Erfolgsfaktor Proaktives IT-Sicherheitsmanagement

Größe: px

Ab Seite anzeigen:

Download "Erfolgsfaktor Proaktives IT-Sicherheitsmanagement"

Lena Junge
vor 8 Jahren
Abrufe

1 1. Dezember 2004 Seite: 1 / 5 Erfolgsfaktor Proaktives IT-Sicherheitsmanagement Christian Peter Global Services Executive, IBM Österreich 1. Dezember Abstract IT-Sicherheitsmanagement: unverzichtbares Element robuster Geschäftsprozesse Der von IBM geprägte Begriff Resilience umschreibt die Eigenschaft einer IT- Infrastruktur, robust gegenüber unvorhergesehenen, sowohl negativen als auch positiven Entwicklungen und Ereignissen zu sein. Proaktives IT-Sicherheitsmanagement ist dabei ein wesentlicher Erfolgsfaktor. Für Unternehmen jeder Größenordnung ist es zunehmend erforderlich, flexibel auf externe und interne sowie positive und negative (Stör)faktoren reagieren zu können. Die Infrastruktur muss deshalb auf Bedrohungen von innen und außen und durch technische Einflüsse, menschliche (Fehl)handlungen und höhere Gewalt mittels proaktiver Konzepte vorbereitet werden. 2

robust gegenüber unvorhergesehenen, sowohl negativen als auch positiven Entwicklungen und Ereignissen zu sein. Proaktives IT-Sicherheitsmanagement ist dabei ein wesentlicher Erfolgsfaktor.

2 Konvergenz von Geschäftsprozessen und IT führt zu erhöhtem Risikopotential Traditionelles Geschäftsmodell Abstand zwischen IT und Organisation Kunde interagiert mit Organisation e-business Geschäftsmodell Konvergenz von Organisation und IT Kunde interagiert mit IT Geschäfts prozesse IT Geschäfts prozesse IT Erhöhter Bedarf für: Flexibilität Antwortverhalten Verfügbarkeit Sicherheit Kunde Organisation IT Kunde IT Organisation 3 IT Security und externe Einflüsse: Industrietrends, Gesetze, Regularien, neue Technologien Geschäftsabwicklung über das Internet Umgang mit Betriebsrisiken, IT Security Governance Basel II Neue Wertschöpfungsketten und Geschäftsmodelle, die schwerpunktmäßig auf Informationstechnologie beruhen (SCM, ERP, CRM) Tendenz zum Outsourcing und Outtasking vollständiges oder teilweises Auslagern von Geschäftsprozessen, Anwendungen oder IT- Infrastrukturen Globaler Datenzugriff Authentifizierung und Vertraulichkeit Betriebliche Notfälle Verfügbarkeit Mobilcomputer neue Technologien und Produkte wie Mobiltelefone, PDAs, Smartphones 4 1. Dezember 2004 Seite: 2 / 5

Kunde Organisation IT Kunde IT Organisation 3 IT Security und externe Einflüsse: Industrietrends, Gesetze, Regularien, neue Technologien Geschäftsabwicklung über das Internet Umgang mit

3 1. Dezember 2004 Seite: 3 / 5 Betriebsrisiken vs. IT Security Definition operationeller Risiken z.b. nach Basel II: Gefahr von unmittelbaren oder mittelbaren Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten. Interne Verfahren Systeme Menschen Externe Ereignisse Mitarbeiter Externe Direktes Umfeld Katastrophen Falsche Strategie Fehlende Zielausrichtung Unklare Verantwortlichkeiten Schlechte Prozessdefinition und -umsetzung Mangelnde Anpassungsfähigkeit an neue Anforderungen Hardwaredefekte Softwarefehler Schlechte Administration Mangelhafte Benutzerfreundlichkeit Anfälligkeit gegen Würmer und Viren Inadäquate Architekturen Strom-/Netzausfall Missbrauch Diebstahl Unwissenheit Unachtsamkeit Bestechung Fluktuation Computerviren und Würmer Hacking Einbruch Betrug Vandalismus Raub, Diebstahl Sabotage Spionage Terrorismus Ausfall der Kommunikationsverbindungen (Telefon, Mail, Web) Änderung der regulatorischen Anforderungen Verlust der Verkehrsverbindungen Extreme Nachfrageschwankungen Erdbeben Hochwasser Sturm Frost Feuer Explosion Chemieunfälle Flugzeugabsturz, Verkehrsunfälle Krieg Interne Risikoquellen Externe Risikoquellen Orange: Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit von Informationen, d.h. IT-Sicherheit 5 Proaktives IT-Sicherheitsmanagement durch Resilience Strategien Resilience - Die Übersetzung: Elastizität, Belastbarkeit, Widerstandsfähigkeit, Ausfallsicherheit ( Natur Gräser, Bäume etc. können nur durch ihre enorme Elastizität den Umwelteinflüssen wie Wind, Hagel und Schnee standhalten. Technik Die Tragflächen moderner Verkehrsflugzeuge sind in der Vertikalen biegsam. Nur so kann verhindert werden, dass sie z.b. bei einem Sturm abbrechen. 6

4 1. Dezember 2004 Seite: 4 / 5 Resilience-Strategien und -Konzepte ermöglichen eine anpassungsfähige, ausfallsichere und robuste Infrastruktur zur kontinuierlichen Unterstützung der kritischen Geschäftsprozesse Resilience - Die Definition: Unter Resilience verstehen wir die Fähigkeit eines Unternehmens, sich auf ändernde Gegebenheiten, die den Geschäftsablauf beeinflussen können, bereits im Vorfeld bestmöglich vorzubereiten. Die Auslöser von Veränderungen können dabei sowohl positiver als auch negativer und interner als auch externer Natur sein. Anpassungsfähig Ausfallsicher Robust Infrastruktur passt sich rasch an jede Form unvorhergesehener Veränderung im Geschäftsumfeld an. Infrastruktur ist auf Bedrohungen von innen und aussen durch technische Einflüsse, Menschen und höhere Gewalt mittels proaktiver Konzepte vorbereitet. Infrastruktur reagiert auf Veränderungen und Stress mit konsistenter, ausreichender Verfügbarkeit und Sicherheit. 7 Gezieltes, proaktives IT-Sicherheitsmanagement: einer der wesentlichsten Faktoren, um die Widerstandsfähigkeit eines Unternehmens zu erhalten bzw. eine solche aufzubauen Überprüfen bzw. Erheben des Ist-Zustandes: Prozesse und Prozeduren, Systeme, Anwendungen, Netzwerk, Standorte etc.; technisch (z.b. mittels Ethical Hacking) und interview-basierend Auditieren & Erheben Betreiben Planen & Entwerfen Gewährleisten einer sicheren Umgebung: Intrusion Detection, Incident Management, Firewall Management, Systems Management etc. Umsetzen Implementieren und Dokumentieren der Maßnahmen: technisch, organisatorisch, personell Beschreibung von Anforderungen: Risikoanalyse, Definition einer umfassenden und durchgängigen Sicherheitspolitik, Entwickeln von Richtlinien, Standards, Prozessen, Prozeduren, Architekturen, Teilkonzepten etc. 8

im Vorfeld bestmöglich vorzubereiten. Die Auslöser von Veränderungen können dabei sowohl positiver als auch negativer und interner als auch externer Natur sein.

5 1. Dezember 2004 Seite: 5 / 5 Überprüfung des Resilience-Reifegrads in der IT Risikomanagement Sicherheit Zusammenspiel Strategie Prozesse IT Prozesse Geschäftsprozesse Zusammenarbeit Physisch Versorgung Katastrophen Resilience Einrichtungen Organisation Struktur Wissen Rollen Hardware Software Netzwerk Infrastruktur Anwendungen und Daten Anwendungssicherheit Architketur Management 9 Resilience benötigt eine ganzheitliche Betrachtung Neu-Entwicklung und Umsetzung geschäftsstrategischer Leitlinien Neu-Definition von Geschäftsgrundsätzen und Richtlinien Fusionen und Übernahmen Projektrisiken Business Resilience Business Process Reengineering / Supply Chain Integration Planung hoher Nachfrageschwankungen IT-Sicherheit: Prozesse, IT-Systeme, Anwendungen, Netzwerk, Zugriff, Zutritt, Mitarbeiter Notfallplanung und - vorsorge Audit und Überprüfung Recovery Availability Continuity Organizational Resilience Business Process Resilience Resilient IT Infrastructure Scalability Security Etc. Enterprise Risk Management Insurance Z.B. Basel II (Kreditrisiko, Marktrisiko, Management operativer Risiken) Versicherung Eigenkapitalrichtlinien Einlagensicherungsfonds 10

Resilience benötigt eine ganzheitliche Betrachtung Neu-Entwicklung und Umsetzung geschäftsstrategischer Leitlinien Neu-Definition von Geschäftsgrundsätzen und Richtlinien Fusionen und Übernahmen

Ähnliche Dokumente

ITIL & IT-Sicherheit. Michael Storz CN8

ITIL & IT-Sicherheit. Michael Storz CN8 ITIL & IT-Sicherheit Michael Storz CN8 Inhalt Einleitung ITIL IT-Sicherheit Security-Management mit ITIL Ziele SLA Prozess Zusammenhänge zwischen Security-Management & IT Service Management Einleitung