesem Dokument aus der ISO 27000er- Familie wird sehr gut erläutert, was gute Metriken sind und wie man sie über mehrere Zwischenschritte sammelt, verdichtet, auswertet und darstellt. Metriken für Schlüssel-Indikatoren für Status, Leistung, Zielerreichung oder Risiken - Grundlagen - Anforderungen an gute Metriken - Beispiele Maturitäts-/Reifegrad- Modelle Benchmarking (Vorgehen und Hilfsmittel) Moderated resp. Facilitated Control Self Assessment (CSA) - Vorbereitung - Regeln - Durchführung - Auswertung - Erfolgsfaktoren effiziente Durchführung von Compliance Reviews für (IT-) Governance resp. (IT-) Security generell und gemäss ISO IT Balanced Scorecard Fallbeispiel ISMS-Metriken n CISA Tasks: (2.6) 2.10 (4.7) n CISM Tasks: n CGEIT Tasks: n CRISC Tasks: alle 3 und 5 n CobiT 5 Prozesse: MEA01 (MEA02) (MEA03) Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren / Rabatte CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Risikoprüfung und kontinuierliche Risikoüberwachung» (RIM-KK) vom 10. März 2014 (siehe Seite 16).

9 ISMS gemäss ISO 27000x implementieren und verbessern Angepasst an Version 2013 Termin: 7. März 2014 (1 Tag) Lernziel Kurs-Spezialitäten 1 R S G ISM-KK Ein wirksames ISMS in 30 effizienten Schritten implementieren oder verbessern An ISO resp. ISO kommt heute kaum ein Sicherheitsspezialist oder IT-Revisor vorbei auch im Outsourcing- Umfeld wird die Einhaltung dieser internationalen Normen oft vom Provider einverlangt. Die beiden Standards sind zwar den Meisten bekannt; viele Sicherheitsbeauftragte benützen sie als «Inspirationsquelle» für ihre Tätigkeiten. Doch kaum jemand versteht beispiels weise, wie ein wirkungsvolles Informations sicherheitsmanagementsystem genau aussieht oder wie eine Zertifizierung auf Basis von ISO abläuft und was so ein Zertifikat wirklich bedeutet. Der Referent dieses Kompaktkurses setzt den Standard ISO 2700x resp. dessen Vorläufer im Rahmen von Revisionen und Beratungen bereits seit 1995 mit grossem Erfolg für unterschiedlichste sicherheitsrelevante Tätigkeiten ein und kennt daher seinen Nutzen aber auch die Grenzen. Peter R. Bitterli überwacht zudem seit vielen Jahren als Fachexperte des Bundes die akkreditierten Zertifizierungsunternehmen und beurteilt deren Prozesse und die eingesetzten Audit-Teams. Das Kompaktseminar hat zum Ziel, den Teilnehmern die wichtigsten Schritte zur Implementierung und Verbesserung eines ISMS nach ISO 2700x zu vermitteln sowie einen Überblick zu geben über sonstige Anwendungsmöglichkeiten. Besonderes Gewicht wird dabei auf pragmatische aber praxistaugliche Tipps zu konkreten Detailthemen eines ISMS gelegt. Nach diesem Kompaktseminar sind Sie in der Lage: Werdegang und Struktur des ISO (vormals BS 7799) und ISO (vormals ISO 17799) vorzustellen; den Unterschied zwischen ISO und ISO zu erläutern; den Stellenwert sämtlicher 16 Normen in der ISO 27000er-Familie zu erkennen; die Bedeutung einer ISO Zertifizierung zu verstehen; die wesentlichen Elemente eines Information Security Management System (ISMS) nach ISO zu erläutern; die eines ISMS in rund 30 Schritten wirksam voranzutreiben resp. ein bestehendes ISMS zu erweitern und verbessern. Der Kurs richtet sich an alle Personen, welche in kurzer Zeit alles Wesentliche über die internationalen Standards ISO 27001/2/4/5 erfahren und diese im Rahmen ihrer Tätigkeiten produktiv einsetzen wollen: Sicherheits ver antwortliche, Datenschutz-Beauf tragte, Risikomanager, ISO (Lead) Auditoren und IT- Revisoren sowie Personen aus dem Bereich Legal & Compliance. Informatik-Kenntnisse sind nicht notwendig. Besonders wertvoll ist der Kurs auch für Personen, welche bereits am Aufbau eines ISMS sind oder ein solches betreiben, da ihnen der Kurs eine Standortbestimmung sowie eine rasche Verbesserung ermöglicht. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Alle Teilnehmenden erhalten die aktuelle Version von ISO 27001, ISO 27002, ISO und ISO sowie ausführliche Kursunterlagen. Auch Personen, welche bereits ISO Auditor sind, profitieren von diesem einzigartigen Kurs. Werdegang CoP, BS 7799, ISO und ISO 27001/2 Inhalte und Unterschiede ISO / ISO Weitere Elemente der ISO 27000er- Familie Vorgehen bei einer Zertifizierung nach ISO Erstellung/Unterhalt eines ISMS nach ISO 2700x (inkl. schrittweise Verbesserung eines bestehenden ISMS in 30 konkreten Einzelmassnahmen klar aufgeteilt nach dem Plan-Do-Check- Act Life Cycle eines ISMS) Nutzen und Grenzen von ISO 2700x n CISA Tasks: (2.1) (2.9) 5.5 n CISM Tasks: praktisch alle aber nicht sehr detailliert n CGEIT Tasks: (4.1) (4.3) (4.5) n CRISC Tasks: (1) (2) (4) n CobiT 5 Prozesse: (APO04) (APO07) (APO12) APO13 DSS05 Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren / Rabatte CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO 27001, ISO 27002, ISO und ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Informationsmanagement in der Informationssicherheit» (IM-KK) vom 13. März 2014 (siehe Seite 18).

