MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt

Größe: px

Ab Seite anzeigen:

Download "MITsec. - Gelebte IT-Sicherheit in KMU - TÜV Thüringen Mit Sicherheit in guten Händen! IT - Sicherheitsforum Erfurt 2015 23.09."

Mina Lorenz
vor 8 Jahren
Abrufe

1 MITsec - Gelebte IT-Sicherheit in KMU - IT - Sicherheitsforum Erfurt TÜV Thüringen

2 Informationssicherheit Informationen sind das schützenswerte Gut ihres Unternehmens Definition: Eine Information ist in der Informationstheorie eine Teilmenge an Wissen, die ein Sender einem Empfänger mithilfe eines bestimmten Mediums (auch Informationskanal genannt) übermittelt. (Wikipedia) Arten von Informationen Bilderquellen: Deutsche Bahn AG, Wikimedia, Computerwoche

Sender einem Empfänger mithilfe eines bestimmten Mediums (auch Informationskanal genannt)

3 Informationssicherheit Da kümmert sich die IT-Abteilung drum Virenschutz und Firewall reichen doch aus Dafür habe ich keine Zeit Das kostet uns zu viel Da habe ich keine Ahnung von Das geht mich nichts an

doch aus Dafür habe ich keine Zeit Das kostet uns

4 Informationssicherheit Informationssicherheit ist kein Produkt Kann jedoch durch Software unterstützt werden Informationssicherheit ist kein Projekt Kann jedoch als solches eingeführt werden Informationssicherheit ist ein Prozess Muss immer wieder neu erreicht werden

Informationssicherheit ist kein Projekt Kann jedoch als solches

5 Informationssicherheit Abhängigkeit von der IT Bewusstsein im Unternehmen Falsch: die IT im Unternehmen ist der Erfüllungsgehilfe, der funktionieren muss Richtig: die IT ist das Rückgrat des Unternehmens, fällt sie aus steht nahezu alles still

Erfüllungsgehilfe, der funktionieren muss Richtig: die IT

6 Was kann ich tun? Bewusstwerden der Risiken und der teilweise persönlichen Haftung, Geschäftsführerhaftung bei einer GmbH, 43 GmbHG, Verletzung der Sorgfaltspflichten Ergreifen von technischen und organisatorischen Maßnahmen zur Gewährleistung der Einhaltung der Vorgaben (Compliance), Hilfe von außen holen Standardisieren der ergriffenen Maßnahmen und Regelmäßigkeit der Prüfung einführen Ggf. unabhängige, neutrale Prüfung der Informationssicherheit im Unternehmen durch externe Organisationen

Verletzung der Sorgfaltspflichten Ergreifen von technischen und organisatorischen Maßnahmen zur Gewährleistung der

7 MITsec - Auditierung und Zertifizierung Begriffsdefinition: Mittelständische IT-Security Große Unternehmen wissen, wie sie ihre IT schützen können in kleinen und mittleren Unternehmen (KMU) fehlt oft die Zeit und das Know-How Gerade KMU stehen im Ziel von Cyberspionage, da sie spezialisiertes Know-How beherbergen Deswegen angepasste Anforderungen an die Informationssicherheit für KMU, abgeleitet aus bewährten Praxisverfahren der internationalen Norm ISO (Umsetzungsleitfaden der ISO Anforderungen an ein Informationssicherheitsmanagementsystem)

spezialisiertes Know-How beherbergen Deswegen angepasste Anforderungen an die Informationssicherheit für KMU, abgeleitet aus bewährten

8 MITsec - Auditierung und Zertifizierung Inhalt/Prüfaspekte: 1. Informationssicherheitsleitlinie 2. Organisation der Informationssicherheit 3. Personelle Sicherheit 4. Verwaltung von IT 5. Zugriffs- und Zugangskontrolle 6. Physikalische und umgebungsbezogene Sicherheit 7. Sicherer IT-Betrieb 8. Netzwerksicherheit 9. Beschaffung, Entwicklung und Pflege von IT-Systemen 10. Informationssicherheitsvorfälle 11. Compliance 12. Risikomanagement

Zugriffs- und Zugangskontrolle 6. Physikalische und umgebungsbezogene Sicherheit 7. Sicherer IT-Betrieb 8.

9 MITsec - Auditierung und Zertifizierung Nutzen: Auditierung und Zertifizierung nach auf KMU zugeschnittenen Anforderungen Weniger aufwändig als ISO oder IT-Grundschutz Zertifizierung (als Vorbereitungsmaßnahme möglich) Auditierung durch fachkompetente Auditoren des TÜV Thüringen Kenntnis über eigene Risiken und Schwachstellen der Informationssicherheit Weniger Störungen, Ausfall von IT sinkende Kosten Nachweis des sichereren IT-Betriebs / der Sicherstellung der Vertraulichkeit Schaffen von Vertrauen bei Kunden, Partnern, Mitarbeitern und der Öffentlichkeit

Thüringen Kenntnis über eigene Risiken und Schwachstellen der Informationssicherheit Weniger Störungen, Ausfall von IT sinkende Kosten

10 Weg zum Zertifikat

11 Weg zum Zertifikat Informationen auf der Webseite: Ausfüllen des Fragebogen Kontakt: Individuelles Angebot Abstimmung Auditplan Auditierung Zertifizierung

de/gk/managementsysteme/it-unddatensicherheit/ Ausfüllen des

12 Selbstbewertung als Einstieg Selbstbewertungsbogen zur Informationssicherheit: Checkliste zur Unterstützung 40 Fragen Unternehmensinterne Nutzung Prüfung ob wichtige IT-Sachverhalte berücksichtigt sind.

Unterstützung 40 Fragen Unternehmensinterne

13 Fazit Die Kenntnis der eigenen Risiken und das Wissen entsprechend risikominimierende Maßnahmen ergriffen zu haben, lässt einen Nachts ruhiger schlafen

14 Fragen? Vielen Dank für ihre Aufmerksamkeit! Raoul Michel Fachgebiet Zertifizierung TÜV Thüringen e. V. Ernst-Ruska-Ring Jena Telefon: 03641/ Telefax: 03641/ zertifizierung@tuev-thueringen.de Web:

Ernst-Ruska-Ring 6 07745 Jena Telefon: 03641/399740 Telefax:

Ähnliche Dokumente

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Ohne Dienstleister geht es nicht? Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg Referent Tim Hoffmann Wirtschaftswissenschaften an der Universität-GH Essen