IT-Sicherheits- und IT-Audit Management. Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH

Größe: px

Ab Seite anzeigen:

Download "IT-Sicherheits- und IT-Audit Management. Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH"

Krista Ritter
vor 7 Jahren
Abrufe

1 IT-Sicherheits- und IT-Audit Management Dr. Jurisch, INTARGIA Managementberatung GmbH Dr. Kronschnabl, ibi-systems GmbH

2 Agenda 1. Teil (Dr. Kronschnabl): Relevanz der Thematik Aktuelle Treiber und Problemfelder Skizzierung eines toolbasierten Lösungsansatzes 2. Teil (Dr. Jurisch) These: A fool with a tool is still a fool IT-Sicherheit als nachhaltiger Managementprozess Nutzung von i RIS als Prüftool im IT-Sicherheitscheck Fazit 2

Skizzierung eines toolbasierten Lösungsansatzes 2. Teil (Dr.

3 Teil 1: Dr. Kronschnabl Zentrale Fragen - wie Compliance konform sind wir? - wie ist unsere IT-Sicherheit? - wie steht es um den Datenschutz? - wie gut ist unser Kontroll- und Steuerungs-System? können in der Regel nicht ad hoc beantwortet werden Beantwortung dieser Fragen aber immer wichtiger: Lösung: steigende rechtliche und regulative Anforderungen (MaRisk, MaComp, KontraG, BDSG, ) stärkere Kontrolle der Umsetzung (Finanzkrise, Basel II und III, ) starker Wettbewerbsdruck und wachsende Effektivitäts- und Effizienzanforderungen Innovativer Software Einsatz als Werkzeug Ableiten objektiver Prüfungspunkte basierend auf Best Practice Standards

können in der Regel nicht ad hoc beantwortet werden Beantwortung dieser Fragen aber immer wichtiger: Lösung: steigende rechtliche und regulative Anforderungen

4 Aktuelle Treiber und Problemfelder Vielzahl rechtlicher und regulativer Vorgaben Vielzahl von beteiligten Akteuren IT-Sicherheit als Querschnittsthema über IT-Governance, IT-Risk und IT-Compliance Daher: horizontale und vertikale Integration Berücksichtigung von Überschneidungen Schaffung von Schnittstellen mit gesamthafte Überwachung und einheitlichen Mechanismen Berücksichtigung unterschiedlicher Ebenen und Akteure Schaffung eines einheitlichen Reportings IT-Sicherheit IT-Governance IT-Risk IT-Compliance Horizontale Integration Strategische Ebene Operative Ebene Technische Ebene Vertikale Integration

Schnittstellen mit gesamthafte Überwachung und einheitlichen Mechanismen Berücksichtigung unterschiedlicher Ebenen und Akteure Schaffung eines

5 Lösung: Zentrales Repository Standards / Frameworks

6 Prozessbasierte Erfassung von Anforderungen Anlegen individueller Prozesse Zuordnung von individuellen Anforderungen Verknüpfung mit diversen weiteren konzernindividuellen Inhalten wie Dokumente, Organisationseinheiten, etc.

Anforderungen Verknüpfung mit diversen weiteren

7 Verknüpfung der Anforderungen Von der Norm (Gesetz, interne Vorgabe, etc.) zur Prüfungspunktvorlage und von der Prüfungspunktvorlage zur Prüfungsvorlage Von der Prüfungsvorlage zur Prüfung

8 Systematische und einheitliche Audits Prüfung für AI 1.1 abgeschlossen und Feststellung vorhanden

9 Transparenz- und Abbildungsgewinn Durchschnittswert aus der Bewertung der Prüfpunkte in Prüfungen Weiterhin lässt sich im Dashboard der Bearbeitungsstand der Prüfungen überprüfen. Übersicht über Abdeckungsgrad aller Prüfungen

lässt sich im Dashboard der Bearbeitungsstand der

10 Teil 2: Dr. Thomas Jurisch These: A fool with a tool is still a fool Alleine ein gutes Tool egal wie ausgereift es ist reicht nicht. Um zu vermeiden, dass IT-Datenschutz, -Sicherheit, oder Compliance zum einmaligen Kraftakt verkommt und wieder versandet braucht es ein Managementsystem, mit dem Nachhaltigkeit implementiert werden kann und das auch die wichtigen Aspekte Sicherheitskultur und Sicherheits-Organisation verankert! 10

11 IT-Sicherheit als nachhaltiger Managementprozess: Das INTARGIA-ISMS 11

12 IT-Sicherheit als nachhaltiger Managementprozess: Das INTARGIA-ISMS Schritt 1: Ein IT-Sicherheits-Quick-Check sorgt für Transparenz Schritt 2: Sinnvolle Maßnahmen werden ausgewählt Schritt 3: Die ausgewählten Maßnahmen werden umgesetzt Schritt 4: Die Umsetzung wird kontrolliert, der IT- Sicherheits-Reifegrad steigt iterativ an; optional nach Schritt 4: Zertifizierung des ISMS 12

ausgewählt Schritt 3: Die ausgewählten Maßnahmen werden umgesetzt Schritt 4: Die Umsetzung wird