10 Risikoprüfung und kontinuierliche Risikoüberwachung Termin: 10. März 2014 (1 Tag) Lernziele Kurs-Spezialitäten 1 R A S G RIM-KK Wirksame Überwachung von Risiken mit KRI, KVP, CSA, Risikomanager, IKS-Verantwortliche und andere Personen stehen immer wieder vor der schwierigen Aufgabe, Risiken wirksam zu überwachen also einerseits die Umsetzung der notwendigen Verbesserungsmassnahmen und andererseits die Veränderungen der bestehenden Risiken konsequent zu verfolgen und hinsichtlich ihrer Zielerreichung zu überwachen. Im Zeitalter von SOX wird für derartige Aufgaben immer häufiger auf Controls Self Assessment (CSA) gesetzt, was in zahlreichen Fällen zur Selbsttäuschung und letztlich einem oft inakzeptablen Restrisiko insbesondere in Hinblick auf Compliance-Risiken führt. Besser sind da Methoden aus dem Qualitätsmanagement (wie z.b. die Verwendung einer kontinuierlichen Verbesserungsplanung, KVP) oder der Revi sion (wie z.b. die Durchführung unabhängiger Prüfungen der Risikomanagement- Prozesse) sowie die Wahl und Messung von Risiko-Schlüsselindikatoren (KRI). Entscheidend ist auch, dass die verwendeten Indikatoren in geeigneter Form und Frequenz an die richtigen Stakeholder kommuniziert werden. Der Workshop versetzt Sie in die Lage: Risiko-Schlüsselindikatoren zu sammeln und zu validieren; Risiko-Schlüsselindikatoren zu überwachen und stufengerecht zu kommunizieren; unabhängige Reviews von Risikobewertungen und Prozessen zu ermöglichen; Compliance-Risiken zu eruieren und zu kommunizieren. Der Kurs richtet sich primär an Personen, welche mit dem Aufbau oder der Beurteilung des unternehmensweiten und operativen Risikomanagement betraut sind. Von grossem Interesse ist dieser Kurs daher für Risikomanager aus allen betrieblichen Bereichen wie Finanzen, IT oder Technik, für Leiter der Organisationsentwicklung, Geschäftsleitungsmitglieder, Inhaber von KMU s oder Qualitätsbeauftragte sowie für (leitende) interne Revisoren, welche für ihre risikoorientierte Jahresplanung die entscheidenden Risikoindikatoren selber erheben und beurteilen wollen. Der Kurs ist sehr hilfreich für Wirtschaftsund IT-Prüfer sowie Sicherheitsbeauftragte (ISMS) oder IKS-Verantwortliche aber auch für IT-Governance Spezialisten, Controller, Compliance- Zuständige usw. Dieser Kurs kümmert sich um ein schwieriges und häufig vernachlässigtes Thema. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Die Kursteilnehmer erhalten zudem die aktuelle Ausgabe von ISO In diesem Teil aus der umfangreichen ISO 27000er- Familie wird kompakt aber dennoch ausreichend detailliert eine Methode für «Information Security Risk Management» analog zu ISO erläutert. Systematische in die Begriffswelt: z.b. Risikoanalyse, Risikomanagement (Selbststudium) Zusammenhang zwischen Key Risk Indicators (KRI), Key Performance Indicators (KPI) und Key Control Indicators (KCI) Sammlung und Validierung von Risiko- Schlüsselindikatoren mit Stakeholdern Überwachung und Kommunikation von Risiko-Schlüsselindikatoren Unabhängige Reviews von Risiko- Schlüsselindikatoren Durchführung von eigentlichen Risikoprüfungen Identifikation und Berichterstattung von Compliance-Risiken Anwendung von CobiT 5 for Risk für Risiko überwachung n CISA Tasks: 2.9 n CISM Tasks: ( ) n CGEIT Tasks: ( ) n CRISC Tasks: n CobiT 5 Prozesse: EDM03 APO12 MEA02 Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Risikomanagement- Methoden wirksam anwenden» (RM-KK) vom 6. Februar 2014 (siehe Seite 10). Mehr über Key Risk Indicators (KRI) und andere Metriken erfahren Sie im Kurs «Effizientes Messen von Leistungs- und Risiko-Indikatoren» (PER-KK) vom 7. Februar 2014 eine ideale Vorbereitung! Siehe Seite 12.

11 Informationsmanagement in der Informationssicherheit Termin: 13. März 2014 (1 Tag) IM-KK Wissen, welche Sicherheits- Informationen wann, wo und in welcher Qualität geführt werden müssen Beim Management der Informationssicherheit müssen unterschiedlichste Informationen gesammelt, bewertet, aktualisiert und letztlich nachvollziehbar aufbewahrt werden. Ziel des Informationsmanagements ist es, für alle strategischen, taktischen und betrieblichen Führungsaufgaben in der Informationssicherheit eine geeignete Informations-Infrastruktur aufzubauen und so zu gestalten und zu nutzen, dass eine optimale Unterstützung von Governance und Management der Informations sicherheit ermöglicht und damit ein optimaler Beitrag der Sicher heit zum Unternehmens erfolg geleistet wird. Dieser Tageskurs basiert auf zwei neu aufgebauten Vorlesungen des Referenten an der Fachhochschule Luzern (Certificate of Advanced Studies Information Security, Master of Advanced Studies Information Security) und beschäftigt sich mit den zentralen Anforderungen an unterschiedlichste Arten von Informationen im Sicherheits umfeld. Lernziele Nach unserem Kurs sind Sie in der Lage: zu verstehen, wo überall beim Management der Informationssicherheit Informationen erzeugt, gesammelt, bewertet und dargestellt werden (strategisch, taktisch, operationell); zu erklären, welche grundlegenden Anforderungen an solche Informationen/Dokumente bestehen und warum; am Beispiel ausgewählter sicherheitsspezifischer Informationen zu erläutern, wie die bewährten Praktiken zur Erfüllung der aufgeführten Anforderungen aussehen; zu erkennen, wie Informationen zwischen den verschiedenen Sicherheits(management)prozessen fliessen; die für Governance der Informationssicherheit notwendigen Informationen zu ermitteln und bereitzustellen; Mittel und Wege für die Überwachung der Risiken und anderer sicherheitsrelevanter Informationen aufzuzeigen; den methodischen Vorgehensansatz auf verwandte Themen wie IKS, Risikomanagement, (IT-) Governance zu übertragen. Der Kurs richtet sich primär an Personen, welche mit dem Aufbau oder Betrieb (von Teilen) eines Informationssicherheitsmanagementsystems (ISMS) betraut sind. Von grossem Wert ist dieser Kurs auch für verwandte Funktionen wie Risikomanager aus