Informationssicherheit für den Mittelstand
Herzlich Willkommen Stefan Ohlmeyer IT-Architekt sohlmeyer@sievers-group.com Tel: 05419493-0
Agenda Informationssicherheit für den Mittelstand Stefan Ohlmeyer Netwrix Auditor Demo Alexander Bode
Begriffe Informationssicherheits-Managementsystem (ISMS) Cyber Security Informationssicherheit Datensicherheit IT Security IT Sicherheit Datenschutz
Datenschutz & Cyber Security Cyber Security Schließanlage Einbruchshemmende Fenster Bewegungsmelder Videokameras Alarmanlage Richtlinien Verfahren Datenschutz Vorhänge Bild Quelle:istockphoto.com
Cyber Security = Risiken reduzieren Vertraulichkeit Verfügbarkeit Integrität Bild Quelle:istockphoto.com
Risiken Reputationsverlust Strafen Wettbewerbsnachteile Verlust der Unternehmenswerte Existenzgefährdung Hohe Kosten nach Datenverlust
Datenverlust ist existenzgefährdend Datenverlust ist speziell für kleine und mittlere Betriebe existenzgefährdend. Zwei von fünf KMU mit massiven Datenverlust, erleiden in den folgenden fünf Jahren eine Insolvenz. (IBM/Ponemon)
Das wichtigste zuerst! Wer trägt die Verantwortung? Administrator? IT Leiter? Datenschutzbeauftragte? IT Dienstleister?
Verantwortlich ist die Geschäftsleitung Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden (vgl. 43 I,II GmbHG; (Inhaber: 130 OWiG)) Sie verarbeiten personenbezogene Daten. EU-DSGVO Art. 5f, 32
War Ihr Unternehmen innerhalb der letzten 2 Jahre von Datendiebstahl, Industriespionage oder Sabotage betroffen? Basis: Alle befragten Industrieunternehmen (n=503) Quelle: Bitkom Research September 2018
Warum ist es noch wichtig? Sie möchten eine Cyber-Versicherung abschließen Sie müssen die IT Sicherheit gegenüber Geschäftspartnern nachweisen Zum Schutz Ihrer Unternehmenswerte
Nutzen für IT Leitung Reputation gegenüber MA Reputation gegenüber GF Synergien durch Struktur Persönliche Sicherheit Argumentation für Investitionen
Sie haben heute schon ein hohes CS Niveau? Können Sie es nachweisen? Bild Quelle:istockphoto.com
Leitlinie Richtlinien Behandelte Themengebiete: Verfahren / Doku IT Sicherheitskonzept Leit- & Richtlinien Verfahren IT Systeme Umgebung Mobile Endgeräte AntiVirus Patch Management
Das Rad nicht neu erfinden Orientierung an vorhandenen Normen Bild Quelle:istockphoto.com
ISO 27001 Zertifizierung Vorgehen zur Erreichung ist detailliert beschreiben Weltweiter Standard Sehr hohes Sicherheitsniveau Hoher Aufwand für Einführung Permanent hoher Aufwand für Betrieb
Aufwand Welches Vorgehensmodell ist das richtige? ISO 27001 IT Sicherheitsniveau BSI Grundschutz 80% der aufgewendet en Zeit VDS 10000 Basisabsicherung 20% 20% 80% der Ergebnisse
VdS Auch bekannt für Zertifizierung von Brandmeldern, Alarmanlagen, Schlössern etc. VdS10000 - Cyber-Security für kleine und mittlere Unternehmen (38 Seiten -10) Beschreibt das Vorgehen zur Erreichung einer IS Zertifizierung ist optional
Die Basis ist vorhanden IT Sicherheit Wertigkeit nachweisbar Basisabsicherung ISO27001 Bild Quelle:istockphoto.com
Um welche Bereiche geht es? IT Systeme Netzwerke und Verbindungen Mobile Datenträger Umgebung
Um welche Bereiche geht es? Zugänge und Zugriffsrechte Datensicherung und Archivierung Störungen und Ausfälle IT Outsourcing und Cloud Computing
Um welche Bereiche geht es? Organisation der Informationssicherheit Leitlinie zur Informationssicherheit Richtlinien zur Informationssicherheit Identifizierung kritischer IT-Ressourcen Personal / Wissen
Ablauf Soll/Ist Vergleich Individuelles Ziel festlegen Arbeitspakete definieren und deligieren VdS Audit Betrieb Act Plan KVP Do Check Umsetzung und Kontrolle Verantwortlichkeiten und Rollen festlegen
Erster Schritt Soll/Ist Vergleich Interview mit der IT / GF Darstellung der Ergebnisse Ist Situation Konkreten Handlungsempfehlungen Soll Zustand Aufwandsabschätzung interner Aufwand externer Aufwand Individuelle Zielsetzung festlegen (Ihr individueller Soll Zustand)
Interview Beispiele Gibt es eine Cyber-Security Leitlinie die vom Top-Management beschlossen wurde? Werden erfolgreiche und erfolglose Anmeldeversuche protokolliert? Werden regelmäßige Rücksicherungen von Daten und Servern getestet? Werden alle Zugänge und Berechtigungen auf kritischen Systemen mind. jährlich erfasst und überprüft? Basisschutz Netzwerke Mobile IT Systeme IT Systeme Kritische IT Systeme Zugänge und Rechte Datensicherung
Ergebnis Preview
Förderung in NRW Mittelstand innovativ - Innovations- und Digitalisierungsgutschein Unternehmen bis 50 Mitarbeiter 80% Zuschuss Unternehmen bis 250 Mitarbeiter 50% Zuschuss
Call to Action Cyber Security Check Erzielen eines allgemeinen Verständnisses in Bezug auf Compliance-Ziele und der Vorgehensweise zur VDS3473 Zertifizierung Wie ist ihr Unternehmen vorbereitet. Interview mit GF/IT (Kein Audit) PEN-Test Light Handlungsempfehlungen, Interner und externer Aufwand, ausformuliert
Vielen Dank IT starts with imagination Stefan Ohlmeyer sohlmeyer@sievers-group.com Tel: 05419493-0