FIDUCIA IT AG IT Aber sicher! KA-IT-SI Awareness Lutz Bleyer, SEC Seite 1

Transkript

1 FIDUCIA IT AG IT Aber sicher! KA-IT-SI Awareness Lutz Bleyer, SEC Seite 1

2 FIDUCIA. Sichere Lösungen mit System. Einer der führenden IT-Fullservice-Dienstleister in Deutschland. Know-how in Banking, Industrie und Handel Größter Komplett-Outsourcing-Partner im genossenschaftlichen Bankensektor Berlin Spezialservices durch Tochter- und Beteiligungsgesellschaften Über 35 Jahre Erfahrung, Mitarbeiter Hauptsitz Karlsruhe, Niederlassung in München und Stuttgart, Geschäftsstellen in Berlin, Dresden, Erfurt, Kassel, Köln, Neu-Isenburg, Nürnberg und Saarbrücken Kassel Köln Neu-Isenburg Saarbrücken Karlsruhe Stuttgart Dresden Erfurt Nürnberg München KA-IT-SI Awareness Lutz Bleyer, SEC Seite 2

3 Geschäftsfelder IT-Outsourcing: Rechenzentrumsdienstleistungen, Datenverarbeitung, mandantenfähige Systeme, Entwicklung und Betrieb von Client/Server-Infrastrukturen und Netzwerken für Intranet/Internet System-Application-Management: eigenentwickelte Standardsoftware, Auftragsprogrammierung, SAP- Lösungen System-Consulting: Beratung, Planung, Implementierung, Customizing, Schulung Businessprocess-Management: Übernahme kompletter Geschäftsprozesse KA-IT-SI Awareness Lutz Bleyer, SEC Seite 3

4 Die FIDUCIA Gruppe Wir sind so speziell, wie Sie uns brauchen. IT-Fullservices und EDV-Lösungen für Banken und Genossenschaftliche Unternehmen Telefonservice-Center Elektronische Zahlungssysteme, Kreditkarten, POS-Technologie IT Branchenlösung für Public, Automotive, Pharma und HealthCare Logistik-Dienstleistungen für IT KA-IT-SI Awareness Lutz Bleyer, SEC Seite 4

5 Die FIDUCIA Gruppe Wir sind so speziell, wie Sie uns brauchen. SAP-Lösungen, Nonbanking-IT-Lösungen Personaladministration Planung, Implementierung, Sicherstellung der Hochverfügbarkeit und Vertrieb von Netzwerkprodukten Vor-Ort-Services für technische Infrastruktur Telefonservice-Center KA-IT-SI Awareness Lutz Bleyer, SEC Seite 5

6 FIDUCIA IT AG Einer der führenden IT Fullservice Dienstleister für Banking in Deutschland IT Outsourcing und Rechenzentrumsdienstleistungen Beratung, Erstellung, Schulung, Betrieb und Support von umfassenden, hoch integrierten Banklösungen Security Lösungen für höchste Daten- und IT Sicherheit Outsourcing von Revisionstätigkeiten KA-IT-SI Awareness Lutz Bleyer, SEC Seite 6

7 FIDUCIA IT AG Entwicklung und Integration von Standard- und Individual Software Konzeption und Umsetzung individueller IT Lösungen Internet Services in den Bereichen Internet Access-, E-Commerceund Website Lösungen Distribution von Hardware KA-IT-SI Awareness Lutz Bleyer, SEC Seite 7

8 KA-IT-SI Awareness Lutz Bleyer, SEC Seite 8 IT aber sicher! Die Security Awareness Kampagne der FIDUCIA IT AG

9 Motivation Neue Herausforderungen an IT-Sicherheit durch Internet ebusiness TCP/IP Microsoft Windows Lösungen werden komplexer durch die Kombination bestehender Lösungen IT - Sicherheit ist eine konzernweite Aufgabe sichtbare Unterstützung durch Vorstand und Management Forderung nach Transparenz durch Dritte (DGR Wirtschaftsprüfung,..) Orientierung an internationalen Standards Integration in die Prozesse KA-IT-SI Awareness Lutz Bleyer, SEC Seite 9

10 KA-IT-SI Awareness Lutz Bleyer, SEC Seite 10 Drei Säulen der IT-Sicherheit Technische Schutzmaßnahmen Organisatorische Regelungen Geschulte Mitarbeiter

11 Standards zum Thema IT - Sicherheit Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Grundschutzhandbuch ISO Standard für Sicherheitsmanagement: (BS 7799) KA-IT-SI Awareness Lutz Bleyer, SEC Seite 11

12 Grundlagen Gesetze, Prüfungsvorschriften, Rundschreiben Gesetze KWG 25 Prüfungsvorschriften / Grundlagen Rundschreiben 11/2001 des BAFin zur Auslagerung von Bereichen auf ein anderes Unternehmen gemäß 25a Abs. 2 KWG IDW PS 880 Erteilung und Verwendung von Softwarebescheinigungen IDW PS 330 Abschlussprüfung bei Einsatz von Informationstechnologie IDW RS FAIT 1 Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie IDW ERS FAIT 2 Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce BSI IT-Grundschutzhandbuch KA-IT-SI Awareness Lutz Bleyer, SEC Seite 12

13 BAFin Rundschreiben 11 / 2001 Auslagerung von Bereichen auf ein anderes Unternehmen gemäß 25a Abs. 2 KWG 40 Das auslagernde Institut muss eine ordnungsgemäße Fortführung der Geschäfte im Notfall jederzeit gewährleisten. Die festzulegenden Sicherheitsmaßnahmen müssen insbesondere Regelungen enthalten, welche die Weiterführung des ausgelagerten Bereichs sicherstellen, falls das Auslagerungsunternehmen verhindert ist, seine Leistung zu erbringen. Der Umstand, dass andere Auslagerungsunternehmen als Ersatz nicht zur Verfügung stehen, ist durch geeignete Vorkehrungen Rechnung zu tragen. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 13

14 KA-IT-SI Awareness Lutz Bleyer, SEC Seite 14 IDW PS 330 Prüfungskriterien

15 KA-IT-SI Awareness Lutz Bleyer, SEC Seite 15 IDW PS 330 (29) Wirksamkeit des IT-Kontrollsystems prüfen

16 Basel Committee on Banking Supervision Consultative Document Operational Risk ; IX. Outsourcing The Commitee believes that banks engaged in outsourcing should aim to ensure that a clean break in their outsourced activities is established,... Banks should also develop appropriate policies and controls to access the quality and stability of outside service providers.² ² The committee pointed out that outsourcing may offer benefits but it does not relieve the bank of the ultimate responsibility for controlling risks that affect its operation. Consequently, banks should adopt policies to limit risks arising from reliance on outside provider. For example, bank management should monitor the operational and financial performance of their service providers Risk Management for Electronic Banking and Electronic Money Activities, Basel Committee in Banking Supervision, March 1998 KA-IT-SI Awareness Lutz Bleyer, SEC Seite 16

17 ISMS - Struktur DSB Self Assessments Security Management Forum Revision Strategie Policy Berichte Design Guides TISOs Technische Informations Sicherheit Vorstand Zentrale Security Funktionen KA-IT-SI Awareness Lutz Bleyer, SEC Seite 17

18 Hintergrundinformationen (Intra- und Extranet) unter KA-IT-SI Awareness Lutz Bleyer, SEC Seite 18

19 Aufgabe Gestaltung der neuen Sicherheitsleitlinien vom Oktober Entwicklung einer Aktionsidee für das unternehmensinterne Sicherheitsmanagement der FIDUCIA AG, die den Mitarbeitern den neu entstandenen Sicherheitsleitfaden attraktiv und nachhaltig vermittelt. Die Aktion soll im ersten Quartal 2002 starten und insgesamt über drei Quartale laufen. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 19

20 Voraussetzungen Die FIDUCIA AG ist ein Unternehmen, bei dem die sichere Übermittlung von Daten und Informationen eine zentrale Rolle spielt. Sicherheitsbewusstsein sowie Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit zählen daher zu den entscheidenden Erfolgsfaktoren. Als Rechenzentrum der Volksbanken / Raiffeisenbanken u.a. muss FIDUCIA angemessene Sicherheitsvorkehrungen bei der EDV umsetzen. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 20

21 Zielgruppen Mitarbeiter der FIDUCIA AG mit Tochter- und Beteiligungsunternehmen: Sicherheitsbeauftragte in den einzelnen Niederlassungen und Werken, Führungskräfte, die in besonderer Weise Zugang zu sicherheitsrelevanten Informationen haben und durch ihr Vorbild prägende Wirkung haben, Mitarbeiter,die in besonders sicherheitsrelevanten Bereichen arbeiten. Nutzer von Informationen (Vertragspartner, Berater, Zulieferer). KA-IT-SI Awareness Lutz Bleyer, SEC Seite 21

22 Ziele Information Die Mitarbeiter sollen über die neuen Sicherheitsleitlinien informiert werden. Motivation Die Mitarbeiter sollen Sicherheit als wichtiges Thema erkennen und sich freiwillig und gerne damit beschäftigen. Identifikation Das Thema Sicherheit soll emotional besetzt werden; die Mitarbeiter sollen sich mit der Firma identifizieren. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 22