allen betrieblichen Bereichen wie Finanzen, IT oder Technik, für Leiter der Organisationsentwicklung, IKS-Verantwortliche, Geschäfts leitungsmitglieder, Inhaber von KMU s, Qualitäts- oder Governance-Verantwortliche aber auch für Controller, Compliance- Zuständige usw. Der Kurs ist zudem sehr hilfreich für Wirtschafts- und IT-Prüfer, da sie damit auch die allenfalls vorhandenen Beweismittel (Evidence) besser erkennen und bewerten können. Kurs-Spezialitäten Dieser Kurs beschäftigt sich mit einem recht schwierigen und daher in der Praxis (oft) vernachlässigten Thema. Er zeigt anhand unzähliger Beispiele konkret auf, wie die spezifischen Anforderungen an Informationen aller Art erkannt und analysiert werden können, so dass die Informationen auch entsprechend gesammelt und aufbewahrt werden. Um ausreichend Zeit für die Fallstudien zu haben, beginnt der Kurs ausnahmsweise bereits um 8:15 Uhr. und Grundlagen Sicherheitsrelevante Informationen und Dokumente Übergeordnete Anforderungen an Informationen/Dokumente Sicherheits(management)prozesse Umgang mit dem Messen von Maturität & Wirksamkeit im Sicherheits umfeld Monitoring der Wirksamkeit von Sicherheitsmassnahmen Umgang mit Audit-Berichten Durchführung von Management- Reviews Monitoring von Risiken Unzählige Vertiefungsbeispiele: - Richtlinien, Standards, - Sicherheitsorganisation - Risikomanagement, Risikoregister, Risikolandschaft - Sicherheitskonzepte für Anwendungen n CISA Tasks: 2.4 (2.5) (2.6) n CISM Tasks: (1.4) n CGEIT Tasks: (1.2) ( ) n CRISC Tasks: n CobiT 5 Prozesse: EDM03 EDM05 (APO11) APO12 APO13 DSS05 MEA01 MEA02 Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 8:15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit den Kursen «ISMS gemäss ISO 27000x implementieren und verbessern» (ISM-KK) vom 7. März 2014 (siehe Seite 14) und «ISO27001/2 Self Assessment» (CSA-KK) vom 14. März 2014 (siehe Seite 20). 1 R A S G

12 ISO 27001/2 Self Assessment effiziente ISMS-Standortbestimmung Angepasst an Version 2013 Termin: 14. März 2014 (1 Tag) CSA-KK ISMS-Ausbaugrad effizient und korrekt messen Für die Implementierung einer Aufbauund Ablauforganisation für Informationssicherheit hat sich in der Praxis der Leitfaden für das Management der Informationssicherheit ISO 27001/ISO (Code of Practice for Information Security Management) bewährt; vielen Unternehmen dient der Leitfaden als «Inspirationsquelle» für ihre internen Tätigkeiten. Hat sich ein Unternehmen bereits vertieft mit dem Thema Informationssicherheit auseinandergesetzt, stellt sich die Frage, wie weit man den von den Inhalten von ISO entfernt ist, also «Wie weit ist ISO bereits umgesetzt?» und «Wie vollständig ist das ISMS?» Die beiden Referenten dieses Expertenkurses setzen den Standard im Rahmen ihrer Beratungstätigkeiten bereits seit 1995 mit grossem Erfolg für unterschiedlichste sicherheitsrelevante Tätigkeiten ein: vom internen Sicherheits-Benchmarking über die Definition von Sicherheitsstrategien bis hin zur Anwendung im Bereich des Operational Risk Management und von der Prioritätenbestimmung im Rahmen der Budgetplanung über Security Reviews bis zur konkreten Umsetzung von massgeschneiderten Sicherheitskonzepten. Ein grosser Teil des dabei angesammelte Wissens sowie auch ein grosser Teil der dafür entwickelten Werkzeuge werden in unserem eintägigen, intensiven Kompaktkurs in einer praxisbezogenen Form und Zusammenstellung präsentiert und abgegeben. Lernziel Nach dem Kompakt-Seminar sind Sie in der Lage: den Unterschied zwischen ISO und ISO zu erläutern; die wesentlichen Inhalte eines Information Security Management System (ISMS) gemäss ISO zu bestimmen; die Zertifizierungsreife des ISMS abzuwägen; Maturitätsmodelle für die Messung der in ISO aufgeführten Sicherheitsmassnahmen zu erläutern; die Vorteile eines moderierten CSA- Ansatzes zu erkennen; Control Self Assessment Workshops selber vorzubereiten und durchzuführen. Der Kurs richtet sich an alle Personen, welche bereits viel über die Standards ISO ISO wissen und deren Anwendung im Rahmen ihrer Tätigkeiten weiter verbessern wollen: Sicherheitsverantwortliche, Daten schutz-beauftragte, Risikomanager, ISO Auditoren und IT-Revisoren. Informatik-Kenntnisse sind nicht notwendig. Von besonderem Interesse ist dieser Kurs für Personen, welche sich für eine ISMS- Zertifizierung interessieren und/oder den Grad ihrer Umsetzung seriös überprüfen wollen. Hinweis: Unser eintägiger «Expertenkurs» ist keine Ausbildung zum zertifizierten ISO Auditor; er liefert aber wertvollste Informationen über Aufbau und Betrieb eines ISMS weit über den typischen Inhalt eines ISO Lead Auditor-Kurses hinaus. Auch Personen, welche bereits ISO Auditor sind, profitieren von diesem einzigartigen Kurs. Wir machen zudem ausdrücklich darauf aufmerksam, dass es weder für interne noch für externe ISMS-Auditoren die Bedingung gibt, dass sie über ein persönliches ISO (Lead) Auditor Zertifikat verfügen müssen. Maximal 14 Teilnehmer! Kurs-Spezialitäten Alle Teilnehmenden erhalten die aktuelle Version von ISO 27001, ISO 27002, ISO und ISO sowie ausführliche Kursunterlagen. Inhalte und Unterschiede ISO und ISO (kurz) Anwendungsmöglichkeiten von ISO 27001, ISO 27002, ISO 27004, ISO und ISO Erstellung/Unterhalt ISMS Zertifizierung Benchmarking (Messen der Sicherheit) - Vorgehen - Maturitätsmassstäbe - Hilfsmittel für Benchmarking Control Self Assessment (CSA) - Vorbereitung - Regeln - Erfolgsfaktoren - Durchführung - Rollenspiel «CSA-Workshop» Review IT-Sicherheit Sicherheitsstrategien/-konzepte Planung/Priorisierung von Massnahmen Schrittweise ISMS-Verbesserung Zusammenfassung/Abschluss n CISA Tasks: (2.1) (2.9) 5.5 n CISM Tasks: praktisch alle aber nicht sehr detailliert n CGEIT Tasks: (1.11) (3.6) (3.7) (4.6) n CRISC Tasks: (4) (5) n CobiT 5 Prozesse: (EDM03) APO13 DSS05 (MEA01) (MEA02) Referenten (Co-Teaching) n Peter R. Bitterli, CISA, CISM, CGEIT, n Hans Peter Riess, CISA, CISM, Ixact Security Inspection and Consulting AG Seminargebühren / Rabatte CHF 1'000.- für ISACA-Mitglieder; alle anderen CHF 1'100.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt Inkl. aktuelle Version von ISO 27001, ISO 27002, ISO und ISO :15 17:15 Uhr; ITACS Training AG Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Informationsmanagement in der Informationssicherheit» (IM-KK) vom 13. März 2014 (siehe Seite 18). 1 R S G

