Information Security Must-Have

Ähnliche Dokumente
Was meinen die Leute eigentlich mit: Grexit?

Landes-Arbeits-Gemeinschaft Gemeinsam Leben Gemeinsam Lernen Rheinland-Pfalz e.v.

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

GPP Projekte gemeinsam zum Erfolg führen

Outpacing change Ernst & Young s 12th annual global information security survey

Wir machen neue Politik für Baden-Württemberg

Änderungen ISO 27001: 2013

1. Weniger Steuern zahlen

Professionelle Seminare im Bereich MS-Office

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Rechtliche Verantwortung für das ICT Risk Management

Alle gehören dazu. Vorwort

IT-Sicherheit Risiken erkennen und behandeln. Hanau,

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

» IT-Sicherheit nach Maß «

Dieter Brunner ISO in der betrieblichen Praxis

IIBA Austria Chapter Meeting

Vgl. Kapitel 4 aus Systematisches Requirements Engineering, Christoph Ebert

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

Was ich als Bürgermeister für Lübbecke tun möchte

Requirements Engineering für IT Systeme

Wichtige Forderungen für ein Bundes-Teilhabe-Gesetz

Dr. Christian Thiel. Institut für Informations- und Prozessmanagement FHS ST. Gallen

Mittagsinfo zum Thema

Social Media Guidelines. Miriam Nanzka, Hohenzollern SIEBEN

für das ICT Risk Management

Behindert ist, wer behindert wird

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

Die Post hat eine Umfrage gemacht

Informationssicherheitsmanagement

Cloud Security geht das?

Unsere Ideen für Bremen!

Also heißt es einmal mehr, immer eine eigene Meinungen bilden, nicht beeinflussen lassen, niemals von anderen irgend eine Meinung aufdrängen lassen.

Nicht über uns ohne uns

Das Rechtliche beim Risikomanagement

Hallo! Social Media in der praktischen Anwendung Warum macht man was und vor allem: wie? Osnabrück, den 07. Juli 2014.

Europäischer Fonds für Regionale Entwicklung: EFRE im Bundes-Land Brandenburg vom Jahr 2014 bis für das Jahr 2020 in Leichter Sprache

Das Leitbild vom Verein WIR

Transparenz und Datenschutz: Gedanken aus Schweizer Sicht

Internet- und - Überwachung am Arbeitsplatz

Hinweise in Leichter Sprache zum Vertrag über das Betreute Wohnen

Strategie ist, die richtigen Dinge zu tun Die Was-zählt-Falle... 21

Wichtig ist die Originalsatzung. Nur was in der Originalsatzung steht, gilt. Denn nur die Originalsatzung wurde vom Gericht geprüft.

Catherina Lange, Heimbeiräte und Werkstatträte-Tagung, November

Was beinhaltet ein Qualitätsmanagementsystem (QM- System)?

Regeln für das Qualitäts-Siegel

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Manifest für ein neues Arbeiten

Dirk Hartmann Dipl.-Kfm. zertifizierter Auditor für IT-Sicherheit

ID Management, Security Management, Enterprise Risk Management

Cloud Computing - Umgang mit Unternehmensinformation. und urheberrechtlicher Sicht

Freie Universität Berlin

Big Data wohin geht das Recht. Claudia Keller, Rechtsanwältin

Social-Media Basis-Paket Ein einfaches und verständliches Unternehmens-Programm für den ersten Schritt

Was ist Sozial-Raum-Orientierung?

Das Rechtliche beim Risikomanagement

Positions-Papier vom BVWR. Frauen-Beauftragte in Werkstätten für behinderte Menschen

Echtzeiterkennung von Cyber Angriffen auf SAP-Systeme mit SAP Enterprise Threat Detection und mehr

Cloud Computing mit IT-Grundschutz

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Windows 10 > Fragen über Fragen

Leit-Bild der Sonnenhofschule

Umgang mit Social Media

Vertraulich. Nachname: Vorname: Matrikel-Nummer: Studiengang: Datum: 30. Januar 2015

Datenschutz-Politik der MS Direct AG

Andreas Brill Geschäftsführer

Konzentration auf das. Wesentliche.

