PROFI IT Risk Compact Check Nur wer seine Risiken kennt, kann sie steuern 1 02.12.2014 IT Risk Compact Check
I. Audit meets IT IT-Sicherheit eine Bestandsaufnahme IT-Sicherheit eine Bestandsaufnahme Situation IT-Infrastruktur wächst, ohne dass eine Security-Strategie das Wachstum begleitet und steuert Internes Know-How nicht auf allen Ebenen verfügbar Tagesgeschäft geht vor Projektplanung Technische Maßnahmen werden als Insellösungen eingesetzt Mangelndes IT-Sicherheits- Bewusstsein in der Belegschaft Folgen Neue Systeme bringen neue Angriffsfläche Keine Budgetierung, da kein Bedarf erkannt wird Systeme bleiben auf dem Stand der Erst-Installation Security als Ansammlung von Systemen, nicht als Prozess Reagieren statt Agieren 2
I. Audit meets IT Wann ist eine IT-Risikoeinschätzung IT-Sicherheit sinnvoll? eine Bestandsaufnahme Bei kontinuierlich wachsender IT-Komplexität Die Lösung: Hohe wirtschaftliche Abhängigkeit von IT- Prozessen Im Rahmen einer geplanten IT- Sicherheitszertifizierung Um den Datenschutzbeauftragten bei seiner Prüfungspflicht zu unterstützen. (Datenschutz) Bei Verdachtsmomenten, dass das Sicherheitslevel in der IT nicht ihren Vorstellungen entspricht. Bei regulatorischen Anforderungen (wie bsp. BDSG, GoBS, KonTraG) In Vorbereitung der Jahresabschlussprüfung (IT- Audit) 3
I. Audit meets IT Was ist der IT Risk Compact IT-Sicherheit Check? eine Bestandsaufnahme Identifizierung der IT-Risiken innerhalb der Aufbau- und Ablauforganisation der IT-Abteilung Prüfen der Einhaltung regulatorischer Anforderungen Analysieren von Optimierungs- und Performance-Potenzialen der IT-Prozesse und IT-Infrastruktur Aufzeigen von umsetzbaren und pragmatischen Lösungsansätzen, die Ihre Risikosituation erkennbar optimiert. ZIEL Umfassender Überblick aller risikobehafteten IT-Felder Lösungsansätze zur Minimierung der IT-Risikopotenziale generieren und effizient umsetzen 4
II. IT-Risk CompactCheck Methodische Bewertung Methodische der Risiken Bewertung der IT-Risiken Risiko- Analyse Risiko- Bewertung Empfehlung / Maßnahmen Interviews Checks (Systemeinstellungen) Einsicht von Unterlagen wie Handbücher / Systembeschreibungen Validierung von Richtlinien bzw. Policies / Standards Reifegradmeter Prüfung von Kontrolldesign und Kontrollsicherheit [ ] 5
II. IT-Risk CompactCheck Struktur und Inhalt Struktur und Inhalt Hardware IT-Infrastruktur Server Netzwerk VPN-Clients / Firewall Datenschutz Software Virenschutz Anwendungssoftware Betriebssoftware IT-Betrieb Berechtigungskonzept Passwortrichtlinien Datensicherung Not- und Regelbetrieb Internet & E-Mail Dokumentation Policies Prozess- und Verfahrensdokumentationen IT- Strategiepapiere IT-Prozess Change- und Patch- Management Lizenzmanagement High-Level-Control Outsourcing 6
II. IT-Risk CompactCheck Das Risiko Das im Mittelpunkt Risiko im unserer Mittelpunkt Betrachtung unserer Betrachtung IT Risiko-Radarsystem Gesamtübersicht der im Unternehmen vorhandenen IT-Risiken Überblick der Reifegrad-Prüfung der Themenbereiche und der analysierten Defizite Prüfungsfelder gewichtet nach Kritikalität Relative Priorisierung der Kategorien zueinander, orientiert an der Bedeutung für das Unternehmen 7
II. IT-Risk CompactCheck Struktur und Das Inhalt Risiko im Mittelpunkt unserer Betrachtung Restrisiko Zeigt das noch vorhandene Risiko des Prozesses bzw. der Kategorie an. Risikobedeutung des Prozesses bzw. der Kategorie für das Unternehmen Reifegrad Der festgestellte Reifegrad des Prozesses bzw. der Kategorie. 8
II. IT-Risk CompactCheck Struktur und Das Inhalt Risiko im Mittelpunkt unserer Betrachtung Datensicherung Mobile Devices Verfahrensdokumentation Reifegrad Der festgestellte Reifegrad des Prozesses bzw. der Kategorie Reifegradmeter Reifegradmeter Reifegradmeter Bedeutung des Prozesses bzw. der Kategorie für das Unternehmen Die Verfügbarkeit der Daten wird als wesentlicher Bestandteil eines Unternehmens gesehen. Die Verwendung von mobilen Endgeräten ist wichtiger Bestandteil des Unternehmensablaufs. Eine nicht vorhandene Verfahrensdokumentation ist nicht zwangsläufig unternehmenskritisch. 9 Daher wird diese Kategorie eine hohe Bedeutung zugesprochen. Daher wird diese Kategorie eine mittlere Bedeutung zugesprochen. Daher wird dieser Kategorie eine geringe Bedeutung zugesprochen.
II. IT-Risk CompactCheck Projektablauf Projektablauf Scope- Gespräch Kick-off - Meeting Fieldwork I Fieldwork II Projektabschluss Vorstellung des IT-RCC Projektauftrag definieren Grobe Projektplanung Unterlagen anfordern Beschreibung des Ablaufs Definition Kontrollpersonen Informationsprüfung / -überarbeitung Erste Befragungen System-Checks Datenprüfungen Auswertung Interviews Konkretisierung der Systemrisiken Orientierte Analyse der Risiken Erhebung der Rahmenbedingungen Informationsvalidierung Performance- Check Berichtserstellung Präsentation der Ergebnisse & Empfehlungen 10
Security Checks mit PROFI Technisch Auditiv Network Vulnerability Scan Schwachstellen-Scan auf Netzwerkebene Aufdecken fehlerhafter Policies, veralteter Dienste, vergessener Server Manuelle Auswertung und Handlungs- Empfehlung Web Application Security Scan Untersucht Web- Applikationen auf Schwachstellen Findet z.b. Programmier-Fehler wie SQL-Injection, XSS Als einmaliger Scan oder eingebunden in den Entwicklungsprozess Security Checkup Deckt Lücken und Verbesserungs- Potenzial in der Perimeter-Firewall auf Scannt den tatsächlichen Internet- Traffic, listet Angriffe, Botnetze, besuchte URL-Kategorien etc. auf Keine Veränderung der Infrastruktur Penetration Test Testet, wie gut die IT tatsächlich gegen Angreifer geschützt ist Erfahrene Whitehats versuchen, Systeme zu kompromittieren bzw. an Daten zu gelangen Scope von White- bis Blackbox IT Risk Compact Check Untersuchung von IT Prozessen, Dokumentation und Technik Aufdecken der wichtigsten Risiken Praktische Handlungs- Empfehlungen zu den Funden 11
Netzwerk & Security Kompetenz Team Berater und Systemingenieure IT-Security Beratung Konzeptionierung LAN-Infrastruktur Datacenter Networks Campus Networks WLAN Perimeter-Sicherheit Firewall / VPN / IPS Application Delivery Web/Mail Security Endpoint-Sicherheit AV-Lösungen Verschlüsselung Mobility Management-Lösungen SIEM Firewall Management Vulnerability Mgmt Strategie-Beratung Planung und Design Implementierung Betrieb / Managed Service 12 PROFI @ it-sa 2014
PROFI Engineering Systems AG Zentrale Otto-Röhm-Straße 18 64293 Darmstadt Telefon +49 6151 8290-0 Telefax +49 6151 8290-7610 E-Mail: profi@profi-ag.de www.profi-ag.de