13 Wirksame Awareness-Kampagnen gestalten und umsetzen Termin: 5. Mai 2014 (1 Tag) R S G AWA-KK Anhaltende Awareness schaffen (mit zahlreichen Beispielen/ Erkenntnissen aus der Praxis) Haben Sie genug von diesen lieblos gestalteten und oft absolut unwirksamen elearnings und Broschüren? Zwar können mit derartigen Kampagnen einige der gesetzlichen, regulatorischen oder vertraglichen Anforderungen z.b. von Auftraggebern oder Versicherungen rein formal erfüllt werden. Es ist aber eine Illusion zu glauben, dass diese Kampagnen die erhofften Verhaltens änderungen bewirken und somit die Wahrscheinlichkeit von durch die eigenen Mitarbeitern (mit) verursachten sicherheitsrelevanten Vorfällen merklich reduziert. Lernziel Nach unserem Kompaktkurs mit zahlreichen Praxisbeispielen sind Sie in der Lage: mögliche Zielgruppen zu erkennen und im Detail zu analysieren; für jede Zielgruppe die erwünschte Verhaltensänderung zu definieren; ein breites Angebot an Hilfsmitteln auf ihre Verwendbarkeit zu überprüfen; ein funktions- und stufengerechtes Awareness-Programm zusammenzustellen; konkrete Inhalte und Ergebnisse zu erarbeiten; Metriken zum Messen des Erfolgs zu bestimmen. Der Kurs richtet sich an alle Personen, welche sich aktiv mit Kampagnen zur Förderung des (IT-) Sicherheitsbewusstseins (oder Qualitätsbewusstseins) auseinandersetzen wollen. Der Kompaktkurs richtet sich insbesondere an: Sicherheitsverantwortliche (Informatik und andere) Marketing- und Kommunikationsspezialisten Schulungsverantwortliche an Awareness-Projekten Beteiligte Einschlägige Erfahrungen sind von Vorteil aber nicht zwingend. Ein vertieftes Informatikwissen ist nicht notwendig. Die Teilnehmer sollten aber an einer intensiven Auseinandersetzung mit allen Aspekten des Themas interessiert sein. Kurs-Spezialitäten Dies ist ein lebendiger Kurs mit unzähligen Beispielen aus der riesigen Sammlung des Kursleiters und vermittelt einen systematischen Ansatz, der bereits in verschiedenen grossen wie auch kleineren Unternehmungen erfolgreich umgesetzt wurde. Die Kursteilnehmer können eigene Beispiele mitbringen und sich der Diskussion stellen. Die Teilnehmer erhalten zusätzlich zu den eigentlichen Kursunterlagen Beispiele aus unterschiedlichsten Awareness-Kampagnen und haben die Gelegenheit, unter einander weitere Beispiele auszu tauschen. Der Kurs zeigt die wesentlichen Phasen einer Awareness-Kampagne auf: von der Festlegung der übergeordneten Ziele über die Analyse des unerwünschten Verhaltens, die Auswahl und beispielhafte Gestaltung der Elemente einer Kampagne bis zur Bestimmung der notwendigen Metriken. Dabei werden anhand einiger Beispiele aus der Praxis Erkenntnisse für die eigene Kampagne gewonnen. und Bedarfsanalyse Definition und Analyse möglicher Zielgruppen einer Awareness-Kampagne erwünschte und unerwünschte Verhaltensweisen mögliche Ursachen für die unerwünschten Verhaltensweisen mögliche Anknüpfungspunkte für Kampagnen Vorstellung verschiedener teils wissenschaftlicher Ansätze zur Analyse des Handlungsbedarfs Erkenntnisse aus der Verhaltensforschung Analyse von Marketing- und Kommunikationsmitteln unter Berücksichtigung kultureller Unterschiede - Arten (Video, Broschüren, Plakate, Schulung, e-learning,...) - Vor- und Nachteile - Kostenüberlegungen - Beispiele aus Kampagnen Entwicklung einer «Corporate Identity» der Kampagne Verknüpfung verschiedener Elemente zur Erhöhung der Wirkung Schaffung der Voraussetzungen für die Durchführung erfolgreicher Awareness-Kampagnen n CISA Tasks: 2.2 (2.6) (2.9) 5.5 n CISM Tasks: (1.8) n CGEIT Tasks: (1.7) (2.3) (2.6) 5.7 n CRISC Tasks: (4) n CobiT 5 Prozesse: (APO07) (BAI07) (DSS05) Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG

14 Effektives Management von IT-bezogenen Risiken mit «CobiT 5 for Risk» Termine: 6. und 7. Mai 2014 (2 Tage) Deutsch, mit englischen Unterlagen Lernziele Kursspezialitäten 2 R S G ERM-UF Unternehmensweites Risikomanagement wirksam umsetzen Wirksames Management von Unternehmensrisiken ist zu einem essentiellen Bestandteil von IT-Governance geworden. Im Bestreben, Unternehmen beim Management und der Minderung von Risiken zu helfen, hat ISACA auf der Basis von CobiT 5 ein Framework für das Management von IT-bezogenen Risiken entwickelt (CobiT 5 for Risk). Der zweitägige Workshop beschreibt die Einflussfaktoren, die Vorteile und die Zielgruppe für «CobiT 5 for Risk» sowie die Grundprinzipien, die Aufgaben und Verantwortlichkeiten des IT-Risikomanagements, wie Risiko-Awareness aufgebaut und wie Risikoszenarien, die Geschäftsauswirkungen und Schlüsselindikatoren kommuniziert werden können. Der Workshop beinhaltet die Implementation und den Betrieb von «CobiT 5 for Risk». Der Workshop untersucht, wie IT- Risikomanagement in das ERM integriert werden kann, wie eine gemeinsame Risikosicht etabliert und aufrechterhalten werden kann, und wie risikobewusste Entscheide getroffen werden können. Weiter befasst sich der Workshop mit der Aufrechterhaltung eines operationellen Risikoprofils, wie Risi ken bewertet werden, wie auf Risiken reagiert werden kann und wie Ereignisdaten gesammelt, Risiken überwacht und Risikogefährdungen und Gelegenheiten rapportiert werden können. Die Verwendung von Risikoszenarien für die Identifikation, Evaluation und Bearbeitung von IT-bezogenen Risiken wird im Workshop speziell behandelt. Nach diesem Workshop sind Sie in der Lage: die Grundprinzipien des IT-bezogenen Risikomanagement zu beschreiben; die Komponenten von «CobiT 5 for Risk» aufzuzählen; die Konzepte des