PROFI IT Risk Compact Check Nur wer seine Risiken kennt, kann sie steuern

Ähnliche Dokumente
PROFI Netzwerk & Security Praxiserprobte Implementierungen. 1 Praxiserprobte Implementierungen

Compass Security [The ICT-Security Experts]

Ein Angebot von DYNACON & LOG 2" Security-Check Ihrer SAP-Systeme" DR. STEFAN JUNGINGER & HOLGER STUMM! München, Juli 2016!

Automation meets IT. Industrial Security Heinrich Homann Security Specialist Plant Security Services

Operationales Geschäftsrisiko Cyber-Attacken. Relevante IT-Sicherheitsrisiken für Unternehmen

Moderner Schutz gegen aktuelle Bedrohungen

it-sa 2015 Toolgestützte Prüfung des SAP Berechtigungskonzepts Autor: Sebastian Schreiber IBS Schreiber GmbH

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

PRE-SCAN KRITIS. Delivering Transformation. Together.

Wissensmanagement. Thema: ITIL

Wissensmanagement. Thema: ITIL

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SAP Penetrationstest. So kommen Sie Hackern zuvor!

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

INFINIGATE. - Managed Security Services -

Effizientes Sicherheits-Management von Endbenutzergeräten

Aktuelle Bedrohungslage

Michael Kretschmer Managing Director DACH

Ein Kommunikationslagebild für mehr IT-Sicherheit

Verschlüsselungsdienst für mobile Apps im Gesundheitswesen. 4. ehealth-kongress in Rhein-Main und Hessen

Unternehmensvorstellung. Wir schützen Ihre Unternehmenswerte

Herzlich Willkommen zur G DATA Partner Roadshow 2016

Absicherung der IT-Infrastruktur: einheitliche Zugangskontrolle für LAN, WLAN und VPN. Volker Kull

Siemens AG IT-Sicherheit von Automatisierungssystemen

0,3. Workshop Office 365 und Azure für Ihr Unternehmen

am Beispiel - SQL Injection

Schutz vor moderner Malware

Vielen Dank für Ihre Aufmerksamkeit!

Informationsrisikomanagement

Strukturierte Informationssicherheit

1.1 Historie von FitSM Der Aufbau von FitSM FitSM als leichtgewichtiger Ansatz... 6

am Beispiel - SQL Injection

Security Audits. Ihre IT beim TÜV

Erfolgreicher Umgang mit heutigen und zukünftigen Bedrohungen

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Cybersecurity 4.0 Schutz vor den Bedrohungen von heute und morgen. Markus Grathwohl Senior Corporate Account Manager

Security Scan Wireless-LAN. Zielsetzung & Leistungsbeschreibung

Das IT Sicherheitsgesetz kritische Infrastrukturen im Zugzwang. - Made in Germany

ICT-Sicherheitsleitlinie vom 11. August 2015

Cybersicherheit in der Smart Factory

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

KASPERSKY SECURITY FOR VIRTUALIZATION 2015

IT-Security Portfolio

Fach-Schulungen. Führungskraft, Organisation, Interessenten. Berechtigungs- Administrator. Dokumenten- Administrator. Anwender.

GESCHÜTZT MIT HL SECURE 4.0

Cyber Security 4.0. Aktuelle Angriffs- Methoden & Gegenmaßnahmen

Printer Hacking. Drucker als Einfallstor für Datendiebe

Wir schützen. Ihre Unternehmenswerte. Die PRIOLAN GmbH stellt sich vor

(IT) Notfallmanagement im Unternehmen und in der Behörde Planung und Umsetzung gemäß BSI-Standard und ISO 22301

Stefan Vogt Sales Engineer. Sophos Central & Sophos Wireless

MOBILE ON POWER MACHEN SIE IHRE ANWENDUNGEN MOBIL?!

