Return on Security Investment Thomas Mann Kapsch Group CISO

Ähnliche Dokumente
Software Defined Networks - der Weg zu flexiblen Netzwerken

Risikomanagement für IT- Netzwerke im medizinischen Umfeld

Von der Ersterhebung bis zur Einführung eines Datenschutz Management Systems.

Blick über den Tellerand Erfahrungen der EVU

Informationsrisikomanagement

Willkommen in der ORANGEN Welt. UNSER WEG ZUR ISO ZERTIFIZIERUNG

How to hack your critical infrastructure

CS_PORTFOLIO. Informationssicherheits- Managementsystem [ISMS]

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Hauke Kästing IT-Security in der Windindustrie

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Umsetzung der EU-Datenschutz-Grundverordnung

NATIONALES IT-SICHERHEITSGESETZ? UNS ALS KOMMUNE BETRIFFT DAS DOCH NICHT!

Thomas W. Harich. IT-Sicherheit im Unternehmen

Gamification im Business umgesetzt:

UNTERNEHMENSPRÄSENTATION

Kapsch Smart Energy GmbH. Ein neues Stromsystem für die Energiewende. Kapsch Smart Energy. Titel der Präsentation Untertitel der Präsentation 1

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Erkennung von Angriffen auf Industrieanlagen Alternative Ansätze vs. Methoden der Office-IT

IT-Sicherheit für KMUs

Management- und Organisationsberatung. Business Continuity Management (BCM)

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Informations-Sicherheits- Management DIN ISO/IEC 27001: einfach und sinnvoll -

Informationssicherheit 2018

Was wir vorhersagen, soll auch eintreffen! Einführung von Big Data Security Intelligence für ein Finanzdienstleistungsunternehmen

Messbare Sicherheit?

ISO / ISO Vorgehen und Anwendung

BSI IT-Grundschutz in der Praxis

Andreas Seiler, M.Sc. IT-Security in der Industrie - Vorfälle und Gegenmaßnahmen Clustertag 2017

Workloads kennen und verstehen

Informationssicherheit - Nachhaltig und prozessoptimierend

Cybersicherheit in der Smart Factory

RISIKOMANAGEMENT einfach machen

Risikomanagement Wie viel Unsicherheit verträgt das Unternehmen!

Kapsch BusinessCom. Digitalisierung und IoT Fluch oder Segen? Anforderungen durch verbundene Devices, Schnittstellen und Datenhaltung

Eine Frage der Verantwortung!

RM vs. ISMS. Integration von IT-Risiken in das ganzheitliche Risikomanagement. it-sa, 8. Oktober Seite 1 AXA Konzern AG

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Service Management Business & IT Alignment

IT-Services aus der Cloud

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

2. Bildungsweg vom gehobenen Polizeidienst

Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

PROFI IT Risk Compact Check Nur wer seine Risiken kennt, kann sie steuern

avedos GRC - performance with integrity Einführung einer IT gestützten ISMS Lösung beim Universitätsspital Zürich auf Basis avedos risk2value

Die beste Verteidigung ist eine ganzheitliche Strategie.

Schützen Sie Ihre Fertigung

REALTECH UND SAP - STRATEGIE, PRODUKTE UND AUSBLICK

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

Das IT Sicherheitsgesetz kritische Infrastrukturen im Zugzwang. - Made in Germany

IHR SPEZIALIST FÜR MANAGED SERVICES UND BUSINESS APPLICATION HOSTING WILKEN RECHENZENTRUM

secunet Security Networks AG

Informationssicherheit BSI IT-Grundschutz, ISO/IEC und ISIS12 im Praxisvergleich

VdS 3473 Informationssicherheit für KMU

Start-up Session IT-Sicherheitsgesetz: Risikomanagement, Compliance und Governance in einer cloudbasierten Wissensdatenbank umsetzen

Wo fängt IT-Sicherheit an oder wo hört sie auf?

Informationssicherheit an der RWTH

Human Centric Innovation

Management von im Geschäft. über 100PB an Kunden. Mitarbeiter. weltweit

Sicherheits-Kennzahlen in der Praxis

IT-Value Der Wert der IT im Unternehmen

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Kapsch BusinessCom AG. Kapsch BusinessCom. Operating ICT, trust Kapsch. Operating ICT, trust Kapsch EMC Forum

ISMS und Sicherheitskonzepte ISO und IT-Grundschutz

Informations- Sicherheitsmanagement bei Hubert Burda Media avedos/ey GRC Erfahrungsaustausches

Komplexe IT-Infrastrukturen einschaltfertig und leistungsfähig siemens.de/sidsi

Toolgestützte Umsetzung des neuen IT-Grundschutzes ibi systems iris

Cyber-Sicherheitstag Niedersachsen 2018

COI-Software-as-a-Service COI-PharmaSuite SaaS. Business W hite Paper

Industrial Security. Sicherheit im industriellen Umfeld. Frei verwendbar Siemens AG 2018

COI-Software-as-a-Service COI-PharmaSuite SaaS. Business White Paper

Aktuelle Bedrohungen im Umfeld von Industrie 4.0

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

IT-PROJEKTE AUSGEKLÜGELT UND MIT MINIMALEM RISIKO DURCHFÜHREN IN VIER SCHRITTEN

Datenschutz- Grundverordnung (DSGVO / GDPR) 24 welche Datenschutzmanagement -systemansätze können hier unterstützen?

Umsetzung des ISMS bei DENIC

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Which Thin Client fits. Michael Hoting

Zertifizierung Auditdauer und Preise

Digitalisierung als Projekt

Digitale Wirtschaftsspionage Deutsche Wirtschaft im Fokus fremder Nachrichtendienste

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

KPI Optimiser Finanzabschlüsse Anonymisiertes Ergebnis

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

FireWall Möglichkeiten und Grenzen

Zertifizierung gemäß ISO/IEC IT-Sicherheitskatalog nach 11 Abs. 1a EnWG

splone SCADA Audit Leistungsübersicht

Vorstellung, Status & Vision

Datenschutz und Informationssicherheit

VERBINDLICHE IT- SICHERHEITSVORGABEN FÜR DIENSTLEISTER

voith.com Damit auch Ihre IIoT-Umgebung in Zukunft sicher bleibt Industrial Cyber Security

AddOn Managed Services Die neue EinfachheIT

Siemens AG IT-Sicherheit von Automatisierungssystemen

FSKB IT Guideline Ausgabe 2018

Cyber Security der Brandschutz des 21. Jahrhunderts

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Informationsklassifizierung der Schlüssel zum Dokumentenschutz Praxisbericht

Hand in Hand: IT- und Facility-Management

Transkript:

Security is a process, not a product Bruce Schneier Kapsch BusinessCom Return on Security Investment Thomas Mann Kapsch Group CISO

05.10.2016 Return on Security Investment www.kapsch.net 2

05.10.2016 Return on Security Investment www.kapsch.net 2

05.10.2016 Return on Security Investment www.kapsch.net 4

Der Angriff auf das ukrainische Stromnetz Geben Sie Ihren Untertitel ein. Gut trainiertes Hackerteam mit monatelanger Vorbereitungsphase Sorgfältiges und unauffälliges Auskundschaften des Betreibers Backdoor durch Phishing E-Mail VPN Zugangsdaten zum SCADA-Netzwerk Deaktivierung der USV der Kontrollzentren Ausschalten der Leistungsschalter 30 Umspannwerke / 230.000 Haushalte betroffen (bis zu 6 Stunden Ausfallzeit) Überschreiben der Firmware (Serial-to-Ethernet Converter) zwischen Kontrollzentrum und Umspannwerken Nach 2 Monaten noch immer nicht komplett erholt Firmware von kritischen Geräten bei 16 Umspannwerken überschrieben 05.10.2016 Return on Security Investment www.kapsch.net 5

Aktuelle Situation Die Anzahl an Angriffen steigt Immer mehr Sektoren sind an IT gesteuerte Prozesse gebunden und werden zu potenziellen Zielen Angreifer sind unberechenbar Gut ausgebildet Hoch motiviert Prävention wird letztendlich versagen Medienberichte Persönliche Erfahrungen 05.10.2016 Return on Security Investment www.kapsch.net 4

05.10.2016 Return on Security Investment www.kapsch.net 7

05.10.2016 Return on Security Investment www.kapsch.net 8

05.10.2016 Return on Security Investment www.kapsch.net 9

Internet of Things Search Engine 05.10.2016 Return on Security Investment www.kapsch.net 8

Ausbreitung Schadsoftware im Industriellen Umfeld 05.10.2016 Return on Security Investment www.kapsch.net 8

Der Wunsch nach Sicherheit 05.10.2016 Return on Security Investment www.kapsch.net 9

Return on Security Investment 05.10.2016 Return on Security Investment www.kapsch.net 10

Organisation der Informationssicherheit 05.10.2016 Return on Security Investment www.kapsch.net 11

Security Incident Management SIR TEAM 05.10.2016 Return on Security Investment www.kapsch.net 11

Schwachstellen Management Andere Kunden 05.10.2016 Return on Security Investment www.kapsch.net 14

Das Reifegradmodell der Informationssicherheit 05.10.2016 Return on Security Investment www.kapsch.net 11

Ein ISMS nach ISO 27001:2013 05.10.2016 Return on Security Investment www.kapsch.net 12

Ein ISMS nach ISO 27001:2013 05.10.2016 Return on Security Investment www.kapsch.net 13

Die Balance zwischen Risiko und Aufwand 05.10.2016 Return on Security Investment www.kapsch.net 14

Definition der Information Security Policies Informationssicherheitspolitik Management Commitment Risikoklassen Datenklassen Rollen und Funktionen 05.10.2016 Return on Security Investment www.kapsch.net 14

Die Business Impact Analyse Auswirkung auf den Geschäftsprozess des Fachbereichs mittel gering hoch Business Impact / Auswirkung Finanz und Controlling Forschung & Entwicklung Produktion Eintrittswahrscheinlichkeit / Häufigkeit ERP System E-Mail CAD ERP Server Datenbank Server Basisdienste und IT-Prozesse Archiv-server Client Services Hardware Betriebssystem Rechenzentrum Incident Mgmt. Change Mgmt DNS LAN WAN DNS Server Das schwächste Glied bestimmt die Zugfestigkeit der gesamten Kette! Gebäude Stromversorgung Betriebs-system Hardware Rechen-zentrum 05.10.2016 Return on Security Investment www.kapsch.net 14

Ergebnisse der BIA I) Modellierung des Geltungsbereichs II) Strukturierte Interviews mit den Prozessverantwortlichen - betrachtet werden die Kriterien Verfügbarkeit (mit unterschiedlichen Zeithorizonten) Vertraulichkeit Integrität Rechtskonformität - Interviews sind szenarienbasiert - Klassifikation der potentiellen Schäden gemäß den Bedrohungsklassen Unbedeutend Gering Mittel Hoch Sehr hoch Bedrohungsklassen: unbedeutend, gering, mittel, hoch, sehr hoch 05.10.2016 Return on Security Investment www.kapsch.net 14

Methodik der Risikoanalyse I) Aufbauend auf Stufe 2 erfolgt die Analyse und Modellierung der zu Grunde liegenden IT- Infrastruktur und IT-Prozesse II) Bewertung der modellierten IT-Infrastruktur und IT- Prozesse anhand umfangreicher, mitgelieferter Fragenkataloge 05.10.2016 Return on Security Investment www.kapsch.net 14

Ergebnisse der Risikoanalyse 05.10.2016 Return on Security Investment www.kapsch.net 14

Die Ziel- bzw. Planabweichung analysieren SOLL-IST Analyse basierend auf Policy, Anforderung aus dem Geltungsbereich und dem IST-Wert der Risikoanalyse Dies klicken Sie auf den Platzhaltertext und geben Sie Ihren Text ein. Verbesserungsvorschläge identifizieren GAP-Analyse Vergleich der IST-Erfüllung Maßnahmen definieren mit dem höchsten Impact zuerst zielorientiert Kosten/Nutzen abwiegen 05.10.2016 Return on Security Investment www.kapsch.net 14

PDCA Stetige Optimierung des Systems Ausgangssituation Optimierter IST-Zustand Umsetzung der Maßnahme 1 Umsetzung der Maßnahme 5 Umsetzung der Maßnahme 2 Umsetzung der Maßnahme 4 Umsetzung der Maßnahme 3 05.10.2016 Return on Security Investment www.kapsch.net 14

Return on Security Investment-ROSI SCHADENS-Verteilung Compound-Funktion Maximum Forseeable Loss MFL Most Likely Case 50% VERLUST-Verteilung HÄUFIGKEITS-Verteilung Ratingkennzahl Best Case 5% Worst Case 95% 05.10.2016 Return on Security Investment www.kapsch.net 14

Key Performance Indicators Dashboard 05.10.2016 Return on Security Investment www.kapsch.net 14

Vielen Dank für Ihre Aufmerksamkeit. Ing. Thomas Mann SPcM CMC CISA Kapsch Group Chief Information Security Officer (CISO) Kapsch BusinessCom Kapsch BusinessCom AG Wienerbergstraße 53 1120 Wien, Österreich Phone: +43 50 811 5587 E-Mail: thomas.mann@kapsch.net www.kapsch.net Hinweis: Der Inhalt dieser Präsentation ist geistiges Eigentum der Kapsch AG. Alle Rechte hinsichtlich des Kopierens, der Vervielfältigung, Änderung, Nutzung, Veröffentlichung oder Weitergabe des Inhalts an Dritte bleiben vorbehalten. Vorgenanntes ist ohne vorausgehende schriftliche Genehmigung der Kapsch AG ausdrücklich untersagt. Bei Produkt- und Firmennamen kann es sich um eingetragene Markennamen oder geschützte Marken Dritter handeln. Diese werden in der Präsentation lediglich zum Zweck der Verdeutlichung und zum Vorteil des jeweiligen rechtmäßigen Eigentümers ohne eine Absicht der Verletzung der Eigentumsrechte verwendet.

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback