Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Transkript

1 Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO IT-Mittelstandstag Hochschule Esslingen 29. November 2017 DRIVING THE MOBILITY OF TOMORROW

2 Kurzvorstellung Studium - B.Sc. Wirtschaftsinformatik - M.Sc. IT-Management (nebenberuflich) Beruf - Seit 2015 IT Security Officer bei Eberspächer Qualifikationen - ITIL Foundation Certificate in IT Service Management - PECB Certified ISO/IEC Implementer - PECB Certified ISO/IEC Cybersecurity Manager - TÜV Information Security Officer Examination acc. to ISO/IEC series - PRINCE2 Practitioner Certificate in Project Management Seite 2

3 Eberspächer in Zahlen 4,3 Mrd. EUR* Nach Jahren des starken Wachstums stabilisierten sich die Umsatzerlöse 2016 auf hohem Niveau. 61 Mio. EUR* 147 Mio. EUR* Die konsequente Umsetzung von Optimierungsprogrammen spiegelt sich in einem positiven Konzernergebnis wider. Sieben Prozent des Nettoumsatzes investierte Eberspächer in die Forschung und Entwicklung Mitarbeiter Rund jeder zweite Mitarbeiter ist außerhalb Deutschlands tätig schuf Eberspächer weltweit 452 neue Arbeitsplätze. * Zahlen gerundet Seite 3

4 Ausgangslage Sicherheit einer Organisation Bildquelle: Seite 4

5 Wahrscheinlichkeit Warum IT-Sicherheit? Asset / Wert Bedrohung Informationen Hacker Naturereignis Sicherheitsrisiko Geräte Personal Schwachstelle? Auswirkung Liegenschaften Softwarefehler Unwissenheit Seite 5

6 Wahrscheinlichkeit Warum IT-Sicherheit? Asset / Wert Bedrohung Komplexe Angriffsszenarien Informationen Hacker Naturereignis Sicherheitsrisiko Geräte Verteilte Infrastruktur Personal Schwachstelle Große Anzahl an Mitarbeitern? Auswirkung Liegenschaften Softwarefehler Unwissenheit Seite 6

7 Was ist die ISO/IEC ISO 2700x Familie Aufbau eines integrierten Managementsystems Anforderungen an Prozesse und Dokumentationen Auditierung durch ext. Zertifizierungsstelle möglich Seite 7

8 Kernthemen der ISO Definition Einheitliche Klassifikation Definition von Stufen zur Klassifikation Festlegen von Regelungen zu jeder Stufe Einstufung aller Assets Bildquelle: Seite 8

9 Kernthemen der ISO Identifikation Identifikation und Bewertung von Risiken Identifikation von Risiken Angriffe (un-)bewusst - Naturereignisse Diebstahl von Assets E A Bewertung von Risiken Umgang mit Risiken Eindringen in Sicherheitsbereiche E A Eindringen ins interne Netz Bildquelle: E A Seite 9

10 Kernthemen der ISO Vorsorge Regelmäßige Schulung von allen Beteiligten Neue Vorgaben Bei Änderung von Vorgaben Regelmäßig Einmal im Jahr Bei Ereignissen Zugriff auf vertrauliche Assets Bildquelle: Seite 10

11 Kernthemen der ISO Vorsorge Technische Maßnahmen Perimeter Systeme Firewalls - Virenscanner - Intrusion Prevention Verschlüsselung s - Festplatten Prozesse Berechtigungs-/ Updatemanagement Bildquelle: Seite 11

12 Kernthemen der ISO Erkennung & Behandlung Umgang mit Schwachstellen und Sicherheitsvorfällen Erkennung Durch Mitarbeiter oder automatisch Kommunikation Per Mail, Telefon oder Ticket Behandlung Notbetrieb, Abschalten von Systemen Bildquelle: Seite 12

13 Kernthemen der ISO Erkennung & Behandlung Regelmäßige Überprüfung Überprüfungen - Audits Selbst oder durch externe Stellen Plan Durchführung von Notfalltest Test von Notfallsystemen und Redundanzen Act Do Prüfung durch das Management Check Bildquelle: Seite 13

14 Kernthemen der ISO Wiederherstellung Sicherung und Wiederherstellung Backups und Redundanzen Online und Offline / Verschiedene Standorte Notfalldokumentation zur Wiederherstellung Durchführung von Notfalltests und Übungen Bildquelle: Seite 14

15 Fazit Einzelne Maßnahmen können gut sein, aber sind nicht immer zielführend Definition und Anwendung übergreifender Standards für die Organisation Regelmäßige Überprüfung und kontinuierliche Verbesserung Die ISO bildet ein Grundgerüst, das ausgefüllt werden muss Weltweit anerkannte Zertifizierung Seite 15

16 Zukünftige Herausforderungen Proaktiv statt reaktiv Nicht nur schützen sondern erkennen, zielgerichtet handeln und auf Ausfälle vorbereitet sein. Seite 16

17 Vielen Dank für die Aufmerksamkeit Seite 17

18 Na, neugierig? Seite 18