NEG-Mittelstandskongress 2010

Transkript

1 NEG-Mittelstandskongress 2010 Effektiver Schutz von Daten und Informationen für den Mittelstand buw consulting GmbH Andreas G. Weyert buw consulting GmbH Andreas G. Weyert Rheiner Landstraße 195 D Osnabrück +49 (0) tel +49 (0) mobile +49 (0) fax Bremen, 10. Juni 2010

2 Überblick 1. Kurzvorstellung [buw] 2. Ganzheitlicher Ansatz für Informationssicherheit 3. Pragmatischer Einstieg zu mehr Informationssicherheit NEG-Mittelstandskongress Schutz von Daten AWT Seite 2

3 buw Unternehmensgruppe _buw_consulting_master_SWK_1_0 Seite 25 Platzhalter KD-Logo buw kurz und knapp: Mit buw zur Nr. 1 im Kundenmanagement Osnabrück Münster Schwerin Halle Leipzig Vom Telemarketing zum BPO- Dienstleistungspartner Mitarbeiter ca. 81 Mio. Umsatz 2009 Pécs 2 Geschäftsfelder: besser, schneller, irgendwie anders im Kundenurteil buw customer care operations: führender Qualitätsdienstleister Customer Care Outsourcing 360 Aus der Praxis für die Praxis Mensch /Personal Management/Prozess Technik Marke/Kultur Warum wir besser sind: Starke Klienten (Auszug) Die Referenzen belegen das branchenübergreifende Know-how der buw Unternehmensgruppe. Wir arbeiten für Top Player im Markt. buw consulting: Marktführer in der Customer Care und Call Center Beratung Leidenschaft Teamgeist Fairplay Siegeswille besser, schneller, irgendwie anders für höchstmögliche Effizienz und Potenzialausschöpfung im Kundenmanagement und -dialog NEG-Mittelstandskongress Schutz von Daten AWT Seite 3

4 Kurzvorstellung Name: Jahrgang: Funktion: Schwerpunkte: Kernkompetenzen: Publikationen Andreas G. Weyert 1974 Security Consultant bei buw consulting GmbH in Osnabrück Zertifizierter Auditteamleiter für ISO Audits auf der Basis von IT-Grundschutz Lizenzierter BSI IT-Grundschutz-Auditor Erfolgreiches Zertifizierungsverfahren zum Datenschutzbeauftragten beim TÜV Nord Etablierung, Weiterentwicklung und Bewertung von Informationssicherheit in Unternehmen Zertifizierung nach ISO/IEC auf der Basis von BSI IT-Grundschutz Security Management / Vorbereitung und Durchführung von IT-Sicherheitsaudits Informationssicherheit im Customer-Care-Center/Service-Center Vorbereitung und Durchführung von Datenschutzaudits Implementierung von Datenschutzkontrollen Datenschutz im Customer-Care-Center/Service-Center Netzwerkforschung Penetrationstest / Vulnerability Assessment Fachbücher: Network Hacking (Verlag Franzis, aktualisierte Auflage im April 2010) Fachpublikationen: KES, Funkschau, TeleTalk, CallCenterProfi (...) NEG-Mittelstandskongress Schutz von Daten AWT Seite 4

5 Was wir tun: Security Management Folgende Dienstleistungen im Bereich Informationssicherheit bieten wir unseren Kunden an: Identifizierung und Bewertung von Risiken Notfallkonzepte / Notfallvorsorge Beratung für Security Management Erstellung von Policies & Sicherheitskonzepten Zertifizierungen nach ISO / BSI IT-Grundschutz Zertifizierung / Audit von ISMS Audit auf Basis der buw R[IS]K-Analyse Durchführung von Datenschutzaudits Informationssicherheit / IT-Sicherheit Schulung & Awareness Datenschutz Social Engineering & Sensibilisierung Penetration-Testing / Hacking-Workshop NEG-Mittelstandskongress Schutz von Daten AWT Seite 5

6 Überblick 1. Kurzvorstellung [buw] 2. Ganzheitlicher Ansatz für Informationssicherheit 3. Pragmatischer Einstieg zu mehr Informationssicherheit NEG-Mittelstandskongress Schutz von Daten AWT Seite 6

7 Wird Informationssicherheit immer wichtiger? Gefährdungen und Sicherheitsvorfälle in unterschiedlichen Branchen heise.de Verfassungsschutz warnt vor zunehmender Wirtschaftsspionage: Großer Teil aller Firmen wurde bereits ausspioniert. stern.de Datenleck bei der Telekom: Hunderte Kundendaten im Internet tagelang frei verfügbar. Der Konzern spricht von einem Arbeitsfehler. hamburg.businesson.de Datenmissbrauch bei der Postbank Die Postbank gewährt Tausenden von freien Handelsvertretern detaillierten Einblick in Millionen Girokonten ihrer Kunden. spiegel.de Größte deutsche Betriebskrankenkasse wird erpresst Hilfskräfte eines Subunternehmers hatten offenbar Zugriff auf ihre Daten computerwoche.de Finanzdienstleister AWD: Daten on the road Informationen über Aktienanlagen sowie Namen, Adressen, Geburtstagsdaten, Berufsbezeichnungen etc. wurden dem NDR vorgelegt. Vermutung: Vielen Unternehmen scheint es an der richtigen Methodik zu fehlen! NEG-Mittelstandskongress Schutz von Daten AWT Seite 7

8 Methodik für IT-Sicherheit? Viele Wege führen zur IT-Sicherheit... Welcher Weg ist der effektivste? NEG-Mittelstandskongress Schutz von Daten AWT Seite 8

9 Bundesamt für Sicherheit in der Informationstechnik (BSI) Das BSI ist der zentrale IT-Sicherheitsdienstleister des Bundes und eine unabhängige Stelle für Fragen zur IT- Sicherheit in der Informationsgesellschaft. Das BSI verantwortet folgende Bereiche: NEG-Mittelstandskongress Schutz von Daten AWT Seite 9

10 IT-Grundschutz: Idee & Prinzipien Die IT-Grundschutz-Vorgehensweise stellt zusammen mit den IT-Grundschutz-Katalogen und dessen Empfehlungen von Standard-Sicherheitsmaßnahmen inzwischen einen De-Facto-Standard für IT-Sicherheit dar. Typische Abläufe und IT-Komponenten sind überall ähnlich - Typische Gefährdungen, Schwachstellen und Risiken - Typische Geschäftsprozesse und Anwendungen - Typische IT-Komponenten Betrachtung typischer Abläufe von Geschäftsprozessen und Komponenten, bei denen geschäftsrelevante Informationen verarbeitet werden Vorgaben typische Schadensszenarien für die Ermittlung des Schutzbedarfs Empfehlung von Standard-Sicherheitsmaßnahmen aus der Praxis Status der IT-Sicherheit durch Soll-Ist-Vergleich NEG-Mittelstandskongress Schutz von Daten AWT Seite 10

11 Methodik für nachweisbare Informationssicherheit IT-Grundschutz-Kataloge vom BSI 11. Ergänzungslieferung, Stand November 2009 Mehr als 4100 Seiten stark 483 verschiedene Gefährdungen 1219 einzeln umsetzbare Maßnahmen 80 Bausteine mit verschiedenen Schwerpunktthemen Thematische Zusammenfassung von Gefährdungen und Maßnahmen Zusätzlich: BSI-Standards : 100-1: Managementsystem für Informationssicherheit 100-2: IT-Grundschutz Vorgehensweise 100-3: Risikoanalyse auf Basis von IT-Grundschutz 100-4: Notfallmanagement NEG-Mittelstandskongress Schutz von Daten AWT Seite 11

12 IT-Grundschutz-Kataloge Ein Vorteil der IT-Grundschutz-Methodik besteht darin, dass sowohl typische Gefährdungen, als auch die zur Neutralisierung erforderlichen Maßnahmen in Katalogen aufgelistet sind - vergleichbar mit einem Baukastenprinzip. G1 Höhere Gewalt G2 Organisatorische Mängel G3 Menschliche Fehlhandlungen G4 Technisches Versagen G5 Vorsätzliche Handlungen IT-Grundschutz-Bausteine Komponenten, Vorgehensweisen und IT-Systeme im Schichtenmodel B1 Übergreifende Aspekte B2 Infrastruktur B3 IT-Systeme B4 Netze B5 IT Anwendungen Gefährdungskataloge Maßnahmenkataloge M1 Infrastruktur M2 Organisation M3 Personal M4 Hard- und Software M5 Kommunikation M6 Notfallvorsorge NEG-Mittelstandskongress Schutz von Daten AWT Seite 12

13 Beispiel: Bearbeitung eines Bausteins...aus dem IT-Grundschutz-Baustein Allgemeiner Server NEG-Mittelstandskongress Schutz von Daten AWT Seite 13

14 Beispiel: Bearbeitung eines Bausteins... Gefährdungslage NEG-Mittelstandskongress Schutz von Daten AWT Seite 14

15 Beispiel: Bearbeitung eines Bausteins... Maßnahmenempfehlungen (1/2) NEG-Mittelstandskongress Schutz von Daten AWT Seite 15

16 Beispiel: Bearbeitung eines Bausteins... Maßnahmenempfehlungen (2/2) NEG-Mittelstandskongress Schutz von Daten AWT Seite 16

17 Beispiel: Bearbeitung eines Bausteins...Sicherheitsrichtlinie / Interne Arbeitsanweisung NEG-Mittelstandskongress Schutz von Daten AWT Seite 17

18 ISO Zertifizierung auf Basis von BSI IT-Grundschutz Durch eine Zertifizierung nach ISO auf Basis von BSI IT-Grundschutz kann eine Institution nach innen und außen hin dokumentieren, dass sie sowohl ISO als auch IT-Grundschutz in der erforderlichen Tiefe umgesetzt hat. Die BSI-Zertifizierung umfaßt sowohl eine Prüfung des ISMS als auch der konkreten IT-Sicherheitsmaßnahmen auf Basis von IT-Grundschutz beinhaltet immer eine offizielle ISO- Zertifizierung nach ISO zertifiziert zugleich nach deutschen und nach internationalen Standards ist aufgrund der zusätzlich geprüften technischen Aspekte wesentlich aussagekräftiger als eine reine ISO- Zertifizierung ISO IT-Grundschutz NEG-Mittelstandskongress Schutz von Daten AWT Seite 18

19 Benefits für Unternehmen Mit einer Zertifizierung oder Orientierung nach ISO auf Basis von BSI IT-Grundschutz dokumentieren Sie Kunden, Partnern als auch Mitarbeitern die Sicherheit und Qualität Ihrer Geschäftsprozesse im Unternehmen. Intern: - Optimierung der internen Prozesse - Absicherung der Infrastruktur durch fixierte IT-Sicherheitskonzepte (Messbare Sicherheit) - Kosteneinsparung durch Umsetzung der IT-Grundschutz-Maßnahmebündel Extern: - Nachweis von messbaren Datenschutz/IT-Sicherheit (z.b. durch ein Zertifikat) - Kundenbegeisterung Das Zertifikat als Nachweis, erforderliche Maßnahmen nach IT-Grundschutz realisiert zu haben NEG-Mittelstandskongress Schutz von Daten AWT Seite 19

20 Zertifikat ISO auf der Basis von IT-Grundschutz NEG-Mittelstandskongress Schutz von Daten AWT Seite 20

21 ISO Zertifizierung auf Basis von IT-Grundschutz Das Niveau der Qualifizierung wird in drei verschiedene Stufen unterteilt, die sich sowohl im Hinblick auf die Güte als auch in Bezug auf die Vertrauenswürdigkeit unterscheiden. Was kann zertifiziert werden? - ein oder mehrere Geschäftsprozesse oder Fachaufgaben - eine oder mehrere Organisationseinheiten, nicht notwendigerweise das gesamte Unternehmen - Bedingung: IT-Verbund muss eine sinnvolle Mindestgröße haben! Vertrauenswürdigkeit C B A ISO Zertifikat nach IT-Grundschutz Auditor-Testat Aufbaustufe Auditor-Testat Einstiegsstufe Sicherheit Ein Auditor-Testat dient als Vorstufe der Zertifizierung nach BSI IT-Grundschutz NEG-Mittelstandskongress Schutz von Daten AWT Seite 21

22 Überblick 1. Kurzvorstellung [buw] 2. Ganzheitlicher Ansatz zur Informationssicherheit 3. Pragmatischer Einstieg zu mehr Informationssicherheit NEG-Mittelstandskongress Schutz von Daten AWT Seite 22

23 Pragmatischer Einstieg zu mehr Informationssicherheit Security Management als ganzheitliches Werkzeug zur Vermeidung geschäftskritischer Risiken NEG-Mittelstandskongress Schutz von Daten AWT Seite 23

24 Ganzheitlich und the Best of Security mit der buw R[IS]K-Analyse Die buw R[IS]K-Analyse orientiert sich an internationalen Standards für Informationssicherheit (ISO 27001, ISO 27002, IT-Grundschutz-Kataloge). Sie beinhaltet etablierte Szenarien, Checklisten, Interviews und einen mehrstufigen Penetrationstest. Ziel ist die Aufdeckung organisatorischer, personeller, infrastruktureller sowie technischer Risikopotenziale nebst Identifizierung geeigneter Handlungsempfehlungen. Werkzeug Unsere Sicherheitsanalyse buw R[IS]K-Analyse PLAN DO CHECK ACT Nutzen Transparenz und Effektivität der geschäftskritischen und IT-gestützten Prozesse Objektiver Bewertung des Risikopotenzials und des erreichten Sicherheitsniveaus Konkrete und individuelle Maßnahmen zur Minimierung des aufgezeigten Risikopotenzials Unterstützung bei der Einhaltung von Gesetzen und Regularien Methode Werkzeuge Prozess Auditbericht, ausführlicher Report zum Penetrationstest und Management-Präsentation als Einstieg in ein ISMS NEG-Mittelstandskongress Schutz von Daten AWT Seite 24

25 Persönliche Evergreens der Informationssicherheit (1/2) Bundesamt für Sicherheit in der Informationstechnik - BSI IT-Grundschutz B 1.0 Sicherheitsmanagement B 1.2 Personal B 1.5 Datenschutz B 1.9 Hard- und Software-Management B 1.14 Patch- und Änderungsmanagement NEG-Mittelstandskongress Schutz von Daten AWT Seite 25

26 Persönliche Evergreens der Informationssicherheit (2/2) Bundesamt für Sicherheit in der Informationstechnik - BSI B 2.3 Büroraum B 2.4 Serverraum B Allgemeiner Server B Allgemeiner Client B 5.2 Datenträgeraustausch B 5.14 Mobile Datenträger NEG-Mittelstandskongress Schutz von Daten AWT Seite 26

27 Vielen Dank für Ihre Aufmerksamkeit Haben Sie Fragen? buw consulting GmbH Andreas G. Weyert Rheiner Landstraße 195 D Osnabrück +49 (0) tel +49 (0) mobile +49 (0) fax