Operation IT-Sicherheit: Best Practices zur Minimierung des digitalen Infektionsrisikos. Information Security in Healthcare Conference

Firmenvorstellung. Bochum, den

splone Penetrationstest Leistungsübersicht

Was ist bei der Entwicklung sicherer Apps zu beachten?

bwsecurity day

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

Agieren statt Reagieren - Cybercrime Attacken und die Auswirkungen auf aktuelle IT-Anforderungen. Rafael Cwieluch 16. Juli Starnberger it-tag

IT-PROJEKTE AUSGEKLÜGELT UND MIT MINIMALEM RISIKO DURCHFÜHREN IN VIER SCHRITTEN

Cisco Borderless Networks Sicherheit und Energieeffizienz im Netzwerk von heute. Mathias Wietrychowski, Sr. Systems Engineer Manager

ISMS. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Verschlüsselt und versperrt sicheres mobiles Arbeiten Mario Winter

Internes Kontrollsystem in der IT

Security Excellence. Informationssicherheit ganzheitlich und nachhaltig. Materna GmbH

Haben wir ein Problem, Mission Control?

Grundlagen des Datenschutzes und der IT-Sicherheit

LANDESK BENUTZER-ORIENTIERTE IT. Tobias Schütte, Alliance Manager

Network Security Management als flexible und modulare Managed Service Leistung ohne dabei die Kontrolle zu verlieren

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

Bedrohungslandschaft. in Österreich. Beispiele aus der Praxis BPN

Compliance mit dem IEM Endpoint Manager durchsetzen

Schnelligkeit und Qualität machen die

Cloud Computing Leitstand: Risiko- und Sicherheits-Management für virtualisierte IT-Infrastrukturen

PRÜFEN BERATEN LÖSEN appsphere - Professionalität aus einer Hand.

Prozessanalyse. 2. Entscheidungsgrundlagen. 3. Zusammenfassung

Radware revolutioniert den DDOS Schutz. Markus Spahn: (Sales Manager)

Informationssicherheit

CYBER SECURITY SICHERN, WAS VERBINDET. Dr. Rüdiger Peusquens it-sa Nürnberg,

IT-Security Herausforderung für KMU s

BYOD im Unternehmen Unterwegs zur sicheren Integration

Umsatzsteuer Check 1

10 IT-Gebote. Burkhard Kirschenberger Tel: Fax: Version Okt.

Durchblick schaffen. IT-Komplettdienstleister für Ihr Unternehmen

tiri.soc Threat-Intelligence

IT-Security Portfolio

Penetrationstests mit Metasploit

Mobile Security. Astaro 2011 MR Datentechnik 1

Umsetzung, Dokumentation und Prüfung

IT-SICHERHEITSEXPERTE/IN Beratung/Penetrationstests JOBPERSPEKTIVE

NET WÄCHTER: Schutz, Beschleunigung und Überwachung

Managed Infrastructure Service (MIS) Schweiz

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

DESKTOP AS A SERVICE. Schnell und sicher die Vorteile von Desktop- Virtualisierung nutzen. Peter Schappelwein, BSc und Michael Novomesky

GRC TOOLBOX PRO Vorstellung & News

Management- und Organisationsberatung. Business Continuity Management (BCM)

Netzwerk Management Potentielle Systemausfälle bereiten Ihnen Sorgen?

Schutz sensibler Daten egal was, wie, wann und vor wem!

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Mit dem Upgrade der bestehenden Windows XP-Landschaft mit ca Clients

GLASFASERNETZ DATACENTER RHEIN-NECKAR RHEIN-NECKAR-CLOUD MULTIMEDIA ZENTRALE FIREWALL IN DER RHEIN-NECKAR-CLOUD PSFW_PFK_MA_

Transkript:

PROFI IT Risk Compact Check Nur wer seine Risiken kennt, kann sie steuern 1 02.12.2014 IT Risk Compact Check