Frameworks anzuwenden, um seine Vorteile und Ergebnisse zu realisieren; zu erklären, wie «CobiT 5 for Risk» sich zu anderen Elementen der CobiT 5- Familie verhält; Themen wie Implementierung und Betrieb eines IT-bezogenen Risikomanagement zu erläutern; IT-bezogenes Risikomanagement in ERM zu integrieren, eine gemeinsame Risikosicht zu etablieren und unterhalten und risikobewusste Entscheide zu treffen; ein operationelles Risikoprofil zu unterhalten, Risiken zu bewerten und auf Risiken zu reagieren; Ereignisdaten zu sammeln und Risiken zu überwachen; zu erkennen, wie «CobiT 5 for Risk» dabei helfen kann, bewährte Praktiken im IT-Risikomanagement zu erzielen. Dieses Seminar richtet sich an Manager, Prüfer, Sicherheits- oder Risikomanagement-Spezialisten, welche sich für wirksames (IT) Risikomanagement interessieren. Dieser Kurs wird durchgeführt auf Deutsch aber mit englischsprachigen Unter lagen. Dieses Seminar wird gehalten von einem von «ISACA s Risk Management Insider», einem früheren Mitglied des CobiT Steering Committee, der Risk IT Task Force und der CRISC Task Force. Elemente des IT-Risikomanagements (Grundprinzipien, Verantwortlichkeiten, Kommunikation von Risiko-Informationen) in CobiT 5 for Risk und das entsprechende Governance- und Management-Prozessmodell Verknüpfungen zu anderen Teilen der CobiT 5-Familie Etablierung von bewährten Praktiken für IT-Risikomanagement Implementierung und Betrieb des Frameworks Integration des IT-bezogenen Risikomanagements in ERM Fällen von risikobewussten Entscheiden Unterhalt eines operationellen Risikoprofils n CISA Tasks: 2.2 (2.6) 2.9 n CISM Tasks: (1.8) n CGEIT Tasks: ( ) n CRISC Tasks: n CobiT 5 Prozesse: EDM03 APO12 Referent n Urs Fischer, CPA (Swiss), CRISC, CISA, CIA Seminargebühren CHF für ISACA.Mitglieder, alle anderen CHF (plus Mehrwertsteuer) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG

15 High-Level Analyse von Projektrisiken Termine: 12. und 13. Juni 2014 (2 Tage) R A S G APR-BJ Kritische Projekte auf ihre Risiken analysieren Immer wieder scheitern (IT-) Projekte oder werden mit massiven Verspätungen und überhöhten Kosten fertiggestellt oft auch mit lang anhaltenden und gravierenden Auswirkungen. Mit einfachen Instrumenten können kritische und/oder strategische Projekte bezüglich ihrer Risiken kritisch hinterfragt werden. Lernen Sie in unserem zweitägigen Seminar, wie Sie auch in komplexen Projekten die Übersicht wahren und die Risiken frühzeitig erkennen und bewerten können. Lernziele Nach dem Seminar sind Sie in der Lage: den Charakter eines Projektes zu d efinieren; den richtigen Projektleiter für ein kritisches Projekt zu bestimmen; einfache Charts für das Management zu erstellen; logische Gruppierung von Risiken vorzunehmen; Kausalitäten in der Projektabwicklung zu erkennen und zu bewerten; gezielt Reservemittel (Contingency) für Risikomassnahmen einzuleiten. Risikoarten der richtige Weg zur Klassifizierung für die Firma Was ist der Unterschied zwischen Risiko, Problem, Krise und Katastrophe Welche Risikomanagement-Strategien gibt es und wie setzt man diese ein Die drei Stufen des projektbezogenen Risikomanagements Risiken richtig formulieren und für den Risikokatalog verdichten Ursache und Auswirkungen von Risiken Erhebungs- und Bewertungsmethoden von Risiken Massnahmen zur Risikoentschärfung und deren Überwachung Erfolgsfaktoren als Gegenmittel zu den Risiken Wie gehen wir mit Chancen um? Kurs-Spezialitäten Entdecken Sie die High Risk Level Analyse mit dem Projektmanagement-Spezialisten und Fachbuchautoren Bruno Jenny und lernen Sie, wie Sie projektbezogene Risiken optimal managen können. n CISA Tasks: (3.2) 3.3 n CISM Tasks: n CGEIT Tasks: n CRISC Tasks: ( ) (4.6) n CobiT 5 Prozesse: BAI01 BAI07 (BAI02) (BAI03) Referent n Bruno Jenny, SPOL AG Seminargebühren / Rabatte CHF 1'600.- für ISACA-Mitglieder; alle anderen CHF 1'750.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG Dieser Kurs richtet sich an (IT-) Sicherheitsbeauftragte oder IT-Revisoren; Projektauftraggeber oder andere Personen, welche durch Projekte direkt oder indirekt betroffen sind; Controller von Softwareentwicklungs- oder anderen IT-Projekten sowie an Informatikprojektleiter und ihre Vorgesetzten.

16 Governance für IT, Security und Risikomanagement Termin: 10. Januar 2014 (1 Tag) Lernziel Kurs-Spezialitäten 1 R A S G GOV-KK Typische Problemfelder erkennen und vermeiden Zahlreiche Publikationen beschäftigen sich mit Governance. Jedoch sind die Ausführungen oft etwas unscharf: nur schon bei den Definitionen gibt es unterschiedlichste Varianten. Zudem scheint sich in der Praxis die Erkenntnis durchgesetzt zu haben, dass Governance für IT, Security oder Risikomanagement keine exakte Wissenschaft ist, sondern im Wesentlichen aus einem Set von guten Ideen und bewährten Praktiken besteht. Das grosse Interesse an Governance- Themen sowie das neue CGEIT-Berufsbild 2013 haben uns dazu inspiriert, einen weiteren Kurs anzubieten, welcher die wesentlichen Grundlagen von Governance für IT, Security oder Risikomanagement in einer kompakten Form zusammenfasst und als Einstieg in das spannende aber schwierige Thema dienen kann. Nach diesem Kompaktkurs sind Sie in die Lage: die Unterschiede zwischen Governance und Management zu erläutern; Anforderungen und Ziele für ein umfassendes IT-Governance Framework zu erläutern; die für unterschiedliche Fragestellungen passenden Governance- und Management-Frameworks (ISO 27001, CobiT 5, ITIL V3, ISO usw.) auszuwählen; Rollen und Verantwortlichkeiten für IT- Governance zu implementieren; die gelernten Grundlagen auf andere Governance-Themen (z.b. Security, Risikomanagement) anzuwenden; die wichtigsten Probleme im Zusammenhang mit Governance zu erkennen und die entsprechenden Erkenntnisse in der Praxis sinnvoll umzusetzen. Der Kompaktkurs richtet sich an alle, die Interesse an Unternehmensführung und IT-Governance haben insbesondere an Personen, welche im IT-Umfeld bereits grössere Management-Verantwortung tragen oder dorthin unterwegs sind: Projektleiter, Führungs- und Fachverantwortliche im Bereich Compliance, Informations-/IT Sicherheit, IT-Architektur, IT- Risikomanagement oder IT-(Strategie-) Beratung sowie entsprechende Assurance-Funktionen wie Compliance, Audit usw. Dieser Kurs etabliert eine systematische und stabile Basis, um darauf aufbauend weitere Governance-Aspekte wie z.b. strategische Ausrichtung, Risiko-Optimierung, Nutzen-Optimierung und Ressourcen-Optimierung zu vertiefen. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche (idealerweise) bereits vor Kursbeginn durchgearbeitet werden. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Corporate/Enterprise-Governance versus IT-Governance (IT-) Governance versus (IT-) Management (auch am Beispiel von CobiT 5) Die zahlreichen Frameworks für (IT-) Governance resp. (IT-) Management im Vergleich Rollen und Verantwortlichkeiten für und Betrieb von (IT-) Governance Einflussfaktoren für (IT-) Governance und entsprechende «(IT) Governance Enabler» von (IT-) Governance in einem Unternehmen Grösste Hindernisse einer erfolgreichen Kritische Erfolgsfaktoren für (IT-) Governance Anwendungsbeispiele für IT resp. Infor mationssicherheit und (IT-) Risikomanagement n CISA Tasks: n CISM Tasks: (1.3) 1.6 (1.8) 1.9 n CGEIT Tasks: n CRISC Tasks: (1.2) (3.2) (4.9) (5.1) (5.3) n CobiT 5 Prozesse: EDM01 (EDM02 05) Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren / Rabatte CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 8:15 17:15 Uhr; Zürich

17 in CobiT 5 inkl. Hinweise zu Security, Risk und Assurance Termine: 24. Februar 2014 (1 Tag) 23. Juni 2014 (1 Tag) COB-KK CobiT 5 verstehen und alle Neuheiten sowie Änderungen von CobiT 4.1 zu CobiT 5 kennen mit dem profunden Kenner, Übersetzer und Reviewer von CobiT-Elementen Dieser eintägige Kompaktkurs zu CobiT 5 bietet eine Fülle von Informationen über das neue Governance Framework von ISACA. Dieser Kurs versorgt sowohl bestehende Spezialisten wie auch CobiT- Neulinge mit einen ausgezeichneten Einblick in das neue Frame work und erläutert die offensichtlichen wie auch die versteckten Unterschiede zu CobiT 4.1. Lernziele Am Ende dieses Kurses ist ein Teilnehmer in der Lage: die wesentlichen Elemente von CobiT 5 vorzustellen; die Grundprinzipien der Governance der Unternehmensinformatik und die Unterschiede zwischen Governance und Management zu erläutern; die CobiT 5-Prozesse die Erzeugung der fünf grundlegenden «Principles» und der sieben «Governance and Management Enabler» vorzustellen; die Implementierung von CobiT in den Grundzügen zu erklären; die Unterschiede zwischen CobiT 4.1 und CobiT 5 zu verstehen und eine Migration vorzunehmen; die Vorteile der Verwendung von CobiT 5 zu erklären. Das umfasst: a) gegenwärtige Anwender von CobiT 4.1, die entscheiden müssen, ob sie zu CobiT 5 wechseln möchten; b) Personen, die schon alles über CobiT 5 zu glauben wissen; c) Personen, welche über keine Erfahrung mit CobiT verfügen und (alles) über CobiT 5 erfahren wollen; d) alle Fachspezialisten innerhalb und ausserhalb der Informatik in: Revision, Assurance, Governance, Risikomanagement, Compliance und Sicherheit. Nutzen der aktualisierten Version Übersicht über wesentlichste Elemente Analyse der Ziele Hinweise zu «verschwundenen» Elementen von CobiT 4.1 Prozesskontrollen PC1 PC6 Anwendungskontrollen AC1 AC6 CobiT Informationskriterien Begriffliche Verschiebungen von CobiT 4 zu CobiT 5 CobiT und die Frameworks Abdeckungsgrad Vergleich mit anderen Frameworks in CobiT 5 integrierte Frameworks Trennung von Governance und Management CobiT-Hierachie Governance versus Management: verschiedene Lebenszyklen CobiT 5 Prozesslandschaft Veränderungen zu CobiT 4 IT-bezogene Ziele und Metriken Prozessziele und Metriken RACI-Tabellen (= AKV) Praktiken und Aktivitäten Input- und Output-Tabellen das neue «Maturitätsmodell» PAM CobiT 5 Grundprinzipien Stakeholder-Bedürfnisse befriedigen Unternehmen durchgehend abdecken ein einziges integriertes Framework ganzheitlicher Ansatz Trennung Governance & Management CobiT 5 Enterprise Enabler Prinzipien, Richtlinien und Frameworks Prozesse Organisationsstrukturen Kultur, Ethik und Verhalten Information Dienstleistungen, Infrastruktur und Anwendungen Personen, Fähigkeiten und Kernkompetenzen Kaskadierung der Ziele in CobiT 5 von den Bedürfnissen der Stakeholder zur Implementierung von Prozessen und Aktivitäten Implementierung von CobiT 5 identifizieren der Herausforderungen und Erfolgsfaktoren Implementierungs-Lebenszyklus: Aufgaben, Rollen, Verantwortlichkeiten CobiT 5 for Security Definition der Informationssicherheit CobiT 5 Prinzipien und Sicherheit CobiT 5 Enablers und Sicherheit Implementierung von Sicherheits- Initiativen Verknüpfung mit anderen Frameworks CobiT 5 for Risk CobiT 5 for Risk im Vergleich zu Risk IT CobiT 5 Prinzipien und Risikomanagement CobiT 5 Enabler und Risikomanagement Verknüpfung mit anderen Frameworks CobiT 5 for Assurance Verwendung von CobiT 5, CobiT 5 for Security und CobiT 5 for Risk Verwendung von CobiT 5 for Assurance Verknüpfung mit anderen Frameworks Spezialitäten Dieser Kurs geht weit über einen üblichen Foundation-Kurs hinaus. Er wurde in enger Zusammen arbeit mit dem kanadischen Spezialisten Barry Lewis entwickelt. n CISA Tasks: n CISM Tasks: 1.3 (1.8) (3.2) n CGEIT Tasks: n CRISC Tasks: (4.1) n CobiT 5 Prozesse: alle Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 9:15 17:15 Uhr; ITACS Training AG 1 R A S G

18 Strategische Ausrichtung von Geschäft (Business) und Informatik (IT) Termin: 3. März 2014 (1 Tag) Lernziele Kurs-Spezialitäten 1 R G STR-KK Gegenseitige Ausrichtung von Geschäftsstrategie und IT-Strategie In den letzten Jahren hat sich die Überzeugung durchgesetzt, dass die Informatik primär den Zweck hat, ein Unternehmen in seiner Geschäftstätigkeit zu unterstützen «Die Informatik ist auf die Geschäftstätigkeit ausgerichtet, ermöglicht diese und maximiert deren Nutzen», heisst es zum Beispiel in den Kerndokumenten des IT Governance Institute zu diesem Thema. Eigentlich ist es eine Selbstverständlichkeit, dass die Tätigkeit der IT klar ausgerichtet ist auf die Erfüllung der spezifischen Bedürfnisse des Unternehmens in der Praxis ist aber diese (gegen seitige!) Ausrichtung eher selten und oft nur unter grossem Einsatz von Zeit, Geld und viel Management-Ausdauer überhaupt erreichbar. Und wo finden wir eine Geschäftsleitung, welche sich aktiv und ausdauernd um dieses Thema kümmern möchte? Abgesehen vom Problem, dass in vielen Unternehmen keine klar erkennbare Geschäftsstrategie existiert auch bei Kenntnis der Geschäftsstrategie ist es alles andere als einfach, aus dieser eine IT-Strategie zu entwickeln. Nach diesem Kompaktkurs sind Sie in die Lage: die wesentlichen Elemente einer (IT-) Strategie zu bestimmen; positive wie negative Auswirkungen einer IT-Strategie auf die Geschäftstätigkeit zu erkennen; zwischen strategischen und betrieblichen Aufgaben zu differenzieren; die Voraussetzungen für eine ausreichende gegenseitige Ausrichtung von Geschäft und IT zu formulieren; basierend auf strategischen Zielsetzungen den notwendigen Maturitätsgrad der wichtigsten (IT-) Prozesse zu bestimmen. Der Kompaktkurs richtet sich an alle, welche Interesse an Unternehmensführung und IT-Governance haben insbesondere an Personen, welche im IT-Umfeld bereits grössere Management-Verantwortung tragen oder dorthin unterwegs sind: Projekt leiter, Führungs- und Fachverantwortliche im Bereich Compliance, Informations-/IT- Sicherheit, IT- Architektur, IT-Risikomanagement oder IT-(Strategie-) Beratung sowie ent sprechende Assurance-Funktionen wie Compliance, Audit usw. Dieser Kurs kümmert sich um einen schwierigen und häufig vernach lässigten Teilaspekt von IT-Governance. Um den umfangreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. Kern-Elemente einer Geschäfts- und IT-Strategie Notwendigkeit für die Trennung der operativen von den strategischen Zielen Rahmenbedingungen für die erfolgreiche Umsetzung Zusammenhang zwischen einer Strategie und typischen Risiken im IT-Umfeld Differenzierung zwischen technologiespezifischen Inhalten (z.b. auf welche IT-Plattform wird gesetzt) und den Anforderungen an die technologieunabhängigen Prozesse (z.b. Reifegrad) Herleitung einer IT-Strategie aus der Geschäftsstrategie Umsetzung einer IT-Strategie Werkzeuge für das Messen der Zielerreichung (z.b. IT Balanced Scorecard, «Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer», CobiT Process Assessment Methodology PAM) Anwendung von CobiT 5 für die strategische Ausrichtung n CISA Tasks: n CISM Tasks: n CGEIT Tasks: n CRISC Tasks: 4.2 (5.5) n CobiT 5 Prozesse: (EDM01) APO02 APO04 (MEA01) Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 8:15 17:15 Uhr; ITACS Training AG

19 Design, Betrieb und Überwachung von Kontrollen Termin: 11. März 2014 (1 Tag) Lernziele Kurs-Spezialitäten 1 R A S IKS-KK Effizientes Design und wirksame Überprüfung von anwendungsabhängigen Kontrollen; ein praxisorientierter Vorgehensansatz Immer wieder wird im Betrieb oder bei der Revision von Anwendungen festgestellt, dass grundlegende Kontrollen (Sicherheitsmassnahmen) fehlen resp. falsch oder unwirksam implementiert wurden. Auch wenn heute fast alle Unter nehmen ein eigentliches IKS-Projekt lanciert und vielleicht sogar bereits abgeschlossen haben: das applikationsabhängige IKS ist doch oft mager ausgestattet mit den entsprechenden Konsequenzen wie Programmabstürze, Falschverarbeitungen oder sogar die versehentliche wie auch absichtliche Fehlleitung von Vermögenswerten. Nicht selten steht dieser unerwünschte Zustand in Zusammenhang mit einem fehlenden Verständnis für die (korrekte) Terminologie: so wird z.b. der Begriff «Kontrollen» in der Regel von Nicht- Revisoren genau so falsch verstanden wie der Begriff «(Sicherheits-) Massnahmen» von den Revisoren. Und wie soll da ein wirksames anwendungsabhängiges IKS entwickelt und implementiert werden, wenn schon bei der Terminologie grosse Unsicherheiten bestehen? Unser Kurs vermittelt das relevante Grundwissen hinsichtlich anwendungsabhängiger Kontrollen und hilft somit, zielgerichtet (effizient) die wesentlichen Kontrollen in manuellen oder automatisierten Prozessen zu identifizieren und zu prüfen. Nach unserem Kompaktkurs sind Sie in der Lage: die typischen anwendungsabhängigen Kontrollen für jede der wichtigsten Phasen (Erfassung/Eingabe, Verarbeitung, Ausgabe, Speicherung, Übermittlung usw.) zu bezeichnen; den Zusammenhang zwischen Risiken und Kontrollen zu erkennen; notwendige anwendungsabhängige Kontrollen in Geschäftsprozessen zu identifizieren und zu spezifizieren; Kontrollen aufgrund von Risikoüberlegungen zu priorisieren; das grundsätzliche Vorgehen für eine effiziente Prüfung zu verstehen; und sinnvolle Prüfungshandlungen für bestimmte Kontrollen zu wählen. Der Kurs richtet sich primär an Personen, welche an der Entwicklung oder Prüfung von anwendungsabhängigen Kontrollen beteiligt sind, also IKS-Verantwortliche, IT-Projektleiter, Anwendungsentwickler, Sicherheitsspezialisten und Finanz- wie IT-Prüfer. Obwohl ein Schwerpunkt des Kurses in der (Über-) Prüfung von anwendungsabhängigen Kontrollen liegt, ist dieser Kurs ausdrücklich auch für Nicht- Revisoren geeignet und beinhaltet spezifische Fallbeispiele für Anwendungsentwickler und IKS-Spezialisten so z.b. die Analyse des Verschwindens von über 2.5 Millionen Franken aus Geldausgabeautomaten wegen des Versagens der anwendungsabhängigen Kontrollen und andere (spannende) Beispiele. Dies ist ein Kurs mit zahlreichen praxisrelevanten Fallbeispielen und Zusatzinformationen. Als Co-Autor des neuen Vorgehensmodells für Anwendungsprüfungen der Treuhand-Kammer und profunder Kenner von applikationsabhängigen und generellen (IT-) Kontrollen vermittelt der Kursleiter Peter R. Bitterli