Leit-Bild. Elbe-Werkstätten GmbH und. PIER Service & Consulting GmbH. Mit Menschen erfolgreich

Neun Jahre ISO Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

Leichte-Sprache-Bilder

akti nsplan Inklusion und Teilhabe Aktions-Plan der Lebenshilfe Hannover zur UN-Behinderten-Rechts-Konvention UN-BRK 2013 bis 2018 Leichte Sprache

Das Internet Marketing Fundament

MARSH CYBER-RISIKO-BEFRAGUNG 2015 ERGEBNISSE DEUTSCHLAND SEPTEMBER 2015

Die Invaliden-Versicherung ändert sich

Studieren- Erklärungen und Tipps

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Grundlagen zur Erstellung und dem Relaunch einer Homepage. Julius Hoyer Osnabrück März 2015

Risikomanagement und Gesundheitsförderung

Die Antworten von der SPD

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

Qualitätsversprechen. 10 Versprechen, auf die Sie sich verlassen können. Geprüfte Qualität

Informationssicherheit als Outsourcing Kandidat

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Das Persönliche Budget in verständlicher Sprache

IT Governance im Zusammenspiel mit IT Audit

Datenschutz und Qualitätssicherung

Lektion Sicher surfen. Internetanschluss für alle von 9 bis 99 Jahren. Deze iconen tonen aan voor wie het document is

CAS E-Commerce & Online-Marketing. Lukas Fässler MA Public Adminstration & Management

Unterrichtsmaterialien in digitaler und in gedruckter Form. Auszug aus:

Welchen Weg nimmt Ihr Vermögen. Unsere Leistung zu Ihrer Privaten Vermögensplanung. Wir machen aus Zahlen Werte

bagfa ist die Abkürzung für unseren langen Namen: Bundes-Arbeits-Gemeinschaft der Freiwilligen-Agenturen.

Facebook und soziale Medien. eine kritische Betrachtung

Binäre Bäume. 1. Allgemeines. 2. Funktionsweise. 2.1 Eintragen

Fachgespräch Compliance, Innenrevision, Risikomanagement, QM (CIRQM) BEB Fachtagung Dienstleistungsmanagement

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Transkript:

Information Security Must-Have Muss, Kann, Nice-to-Have? Digicomp Hacking Day, 05.2013 Umberto Annino 1

Speaker Bio Umberto Annino, Wirtschaftsinformatiker NDS FH QM, C-Zertifizierungen (Infosec) Bei PwC im Bereich Risk Assurance tätig Vorstand ISSS www.isss.ch und ISACA Switzerland Chapter www.isaca.ch Dozent an verschiedenen Schulen (FA, DI, HF) 2

Disclaimer Erste Sicherheitsmassnahme... Opinions are my own Repräsentiert nicht die Meinung der Arbeitgeber, Vereine 3

In Kürze... Information Security Must-Have: 4

5

Was wollen Sie? Definieren Sie, was Sie wollen - klare Abgrenzung in inhaltlicher (Menge und Grösse) und logischer Dimension. Kommunizieren Sie es - damit es allen (Beteiligten) klar ist. An Alle, die es betrifft! Wollen es alle? 6

Kleines Beispiel Daten vs. Informationen (vs. Wissen) IT-Sicherheit, ICT-Sicherheit und Informationssicherheit. Und physische Sicherheit?! Datenschutz?! Schutz und Sicherheit? Konzern, Gruppe, Stammsitz, Schweiz, Konzernbereich, Gruppengesellschaft, Matrix-Organisation und funktionale Führung, etc. 7

Was wollen Sie nicht? Leitet sich erstmal von der vorherigen Folie ab. Aber wissen das auch alle? Und ist allen klar, was man NICHT will? Ist nicht wollen das gleiche wie nicht tun? Was ist mit müssen? (mehr in Compliance ) übrigens, in Englisch: must not, can not. Die Tücken der Übersetzung. Wollen Sie nicht, müssen Sie nicht oder können Sie es sich nicht leisten? --> Business case with security! (aka ROSI?) 8

Best Practise? Oder etwa nur good practise? Was heisst das überhaupt? Was tun die anderen?... und warum, oder warum nicht? Das Lemming-Problem und die Individualität (Schutzbedarf, Risiko) Risiko-Akzeptanz vs. Risiko-Ignoranz --> Belegbarkeit und (Nach)prüfbarkeit 9

Compliance Betriebliche und gesetzliche Anforderungen Compliance: befolgen, erfüllen, einhalten Binär: sein oder nicht-sein Idealerweise als Anforderung (hello requirement engineering) erhoben - und nicht als patch hinterher Problem: Technik und Recht Und am Horizont: die Cloud - denn sie wissen nicht, was sie tun 10

Obligationenrecht Erster Titel: Entstehung der Obligation OR 716a: Verwaltungsrat - unübertragbare Aufgaben OR 717: Verwaltungsrat - Sorgfalts- und Treuepflicht OR 727-731a: Revisionsstelle 11

Haftung Auch ein Vertrag... Vertragliche Haftung vs. ausservertragliche Haftung OR 41ff., Voraussetzungen Schaden, Kausalzusammenhang, Widerrechtlichkeit, Verschulden (Absicht/ Vorsatz oder Fahrlässigkeit) 12

Datenschutzgesetz Definition: Personendaten, besonders schützenswerte Personendaten, (keine Personendaten) Art.4: Grundsätze - Legalität, Verhältnismässigkeit/ Treu und Glaube, Zweckbindung Art.5: Richtigkeit, Art.7: Datensicherheit Art.6: Grenzüberschreitende Bekanntgabe Art. 8: Auskunftsrecht (=Auskunftspflicht) Art 10a: Datenbearbeitung durch Dritte (Outsourcing) 13

Datenschutz ++ Schutz der Kundendaten Aber auch: Schutz der Mitarbeiterdaten, Privatsphäre. Privat, persönlich und geschäftlich. Überwachung am Arbeitsplatz. Und ev. bald auch Büpf. Datenschutz vs. Hierarchie 14

Beispiel: Banken FINMA RS 08/7: Outsourcing Banken FINMA RS 08/21: Operationelle Risiken Banken FINMA RS 08/24: Überwachung und interne Kontrolle Banken FINMA RS 13/3: Prüfwesen, RS 13/4: Prüfgesellschaften und leitende Prüfer SBVg: Best Practise Data Security (DLP) 15

Ausblick Verschärfung der regulatorischen Anforderungen bei Banken - Restwirtschaft zieht irgendwann nach Zunahme von Attacken generell sowie gezieltes information retrieval - cross border, cross industry! Schwachstelle Mensch - oder back to technology? Information (und Computer) everywhere 16

Ausblick Built-in resiliency statt planned obsolescence Die Budgets werden nicht höher - deshalb Sicherheit vorweg als basic requirement berücksichtigen You get what you pay for! 17

Erfahrung zeigt... Es scheitert meistens an... Umsetzung in der Praxis (holen Sie die Stakeholder ab - alle!, adressatengerecht, lebbar ) Kommunikation: zuviel oder zu wenig. Miteinander. Schönreden. Kein Nein. Diplomatie, Sachlichkeit und Realität. Definition: Glossar FTW! (for teh win) Budget (-> siehe Kommunikation) ROSI (yep. immer noch.) *return on security investment 18

Security Must-Have Denkende Mitarbeitende --> Warum Sicherheit? statt Darum Sicherheit! Sicherheitskultur, kritikfähiger Organismus Integre Führungspersonen mit Rückgrat - man darf zu Fehlern stehen! Offene(!) Kommunikation und Transparenz 19

Security Must-Have Ausgewogene technische, organisatorische und physische Sicherheit Grundschutz für ICT: www.bsi.de ISO 27001 und 270xx COBIT (seit v5 for Information Security ) auch Risk IT Framework, ValIT! 20

Security Must-Have Zuerst organisatorisch definieren/lösen: Weisung, Vorgabe, Prozess Dann technische Leitplanke wo sinnvoll Nicht umgekehrt! Business-Value, aber: there s no such thing as a free lunch 21

Security Must-Have Je nach Organisationsgrösse: (Information) Risk Management, Globale Compliance Unabhängige Überprüfung und Berichterstattung (financial audit, aber auch und insbesondere non-audit assurance ) Business(!) Continuity Planning 22

Security Must-Have Security Incident & Event Monitoring Advanced Persistent Threats? Cyber Security (...) Security Patch Management. Rigoros. Modulare Sicherheit. Keinesfalls one-vendor! Standards. Interne, Externe. 23

Security Must-Have (?) Identity Management + Access Management ergibt (vielleicht, irgendwann): IAM Segregation/separation of duties (SoD) Reviews. Von Weisungen, Zugriffsrechten, Logfiles und Protokollen. Richtige Sicherheit statt nur CYA 24

Security Must-Have Zeit. Sie brauchen VIEL Zeit. Sie = Ressource. FTE. 100% oder mehr. Sicherheit ist kein Ding der halben Sachen. Zeit = Sie müssen es tun. Information und Wissen hat es genug da draussen. (die IT-Grundschutzkataloge umfassen mehr als 4000 Seiten!) Tun = immer und immer wieder. Mal so, mal so. Immer und ständig. Ohne paranoid zu werden. Und ohne Budget. 25

Danke! umberto.annino@isss.ch umberto.annino@ch.pwc.com www.umbi.ch XING, Linkedin, Google+, Facebook, Path, app.net, twitter 26

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback