Cyber Resilience. Wie mache ich meine Organisation fit für die Zukunft. AHS-Event ISACA Switzerland 18. August 2015

Cyber Resilience Wie mache ich meine Organisation fit für die Zukunft AHS-Event ISACA Switzerland 18. August 2015 Martin Andenmatten, CISA-CGEIT-CRISC, ITIL Master

Ihr heutiger Referent: Martin Andenmatten Geschäftsführer und Gründer der Glenfis AG ITIL Master, DPSM ISACA CISA, CGEIT, CRISC Zertifizierter COBIT Assessor, TIPA (ITIL) Lead Assessor Practitioner und Lead Auditor für ISO 20000 Zertifizierungen Dozent an der Berner Fachhochschule im Bereich Service Management & Governance Principle Consultant für IT Governance und Service Management Systeme Trainer und Coach für ITIL, COBIT, ISO 20000, ISO 27000, Cloud Foundation und Sourcing Governance Trainer und Coach für Business-Simulationen Apollo13, Challenge of Egypt & Grab@Pizza und PoleStar (G2G3) Herausgeber & Autor 2008 Praxishandbuch "ISO 20000, Service Management und IT Governance" Herausgeber & Autor 2010 "Services managen mit ITIL Herausgeber & Autor 2014 COBIT 5 Grundlagen Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-2

Kennen. Wir beraten Sie, wie Sie Ihre IT- Anforderungen in Unternehmensmehrwert verwandeln Business, Strategie und Sourcing Consulting Audit, Assessments und «Readiness-Checks» Sourcing-, Service und Prozess-Improvement- Roadmaps Können. Wir schulen Sie und Ihr Team, damit Sie heute schon fit für die IT-Governance von morgen sind. Cloud Computing und Sourcing Governance Agile Methoden und DevOps Cyber und Information Security Management Service Management IT-Governance und Assessment Architektur Management Projekt Management Tun. Wir begleiten Sie, wenn Sie Ihre IT-Strategien in die Praxis umsetzen Cloud & Sourcing Transformation Governance, Risk & Compliance Service und Sourcing Management Cyber Security und Informations-Sicherheit ITSM Tool-Assessment und - Evaluation Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-3

Agenda Cyber Kriminalität: Ist es wirklich schon fünf vor 12? Von Cyber Security zur Business Resilience Ganzheitliches Cyber Security Management mit COBIT 5 und CSX Neues Framework: RESILIA TM Cyber Resilience Best Practice Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-4

«Wind of Change» in IT Organisationen. Big Data Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-5

«Wind of Change» in IT Organisationen. Technologie-Management ist immer mehr «Commodity» und wird vermehrt industrialisiert betrieben. Cloud-Computing konkurrenziert mit veränderten Sourcing-Modellen die internen IT-Organisationen. Das Business will von neuen Trends profitieren. Investitionsentscheide müssen vorbereitet und getroffen werden. Mobilität und permanente Datenverfügbarkeit überfordern die bestehenden IT-Infrastrukturen. «Bring Your Own Device», Social Media, «Big Data» fordern die Sicherheit heraus. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-6

MSM Research: Ausgaben für Outsourcing, Managed & Cloud Computing Services MSM Research: Studie Cloud Computing 2.0 der Schweizermarkt bis 2016 Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-7

MSM Research: Die Märkte verschieben sich: On Premise vs. Cloud Standardsoftware MSM Research: Studie Cloud Computing 2.0 der Schweizermarkt bis 2016 Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-8

Cloud und mobile Lösungen bedeuten für jeden etwas anderes Die Business-Sicht: (gemäss Vanson Bourne Research) - Alles ist möglich (18% Erhöhung der Produktivität) - Jederzeit (21% Reduktion Time-to Market) - Zum Bruchteil der heutigen Kosten (15% tiefere Kosten) - Verbesserte Zusammenarbeit unabhängig von Ort & Zeit Die Lieferanten-Sicht: - Ein grenzenloser Markt - Riesige Skaleneffekte - Einfache Kundenbindung Die Security-Sicht: - Datenverlust - Compliance-Verlust - Kontroll-Verlust Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-9

Cloud Security Spotlight Report (Umfrage 2015 in LInkedIn Security Group) Welche Art von Unternehmensdaten speichern Sie in der Cloud? Aktueller Status bezüglich Cloud Adaption im Unternehmen? Wie bewerten Sie Ihre Sicherheitsbedenken hinsichtlich des Einsatzes von Public Cloud Computing? Welches Cloud Deployment Modell setzen Sie ein? Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-10

Cloud-Services sind heute Fakt sie lassen sich nicht «verhindern» 90% der Cloud Aktivitäten werden durch Einzelpersonen und kleine Teams getätigt: Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-11

Real-World Daten Ausschnitt aus Cloud Discovery in einem europäischen Transport Unterhemen: Analysiertes Zeitfenster: 20. Juni 3. Juli 2015 Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-12

Real-World Daten Ausschnitt aus Cloud Discovery in einem europäischen Transport Unterhemen: Analysiertes Zeitfenster: 20. Juni 3. Juli 2015 Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-13

Zu welcher Kategorie gehören Sie? Es gibt nur zwei Kategorien von Unternehmen: - Solche, welche bereits Cloud Security Incidents hatten - und solche, welche zwar hatten, es aber nicht bemerkt haben Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-14

Globale Risiko Landkarte 2015 (World Economic Forum, WEF ) Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-15

Es kann immer und jederzeit etwas passieren darauf muss man sich einstellen Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-16

Begrifflichkeiten Infromation Security Der Schutz von Informationen und Informationssystemen vor unerlaubten Zugriff, Verwendung, Offenlegung, Zerstörung, Veränderung oder Zerstörung, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. Cybersecurity Die Fähigkeit, die Nutzung des Cyberspace zu verteidigen und sich vor Cyber-Attacken zu schützen Information Security Alles was die Sicherheit von Informationen und Informations- Systemen betrifft unabhängig vom Bereich Cybersecurity Alles, was sich auf die Sicherheit im Cyber- Bereich bezieht Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-17

Die Risiken sind zu hoch! Der Mensch ist der kritische Faktor: - Phishing Attacken: bereits sind rund 60% aller Emails reiner SPAM (Kapersky Lab, Q1 2015 Report ) - 50% der User öffnen Emails und klicken auf Phishing-Links (Verizon- Studie 2015) - In 95% der Security Incidents sind Menschen involviert (IBM 2014 Cyber Security Intelligence Index report) Copyright BIS, PWC Information Security Breaches Survey 2014 Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-18

Wir stecken mittendrin Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-19

Advanced Persistent Threats mehr als ein Virus Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-20

Agenda Cyber Kriminalität: Ist es wirklich schon fünf vor 12? Von Cyber Security zur Business Resilience Ganzheitliches Cyber Security Management mit COBIT 5 Neues Framework: RESILIA TM Cyber Resilience Best Practice Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-21

Was sind die zentralen Herausforderungen? Die Mitarbeiter sind das grösste Kapital, Jedoch auch der grösste Risiko Faktor im Unternehmen Es kann alle treffen es ist nicht ein reines IT-Thema. Das Senior-Management bis zu alle einzelnen Mitarbeiter müssen ihre Verantwortung kennen und tragen Die Techniken der Angriffe ändern ständig. Reines Reagieren auf technischer Ebene reicht für einen Schutz heute bei weitem nicht mehr aus. Compliance bedeutet nicht automatisch auch Sicherheit. Es wird auf spezifische Risiken reagiert und punktuell mit technischen Massnahmen reagiert. Zudem ist es eine reine Point-in-Time-Betrachtung das führt zu falscher Sicherheit und lenkt von den Risiken ab. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-22

Klassische Informationssicherheits-Konzepte genügen nicht mehr Heute wird Sicherheit noch zu stark als Aufgabe einer dafür spezialisierten Funktion innerhalb der Organisation verstanden. Technische Massnahmen verhelfen oft nur zu Punktlösungen. Das System ist trotzdem löchrig wie ein Schweizer Käse. Das notwendige KnowHow im Umfeld von Cyber Security ist stark technisch fokussiert und wird von den meisten Mitarbeitern, insbesondere dem Management und Top- Management nicht gut genug verstanden. Der Gap zwischen den Experten und den Betroffenen ist so gross, dass die heutigen Sicherheitsmassnahmen nur zur Hälfte wirken. Investitionen in die Sicherheit und damit Abwehr von Cyber- Attacken sind betriebswirtschaftlich sehr schwer einzuordnen. Einen ROI lässt sich schlecht errechnen und einen Sponsor entsprechend immer schwieriger identifizieren. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-23

Cyber Resilience ist mehr als Cyber Security Das Risiko als Person oder Unternehmen durch Cyber-Attacken getroffen zu werden, steigt zunehmend. Nie war es einfacher für Cyber-Kriminelle, an ihr Ziel zu kommen. Wir müssen erkennen: Die Tage der Implementierung von Sicherheitssystemen und sich dann zurückzulehnen, sind definitiv vorbei Es genügt nicht mehr anzunehmen, dass man jeden möglichen Angriff verteidigen kann. Früher oder später werden einige Attacken erfolgreich sein Datenschutzverletzungen sind fast unvermeidlich und es lässt sich nicht kalkulieren, wie schlimm man betroffen wird und was die Folgekosten/-konsequenzen bedeuten Traditionelle Informations-Sicherheit oder Cybersecurity genügt nicht mehr Cyber Resilience: Die Widerstandsfähigkeit und damit das Erkennen und entsprechend Reagieren auf Sicherheitsverletzungen wird ein Überlebensmerkmal von Organisationen in der Zukunft sein. Wenn man davon ausgeht, dass man getroffen wird so sollte man sicherstellen, dass man nicht zu hart getroffen wird. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-24