die notwendigen Kenntnisse für ein effizientes Design und eine wirksame Prüfung eines anwendungsspezifischen IKS. Um den umfangsreichen Stoff in nur einem Tag bewältigen zu können, erhalten die Kursteilnehmer vorgängig ein Skript und Vorbereitungsaufgaben, welche vor Kursbeginn durchgearbeitet werden müssen. Zudem beginnt dieser Kurs ausnahmsweise bereits um 8:15 Uhr. in Interne Kontrollsysteme (Selbststudium) Grundlagen anwendungsabhängiger Kontrollen Designanforderungen an applikationsabhängige Kontrollen risikoabhängige Auswahl von angemessenen Kontrollen diverse Fallbeispiele zu anwendungsabhängigen Kontrollen das neue CobiT-Modell für Anwendungskontrollen das Vorgehensmodell der Treuhand- Kammer für die Prüfung von Anwendungen () n CISA Tasks: (1.2) n CISM Tasks: n CGEIT Tasks: (1.1) (1.2) (3.7) n CRISC Tasks: alle 4 und 5 n CobiT 5 Prozesse: (APO11) (APO12) (APO13) BAI07 MEA02 Referent n Peter R. Bitterli, CISA, CISM, CGEIT, Seminargebühren CHF für ISACA-Mitglieder; alle anderen CHF 1'000.- (plus Mwst.) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt 8:15 17:15 Uhr; ITACS Training AG

20 Risikominimierung durch Software Asset- und Lizenz-Management (SAM&SLM) Termine: 19. Mai 2014 (1 Tag) SAM-VD Hohe Strafzahlungen bei Lizenz-Audits vermeiden und generell ROI verbessern SAM (Software Asset Management) und SLM (Software Lizenz-Management) sind IT-Management- aber auch Revisionsthemen, die neben erheblichen Risiken auch grosses Potential für Return on Invest ment bieten. Einerseits häuften sich in den letzten Jahren die Audits der Lizenzgeber (Microsoft, IBM, Oracle) entsprechend nahm auch das Risiko von hohen Nachzahlungen zu. Andererseits steigen die Softwarekosten und der Umfang des Software-Portfolios, ohne dass erkennbar ein entsprechendes Controlling der Software-Nutzung eingeführt oder ver stärkt wird. Lizenzen sind in Unternehmen ein hoher IT-Kostenblock (30%), der jedoch in den wenigsten Fällen (< 5%) einem proaktiven Controlling unterliegt. Dieser Umstand ist sehr gut nachvollziehbar, da die Lizenzmodelle komplex sind und regel mässig ändern. Permanente Veränderungen in der IT-Architektur, Virtualisierung, Cloud, Sourcing sowie die Hersteller-Audits verschärfen die Anforderungen weiter. Dadurch verlieren Unternehmen den Überblick, nutzen Potentiale nicht genügend und geraten in eine Falschlizenzierung. Eine hohe Maturität von SAM und SLM ist Teil der IT-Governance; sie leistet einen wesentlichen Beitrag zur IT-Compliance und hat ein grosses Potential zur Reduzierung der Haftung bezüglich ungeplanten Ausgaben und der Reputationsrisiken durch Hersteller-Audits. Aber auch die Einsparungen durch SAM und ein hoher ROI (Return on Investment) rechtfertigen die von SAM und ergeben daher gewinnbringende und nachhaltige Prüffelder. In diesem Seminar wird aufgezeigt, wie die Prüffelder im den miteinander verknüpften SAM und SLM geschnitten werden sollten, wo die Risiken liegen, wie ein Prüfprogramm aussehen kann und welche Tools sich eignen. Ferner wird aufgezeigt, wie die Hersteller vorgehen und welches die wichtigsten Feststellungen sind. Dieses Thema wird dann im zweiten Kurs Software-Lizenzmodelle aus Revisionssicht (LM5-VD) weiter vertieft. Verschiedene Fälle mit hohem Potential für Haftungsrisiken aber auch für Einsparungen sowie Checklisten runden das Seminar ab. Lernziele Nach unserem Tageskurs mit Praxisbeispielen: verstehen Sie, wie ein SAM Prozess optimal aufgebaut werden sollte; kennen Sie die wesentlichen Vorteile und Risiken der Prozessphasen; kennen Sie die relevanten gesetzlichen und regulatorischen Anforderungen an SAM; verstehen Sie unterschiedliche Anknüpfungspunkte von Lizenz-Metriken (Vertiefung im separaten Kurs: «Revision von Software Asset Management Lizenzmodelle der Top 5-Hersteller»); sind Sie in der Lage, Risiken abzuschätzen und ein eigenes Revisionsprogramm zu erstellen; können Sie die wesentlichen ROI- Felder ableiten; können Sie Hersteller-Audits beurteilen und professionell begleiten. Dieser Kurs richtet sich an alle Lizenzverantwortlichen, Einkäufer, Revi sions-, Compliance- und Governance-Mitarbeitende, Sicherheitsverantwortliche und Entscheidungsträger, welche gerade mit einem SAM&SLM-Prozess/ Audit konfrontiert sind und dessen Risiken minimieren wollen, einen SAM&SLM-Prozess/Audit einführen bzw. dessen Betrieb planen müssen, eine Prüfung dieses Bereichs vorbereiten und durchführen wollen. Erfahrungen im Software Asset Management sind nicht notwendig. Grundlagen der Informatik sind hilfreich. Die Teilnehmer sollten an einer intensiven Auseinandersetzung mit dem Thema interessiert sein. Kursspezialitäten Im Seminar können konkrete Problemstellungen von Teilnehmenden behandelt werden. Eine vorgängige Kontaktaufnahme für solche Fragen wäre erwünscht. Als Besonderheit wird das Buch «1mal1 des Lizenz-Managements» von Thorsten Groll (Hanser Verlag; 2. Auflage) abgegeben. Systematische in die Prozesse des SAM&SLM als Grundlage für das Verständnis von Prozesszielen, Risiken und Potentialen Risiko-Identifikation und Ansätze zur Beurteilung der SAM- & SLM-Maturität Vergleich verschiedener Software-Hersteller und deren Vorgehen bei Lizenz- Audits Definition von Audit-Universe und Risiko feldern, Planung von Audits Ermittlung von Return on Investment und Audit-Risiken n CISA Tasks: n CISM Tasks: (3.3) (3.5) n CGEIT Tasks:2.8 (2.10) (5.1) (5.6) n CRISC Tasks: (4.10) (4.14) (4.3) 4.8 n CobiT 5 Prozesse: (APO09) (BAI10) (DSS01) Referent n Volker Dohr, CIA, Jurist, Betriebswirt, AMAG; Mitglied des Lizenzmanager Circles Schweiz Seminargebühren CHF für ISACA.Mitglieder, alle anderen CHF (plus Mehrwertsteuer) 2. Teilnehmer derselben Firma 30%, alle weiteren 50% Rabatt. Hinweis Dieser Kurs lässt sich ideal kombinieren mit dem Kurs «Revision von Software Asset Management Lizenzmodelle der Top 5-Hersteller» (LM5-VD) vom 20. Mai 2014 (siehe Seite 38). 9:15 17:15 Uhr; ITACS Training AG 1 R A S G