Return on Security Investment Thomas Mann Kapsch Group CISO

Transkript

1 Security is a process, not a product Bruce Schneier Kapsch BusinessCom Return on Security Investment Thomas Mann Kapsch Group CISO

2 Return on Security Investment 2

3 Return on Security Investment 2

4 Return on Security Investment 4

5 Der Angriff auf das ukrainische Stromnetz Geben Sie Ihren Untertitel ein. Gut trainiertes Hackerteam mit monatelanger Vorbereitungsphase Sorgfältiges und unauffälliges Auskundschaften des Betreibers Backdoor durch Phishing VPN Zugangsdaten zum SCADA-Netzwerk Deaktivierung der USV der Kontrollzentren Ausschalten der Leistungsschalter 30 Umspannwerke / Haushalte betroffen (bis zu 6 Stunden Ausfallzeit) Überschreiben der Firmware (Serial-to-Ethernet Converter) zwischen Kontrollzentrum und Umspannwerken Nach 2 Monaten noch immer nicht komplett erholt Firmware von kritischen Geräten bei 16 Umspannwerken überschrieben Return on Security Investment 5

6 Aktuelle Situation Die Anzahl an Angriffen steigt Immer mehr Sektoren sind an IT gesteuerte Prozesse gebunden und werden zu potenziellen Zielen Angreifer sind unberechenbar Gut ausgebildet Hoch motiviert Prävention wird letztendlich versagen Medienberichte Persönliche Erfahrungen Return on Security Investment 4

7 Return on Security Investment 7

8 Return on Security Investment 8

9 Return on Security Investment 9

10 Internet of Things Search Engine Return on Security Investment 8

11 Ausbreitung Schadsoftware im Industriellen Umfeld Return on Security Investment 8

12 Der Wunsch nach Sicherheit Return on Security Investment 9

13 Return on Security Investment Return on Security Investment 10

14 Organisation der Informationssicherheit Return on Security Investment 11

15 Security Incident Management SIR TEAM Return on Security Investment 11

16 Schwachstellen Management Andere Kunden Return on Security Investment 14

17 Das Reifegradmodell der Informationssicherheit Return on Security Investment 11

18 Ein ISMS nach ISO 27001: Return on Security Investment 12

19 Ein ISMS nach ISO 27001: Return on Security Investment 13

20 Die Balance zwischen Risiko und Aufwand Return on Security Investment 14

21 Definition der Information Security Policies Informationssicherheitspolitik Management Commitment Risikoklassen Datenklassen Rollen und Funktionen Return on Security Investment 14

22 Die Business Impact Analyse Auswirkung auf den Geschäftsprozess des Fachbereichs mittel gering hoch Business Impact / Auswirkung Finanz und Controlling Forschung & Entwicklung Produktion Eintrittswahrscheinlichkeit / Häufigkeit ERP System CAD ERP Server Datenbank Server Basisdienste und IT-Prozesse Archiv-server Client Services Hardware Betriebssystem Rechenzentrum Incident Mgmt. Change Mgmt DNS LAN WAN DNS Server Das schwächste Glied bestimmt die Zugfestigkeit der gesamten Kette! Gebäude Stromversorgung Betriebs-system Hardware Rechen-zentrum Return on Security Investment 14

23 Ergebnisse der BIA I) Modellierung des Geltungsbereichs II) Strukturierte Interviews mit den Prozessverantwortlichen - betrachtet werden die Kriterien Verfügbarkeit (mit unterschiedlichen Zeithorizonten) Vertraulichkeit Integrität Rechtskonformität - Interviews sind szenarienbasiert - Klassifikation der potentiellen Schäden gemäß den Bedrohungsklassen Unbedeutend Gering Mittel Hoch Sehr hoch Bedrohungsklassen: unbedeutend, gering, mittel, hoch, sehr hoch Return on Security Investment 14

24 Methodik der Risikoanalyse I) Aufbauend auf Stufe 2 erfolgt die Analyse und Modellierung der zu Grunde liegenden IT- Infrastruktur und IT-Prozesse II) Bewertung der modellierten IT-Infrastruktur und IT- Prozesse anhand umfangreicher, mitgelieferter Fragenkataloge Return on Security Investment 14

25 Ergebnisse der Risikoanalyse Return on Security Investment 14

26 Die Ziel- bzw. Planabweichung analysieren SOLL-IST Analyse basierend auf Policy, Anforderung aus dem Geltungsbereich und dem IST-Wert der Risikoanalyse Dies klicken Sie auf den Platzhaltertext und geben Sie Ihren Text ein. Verbesserungsvorschläge identifizieren GAP-Analyse Vergleich der IST-Erfüllung Maßnahmen definieren mit dem höchsten Impact zuerst zielorientiert Kosten/Nutzen abwiegen Return on Security Investment 14

27 PDCA Stetige Optimierung des Systems Ausgangssituation Optimierter IST-Zustand Umsetzung der Maßnahme 1 Umsetzung der Maßnahme 5 Umsetzung der Maßnahme 2 Umsetzung der Maßnahme 4 Umsetzung der Maßnahme Return on Security Investment 14

28 Return on Security Investment-ROSI SCHADENS-Verteilung Compound-Funktion Maximum Forseeable Loss MFL Most Likely Case 50% VERLUST-Verteilung HÄUFIGKEITS-Verteilung Ratingkennzahl Best Case 5% Worst Case 95% Return on Security Investment 14

29 Key Performance Indicators Dashboard Return on Security Investment 14

30 Vielen Dank für Ihre Aufmerksamkeit. Ing. Thomas Mann SPcM CMC CISA Kapsch Group Chief Information Security Officer (CISO) Kapsch BusinessCom Kapsch BusinessCom AG Wienerbergstraße Wien, Österreich Phone: Hinweis: Der Inhalt dieser Präsentation ist geistiges Eigentum der Kapsch AG. Alle Rechte hinsichtlich des Kopierens, der Vervielfältigung, Änderung, Nutzung, Veröffentlichung oder Weitergabe des Inhalts an Dritte bleiben vorbehalten. Vorgenanntes ist ohne vorausgehende schriftliche Genehmigung der Kapsch AG ausdrücklich untersagt. Bei Produkt- und Firmennamen kann es sich um eingetragene Markennamen oder geschützte Marken Dritter handeln. Diese werden in der Präsentation lediglich zum Zweck der Verdeutlichung und zum Vorteil des jeweiligen rechtmäßigen Eigentümers ohne eine Absicht der Verletzung der Eigentumsrechte verwendet.