Cyber Resilience ist mehr als Cyber Security Bei den klassischen Cyber-Sicherheitsmassnahmen geht es um den Schutz von Information/technischen Assets und um das Verhindern von Schäden und Bedrohungen In der Regel technische Lösungen mit Schwerpunkt Prävention: - Firewall - Data Leakage Prevention - Vulnerability Management - Web-Access-Management - API-Security, Mobile-Security ect. Bei Cyber-Resilience geht es darum, ein System zu haben, welches die Fähigkeit besitzt, einer ungeplanten Störung oder einem Ausfall zu widerstehen und fristgerecht zu regenerieren. Ganzheitliche Business-Lösung mit ausgewogener Prävention, Früherkennung und Wiederherstellung: - Risiko-basierter Ansatz - Einbezug der gesamten Organisation und aller Prozesse, inklusive Kunden, Lieferanten und Mitarbeiter - Etablierung Cyber Resilience Lifecycle: von der Cyber-Resilience- Strategie, über Design, Transition, -Operation und Continual Improvement Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-25

Ausgewogenheit in Vorbeugen, Entdecken, Korrigieren Vorbeugende Massnamen Kontrollen, um Cyber Attacken zu verhindern Entdecken und Korrigieren Kontrollen, um Cyber Attacken zu erkennen und falls getroffen, zu recovern. Es muss immer überlegt werden, ob eine kosteneffektive Vorbeugungs-Massnahme lebenswichtig ist oder ob stattdessen eine schnelle Erkennung und Korrektur mit kurzfristigen Auswirkungen auf die Cyber Resilience akzeptiert werden kann Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-26

Das Rad muss nicht neu erfunden werden Standards & Guidelines gibt es zu Hauf 15 504 Process Capability Assessment (SPICE) 27 000 PMBOK PRINCE2 COBIT 5 Governance and Management of Enterprise IT Project Management methodology Project Management methodology 27 018 Code of practice for protection personally identifiable 27 018 information in public clouds 17 789 Reference architecture (roles, activities, functional components) Cloud Computing Sicherheit IT Service Management ITIL Best Practice framework 20 000 27 017 Code of practice for information security controls TOGAF Enterprise architecture methodology & framework SCRUM Project Management methodology 37 500 38 500 Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-27

Positionierung Frameworks im Bereich Cyber Security&Cyber Resilience Business Cyber Resilience,COBIT, RESILIA TM, ITIL Best Practice Guidance Steuerung und Verbesserung Business Cyber Security, Risiko und Governance Diese Frameworks ermöglichen einen proaktiven und auf Zusammenarbeit ausgerichteten Ansatz zur Identifizierung und Steuerung der Cyber Risiken von einer ganzheitlichen Sicht: Menschen, Prozesse und Technologien - Business Risk Management und Recovery - Business Service Management System NIST Cyber Security Framework Das NIST Cyber Security Framework gibt Auskunft darüber, welche Standards und Best Practices in der Organisation umgesetzt werden müssen, um Cyber Risiken effektiv zu steuern und die Cyber Risiken zu minimieren. Information Technology (IT) Cyber Resilience ISO27001, ISO31000 und ISO38500 Standards Steuerung und Verbesserung der IT Cyber Security, Risiko und Governance Dies sind auditierbare internationale Standards für die Informations Sicherheit, Risiko Management und Governance mit dem Ziel, Infomationen und technische Assets vor Attacken, Beschädigung oder unauthorisiertem Zugriff zu schützen - IT Risiko Management & Recovery - Information Security Management System Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-28

Agenda Cyber Kriminalität: Ist es wirklich schon fünf vor 12? Von Cyber Security zur Business Resilience Ganzheitliches Cyber Security Management mit COBIT 5 Neues Framework: RESILIA TM Cyber Resilience Best Practice Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-29

Cyber Security Fundamentals und COBIT 5 Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-30

Modul 2 Die fünf Prinzipien von COBIT 5 Core Cyber Security Framework NIST Identify Entwickeln eines Organisationsverständnisses bezüglich Steuerung der Cyber- Risiken für Systeme, Assets, Daten und Funktionen Protect - Entwicklung und Umsetzung der entsprechenden Sicherheitsvorkehrungen, um die Bereitstellung kritischer Infrastrukturdienstleistungen zu gewährleisten. Detect - Entwicklung und Umsetzung der entsprechenden Massnahmen, um das Auftreten eines Cyber-Ereignis zu identifizieren. Respond - Entwickeln und implementieren von entsprechenden Aktivitäten, Massnahmen in Bezug erkannten Cyber-Event Recover - Entwickeln und implementieren der entsprechenden Aktivitäten, um Pläne für die Widerstandsfähigkeit zu erhalten und alle Funktionen oder Dienste, die aufgrund eines Cyber-Ereignisses beeinträchtigt wurden, wiederherzustellen. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-31

Modul 2 Die fünf Prinzipien von COBIT 5 COBIT als Grundlage des Governance und Management Systeme Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-32

Modul 2 Die fünf Prinzipien von COBIT 5 Prinzip 4 Ermöglichung eines ganzheitlichen Ansatzes 2. Prozesse 3. Organisationsstrukturen 4. Kultur, Ethik und Verhalten 1. Prinzipien, Richtlinien und Rahmenwerke 5. Informationen 6. Services, Infrastruktur und Anwendungen 7. Mitarbeiter, Fähigkeiten und Kompetenzen Ressourcen Copyright ISACA, COBIT 2012 Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-33