I. Audit meets IT IT-Sicherheit eine Bestandsaufnahme IT-Sicherheit eine Bestandsaufnahme Situation IT-Infrastruktur wächst, ohne dass eine Security-Strategie das Wachstum begleitet und steuert Internes Know-How nicht auf allen Ebenen verfügbar Tagesgeschäft geht vor Projektplanung Technische Maßnahmen werden als Insellösungen eingesetzt Mangelndes IT-Sicherheits- Bewusstsein in der Belegschaft Folgen Neue Systeme bringen neue Angriffsfläche Keine Budgetierung, da kein Bedarf erkannt wird Systeme bleiben auf dem Stand der Erst-Installation Security als Ansammlung von Systemen, nicht als Prozess Reagieren statt Agieren 2

I. Audit meets IT Wann ist eine IT-Risikoeinschätzung IT-Sicherheit sinnvoll? eine Bestandsaufnahme Bei kontinuierlich wachsender IT-Komplexität Die Lösung: Hohe wirtschaftliche Abhängigkeit von IT- Prozessen Im Rahmen einer geplanten IT- Sicherheitszertifizierung Um den Datenschutzbeauftragten bei seiner Prüfungspflicht zu unterstützen. (Datenschutz) Bei Verdachtsmomenten, dass das Sicherheitslevel in der IT nicht ihren Vorstellungen entspricht. Bei regulatorischen Anforderungen (wie bsp. BDSG, GoBS, KonTraG) In Vorbereitung der Jahresabschlussprüfung (IT- Audit) 3

I. Audit meets IT Was ist der IT Risk Compact IT-Sicherheit Check? eine Bestandsaufnahme Identifizierung der IT-Risiken innerhalb der Aufbau- und Ablauforganisation der IT-Abteilung Prüfen der Einhaltung regulatorischer Anforderungen Analysieren von Optimierungs- und Performance-Potenzialen der IT-Prozesse und IT-Infrastruktur Aufzeigen von umsetzbaren und pragmatischen Lösungsansätzen, die Ihre Risikosituation erkennbar optimiert. ZIEL Umfassender Überblick aller risikobehafteten IT-Felder Lösungsansätze zur Minimierung der IT-Risikopotenziale generieren und effizient umsetzen 4

II. IT-Risk CompactCheck Methodische Bewertung Methodische der Risiken Bewertung der IT-Risiken Risiko- Analyse Risiko- Bewertung Empfehlung / Maßnahmen Interviews Checks (Systemeinstellungen) Einsicht von Unterlagen wie Handbücher / Systembeschreibungen Validierung von Richtlinien bzw. Policies / Standards Reifegradmeter Prüfung von Kontrolldesign und Kontrollsicherheit [ ] 5

II. IT-Risk CompactCheck Struktur und Inhalt Struktur und Inhalt Hardware IT-Infrastruktur Server Netzwerk VPN-Clients / Firewall Datenschutz Software Virenschutz Anwendungssoftware Betriebssoftware IT-Betrieb Berechtigungskonzept Passwortrichtlinien Datensicherung Not- und Regelbetrieb Internet & E-Mail Dokumentation Policies Prozess- und Verfahrensdokumentationen IT- Strategiepapiere IT-Prozess Change- und Patch- Management Lizenzmanagement High-Level-Control Outsourcing 6

II. IT-Risk CompactCheck Das Risiko Das im Mittelpunkt Risiko im unserer Mittelpunkt Betrachtung unserer Betrachtung IT Risiko-Radarsystem Gesamtübersicht der im Unternehmen vorhandenen IT-Risiken Überblick der Reifegrad-Prüfung der Themenbereiche und der analysierten Defizite Prüfungsfelder gewichtet nach Kritikalität Relative Priorisierung der Kategorien zueinander, orientiert an der Bedeutung für das Unternehmen 7

II. IT-Risk CompactCheck Struktur und Das Inhalt Risiko im Mittelpunkt unserer Betrachtung Restrisiko Zeigt das noch vorhandene Risiko des Prozesses bzw. der Kategorie an. Risikobedeutung des Prozesses bzw. der Kategorie für das Unternehmen Reifegrad Der festgestellte Reifegrad des Prozesses bzw. der Kategorie. 8

II. IT-Risk CompactCheck Struktur und Das Inhalt Risiko im Mittelpunkt unserer Betrachtung Datensicherung Mobile Devices Verfahrensdokumentation Reifegrad Der festgestellte Reifegrad des Prozesses bzw. der Kategorie Reifegradmeter Reifegradmeter Reifegradmeter Bedeutung des Prozesses bzw. der Kategorie für das Unternehmen Die Verfügbarkeit der Daten wird als wesentlicher Bestandteil eines Unternehmens gesehen. Die Verwendung von mobilen Endgeräten ist wichtiger Bestandteil des Unternehmensablaufs. Eine nicht vorhandene Verfahrensdokumentation ist nicht zwangsläufig unternehmenskritisch. 9 Daher wird diese Kategorie eine hohe Bedeutung zugesprochen. Daher wird diese Kategorie eine mittlere Bedeutung zugesprochen. Daher wird dieser Kategorie eine geringe Bedeutung zugesprochen.

II. IT-Risk CompactCheck Projektablauf Projektablauf Scope- Gespräch Kick-off - Meeting Fieldwork I Fieldwork II Projektabschluss Vorstellung des IT-RCC Projektauftrag definieren Grobe Projektplanung Unterlagen anfordern Beschreibung des Ablaufs Definition Kontrollpersonen Informationsprüfung / -überarbeitung Erste Befragungen System-Checks Datenprüfungen Auswertung Interviews Konkretisierung der Systemrisiken Orientierte Analyse der Risiken Erhebung der Rahmenbedingungen Informationsvalidierung Performance- Check Berichtserstellung Präsentation der Ergebnisse & Empfehlungen 10

Security Checks mit PROFI Technisch Auditiv Network Vulnerability Scan Schwachstellen-Scan auf Netzwerkebene Aufdecken fehlerhafter Policies, veralteter Dienste, vergessener Server Manuelle Auswertung und Handlungs- Empfehlung Web Application Security Scan Untersucht Web- Applikationen auf Schwachstellen Findet z.b. Programmier-Fehler wie SQL-Injection, XSS Als einmaliger Scan oder eingebunden in den Entwicklungsprozess Security Checkup Deckt Lücken und Verbesserungs- Potenzial in der Perimeter-Firewall auf Scannt den tatsächlichen Internet- Traffic, listet Angriffe, Botnetze, besuchte URL-Kategorien etc. auf Keine Veränderung der Infrastruktur Penetration Test Testet, wie gut die IT tatsächlich gegen Angreifer geschützt ist Erfahrene Whitehats versuchen, Systeme zu kompromittieren bzw. an Daten zu gelangen Scope von White- bis Blackbox IT Risk Compact Check Untersuchung von IT Prozessen, Dokumentation und Technik Aufdecken der wichtigsten Risiken Praktische Handlungs- Empfehlungen zu den Funden 11

Netzwerk & Security Kompetenz Team Berater und Systemingenieure IT-Security Beratung Konzeptionierung LAN-Infrastruktur Datacenter Networks Campus Networks WLAN Perimeter-Sicherheit Firewall / VPN / IPS Application Delivery Web/Mail Security Endpoint-Sicherheit AV-Lösungen Verschlüsselung Mobility Management-Lösungen SIEM Firewall Management Vulnerability Mgmt Strategie-Beratung Planung und Design Implementierung Betrieb / Managed Service 12 PROFI @ it-sa 2014

PROFI Engineering Systems AG Zentrale Otto-Röhm-Straße 18 64293 Darmstadt Telefon +49 6151 8290-0 Telefax +49 6151 8290-7610 E-Mail: profi@profi-ag.de www.profi-ag.de

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback