FORUM Gesellschaft für Informationssicherheit mbh Unsere Angebote im Überblick
Unsere Angebote im Überblick Vorwort... 3 Prüfungs- und Beratungsangebote... 4 Übernahme der IT-Revision... 4 IT-Security-Check... 8 MaRisk-Check Fit für die 44-Prüfung im IT-Bereich... 9 Externer Datenschutzbeauftragter... 10 Individuelle Beratung für das IT-Sicherheitsmanagement... 11 Weiterbildungsangebote... 12 Seminare... 12 Webinare... 13 Softwareprodukte... 16 GenoBankSafe-IT... 16 RIMA-Modul für das professionelle IT-Risikomanagement... 17 2
Im Auftrag der IT-Sicherheit Die Anforderungen an die IT-Sicherheit haben in den letzten Jahren deutlich zugenommen. Neben der hohen Abhängigkeit von der Informationstechnologie besteht ein hoher Schutzbedarf der IT-Systeme und Daten vor Risiken, die z.b. mit der Einführung neuer Technologien wie mobilen Endgeräten einhergehen. Da nahezu alle wesentlichen Geschäftsprozesse in den Banken IT-gestützt abgewickelt werden, steht neben der Verfügbarkeit vor allem der Schutzbedarf der Daten, IT-Anwendungen sowie der IT-Infrastruktur im Mittelpunkt des IT- Sicherheitsmanagements. Die FORUM Gesellschaft für Informationssicherheit mbh hat seit 1993 im Genossenschaftsbereich umfangreiche Erfahrungen mit der Prüfung und Beratung in Fragen der Informationssicherheit gesammelt. Neben der Durchführung von Seminaren und Webinaren zum Thema IT-Sicherheit haben wir uns auf die Entwicklung von Softwarelösungen spezialisiert (z.b. GenoBankSafe-IT). Unser Ziel als unabhängiger Dienstleister im Genossenschaftsbereich ist es, Sie mit unserer Erfahrung und Fachkompetenz bei der Prüfung und Umsetzung von IT-spezifischen Themen zu unterstützen und gemeinsam mit Ihnen Ihre IT-Systeme sicher zu machen. Klar ist, dass es dabei aufgrund externer Bedrohungen, aber auch unbeabsichtigter oder mutwilliger Manipulationen durch Bankmitarbeiter, keine 100%ige Sicherheit gibt. Unser Bestreben ist es, unsere Mandanten darin zu unterstützen, mit wirtschaftlich vertretbarem Aufwand wirksame organisatorische, technische und personelle Sicherheitsvorkehrungen zu implementieren, um ein angemessenes Schutzniveau zu schaffen. Gerne stellen wir Ihnen in diesem Prospekt unsere Dienstleistungs-, Weiterbildungs- und Softwareangebote vor, die wir eng am Kundenbedarf ausgerichtet haben. Neben der Übernahme der IT-Revision möchten wir Ihnen vor allem unsere Beratungsangebote IT-Security- Check und MaRisk-Check Fit für die 44-Prüfung im IT-Bereich vorstellen. Den Bedarf für beide Angebote haben wir aus zahlreichen Gesprächen mit Vertretern aus genossenschaftlichen Banken sowie IT-Prüfern aus dem Verbund gewonnen. Zur weiteren Professionalisierung des IT-Risikomanagements haben wir unsere Software GenoBankSafe-IT um ein zusätzliches RIMA-Modul erweitert. Ausgehend von einer Schutzbedarfsanalyse können sämtliche Daten, Geschäftsprozesse und IT-Anwendungen mittels RIMA klassifiziert und in der Folge Maßnahmen zur Risikoreduktion definiert werden. Hierdurch wird ein effizientes und ganzheitliches IT-Risikomanagement unterstützt. Gerne unterbreiten wir Ihnen ein maßgeschneidertes Angebot! FORUM Gesellschaft für Informationssicherheit mbh Dr. Haiko Timm Geschäftsführer Martin Wiesenmaier Produktmanager 3
Übernahme der IT-Revision Steigende Anforderungen an die Interne IT-Revision Die Anforderungen an eine qualifizierte und risikoorientierte Durchführung der IT-Revision werden aufgrund der zunehmenden Komplexität immer höher. Durch neue Technologien und strengere gesetzliche und aufsichtsrechtliche Anforderungen ergibt sich für die Banken ein erhöhter Schulungsbedarf der internen IT-Revision. Gleichzeitig entstehen für die Revision mit beispielweise mobilen Endgeräten und dem IT-Risikomanagement neue Prüfungsgebiete. Auch die Erwartungshaltung an die IT-Revision nimmt nach unseren Beobachtungen zu: Neben der Ordnungsmäßigkeit und Sicherheit rückt die Wirtschaftlichkeit immer mehr in den Mittelpunkt der Prüfung. Im Sinne einer Mehrwert-Revision werden hierbei sinnvolle, praxisnahe und bezahlbare Lösungsvorschläge zur Steuerung der IT-Risiken erwartet. Oft können Banken die vorgenannten Anforderungen nicht mehr ausreichend oder nur noch mit erheblichem personellem und finanziellem Aufwand erfüllen. Die Auslagerung der IT-Revision an die FORUM kann hierbei eine kostengünstige und gleichzeitig sehr wirksame Alternative sein. Unsere IT-Prüfer verfügen neben ihrer langjährigen Erfahrung im IT-Bereich über eine hohe fachliche und methodische Kompetenz. Ganzheitliche und prozessorientierte Vorgehensweise Ziel bei der IT-Prüfung ist es, das gesamte IT-Risikomanagement im Blick zu haben. Deshalb erfolgt vor Prüfungsbeginn eine Bestandsaufnahme der IT-Infrastruktur sowie der prüfungsrelevanten IT-Anwendungen, Geschäftsprozesse und Datenbestände. Schwerpunkte unserer Aufbau-, Funktions- und Einzelfallprüfungen bilden die Angemessenheit und Wirksamkeit der technisch-organisatorischen Sicherheitsvorkehrungen gemäß MaRisk AT 7.2. Im Rahmen des risikoorientierten Prüfungsansatzes wird von unseren IT-Prüfern ein weiterer Schwerpunkt auf die wesentlichen Geschäftsprozesse unserer Mandanten und die darin eingesetzten IT-Anwendungen und Datenbestände gelegt. 4
Modulares Revisionsmodell Unser Revisionsmodell entspricht einem modularen Baukastenprinzip. Bei der Bestandsaufnahme werden die bankindividuellen IT-Systeme, IT-Anwendungen und IT-gestützten Geschäftsprozesse identifiziert und hieraus ein Prüfungsprogramm mit risikoorientierten Schwerpunkten entwickelt. Im Rahmen des Soll-Ist-Vergleichs werden die einschlägigen gesetzlichen, aufsichtsrechtlichen und verbundspezifischen Anforderungen (z.b. BDSG, MaRisk, BSI-Grundschutzkataloge, Handbuch Ordnungsmäßigkeitsfragen) mit den bereits realisierten Maßnahmen abgeglichen. Unsere Prüfer zeigen bei wesentlichen Abweichungen mögliche organisatorische, technische oder personelle Maßnahmen zur Verbesserung der IT-Sicherheit auf. Prüfungsschwerpunkte Entsprechend dem risikoorientierten Prüfungsansatz kann in der Bank je nach der Situation zwischen folgenden Prüfungsfeldern ausgewählt werden: Aufbau- und Ablauforganisation Anwenderbetreuung und -schulung Hard- und Softwareausstattung Räumliche Sicherheit Datensicherheit Netzwerksicherheit Berechtigungsverwaltung / Zugriffsrechtemanagement IT-Sicherheitsmanagement Kommunikation via Internet und E-Mail Softwareentwicklung / Eigenentwicklungen Notfallmanagement Mobile Endgeräte (z.b. Notebooks, iphone / ipad, Blackberry) Datenschutz IT-Outsourcing Daten-, Anwendungs- und Prozessklassifizierung IT-Controlling / Wirtschaftlichkeit Projektbegleitende Prüfungshandlungen gemäß MaRisk (unterjährig) Prüfung ausgewählter IT-gestützter Geschäftsprozesse (z.b. Kredit-, Handels-, Wertpapiergeschäft) 5
Risikoorientierter Prüfungsansatz Um einen zielgerichteten Ressourceneinsatz entsprechend dem identifizierten Risikopotenzial zu gewährleisten, wird von unseren IT-Prüfern ein Prüffeld-Rating durchgeführt. Prüfungsgebiete mit höherem Risikopotential werden dabei umfangreicher und intensiver geprüft, während weniger risikobehaftete Teilgebiete in einem mehrjährigen Turnus abgehandelt werden. Unabhängig hiervon werden im Rahmen der jährlichen Eingangsprüfungen geänderte interne oder externe Rahmenbedingungen berücksichtigt (z.b. Einsatz neuer Technologien, neue gesetzliche oder aufsichtsrechtliche Anforderungen). Zur Sicherstellung der Nachvollziehbarkeit werden das Prüfungsprogramm sowie die Zeitplanung auf der Ebene der Teil-Prüffelder in einer risikoorientierten Prüfungsstrategie dokumentiert. Grafik: Risikoorientierte Prüfungsplanung auf Ebene der Teilprüffelder 6
Praktische Zusammenarbeit mit der Bank Wenige Wochen vor der Prüfung erhalten Sie von unseren Prüfern eine Übersicht mit den prüfungsrelevanten Unterlagen. Anschließend vereinbaren wir mit Ihnen einen Termin für die Vor-Ort-Prüfung. Um den Prüfungsaufwand in der Bank möglichst überschaubar zu halten und die personellen Ressourcen in der Bank zu schonen, werden die von der Bank zur Verfügung gestellten Unterlagen einer Vorab-Prüfung unterzogen (z.b. Sichtung von Arbeitsanweisungen und Kompetenzübersichten). Vorteil dieser Vorgehensweise ist, dass die IT-Prüfer sehr gut vorbereitet in der Bank erscheinen und nur noch die wirklich kritischen Punkte im Rahmen von Interviews besprochen werden müssen. Unsere Prüfer arbeiten mit standardisierten Checklisten, die sämtliche gesetzliche, aufsichtsrechtliche und verbundspezifische Anforderungen abdecken. Die Prüfungsfragen und -handlungen sind jahrelang erprobt. Am Ende der Prüfung erhalten Sie neben dem Prüfungsbericht zusätzlich einen Management-Letter, in welchem die wesentlichen Hinweise und Empfehlungen aus der Prüfung aufgeführt sind. In einem abschließenden Gespräch erläutern wir Ihnen gerne unsere Prüfungsfeststellungen und Empfehlungen und zeigen passende Maßnahmenvorschläge auf. Um den Verantwortlichen einen schnellen Überblick über die Feststellungen und IT- Sicherheitsrisiken zu ermöglichen, werden die Prüfungsergebnisse im Bericht zusätzlich grafisch dargestellt. Bei Bedarf führen wir auch projektbegleitende Prüfungen durch (z.b. bei der Einführung neuer Hard- und Software oder der Umsetzung von gesetzlichen, aufsichtsrechtlichen und verbundspezifischen Anforderungen). Die Ergebnisse werden bei den jährlichen Prüfungen selbstverständlich berücksichtigt. Preise Die IT-Revision führen wir grundsätzlich zum Festpreis durch. Der Preis orientiert sich dabei an ihrer Unternehmensgröße, der eingesetzten Informationstechnik sowie dem vorgesehenen Prüfungsumfang. Gerne unterbreiten wir Ihnen ein maßgeschneidertes Angebot. 7
IT-Security-Check Nahe am Kundenbedarf Unsere Erfahrung hat gezeigt, dass die Banken einen schnellen und objektiven Überblick des Status ihrer IT-Sicherheitsrisiken haben wollen. Hierfür bietet sich unser bewährter IT-Security-Check an, den wir zwischenzeitlich bereits bei mehr als 100 Banken durchgeführt haben. Inhalt und Umfang des IT-Security-Checks Ziel des IT-Security-Checks ist es, Schwachstellen und Sicherheitslücken Ihrer eingesetzten Informationstechnik aufzudecken. Für die Prüfungshandlungen setzen unsere Prüfer einen standardisierten Fragenkatalog ein, der sich an den Grundschutzkatalogen des BSI sowie am verbundinternen Handbuch Ordnungsmäßigkeitsfragen orientiert. Ausgangspunkt ist ein Risikoprofil, welches wir für Ihre Bank individuell entwickeln. Auf dieser Basis werden in Absprache mit Ihnen risikoorientierte Schwerpunkte gesetzt. Im Rahmen der Vor-Ort-Prüfung begutachten wir verschiedene IT-Systeme und Unterlagen. Zudem führen unsere Prüfer Interviews mit den IT-Verantwortlichen, Administratoren sowie dem IT-Sicherheitsbeauftragten durch. Als Ergebnis unseres IT-Security-Checks zeigen wir Ihnen organisatorische, technische und infrastrukturelle Maßnahmen auf, mit welchen die bestehenden IT-Sicherheitsrisiken wirksam minimiert oder beseitigt werden können. Um den Verantwortlichen einen schnellen Überblick der Feststellungen und IT-Sicherheitsrisiken zu geben, werden die Prüfungsergebnisse zusätzlich grafisch dargestellt. Neben dem standardisierten Fragenkatalog können in Absprache mit der Bank auch vorgegebene Schwerpunkte gesetzt werden, um hier eine vertiefte Prüfung vorzunehmen. Folgende Bereiche stehen hierbei zur Auswahl: Aufbau- und Ablauforganisation Anwenderbetreuung und -schulung Hard- und Softwareausstattung Räumliche Sicherheit Datensicherheit / Netzwerksicherheit Berechtigungsverwaltung Kommunikation via Internet und E-Mail Softwareentwicklung / Eigenentwicklungen Notfallmanagement Mobile Endgeräte Preise Der IT-Security-Check wird abhängig von der Unternehmensgröße sowie der eingesetzten IT zum Festpreis angeboten. Gerne unterbreiten wir Ihnen ein individuelles Angebot. 8
MaRisk-Check Fit für die 44-Prüfung im IT-Bereich Optimale Vorbereitung auf eine 44-Prüfung Aus Gesprächen mit Bankenvertretern entnehmen wir immer wieder, dass im Hinblick auf anstehende Prüfungen durch die Bankenaufsicht Unsicherheiten bestehen, inwieweit die IT-spezifischen Anforderungen der MaRisk ausreichend umgesetzt sind. Wir haben es uns zum Ziel gesetzt, Sie im Sinne einer qualifizierten Standortbestimmung bestmöglich auf diese Situation vorzubereiten und Handlungsbedarf aufzuzeigen. Unsere erfahrenen IT-Prüfer erarbeiten ein unabhängiges und objektives Meinungsbild. Als Sparringspartner für die IT-Verantwortlichen Ihrer Bank werden die Interviews mit fachlichem Tiefgang geführt, die Prüfungsfeststellungen sowohl formell als auch materiell bewertet. Wir führen zu folgenden MaRisk-spezifischen Themen eine Bestandsaufnahme durch: Technisch-organisatorische Ausstattung (AT 7.2) Notfallkonzept (AT 7.3) IT-Outsourcing (AT 9) Im Rahmen eines Soll-Ist-Vergleichs wird anhand ihrer Organisationsrichtlinien sowie durch Interviews mit den IT-Verantwortlichen ihrer Bank die Angemessenheit der Umsetzung der aufsichtsrechtlichen Anforderungen sowie des von Ihnen ausgewählten gängigen Standards beurteilt (z.b. BSI-Grundschutzkataloge, Handbuch Ordnungsmäßigkeitsfragen, Sicherheitskonzepte der Rechenzentralen, COBIT, ISO, ITIL). Schwerpunkte der technisch-organisatorischen Umsetzung bilden das Informationssicherheitsmanagement, die IT-Sicherheit im laufenden Betrieb, das Benutzerberechtigungsmanagement sowie Eigenentwicklungen. Vorgehensweise Bei unserem MaRisk-Check simulieren wir die Vorgehensweise der BaFin bei -44-Prüfungen. Die Prüfung gliedert sich dabei in folgende Teilschritte: Prüfungsankündigung Bestimmung der Prüfungsschwerpunkte Anforderungen prüfungsrelevanter Unterlagen Vor-Prüfung der Unterlagen Vor-Ort-Prüfung in der Bank mit verschiedenen Interviews anhand eines strukturierten Fragenkatalogs Auswertung der Antworten und Unterlagen Einstufung der Feststellungen entsprechend der Klassifizierung der Bundesbank als F1- bis F4-Mängel Erörterung der Prüfungsergebnisse mit Vertretern der Bank Was kostet der MaRisk-Check? Wir bieten den MaRisk-Check in Abhängigkeit von der Größe der Bank und dem gewünschten Prüfungsumfang an. Gerne unterbreiten wir Ihnen ein individuelles Angebot. 9
Externer Datenschutz-Beauftragter Datenschutz Seit der Novellierung des Bundesdatenschutzgesetzes (BDSG) haben die Anforderungen an den Datenschutz nochmals deutlich zugenommen. Gerade kleinen und mittleren Genossenschaftsbanken fällt es zunehmend schwer, die erforderliche Qualifikation des Datenschutzbeauftragten sicherzustellen und die Funktion mit wirtschaftlich vertretbarem Aufwand darzustellen. Wir übernehmen die Aufgaben des betrieblichen Datenschutzbeauftragten für Sie und tragen gemeinsam mit den IT-Verantwortlichen dafür Sorge, dass die datenschutzrechtlichen Anforderungen in Ihrer Bank angemessen umgesetzt werden. Die Tätigkeit des externen Datenschutzbeauftragten wird in einem jährlichen Datenschutzbericht dokumentiert. Vorteile der Auslagerung Die Auslagerung des Datenschutzbeauftragten hat für Ihre Bank folgende Vorteile: Keine Aus- und Weiterbildungskosten Hohe Fachkompetenz und Professionalität Entlastung der eigenen Mitarbeiter Höhere unternehmensinterne Akzeptanz Unsere Datenschutzbeauftragten haben es sich zum Ziel gesetzt, mit den IT-Verantwortlichen in vertrauensvoller und konstruktiver Art und Weise zusammen zu arbeiten. Bei Bedarf werden entsprechende organisatorische, technische oder personelle Maßnahmen aufgezeigt, um die personenbezogenen Daten in ausreichendem Maße zu schützen. Preise Gerne unterbreiten wir Ihnen ein individuelles Angebot. 10
Individuelle Beratung für das IT-Sicherheitsmanagement Da jede Bank eine unterschiedliche Ausgangssituation im IT-Sicherheitsmanagement hat und deshalb sehr individuelle Beratungsleistung benötigt, bieten wir keine festen Beratungspakete an. Der Kunde legt den Beratungsinhalt und die Beratungsschwerpunkte selbst fest und bestimmt damit auch den Umfang der Beratung. Nachfolgend möchten wir Ihnen drei typische Beratungsinhalte aufzeigen, die von unseren Kunden zunehmend nachgefragt werden. 1. Aufbau- und Weiterentwicklung eines IT-Sicherheitsmanagement Gerne beraten wir Sie beim Aufbau und Weiterentwicklung eines professionellen IT-Sicherheitsmanagements, welches den einschlägigen gesetzlichen, aufsichtsrechtlichen und verbundspezifischen Anforderungen gerecht wird. Auf Basis einer Bestandsaufnahme entwickeln unsere Berater gemeinsam mit Ihnen Ihr bankspezifisches IT-Sicherheitsmanagement methodisch und inhaltlich weiter. Wir zeigen Ihnen auf Basis von best practice-ansätzen konkrete Handlungsempfehlungen auf, wie sie mit vertretbarem wirtschaftlichem Aufwand ein angemessenes IT-Sicherheitsmanagement aufbauen und betreiben können. Ausgehend von einer Schutzbedarfsanalyse unterstützen wir Sie bei der Identifizierung und Klassifizierung der wesentlichen IT-gestützten Geschäftsprozesse sowie der darin eingesetzten IT-Anwendungen und Datenbestände. Entsprechend dem festgestellten Schutzbedarf erarbeiten wir mit Ihnen Sicherheitskonzepte, die angemessene technisch-organisatorische Maßnahmen zur Risikominimierung vorsehen. 2. Einführung von GenoBankSafe-IT und RIMA Gerne unterstützen wir Sie bei der Einführung unserer Software GenoBankSafe-IT sowie des optionalen RIMA-Moduls für das IT-Risikomanagement. Gerne bieten wir Ihnen maßgeschneiderte Supportangebote für die Einführung, Parametrisierung und Erstbefüllung der Software an. 3. Geschäftsprozessorientierte Beratung Unter Moderation eines erfahrenen Beraters richten wir gemeinsam mit Ihnen im Rahmen von Workshops ausgewählte IT-gestützte Geschäftsprozesse mit Hilfe von RIMA ein. Insbesondere können hierfür Geschäftsprozesse von Interesse sein, zu denen es noch keine Vorgaben seitens der Rechenzentralen und Arbeitskreise gibt. Preise Wir berechnen pro Beratungstag 1.300,-- Euro zuzüglich Reisekosten und gesetzliche Mehrwertsteuer. Gerne unterbreiten wir Ihnen ein maßgeschneidertes Angebot. 11
Seminare Bedarfsgerechte Weiterbildung Die Aspekte Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit stellen die wesentlichen Ziele aller Aktivitäten im Bereich des IT-Sicherheitsmanagements dar. Unser Seminarangebot haben wir genau an diese Prüfungsziele angepasst. Besondere Berücksichtigung finden dabei gängige Anforderungen und Standards wie z.b. die MaRisk, die Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW), sowie die IT-Grundschutzkataloge des Bundesamtes für Informationssicherheit (BSI). Alle Seminare und Workshops finden bei der Akademie Deutscher Genossenschaften (ADG) oder bei den regionalen Akademien der Genossenschaftsverbände statt. Neben den nach Themen aufgeführten Kursen bieten wir selbstverständlich auch geschlossene Inhouse- Seminare und Workshops an, deren Inhalt auf Ihre Bedürfnisse abgestimmt wird. Themen Für das Jahr 2013 bieten wir folgende Seminare an: Zertifizierter IT-Manager / IT-Sicherheitsmanager ADG Daten-, Anwendungs- und Prozessklassifizierung gemäß MaRisk AT 7.2 Erfahrungsaustausch IT-Sicherheitsmanagement E-Mails nutzen: So kommunizieren Sie sicher im Bankalltag! IT-Sicherheit: Aktuelles Wissen für richtige Entscheidungen Sicherheitsaspekte beim Einsatz mobiler Endgeräte Informationssicherheit: Professioneller Schutz von Daten IT-Compliance rechtskonforme Gestaltung der Informationstechnologie Notfallvorsorge nach BSI-Standard 100-4 Workshop: Aufbau einer anwendergerechten IT-Sicherheitsschulung Prüfung von Datensicherheit und Datenschutz Unter folgender Adresse können Sie sich über die konkreten Inhalte und Termine unserer Seminare informieren. www.forum-is.de/seminare 12
Webinare Was sind Webinare? Webinare sind Seminare, die über das Internet gehalten werden. Immer häufiger müssen sich die Mitarbeiter in den Banken sehr schnell aktuelles und teilweise hochkomplexes Wissen aneignen. Ein passendes Präsenzseminar zu finden, welches den Lernbedarf eines Mitarbeiters zu einem bestimmten Zeitpunkt deckt, ist oft ein schwieriges Unterfangen. In Ergänzung zu unseren Seminaren etablieren sich unsere Webinare im Bereich der Weiterbildung immer mehr. Unsere Webinare vermitteln in kompakter Form hochaktuelles Wissen und konzentrieren sich dabei auf aktuelle Themen (z.b. Sicherheitsaspekte beim Einsatz von iphone / ipad). Nach dem Motto Lernen, wann Sie es brauchen bieten wir unsere Webinare unterjährig mehrfach an. Dies hat den Vorteil, dass sich Ihre Mitarbeiter das Fachwissen dann aneignen können, wann sie es brauchen. Gerade bei anstehenden IT-Projekten oder planmäßigen oder projektbegleitenden Prüfungen der IT- Revision kann das im Webinar erworbene Wissen sofort genutzt werden. Vorteile von Webinaren Der Hauptvorteil besteht darin, dass aktuelle Themen von unseren Referenten kurzfristig als Webinar aufbereitet werden können und die Teilnehmer somit brandaktuelle Informationen und Praxishinweise für Ihre spezifische Aufgabenstellung in der Bank erhalten. Weitere Vorteile im Überblick: Keine Fahrt- und Übernachtungskosten Ortsunabhängigkeit Webinare können vom Arbeitsplatz aus erlebt werden Kompakte Vermittlung von fachlichen Inhalten Hoher Praxisbezug Aktualisierung und Ergänzung von Fachwissen Interaktionsmöglichkeiten zwischen Referent und Teilnehmer Kurzfristige Buchung möglich (bis 1 Woche vor dem Termin) Unsere Kompaktseminare dauern je nach Diskussionsbedarf der Teilnehmer ca. 2 Stunden. 13
Der virtuelle Seminarraum Videobild der Teilnehmer Sprechtaste Status ändern (z. B. zu Wort melden) Lerninhalte Chat Teilnehmerliste Umfragemöglichkeit Dateien zum Download Live Präsentation Interaktionsmöglichkeiten Im Gegensatz zu Online-Präsentationen sind Webinare live es gibt also einen festen Anfangszeitpunkt. In unserem virtuellen Seminarraum haben die Teilnehmer die Möglichkeit, verschiedene Interaktionstechniken zu nutzen. Neben der Chat-Funktion gibt es für Teilnehmer, die sich gerne verbal in das Webinar einbringen möchten, eine Wortmelde-Funktion. Wie bei Seminaren ist somit ist eine direkte Diskussion mit dem Referenten oder anderen Teilnehmern möglich. Für die Audioübertragung stellen wir allen Teilnehmern ein kostenloses Headset zur Verfügung. Alternativ ist auch die Nutzung einer Telefonkonferenz möglich. Um kurzfristig ein Meinungsbild bei den Teilnehmern einholen zu können, werden während des Webinars Umfragen und Abstimmungen durchgeführt. 14
Themen Im Jahr 2013 bieten wir Webinare zu folgenden Themen an: Prozessorientierte IT-Prüfung IT-Compliance MaRisk-Check zu AT 7.2 Sicherheitsaspekte beim Einsatz von Lotus Notes Datenklassifizierung und IT-Risikomanagement gemäß MaRisk Sicherheitsaspekte beim Einsatz von Windows Server 2008 Wirksame Compliance auf Basis der MaComp WpHG-konforme Anlageberatungen Die konkreten Inhalte und Termine unserer Webinare entnehmen Sie bitte unserem Internetauftritt unter www.forum-is.de/webinare. Preise Unsere Webinare bieten wir zum Preis von 199, EUR an. Kundenstimmen zu unseren Webinaren Webinare sind ein tolles Medium, um Wissen ohne großen Aufwand (Anreise etc.) zu vermitteln. Die Inhalte wurden kurz und prägnant präsentiert. Mit den ausgehändigten Checklisten und Unterlagen zum Webinarinhalt stehen sehr gute Prüferwerkzeuge zur Verfügung. (M. Lamprecht, VB Breisgau Nord eg) Das Webinar war eine bequeme und effiziente Art, am eigenen Arbeitsplatz im Dialog am Webinar teilzunehmen. Besonders die unnötige An- und Abreise haben uns Zeit und Kosten erspart. Mit verschiedenen Dialog- Funktionen konnte der Referent sehr gut auf die Teilnehmer eingehen. (W. Kuhn, VR Bank Südpfalz) Das Webinar "Datenklassifizierung und Risikomanagement gemäß MaRisk" war für mich sehr informativ. Die vermittelten Inhalte und Beispiele haben mir geholfen, mich in die Thematik einzuarbeiten, und sind eine wertvolle Hilfe bei der Umsetzung unseres Projektes. Generell finde ich die Lernform Webinar hervorragend, da so Inhalte komprimiert, ohne unnötige Reisezeiten und bei geringeren Kosten vermittelt werden können. Die Möglichkeit, über Headset / Mikrofon direkt am Webinar teilnehmen zu können, bewirkt eine bessere Beteiligung und Integration der Teilnehmer in das Webinar. Ich werde sicher weiterhin solche Webinare buchen. (C. Colpi, Volksbank Triberg eg) 15
GenoBankSafe-IT Der Sicherheitsmanager IT-Sicherheitsmanagement aus einem Guss GenoBankSafe-IT bietet ein vollständiges IT-Sicherheitskonzept für die Bank in Form einer Lotus Domino Anwendung. Die Pflege eines separaten IT-Sicherheitskonzepts entfällt. Folgende Arbeitsschritte sind methodisch in GenoBankSafe-IT vorgesehen: Erfassung und Bewertung der wesentlichen Geschäftsprozesse Identifikation der IT-Schutzobjekte Durchführen der Schutzbedarfsanalyse Modellieren der IT-Schutzmaßnahmen Notfallplanung Bewahrung des erreichten IT-Sicherheitsniveaus GenoBankSafe-IT wendet die Methode der BSI-Grundschutzkataloge an und ist vollständig kompatibel zu diesen. Das mit GenoBankSafe-IT aufgebaute IT-Sicherheitsmanagementsystem erfüllt auch die Anforderungen der ISO Normen 27001 und 27002. Eng am Kundenbedarf entwickelt GenoBankSafe-IT unterstützt Sie bei der Implementierung und Weiterentwicklung Ihres Sicherheitskonzeptes. Der Schutzbedarf von Daten, IT-Anwendungen, Prozessen sowie der Infrastruktur steht dabei im Mittelpunkt. Bei der Weiterentwicklung von GenoBankSafe-IT berücksichtigen wir Anregungen und Vorschläge aus der Praxis unserer Kunden, um die Anwendung noch besser auf den Bedarf der Banken abzustimmen. Durch integrierte Workflows, eine Benachrichtigungs- und Wiedervorlage-Funktion sowie verschiedene Verknüpfungsmöglichkeiten werden Sie im Rahmen des IT-Sicherheitsmanagements wesentlich unterstützt. Unsere Softwarelösung bietet darüber hinaus folgende Vorteile: Umfangreiche, laufend aktualisierte, verbandsspezifische Vorschläge Risikobetrachtung ausgehend von den Geschäftsprozessen zahlreiche Auswertungsmöglichkeiten und Berichte Revisionssichere Dokumentation e 16
Neues RIMA-Modul für das IT-Risikomanagement Professionelles IT-Risikomanagement Kundengespräche haben uns in den letzten Monaten immer wieder bestätigt, dass die Banken im Bereich des Managements von operationellen IT-Risiken ein professionelles Werkzeug benötigen, mit dem sie die von der Bundesbank konkretisierten Anforderungen der MaRisk bewältigen können. Um unsere Kunden bei dieser Aufgabenstellung optimal unterstützen zu können, haben wir uns entschieden, ein zusätzliches Risikomanagement-Modul (RIMA) für GenoBankSafe-IT zu entwickeln. Zusammen mit mehreren Arbeitskreisen wurden die Anforderungen hierfür erarbeitet und umgesetzt, so dass wir nun unseren Kunden ein Produkt mit umfangreichen Neuerungen anbieten können. Das RIMA-Modul bietet folgende Features: Verbesserte Umsetzung des Risikomanagements nach MaRisk AT 7.2 Möglichkeit zur Klassifizierung nach Schutzzielen gemäß RZ-Vorgaben Hinterlegung eines Bedrohungskataloges Abbildung von Schutzobjekt-Risiken und Maßnahmen zu deren Reduktion Risikobetrachtung Für Schutzobjekte, die wesentliche Geschäftsprozesse unterstützen, werden anhand eines Bedrohungskataloges relevante Risiken identifiziert. Diese werden anschließend hinsichtlich ihres Schadenspotentials und der Eintrittswahrscheinlichkeit bewertet. Für Risiken mit hohem Schadenspotential und hoher Eintrittswahrscheinlichkeit können geeignete Maßnahmen definiert und hinterlegt werden, die eine Reduktion dieser Risiken auf ein tolerierbares Maß bewirken. 17
Kontakt FORUM Gesellschaft für Informationssicherheit mbh Margaretenstr. 1 53175 Bonn Tel.: 0228 / 377 894-81 Fax: 0228 / 377 894-67 Obergraben 17a 01097 Dresden Tel.: 0351 / 810 638-40 Fax: 0351 / 810 638-41 E-Mail: forum@forum-is.de www.forum-is.de 18
19
FORUM Gesellschaft für Informationssicherheit mbh Margaretenstr. 1 53175 Bonn Tel.: 0228 / 377 894-81 Fax: 0228 / 377 894-67 E-Mail: forum@forum-is.de www.forum-is.de