Prinzipien, Richtlinien und Frameworks für Cyber Security Prinzip 1: Die potenziellen Auswirkungen von Cyberkriminalität und Cyberkriegsführung kennen Prinzip 2: Die Endbenutzer, deren kulturellen Werte und deren Verhaltensmuster verstehen Prinzip 3: Den Business Case für Cybersecurity-Risikobereitschaft des Unternehmens klar zum Ausdruck bringen Prinzip 4: Schaffung einer Cybersecurity-Governance Prinzip 5: Managen der Cybersecurity unter Verwendung der Prinzipien und Enabler Prinzip 6: Kennen des Gewährleistungsumfangs und der Cybersecurity-Ziele Prinzip 7: Hinreichende Sicherheit für Cybersecurity gewährleisten Prinzip 8: Entwickeln und Etablieren eines systemischen Cybersecurity-Ansatzes in einem dynamischen Governance- System Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-34

Prozesse - das wichtigste Mittel zur Ausführung von Richtlinien für Cyber Security Beim Cyber Resilience Management müssen sowohl Management als auch Monitoring Prozesse eingerichtet sein, um einen angemessenen Grad an Sicherheit zu gewährleisten Die Prinzipien, Richtlinien und Frameworks bilden dabei die Grundlage Basis-Prozesse für Cyber Security sind: APO13 Manage Security DSS05 Manage Security Services DSS04 Manage Continuity Aber Sicherheit ist nicht isoliert zu betrachten: überall dort, wo allgemeine Informationssicherheitsaktivitäten in einem Prozess notwendig sind, sind auch Cybersecurity Aktivitäten zu berücksichtigen Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-35

Cyber Security Management-Prozesse für Cyber Security COBIT-5-Prozess Prozesse des Cybersecurity Managements COBIT-5-Prozess Prozesse des Cybersecurity Managements APO01 Managen des IT- Management- Rahmenwerks APO02 Managen der Strategie APO03 Managen der Unternehmensarchitektur Integration der Cybersecurity in das IT-Management- Rahmenwerk Ausrichten der Cybersecurity-Strategie auf die allgemeine Informationssicherheits-Strategie Definieren und Einbetten von Cybersecurity- Architekturkomponenten als Teil der allgemeinen Informationssicherheitsarchitektur BAI03 Managen von Lösungsidentifizierung und Lösungsbau BAI05 Managen der Ermöglichung organisatorischer Veränderungen Teilprozess für die Identifikation von spezifischen Cybersecurity-bezogenen Lösungen Link zur Cybersecurity-Transformation und Einbetten der Transformationsschritte in den allgemeinen Veränderungsprozess APO05 Managen des Portfolios APO06 Managen von Budget und Kosten APO07 Managen des Personals APO09 Managen von Servicevereinbarungen APO10 Managen von Lieferanten APO12 Managen der Risiken APO13 Managen der Sicherheit BAI02 Managen der Definitionen und Anforderungen Teilprozess zur Identifikation und Mittelbeschaffung für Cybersecurity Management Cybersecurity-Budget als Teil des Gesamtbudgets inklusive Finanzierung von Situationen bei tatsächlichen Attacken und Verletzungen Teilprozess für die Cybersecurity-Schulung der IT- Mitarbeiter sowie der Anwender Prozess für Cybersecurity SLAs (Service Level Agreements) und OLAs (Operation Level Agreements) abgestimmt mit dem allgemeinen Governance-Modell Hinzufügen von Prozesselementen für Dritte und das Lieferanten-Management in Bezug auf Cybersecurity Teilprozess Cybersecurity-Risiko-Identifikation, Evaluation und Bearbeitung Einbetten der Cybersecurity als Teil des ISMS Teilprozess für die Definition der Cybersecurity- Anforderungen BAI06 Managen von Änderungen BAI07 Managen der Abnahme und Überführung von Änderungen BAI08 Managen von Wissen DSS01 Managen des Betriebs DSS02 Managen von Serviceanfragen und Störungen DSS03 Managen von Problemen Teilprozess für Changes und Notfall-Changes im Bereich Cybersecurity Link zur Cybersecurity-Transformation und Einbetten der Transformationsschritte in den allgemeinen Change Teilprozess des Knowledge Managements für Cybersecurity Teilprozess für Cybersecurity mit Verlinkung zum allgemeinen IT-Betrieb inklusive outgesourcter Dienste und Überwachung der kritischen Infrastrukturen Cybersecurity-Teilprozess zur Identifizierung, Klassifizierung, Eskalierung und Behebung entsprechender Störungen Cybersecurity-Teilprozess zur Identifizierung von Ursachen, Massnahmen zur Verhinderung von wiederkehrendem Auftreten und Bereitstellen von Empfehlungen zur Verbesserung Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-36

Cyber Security Überwachungs- und Continuity-Prozesse für Cyber Security COBIT-5-Prozess Überwachungsprozesse der Cybersecurity APO01 Managen des IT- Management-Rahmenwerks Prozesskomponenten für die Überwachung der Cybersecurity- Compliance APO02 Managen der Strategie Prozesskomponenten für die Gap-Analyse im Bereich Cybersecurity APO04 Managen von Innovationen APO07 Managen des Personals APO09 Managen der Servicevereinbarungen APO10 Managen der Lieferanten APO12 Managen der Risiken MEA01 Überwachen, Evaluieren und Beurteilen von Leistung und Konformität MEA02 Überwachen, Evaluieren und Beurteilen des internen Kontrollsystems Prozesskomponenten für die Überwachung und das Scannen der technologischen Umgebung; zusätzliche Komponenten für die Überwachung der Verwendung von neuen Technologien und Innovationen Prozesskomponenten zur Überwachung der Einhaltung der Mitarbeiterverträge Prozesskomponenten für das Review der Vereinbarungen hinsichtlich der Cybersecurity-Anforderungen Prozesskomponenten für die Überwachung der Einhaltung der Cybersecurity-Bestimmungen mit Lieferanten Prozesskomponenten für die Aufrechterhaltung des Cybersecurity- Risikoprofils auf Basis von Monitoring-Indikatoren Teilprozess für die Überwachung der Cybersecurity (innerhalb der gesetzlichen und regulatorischen Grenzen) Teilprozess für das kontrollierte Self-Assessment (CSA) im Bereich Cybersecurity, inklusive des Berichtswesens zu Attacken und Verletzungen oder anderen verdächtigen Aktivitäten COBIT-5-Prozess DSS02 Managen von Serviceanfragen und Störungen DSS04 Managen der Kontinuität Prozesse des Cybersecurity Continuity Prozesskomponenten für die Integration von Incident-Reaktionen mit dem allgemeinen Incident- /Krisenmanagement Prozesskomponenten für die Integration von Incident-Reaktionen, Recovery und Wiederaufnahme des Betriebs mit dem allgemeinen Business Continuity Management (BCM) MEA03 Überwachen, Evaluieren und Beurteilen der Compliance mit externen Anforderungen Teilprozess für die Identifikation und Interpretation externer Compliance-Anforderungen im Bereich Cybersecurity Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-37

Information Security Steeering Committee (ISSC) Organisationsstrukturen für Cyber Security CEO Fragen: CISO Compliance & Risiko Mgmt Betrieb Engineering.. Access Management Incident Management Business Continuity - Informationssicherheit Teil der IT oder der Unternehmenssicherheit? - Cybersecurity Teil der Informationssicherheit oder separat bei der Unternehmenssicherheit - Separate Rolle des Cyber Security Officers notwendig oder Teil der CISO-Rolle? Change Management Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-38

Kultur, Ethik und Verhalten für Cyber Security Ethik und Verhaltensbeispiele Alle Benutzer kennen die Cybersecurity Verhaltensprinzipien und wie diese im persönlichen und geschäftlichen Umfeld angewendet werden Security Manager und Anwender teilen sich die Verantwortlichkeiten für Cybersecurity im Geschäftsalltag, auf Dienstreisen oder Zuhause Das Security Management und die Endanwender identifizieren, testen und übernehmen gemeinsam neue Innovationen im Bereich Cybersecurity Alle Benutzer sind Stakeholder im Bereich Cybersecurity, unabhängig ihrer hierarchischen Stufe innerhalb des Unternehmens Die notwendige Reaktion auf Bedrohungen und Störungen ist klar verständlich und wird regelmässig geübt Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-39

Informationen Die Währung des 21. Jahrhunderts und das Ziel der Cyber-Kriminellen Anforderungen an das Informationsmanagement Modell auf Basis von zwei Dimensionen Die erste Dimension bezieht sich auf alle Unternehmensdaten und Informationen, die durch Cybersecurity-Massnahmen geschützt werden müssen. In der Regel wird dies im übergeordneten ISMS mittels einer Datenklassifizierung hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit festgelegt. Diese Klassifikation sollte mit Attributen wie Attraktivität für Cybersecurity oder Attraktivität für Cyberkriegsführung erweitert werden. Die andere Dimension umfasst die Informationen über die Cybersecurity selbst. Dazu gehören Informationen zur Sicherheitsstrategie, zum Budget oder zu spezifischen Anforderungen. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-40

Informationen Schützen der Informationen in der Cloud Heutzutage sind viele Informationen entweder beabsichtigt oder versehentlich in Public- oder Hybrid- Cloud-Lösungen gespeichert. Typische Lücken, welche Massnahmen aus Sicht Cybersecurity notwendig machen: Mobile Geräte, die z. B. eine Replikation durch den Verkäufer/Hersteller erzwingen, Fragestellungen rund um die private Nutzung, z. B. die ungezwungene, aber riskante Verwendung von beliebten öffentlichen Cloud-Services, File-Sharing oder Web-Speicher-Dienste, Weiterleitung von E-Mails mit permanenter oder vorübergehender Speicherung von Anhängen sowie unverschlüsselter Übermittlung, mangelhafte Datei-Upload-Einrichtungen in gängigen Browsern und Nutzung webbasierter E-Mail-Kontos, Fragestellungen rund um Geschäftsreisen wie etwa die Nutzung von Filetransfer-Services aus der Cloud. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-41

Services, Applikationen und Infrastrukturen für Cyber Security Der Enabler Services, Infrastruktur und Anwendungen basiert auf Service-Fähigkeitsattributen und Zielen, wie sie in der Publikation COBIT 5 for Information Security beschrieben sind: Sicherheitsarchitektur, Sicherheitsbewusstsein, sichere Entwicklung, Sicherheits-Assessment, ausreichend gesicherte und konfigurierte Systeme, mit dem Business abgestimmte Benutzerzugriffe und Zugriffsrechte, ausreichender Schutz gegen Malware, externe Angriffe und Einbruchsversuche, ausreichend definierte Handlungsoptionen bei Störfällen, Sicherheitstests, Überwachungs- und Alarmierungsdienste für sicherheitsrelevante Ereignisse. Security Officer sollten keine spezifischen Anforderungen benötigen, um sich gegen Cyberattacken und -verstösse zu verteidigen. Sie sollten sich auf das Security Architecture Repository beziehen können. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-42

Mitarbeiter, Kompetenzen und Erfahrungen für Cyber Security Cybersecurity ist eine hochspezialisierte Tätigkeit. Aus Sicht der Transformation werden die notwendigen Fähigkeiten und Kompetenzen, um mit Angriffen, Verletzungen und Vorfällen umgehen zu können, aber nicht auf Security Officer und technische Spezialisten beschränkt. Es ist genauso wichtig, dass die Endbenutzer einbezogen werden und im Unternehmen ein Kompetenzprofil aufweisen, das sie vor vermeidbaren Fehlern und neuen Angriffsformen schützt. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-43

Enabler sind getrieben durch die Zielkaskade des Unternehmens für Cyber Security Die 7 Enabler sind die Faktoren, die individuell und kollektiv beeinflussen, ob Cyber Resilience funktioniert. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-44

Agenda Cyber Kriminalität: Ist es wirklich schon fünf vor 12? Von Cyber Security zur Business Resilience Ganzheitliches Cyber Security Management mit COBIT 5 Neues Framework: RESILIA TM Cyber Resilience Best Practice Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-45

Neues Framework zu Cyber Resilience mit Business Fokus RESILIA TM ist ein Best Practice Leitfaden von Axelos (Owner von ITIL, PRINCE2 ), welches spezifisch dafür entwickelt wurde, um Cyber Resilience in der gesamten Organisation aufzubauen. Dabei ersetzt RESILIA TM nicht bestehende Sicherheitsmanagement-Systeme, sondern ergänzt diese und fokussiert sich primär die Business-Sicht Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-46

Lyfecycle - Ansatz RESILIA TM bedient sich dem Lifecycle-Ansatz, wie dies bereits von ITIL bekannt ist: Cyber Resilience Strategy: Cyber Resilience Design Cyber Resilience Transition Cyber Resilience Operation Cyber Resilience Continual Improvement Copyright Axelos Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-47

Menschen Prozesse - Technologien Auch RESILIA TM basiert auf einem ganzheitlichen Ansatz Menschen und Cyber Resilience: Menschen sind in aller Regel be Bedrohungen immer irgendwie beteiligt. Ein schlecht informierter Benutzer kann die Bedrohung durch ahnungsloses Handeln verschärfen Prozesse und Cyber Resilience: Die Prozesse einer organisation beinhalten die formellen Vorgaben, wie in der Organisation gearbeitet werden soll. Technologie und Cyber Resilience: Mit der Verbreitung von Konsum- und Industriegeräten, welche jetzt mit dem Internet verbunden sind, ist der Umfang der Technologie bei der Betrachtung der Schutzmassnahmen für Cyber Resilience rasch grösser geworden. Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-48

Cyber Risiko Management Threat Vulnerability Asset Copyright Axelos RESILIA TM basiert auf einem Risiko Management Ansatz. Wichtig dabei ist das Verständnis innerhalb der Organisation, warum Risiko Management wichtig ist, Was sind schützenswerte Assets? Wissen wir um die vorhandenen Bedrohungen? Erkennen wir Schwachstellen, welche die Bedrohungen zum Ernstfall machen? Können wir diese Faktoren im Alltag unterscheiden und identifizieren? Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-49

Cyber Resilience Management System Governance & Management & Compliance Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-50

Cyber Resilience Lifecycle Controls Cyber Resilience Baseline Assessment Cyber Resilience Integration Management System Stakeholder Reporting Cyber Resilience & Risk Management Risk Method, Risk Appetite, Identification Criteria Risk monitoring and review Cyber Resilience Strategy Establish governance of cyber resilience Manage stakeholders & Requirements Stakeholder communications Create and manage cyber resilience policies Manage cyber resilience audit and compliance Aligning cyber resilience strategy with IT service strategy Cyber Resilience Design Human resource security (people, HR, awareness and training) System acquisition, development, architecture and design Supplier and third-party security management Endpoint security Cryptography Aligning cyber resilience strategy with IT service design Cyber Resilience Transition Asset management and configuration management Change management Testing Training Documentation management Information retention Information disposal Aligning cyber resilience strategy with IT service Transition Management of organizational change Cyber Resilience Operation Access control Network security management Physical security Operations security Cyber resilience incident management Aligning cyber resilience strategy with IT service Operation Service Desk Cyber Resilience Continual Improvement Cyber resilience audit and review Control assessment Key performance indicators, key risk indicators and benchmarking Business continuity improvements Process improvement Remediation and improvement planning Aligning cyber resilience strategy with IT CSI Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-51

