Sicherheit im Wandel die 5 Zeitalter der IT-Sicherheit 10. Berner Tagung 2007 Dr. Hannes P. Lubich Head of E*MEA Business Continuity, Security and Governance Practice British Telecom Global Professional Services Information Security Society Switzerland 10. Berner Tagung 2007 1
Motivation: Security als Wachstumsmarkt 4500 160'000 Total Vulnerabilities 4000 3500 3000 2500 2000 1500 1000 500 Through 2008, 90 percent of successful hacker attacks will exploit well-known software vulnerabilities. - Gartner* 140'000 120'000 100'000 80'000 60'000 40'000 20'000 Total Security Incidents 0 1995 1996 1997 1998 1999 2000 2001 2002 2003 0 Vulnerabilities Security Incidents * Gartner CIO Alert: Follow Gartner s Guidelines for Updating Security on Internet Servers, Reduce Risks. J. Pescatore, February 2003 Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 2
Inhalt Die 5 Zeitalter der IT Security Vor- und Frühgeschichte Klassische Antike Mittelalter Industrielle Revolution Neuzeit Zukunft Rahmenbedingungen Komponenten einer guten IT Security Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 3
Vor- und Frühgeschichte Technologie Mainframes Dumme Terminals Rechenzentren Benutzer ohne direkten Zugriff auf konfigurierbare IT- Ressourcen Bedrohungslage Spezialisten (Insider) Einfache Trojaner IT Security ist kaum ein Thema Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 4
Klassische Antike Technologie Standalone PC s individuelle Konnektivität (Wählleitungen) Bedrohungslage Viren (lokal) physischer Diebstahl Sicherheit ist ein Thema für wenige Spezialisten Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 5
Mittelalter Technologie PC-LAN s & Server Herstellerspezifische Netzwerk-Protokolle Keine einheitliche Konnektivität Einfache Netz-Filter Bedrohungslage Viren (im LAN) Hacker (isoliert) Schwacher lokaler Schutz (Backdoors, Passworte usw.) Sicherheit ist ein emerging market Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 6
Industrielle Revolution Technologie Internet ist der Basis- Standard für LAN und LAN-Kopplung Workstations und Server sprechen IP Einfache Firewalls Bedrohungslage Viren (Verteilung) Hacker Community Network Scanning Offene Systeme für Client/Server Appl. Sicherheit ist ein Consulting-Thema Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 7
Neuzeit Technologie Ubiquitous Internet Mobilität (Benutzer, aber auch Software) Stark kommerzielle Nutzung (Mail, Web) Personal Firewalls IDS/IPS, Vuln. Mgmt. Bedrohungslage Hacking Toolkits Viren (global) Würmer/Mobile Code Spoofing/Spamming Denial of Service Stealth Attacks Sicherheit ist ein Thema in der Öffentlichkeit Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 8
Zukunft Bedrohungslage Noch komplexere Systeme/Abhängigkeiten Vollständige, spontane Vernetzung / Mobilität Angreifer und Verteidiger rüsten weiter auf/nach Lösungsansatz Ganzheitliche IT Security Betrachtung vom Design bis zum Betrieb über die gesamte Prozesskette IT Security im Rahmen der Qualitätssicherung bzw. des Operational Risk Managements und des Business Recovery Planning Sourcing von Security Services an spezialisierte Provider Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 9
Rahmenbedingungen Recht/Regulation Anforderungen der Aufsichtsbehörden Privatsphäre versus Staatsinteressen Quality of Service seitens IT-Produkten Kosten und Organisation IT Security Beitrag zu Risk/Reward-Entscheiden RoSI, VaR, MPL usw. sind noch nicht tauglich für sinvolle Kostenberechnungen, Aufwand ist additiv Outsourcing (IT Betrieb, aber auch IT Security) IT Security als Management-Disziplin Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 10
Komponenten einer guten IT-Security Klares Mandat, Kompetenz und Ressourcen Integriert in das Qualitäts-/Risk Management Von einem internen Champion geführt Standardisierter Grundschutz, darüber hinaus dem Problem angemessener Zusatzschutz Am Budget-Prozess aktiv beteiligt (inkl. eigene Kosten / Kostentransparenz) In den Köpfen positiv vorhanden, nicht (nur) auf Papier (Awareness, Schulung, Beratung, Hilfe) Security Management statt Security Monitoring Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 11
Der IT Security Megatrend: Integration Value (Cost too!) Centralized Access to Data content & applications DATA Refine, analyze & sort data delivering security information SECURITY MONITORING INFORMATION Level 1 Level 2 Security Data Infrastructure SECURITY MANAGEMENT Apply business relevance to information to determine business priorities! KNOWLEDGE Act on real business knowledge in a single place according to business need ACTION Level 3 Level 4 True Security Management Information Delivery Maturity Level Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 12
Zusammenfassung Information Security Society Switzerland 10. Berner Tagung 2007 ISSS2007X627993 13