Information Security Management

Transkript

1 Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget

2 Agenda 1. Die treibenden Kräfte der Information Security (IS) 2. Information Security Organisation 3. Arbeitsplan für Implementierung der Information Security 4. Erfolgskontrolle CISO Michael Dembeck p. 2

3 CISO Michael Dembeck p. 3

4 Rechtliche Rahmenbedingungen Es gibt rechtliche Anforderungen, die eine IS Organisation erforderlich machen. (Compliance Anforderungen) Compliance Druck mit Nachweisforderung für Information Security: Gesetz Bundesdatenschutzgesetz, KonTraG, SOX Finance - Basel II, Solvency II, MaRisk Im KonTraG ist vor allem 91 Abs. 2 AktG zu nennen: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. CISO Michael Dembeck p. 4

5 Die IS Organisation Information Security Programm Chief Information Security Officer Information Security Team CISO Michael Dembeck p. 5

6 CISO Michael Dembeck p. 6

7 Wen sollten bzw. müssen Sie beteiligen? Executive Management Senior Management Leiter der Business Units Fachabteilungen der IT Rechtsabteilung Einkauf Support IT Spezialisten Interne Revision Betriebsrat Aufsichtsrat Anteilseigner CISO Michael Dembeck p. 7

8 Expertise Kern Expertise: IT Management, IT Know-how, IT Operation, IT Security Management, IT Revision and IT Risk Management Expertise über IS Standards: ISO and 27002, COBIT, ITIL, NIST Standard, BSI Grundschutz, The Risk IT Framework Fachliche Expertise : Firewalls Intrusion Detection / Prevention (IDS/IPS) Identity and Access Management (IAM) Malware und Spam Protection Encryption Virtual Private Networks (IPSec, SSL etc.) Remote access Security Information and Event Management (SIEM) Datenschutz Penetration Testing CISO Michael Dembeck p. 8

9 Wie wird fehlende Expertise erworben? Bauen Sie auf die Experten, die Sie bereits in Ihrer Mannschaft haben. Zertifizierungskurse wie z. B. Certified Information Security Manager (CISM) ISACA Certified Information System Auditor (CISA) ISACA Certified Information System Security Professional (CISSP) ISC 2 COBIT Practitioner ISACA ISO Lead Implementor / Auditor Certified Ethical Hacker ITIL Literaturstudium CISO Michael Dembeck p. 9

10 CISO Michael Dembeck p. 10

11 Was ist zuerst zu tun? Aufgabenbeschreibung für den Chief Information Security Officer (CISO): Konzeption des Information Security Management Programms Konzeption der IS Organisation Implementierung des Information Security Management Systems Implementierung des Risk Managements Analyse der Information Security Anforderungen und Implementierung der geeigneten Policies Periodische Überprüfung der Security Policies Entwickeln von Security Performance Kennzahlen Überprüfen und Bewerten von Security Technologien Monitoring von Information Security Verletzungen und Einleitung von Gegenmaßnahmen Information Security Awareness Trainings durchführen Abstimmung mit Compliance, Risk Management und Revision CISO Michael Dembeck p. 11

12 Policy Framework Policies und Dokumente hierarchisch strukturieren: Information Security Policy Top Level Policies 2 nd Level Guidelines 3 rd Level CISO Michael Dembeck p. 12

13 INFORMATION SECURITY POLICY BEISPIEL Scope of Document Importance of Information Technology Object and Coverage of the ISP Definitions Information Security Management Owners and Custodians of IT Assets IT Security Principles Permission Corporate Strategy and Methodology for IT Security IT Security as an integral part of IT Awareness to Security Aspects IT Compliance Classification of IT Assets Risk Analysis und Risk Evaluation Protection of IT Assets Commitment to ISP IT System Auditing System Actuality Economic Principle Conflict of Interests Continuous Control and Extrapolation of Security Measures Orientation to international Standards Security Breaches CISO Michael Dembeck p. 13

14 Policy Framework Folgende Bereiche sollten abdeckt werden: Rollenbeschreibung Rollendefinition Benutzer Policy Umgang mit Passwörtern Daten Backup Benutzung Netzwerk Benutzung Cloud Security Schutz vor Malware Datenklassifizierung LAN/WLAN Zugang Firewall Remote Access Schutz mobiler Endgeräte Sichere Entsorgung Update und Patch der Betriebssysteme Umgang mit IT Service Provider CISO Michael Dembeck p. 14

15 Policy Framework Schlanke Policies statt Monsterdokument Zielgruppenorientierte Sprache ist sehr wichtig Der Zielgruppe angepasst Unternehmenskultur beachten Auf regionale Kulturunterschiede achten Neue Themen frühzeitig regeln (Cloud, BYOD usw.) CISO Michael Dembeck p. 15

16 Sensibilisierungs Kampagne Verkünden sie ihr Evangelium Tragen Sie die frohe Botschaft in die Welt ihre Unternehmenswelt Zum Beispiel: 10 Gebote der Information Security Merkblatt mit den wichtigsten Punkten aus der Policy Kurzpräsentation pro Policy Newsletter CISO Michael Dembeck p. 16

17 Unbedingt notwendig: Stolperfalle: Klare Management Unterstützung Das macht alles der CISO Praxisgerechte Lösungen Das ist ein Thema der IT Aktive Mitarbeit im Unternehmen Details mit sieben Nachkommastellen Mut (nicht nur zur Lücke) haben Achtung vor Grabenkämpfen Vorausschauen, neue Themen integrieren CISO Michael Dembeck p. 17

18 Erfolgskontrolle Führen Sie eine Erfolgskontrolle durch IT Audit ist die richtige Methode IT Audit ist Bestandteil des PLAN DO CHECK ACT Zyklus IS ist ein Prozess und keine Einzelaktion Überführung in den permanenten Verbesserungsprozess CISO Michael Dembeck p. 18

19 Sicher ist, dass nichts SICHER ist. Selbst das nicht. Joachim Ringelnatz CISO Michael Dembeck p. 19

20 Herzlichen Dank für Ihre Aufmerksamkeit! Fragen? CISO Michael Dembeck p. 20

21 Michael Dembeck Chief Information Security Officer Datenschutzbeauftragter CISM, CISA, COBIT Practitioner Corporate IT Center Grosser Grasbrook HAMBURG Tel.: +49 (40) Mobile: +49 (172) CISO Michael Dembeck p. 21