IT-Revision als Chance für das IT-Management IT-Revision als Chance für das IT- Management Speakers Corners Finance Forum 2008 4./5. November 2008 Referat 29922 Stand 2.07
Die Frage lautet Wenn die IT revidier- respektive auditierbar sein muss, dann warum nicht aus der Not eine Tugend machen? Die folgenden Ausführungen illustrieren den Zusammenhang zwischen den Aufgaben in den Bereichen Informationssicherheit IT-Revisionsvorbereitung IT-Management und zeigen, wie mit einem adäquaten Vorgehen und minimalem Aufwand allen Bereichen Rechnung getragen werden kann.
Ist Ihre Informationssicherheit gewährleistet? Ziele des Informationssicherheitsmanagement: Ordnungsmässigkeit und Rechtsverbindlichkeit Vertraulichkeit Integrität Verfügbarkeit Vermeiden von: Haftung durch Manager und Aufsichtsratsmitgliedern Unternehmensverluste / Insolvenz durch Ausfall der Systeme bei sehr hohen Schäden Ggf. Verlust von Versicherungsschutz des Unternehmens Verteuerung der Unternehmenskredite (Basel II) Imageschäden nach Verlust von personenbezogenen Daten auf Grund von Sicherheitslücken
Vorgehen zum Basis-Sicherheitscheck nach BSI IT-Grundschutz 100 Das IT-Grundschutzvorgehen schlägt einen kontinuierlichen Verbesserungsprozess vor Das Resultat ist das Sicherheitskonzept
Das Sicherheitskonzept nach BSI IT-Grundschutz 100
Sind Sie auf die IT-Revision vorbereitet? Die IT-Revision benötigt Informationen über organisatorische und technische Infrastruktur des zu prüfenden Gebietes interne und externe Anforderungen und deren Bedeutung für die unternehmerischen Ziele Risiken und mögliche Schäden (Konsequenzen), Bewertung Wesentlichkeit Kontrollziele und Massnahmenauswahl Soll-Ist-Vergleich und Kontrollen Überwachung der Massnahmen und Kontrollen
Das Sicherheitskonzept für die IT-Revision IT-Strukturanalyse liefert organisatorische und technische Infrastruktur des zu prüfenden Gebietes interne und externe Anforderungen und deren Bedeutung für die unternehmerischen Ziele Schutzbedarfsanalyse liefert Risiken und mögliche Schäden (Konsequenzen), Bewertung Wesentlichkeit IT-Verbundmodell liefert Kontrollziele und Massnahmenauswahl Basis-Sicherheitscheck liefert Soll-Ist-Vergleich und Kontrollen Massnahmen-Management liefert Überwachung der Massnahmen und Kontrollen
Haben Sie die nötigen Informationen fürs IT-Management? Das IT-Management kennt die Abhängigkeiten zwischen Geschäftsprozessen und IT- Infrastrukur hat die operativen Risiken identifiziert und bewertet und überwacht eingeleitete Massnahmen systematisch kennt die geschäftskritischen Infrastrukturelemente und hat für den Notfall vorgesorgt weiss, welche Geschäftsprozesse bei technisch/organisatorischen Änderungen vom Ausfall eines Systems betroffen wären weiss, wer was weiss und kann dieses Wissen effizient transferieren, damit das Know-how nicht im falschen Moment in Rente geht kann die Einhaltung von relevanten Standards nachweisen ist immer aktuell dokumentiert und revisionsbereit
IT-Revisionsvorbereitung als roter Faden fürs IT-Management Sicherheitskonzept IT-Revisionsunterlagen IT-Managementinfos Strukturanalyse Schutzbedarfsfeststellung IT-Verbundmodell Basissicherheitscheck Massnahmen organisatorische und technische Infrastruktur des zu prüfenden Gebietes interne und externe Anforderungen und deren Bedeutung für die unternehmerischen Ziele Risiken und mögliche Schäden (Konsequenzen), Bewertung Wesentlichkeit Kontrollziele und Massnahmenauswahl Soll-Ist-Vergleich und Kontrollen Überwachung der Massnahmen und Kontrollen kennt die Abhängigkeiten zwischen Geschäftsprozessen und IT-Infrastrukur weiss, wer was weiss 1 weiss, welche Geschäftsprozesse bei technisch/organisatorischen Änderungen vom Ausfall eines Systems betroffen wären kann die Einhaltung von relevanten Standards nachweisen hat die operativen Risiken identifiziert 2 kennt die geschäftskritischen Infrastrukturelemente 3 2 und bewertet und überwacht eingeleitete Massnahmen systematisch 3 und hat für den Notfall vorgesorgt 1 und kann dieses Wissen effizient transferieren ist immer aktuell dokumentiert und revisionsbereit
Die zentrale Informationsplattform für maximale Effizienz
Die zentrale Informationsplattform als universelle Plattform
ISMS-off-the-shelf
ISMS-off-the-shelf Business Process Management (TopEase ): Modellierung und Steuerung der Organisation Informationssicherheitsmanagementsystem (ISMS): Basis- Sicherheitscheck, Definition von Prozessen und Massnahmen des ISMS. Informationssicherheitsbausteine (Library): Fertige Bausteine mit Massnahmen nach BSI-IT-Grundschutz 100 und Massnahmenzielen nach ISO 27001. Dokumente: Automatisch generierte Dokumentationen für die IT- Revision, Risikomanagement, etc. Portale: Automatisch generierte Webportale für Weisungen, Cockpits, etc. Kommunikationsmanagement & Schulung (Adobe Connect ): Validierbare Sensibilisierung, online-meetings/-classrooms, etc.
Beispiel Abhängigkeitskaskade in der Strukturanalyse Automatisch generierte Erfassungstabellen Modellierung der Organisation - Abhängigkeitskaskade
Beispiel Auswirkungsanalyse in der Schutzbedarfsanalyse Automatisch generierte Risiko-Cockpits im Portal Automatisch generierte Risiko-Erfassungstabellen Risiko-Auswirkungsanalyse -> betroffene Geschäftsprozesse oder Für Geschäftsprozesse benötigte Infrastruktur
Beispiel Massnahmenmanagement im IT-Verbundmodell Automatischer Überblick über die der IT-Infrastruktur zugeordneten Massnahmen
Beispiel Massnahmenbegleitende kontrollierte Sensibilisierung Rapid Trainings auf Basis PowerPoint und Adobe Presenter Schnell erstellt Beziehen sich auf vorhandene Inhalte (generierte Dokumente, Weisungsportale, etc.) Lernzielkontrolle ist integriert über Quizzes und SCORM- / AICC-Kompatibilität
Beispiel Sicherheitskonzept Automatisch Automatisch aus aus den den Informationen Informationen der der zentralen Plattform generiert! zentralen Plattform generiert! Enthält Enthält die die benötigten benötigten Informationen Informationen für: für: Nachweis Nachweis des des ISMS ISMS Dokumentation für die IT-Revision Dokumentation für die IT-Revision Information Information für für IT-Management IT-Management
Fazit: IT-Revisionsvorbereitung führt zu sicherem Informationsmanagement Beginnen Sie Ihr IT-Management mit der IT-Revisionsvorbereitung Nutzen sie die Vorteile von auf dem Markt schon verfügbaren Komponenten für Informationssicherheitsmanagement
Vielen Dank für Ihre Aufmerksamkeit Gerne beantworten wir Ihre Fragen. Aus Gründen Ihrer Sicherheit