Verknüpfung Cyber Resilience Controls mit IT Service Management Prozessen In den meisten Organisationen ist heute IT Service Management auf Basis von ITIL bereits implementiert. Die Integration der Cyber Resilience Kontrollen in die Planungs und Betriebsprozesse wird dadurch vereinfacht Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-52

Building Blocks für ein Cyber Resilience Betriebskonzept Basis ITIL und/oder COBIT Prozesse Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-53

Ausbildung Security & Cyber Resilience Trainingsprogramme Index Blau = Seminare der Glenfis AG Allgemeines Publikum Grösse der Kreise = Marktanteil AXELOS Cyber Foundation ISACA Cybersecurity Fundamentals Certificate AXELOS Cyber Practitioner IT VENDORS- CISCO, MS, ORACLE etc CompTIA Security+ ISO27001/ 27018 Cloud Security Technischer Fokus ISC(2) CISSP COBIT Security Assessor ISO27001 auditor Business Fokus EC Council Ethical Hacker CGEIT CESG CCP CESG CCT ISC(2) SSCP EC Council Certified Security Analyst CLAS CISM Nischen Publikum Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-54

Können. Unser Trainingsangebot. Cyber- und Information Security Management Phishing Social engineering Password safety Information handling Online safety Remote and mobile working Personal information In unseren Glenfis-Trainings lernen Sie, wie Cyber-Resilience und -Security im Unternehmen umgesetzt und in das Informations-Sicherheits-Management System integriert wird. Sie lernen die Standards im Bereich Informations-Sicherheit kennen und wie insbesondere die Bereiche mobile Geräte (BYOD), Datenschutz und Cloud-Security auf Basis von Best Practices sichergestellt werden. Cybersecurity Fundamentals auf Basis von NIST RESILIA - Cyber Resilience Foundation 27 000 27 018 Cloud Security Foundation auf Basis ISO/IEC 27001 & 27018 Implementierung des NIST Cybersecurity Framework mit COBIT 5 COBIT 5 Security Assessor Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-55

Vielen Dank! Haben Sie Fragen? Glenfis AG glenfis.ch AHS ISACA Switzerland 18.8.2015-56

Cloud Security & Cyber Resiliance Training & Awareness Programm der Glenfis AG Cyber Resilience RESILIA Cybersecurity Fundamentals auf Basis von NIST Cloud Security Foundation auf Basis ISO/IEC 27001 & 27018 Implementierung des NIST Cybersecurity Framework mit COBIT 5 COBIT Security Assessor Glenfis AG glenfis.ch Cloud & Cyber Security Programm - 57

Cyber und Information Security Management Cybersecurity Fundamentals auf Basis von NIST Kursinhalt Identifizieren der Schlüsselkomponenten der Cybersecurity Netzwerk Architektur Cybersecurity Architektur Prinzipien Risiko Management Prozesse und Praktiken Security Werkzeuge und Hardening Techniken Verschiedene Klassen von Attacken Cybersecurity Incident Kategorien und Bearbeitungen Bewerten von Cybersecurity Szenarios Zielpublikum IT Security Manager IT Operations Security IAM Verantwortliche Voraussetzungen Keine formellen Voraussetzungen Erfahrungen im Bereich IT Security empfohlen Prüfung Englisch 75 Fragen in 120 Minuten (Online) 65% richtige Antworten für Zertifikat Multiple Choice Fragen Dauer Drei Tage Zertifikat Cybersecurity Fundamentals Zertifizierungsstelle ISACA International Glenfis AG glenfis.ch Cloud & Cyber Security Programm - 58

Cyber und Information Security Management RESILIA Cyber Resilience Foundation Kursinhalt Einleitung zu Cyber Resilience Risiko Management Management der Cyber Resilience Cyber Resilience Strategie Cyber Resilience Design Cyber Resilience Transition Cyber Resilience Operation Cyber Resilience Continual Improvement Cyber Resilience Rollen & Verantwortlichkeiten Voraussetzungen Keine formellen Voraussetzungen Kenntnisse ITIL empfohlen Zielpublikum Mitarbeiter innerhalb und ausserhalb IT Miatarbeiter im Bereich Risiko Mgmt & Compliance Business-Verantwortliche, insbesondere HR, Finance, Einkauf, Betrieb und Marketing Prüfung Englisch 50 Fragen in 100 Minuten 65% richtige Antworten für Zertifikat Multiple Choice Fragen Dauer Drei Tage Zertifikat RESILIA Cyber Resilience Foundation Zertifizierungsstelle AXELOS - APMG Glenfis AG glenfis.ch Cloud & Cyber Security Programm - 59