23 Ziele Sicherheitsbewusstsein Die Mitarbeiter sollen ein persönliches Sicherheitsbewusstsein in der Arbeit entwickeln,die Risiken im täglichen Job kennen und wissen, worin ihr individueller Beitrag zu mehr Sicherheit besteht. Sicherheitsritual Die Mitarbeiter sollen bestimmte Handlungsformen, die der Kontrolle und Sicherheit dienen, als gute Gewohnheiten annehmen und so einen hohen Sicherheitsstandard etablieren. Kommunikationskultur Die tägliche, kompetente Auseinandersetzung mit dem Thema Sicherheit soll selbstverständliche Kommunikationskultur werden. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 23

24 Aktionsidee Mit der Aktion werden die Mitarbeiter direkt und persönlich angesprochen. Sicherheit ist... Im Mittelpunkt steht die Mitarbeiter- Aktionskarte,die zu einer direkten Beteiligung einlädt. Vom Pförtner über den Hausmeister, vom Sachbearbeiter über den IT-Ingenieur und vom Kundenberater bis zum Top-Management werden die Mitarbeiter eingeladen, ihren ganz persönlichen Begriff von Sicherheit zu formulieren. Dabei soll der Satzbeginn Sicherheit ist... von jedem Mitarbeiter individuell ergänzt werden. Die Verteilung der Karten wird von Plakaten, Anzeigen und im Intranet angekündigt und von Sicherheits Events begleitet. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 24

25 Aktionsmotto IT! Aber sicher! Das zentrale Aufgabengebiet der FIDUCIA AG wird konfirmiert ( Aber sicher! ) und zugleich auf die aktuelle Sicherheitskampagne bezogen. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 25

26 Aktionslogo KA-IT-SI Awareness Lutz Bleyer, SEC Seite 26

27 Aktionsphase 1 Stufe 1: Die Aktion wird angekündigt und gestartet. Anzeigen (FIT, Intranet) Poster Flyer mit Aktionskarten Ziel: Informieren, interessieren, motivieren. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 27

28 Anzeige (z.b.: in FIT ), Poster, Intranet KA-IT-SI Awareness Lutz Bleyer, SEC Seite 28

29 Flyer KA-IT-SI Awareness Lutz Bleyer, SEC Seite 29

30 Flyer KA-IT-SI Awareness Lutz Bleyer, SEC Seite 30

31 Aktionskarte Auf der Aktionskarte definieren die Mitarbeiter, was für sie Sicherheit bei der FIDUCIA AG bedeutet und damit nehmen sie an der Verlosung teil. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 31

32 Aktionskarte KA-IT-SI Awareness Lutz Bleyer, SEC Seite 32

33 Aktionskarte KA-IT-SI Awareness Lutz Bleyer, SEC Seite 33

34 Aktionsphase 2 Stufe 2: Die Sicherheitsleitlinien werden verteilt: als persönliches Exemplar, dessen Erhalt mit der Unterschrift bestätigt wird. mit einer Zusammenfassung der wichtigsten Leitlinien als den 10 Sicherheitsgeboten der FIDUCIA AG. als Starter-Kit für alle derzeitigen und als Welcome-Kit für alle zukünftigen Mitarbeiter. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 34

35 Sicherheitsleitlinien KA-IT-SI Awareness Lutz Bleyer, SEC Seite 35

36 Sicherheitsleitlinien KA-IT-SI Awareness Lutz Bleyer, SEC Seite 36

37 Sicherheitsleitlinien KA-IT-SI Awareness Lutz Bleyer, SEC Seite 37

38 Aktionsphase 3 Stufe 3: Die Aktion läuft. Mitarbeiteranzeigen. Ziel: Beteiligen, nachhaltig informieren, Sicherheitsleitlinien umsetzen. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 38

39 Mitarbeiteranzeigen Ausgewählte, beispielhafte Beiträge der Mitarbeiter kommunizieren das Thema Sicherheit in FIT und motivieren alle diejenigen, die bislang nicht teilgenommen haben, aktiv zu werden. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 39

40 Aktionsphase 4 Stufe 4: Die Aktion kommt zu ihrem Höhepunkt. Gewinneranzeigen mit Foto. Preisvergabe. Geschäftsbericht. Ziel: Mitarbeiterzeitschrift. Prämieren, bilanzieren, nach außen kommunizieren. KA-IT-SI Awareness Lutz Bleyer, SEC Seite 41

41 KA-IT-SI Awareness Lutz Bleyer, SEC Seite 42 Und nach einer erfolgreichen Kampagne? Plakate Logos...

42 IT Security Portal für Banken Online KA-IT-SI Awareness Lutz Bleyer, SEC Seite 43

43 KA-IT-SI Awareness Lutz Bleyer, SEC Seite 45 Vertrauen ist der Anfang von allem: FIDUCIA. Herzlichen Dank!