Information Security Must-Have Muss, Kann, Nice-to-Have? Digicomp Hacking Day, 05.2013 Umberto Annino 1
Speaker Bio Umberto Annino, Wirtschaftsinformatiker NDS FH QM, C-Zertifizierungen (Infosec) Bei PwC im Bereich Risk Assurance tätig Vorstand ISSS www.isss.ch und ISACA Switzerland Chapter www.isaca.ch Dozent an verschiedenen Schulen (FA, DI, HF) 2
Disclaimer Erste Sicherheitsmassnahme... Opinions are my own Repräsentiert nicht die Meinung der Arbeitgeber, Vereine 3
In Kürze... Information Security Must-Have: 4
5
Was wollen Sie? Definieren Sie, was Sie wollen - klare Abgrenzung in inhaltlicher (Menge und Grösse) und logischer Dimension. Kommunizieren Sie es - damit es allen (Beteiligten) klar ist. An Alle, die es betrifft! Wollen es alle? 6
Kleines Beispiel Daten vs. Informationen (vs. Wissen) IT-Sicherheit, ICT-Sicherheit und Informationssicherheit. Und physische Sicherheit?! Datenschutz?! Schutz und Sicherheit? Konzern, Gruppe, Stammsitz, Schweiz, Konzernbereich, Gruppengesellschaft, Matrix-Organisation und funktionale Führung, etc. 7
Was wollen Sie nicht? Leitet sich erstmal von der vorherigen Folie ab. Aber wissen das auch alle? Und ist allen klar, was man NICHT will? Ist nicht wollen das gleiche wie nicht tun? Was ist mit müssen? (mehr in Compliance ) übrigens, in Englisch: must not, can not. Die Tücken der Übersetzung. Wollen Sie nicht, müssen Sie nicht oder können Sie es sich nicht leisten? --> Business case with security! (aka ROSI?) 8
Best Practise? Oder etwa nur good practise? Was heisst das überhaupt? Was tun die anderen?... und warum, oder warum nicht? Das Lemming-Problem und die Individualität (Schutzbedarf, Risiko) Risiko-Akzeptanz vs. Risiko-Ignoranz --> Belegbarkeit und (Nach)prüfbarkeit 9
Compliance Betriebliche und gesetzliche Anforderungen Compliance: befolgen, erfüllen, einhalten Binär: sein oder nicht-sein Idealerweise als Anforderung (hello requirement engineering) erhoben - und nicht als patch hinterher Problem: Technik und Recht Und am Horizont: die Cloud - denn sie wissen nicht, was sie tun 10
Obligationenrecht Erster Titel: Entstehung der Obligation OR 716a: Verwaltungsrat - unübertragbare Aufgaben OR 717: Verwaltungsrat - Sorgfalts- und Treuepflicht OR 727-731a: Revisionsstelle 11
Haftung Auch ein Vertrag... Vertragliche Haftung vs. ausservertragliche Haftung OR 41ff., Voraussetzungen Schaden, Kausalzusammenhang, Widerrechtlichkeit, Verschulden (Absicht/ Vorsatz oder Fahrlässigkeit) 12
Datenschutzgesetz Definition: Personendaten, besonders schützenswerte Personendaten, (keine Personendaten) Art.4: Grundsätze - Legalität, Verhältnismässigkeit/ Treu und Glaube, Zweckbindung Art.5: Richtigkeit, Art.7: Datensicherheit Art.6: Grenzüberschreitende Bekanntgabe Art. 8: Auskunftsrecht (=Auskunftspflicht) Art 10a: Datenbearbeitung durch Dritte (Outsourcing) 13
Datenschutz ++ Schutz der Kundendaten Aber auch: Schutz der Mitarbeiterdaten, Privatsphäre. Privat, persönlich und geschäftlich. Überwachung am Arbeitsplatz. Und ev. bald auch Büpf. Datenschutz vs. Hierarchie 14
Beispiel: Banken FINMA RS 08/7: Outsourcing Banken FINMA RS 08/21: Operationelle Risiken Banken FINMA RS 08/24: Überwachung und interne Kontrolle Banken FINMA RS 13/3: Prüfwesen, RS 13/4: Prüfgesellschaften und leitende Prüfer SBVg: Best Practise Data Security (DLP) 15
Ausblick Verschärfung der regulatorischen Anforderungen bei Banken - Restwirtschaft zieht irgendwann nach Zunahme von Attacken generell sowie gezieltes information retrieval - cross border, cross industry! Schwachstelle Mensch - oder back to technology? Information (und Computer) everywhere 16
Ausblick Built-in resiliency statt planned obsolescence Die Budgets werden nicht höher - deshalb Sicherheit vorweg als basic requirement berücksichtigen You get what you pay for! 17
Erfahrung zeigt... Es scheitert meistens an... Umsetzung in der Praxis (holen Sie die Stakeholder ab - alle!, adressatengerecht, lebbar ) Kommunikation: zuviel oder zu wenig. Miteinander. Schönreden. Kein Nein. Diplomatie, Sachlichkeit und Realität. Definition: Glossar FTW! (for teh win) Budget (-> siehe Kommunikation) ROSI (yep. immer noch.) *return on security investment 18
Security Must-Have Denkende Mitarbeitende --> Warum Sicherheit? statt Darum Sicherheit! Sicherheitskultur, kritikfähiger Organismus Integre Führungspersonen mit Rückgrat - man darf zu Fehlern stehen! Offene(!) Kommunikation und Transparenz 19
Security Must-Have Ausgewogene technische, organisatorische und physische Sicherheit Grundschutz für ICT: www.bsi.de ISO 27001 und 270xx COBIT (seit v5 for Information Security ) auch Risk IT Framework, ValIT! 20
Security Must-Have Zuerst organisatorisch definieren/lösen: Weisung, Vorgabe, Prozess Dann technische Leitplanke wo sinnvoll Nicht umgekehrt! Business-Value, aber: there s no such thing as a free lunch 21
Security Must-Have Je nach Organisationsgrösse: (Information) Risk Management, Globale Compliance Unabhängige Überprüfung und Berichterstattung (financial audit, aber auch und insbesondere non-audit assurance ) Business(!) Continuity Planning 22
Security Must-Have Security Incident & Event Monitoring Advanced Persistent Threats? Cyber Security (...) Security Patch Management. Rigoros. Modulare Sicherheit. Keinesfalls one-vendor! Standards. Interne, Externe. 23
Security Must-Have (?) Identity Management + Access Management ergibt (vielleicht, irgendwann): IAM Segregation/separation of duties (SoD) Reviews. Von Weisungen, Zugriffsrechten, Logfiles und Protokollen. Richtige Sicherheit statt nur CYA 24
Security Must-Have Zeit. Sie brauchen VIEL Zeit. Sie = Ressource. FTE. 100% oder mehr. Sicherheit ist kein Ding der halben Sachen. Zeit = Sie müssen es tun. Information und Wissen hat es genug da draussen. (die IT-Grundschutzkataloge umfassen mehr als 4000 Seiten!) Tun = immer und immer wieder. Mal so, mal so. Immer und ständig. Ohne paranoid zu werden. Und ohne Budget. 25
Danke! umberto.annino@isss.ch umberto.annino@ch.pwc.com www.umbi.ch XING, Linkedin, Google+, Facebook, Path, app.net, twitter 26