13 IT-Sicherheit als nachhaltiger Managementprozess: Das INTARGIA-ISMS Begleitende Aktivität 1: Etablierung einer IT-Sicherheits- Organisation Begleitende Aktivität 2: Aufbau und Verankerung einer IT-Sicherheits-Kultur 13

einer IT-Sicherheits- Organisation Begleitende

14 Beispielhafte (Grob-)Roadmap ISMS-Zertifizierung (Kundenprojekt) 14 Zertifizierung nach ISO Maßnahmenumsetzung IT- Sicherheits- Quick- Check Mögliches zeitliches Modell für die ISMS-Zertifizierung bei one2one 1 Beispielhafte Gesamtprojektdauer: 14 Monate Ergebnispräsentation 2 Internes Audit, Finalisierung ISMS, Dokumentation 3 Zertifizierung 4 Leistungsumfang INTARGIA Q Abschluss Maßnahmenumsetzung Q Q Q Q Q Abnahmefähiges ISMS Zertifiziertes ISMS = Meilenstein Prozesse ISO Vorgehen operational services / INTARGIA IT-Sicherheit Fachtagung /

2011 Maßnahmenumsetzung IT- Sicherheits- Quick- Check Mögliches zeitliches Modell für die ISMS-Zertifizierung bei one2one 1 Beispielhafte Gesamtprojektdauer: 14

15 Der IT-Sicherheits-Quick-Check als erster Schritt zum zertifizierten ISMS Praxiserprobtes, standardisiertes Vorgehensmodell Budgetschonende Vorgehensweise: Prüfung des Ist-Zustands der IT-Sicherheit eines Unternehmens gegen den Soll-Zustand (integraler Bestandteil der GRC-Suite) gemäß des INTARGIA-IT- Sicherheits-Prüfplans Aufdecken von Schwachstellen und Handlungsbedarfen Anschließend können Maßnahmen priorisiert und umgesetzt werden Mögliche Weiterverwendung auf dem Weg zum ISMS und/oder zur ISMS- Zertifizierung 15

Bestandteil der GRC-Suite) gemäß des INTARGIA-IT- Sicherheits-Prüfplans Aufdecken von Schwachstellen und Handlungsbedarfen

16 Der IT-Sicherheits-Quick-Check als erster Schritt zum zertifizierten ISMS Projektmanagement Vorbereitung & Projektplanung IT- Struktur- Analyse Erstellung Prüfplan Risikoanalyse Prüfungsphase Ergebnisbericht Abschlußpräsentation Diese Projektschritte werden von I RIS unterstützt 16

Analyse Erstellung Prüfplan Risikoanalyse Prüfungsphase

17 Der IT-Sicherheitscheck als erster Schritt zum zertifizierten ISMS Beispielhaft ausgewählte Bereiche des Prüfplans Informationssicherheitsleitlinie Organisation der Informationssicherheit Management von Auftragsdatenverarbeiter sowie Dienstleistern mit Funktionsübertragung Personelle Sicherheit Physische IT-Sicherheit (Zutritt-, Zugang-, Zugriff, Übertragungssicherheit, mobile IT- Sicherheit etc.) IT-Notfallmanagement IT-Compliance Etc. 17

Auftragsdatenverarbeiter sowie Dienstleistern mit Funktionsübertragung Personelle Sicherheit Physische

18 Nutzung von i RIS als Prüftool im IT- Sicherheits-Quick-Check Abb.: Beispielhafter Prüfplan Abb.: Beispielhafte Auditergebniserfassung 18

19 Nutzung von i RIS als Prüftool im IT- Sicherheits-Quick-Check Abb.: Beispielhafter Auditbericht Abb.: Beispielhafte Reifegraddarstellung 19

20 Fazit: Vorteile von i RIS im Praxiseinsatz Integrierte Suite mit allen wichtigen IT-Sicherheitsaudit- und management-funktionalitäten; ersetzt Word- und Excel-basierte, verteilte Lösung ISO Prüfkataloge bereits vollständig integriert, jederzeit up-to-date und direkt einsetzbar Re-Audit durch direkten Vergleich mit den vorangegangenen Audits auf Knopfdruck ad hoc möglich Signifikante Vorteile durch Kooperationsmodus zwischen Anwender Berater Prüfer SaaS-Zugriffsmöglichkeiten, zentrale Datenhaltung Ad hoc-erstellungsmöglichkeiten von Auditbericht, Reports und Statistiken Auditinstallation kann vom Mandanten nach dem Projekt weiterverwendet werden Tool nimmt Routinearbeit ermöglicht inhaltliche Auditarbeit (Interviews, Prüfung für Ort, Cross-Checks, Etablierung IT-Sicherheitskultur etc.) Tool muss in Management-orientiertes Vorgehen eingebettet werden sonst gilt: A fool with a tool is still a fool 20

Signifikante Vorteile durch Kooperationsmodus zwischen Anwender Berater Prüfer SaaS-Zugriffsmöglichkeiten, zentrale Datenhaltung Ad hoc-erstellungsmöglichkeiten von Auditbericht, Reports und

21 Kundenstimme: Betriebswirtschaftlich Wert steigernd Durch: Harmonisierte Strukturen/Prozesse und einheitliche Mechanismen Gesamthafte Überwachung und Risikoorientierte Steuerung Status Quo auf Knopfdruck Damit: Verbesserte ABBILDUNGSQUALITÄT Verbesserte SITUATIONSTRANSPARENZ Verbesserte STEUERUNGSQUALITÄT Herr Eckard, Leiter Revision, dwpbank: durch den Einsatz der GRC-Suite i RIS realisieren wir 10 % Aufwandsersparnis. Diese errechnet sich durch eine wesentlich effizientere Berichterstattung und einer Aufwandsersparnis [ ] der zu prüfenden Prozesse.

22 Vielen Dank für Ihre Aufmerksamkeit! Haben Sie Fragen?

23 Kontakt Dr. Jurisch INTARGIA Managementberatung GmbH Max-Planck-Str Dreieich Dr. Kronschnabl ibi systems GmbH Schäffnerstr Regensburg

Ähnliche Dokumente

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-