Cyber und Information Security Management Cloud Security Foundation auf Basis ISO/IEC 27001 & 27018 Kursinhalt Definitionen und Grundsätze des Informations-Sicherheits-Managements Die Stellung der Norm ISO/IEC 27 001 im Rahmen des Informations-Sicherheits- Managements Konzepte und Inhalte des Informations- Sicherheits-Managements gemäss ISO Voraussetzungen für den Aufbau, die Implementierung und die Dokumentation des ISM-Systems Anforderungen an Training, Sicherheitsbewusstsein und Sicherheitskompetenz Die Empfehlungen seitens ISO 27 018 für die Anwendung in Clouds. 27 000 27 017 27 018 Glenfis AG glenfis.ch Zielpublikum IT Security Manager IT Operations Security IAM Verantwortliche Voraussetzungen Keine formellen Voraussetzungen Erfahrungen im Bereich IT Security empfohlen Prüfung Englisch 40 Fragen in 60 Minuten (Online) 65% richtige Antworten für Zertifikat Multiple Choice Fragen Dauer Drei Tage Zertifikat ISO27001 ISMS Foundation Zertifizierungsstelle Tüv Süd Akademie Cloud & Cyber Security Programm - 60

Cyber und Information Security Management Implementing the NIST Cybersecurity Framework using COBIT 5 Kursinhalt Übersicht Cybersecurity Framework CSF Steps Priorisierung und Festlegung Umfang Orientierung Aktuelles Profile erstellen Durchführung eines Risk Assessments Zielprofil erstellen Lücken feststellen, analysieren und priorisieren Implementation CSF Review CSF Life Cycle Management Zielpublikum IT Security Manager IT Operations Security IAM Verantwortliche Voraussetzungen COBIT 5 Foundation Erfahrungen im Bereich IT Security empfohlen Prüfung Englisch 75 Fragen in 60 Minuten 35 richtige Antworten für Zertifikat Multiple Choice Fragen Dauer Drei Tage Zertifikat Cybersecurity Framework Implementation Zertifizierungsstelle ISACA International / APMG Glenfis AG glenfis.ch Cloud & Cyber Security Programm - 61

IT-Governance und Assessment COBIT 5 Security Assessor Kursinhalt Durchführung eines Assessment Programms mit Hilfe des Assessor-Guides Anwendung Prozess Assessment Model von COBIT 5 und ISO/IEC 15504 Bewertungsmodel für Prozessbefähigungsmessung Capability Dimensionen Rollen im Assessment Programm 7 Stufen Assessment Prozess Zielpublikum IT Service Manager IT Security Management Governance Verantwortliche Prozess-Owner Voraussetzungen COBIT 5 Foundation Erfahrungen im Bereich IT Management Prüfung Englisch 4 Fragenblöcke à 20 Punkte in 2.5 Stunden 50% (40 Punkte) für Zertifikat Komplexe, Szenario basierte Fragen Dauer Drei Tage Zertifikat COBIT 5 Assessor Zertifizierungsstelle ISACA International / APMG Glenfis AG glenfis.ch Cloud & Cyber Security Programm - 62

Simulationen: Lernen mit Spass und Praxis hautnah erleben Oceans99 eine Cyber Resilience / Information Security Simulation Schwerpunkt: Risiko Management Bedrohungen Schwachstellen Engagement mit Mitarbeitern (Einstellung, Verhalten, Kultur) Ziel Erhöhung des Verständnisses für Cyber Security & Cyber Resilience Verstehen der Wichtigkeit des eigenen Verhaltens Erfahrung von Cyber Security Prozessen 1 Tagesvariante oder kombiniert mit RESILIA Cyber Resilience Foundation Glenfis AG glenfis.ch Cloud & Cyber Security Programm - 63

Trainings-Philosophie der Glenfis AG Trainer-Qualifikation: Alle Trainer sind Praxis-Experten: Was wir schulen, das machen wir, was wir machen, das schulen wir Hoher Praxisbezug: Erste Priorität ist Anwendbarkeit. Praxis-Übungen anhand eigener Fallstudie Colibri Berücksichtigung Kultur als kritischer Erfolgsfaktor: Integration ABC (Attitude, Behavior und Culture) in allen Foundation Trainings Erarbeiten der Themen: Keine langweiligen Slideshows Workbook-basiertes Erarbeiten am Flipchart Modulare Lernmethoden: Flexibilität in der Lernmethodik mit: elearning, Blended Learning, Simulation und Klassentraining elearning Vorbereitung bei Public Kursen Erlebnisfaktor: Training muss Spass machen. Rundum Betreuung von der Anmeldung bis zur Nachbetreuung Hochwertige Unterlagen: Glenfis-Ordner mit Skript, Glossar sowie USB-Stick mit Probeprüfungen und Templates Glenfis AG glenfis.ch Cloud & Cyber Security Programm - 64

Glenfis AG Badenerstrasse 623 8048 Zürich Schweiz +41 (0)848 88 90 89 +41 (0)848 88 92 89 glenfis.ch shop.glenfis.ch blog.itil.org