Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001 IT-Mittelstandstag Hochschule Esslingen 29. November 2017 DRIVING THE MOBILITY OF TOMORROW
Kurzvorstellung Studium - B.Sc. Wirtschaftsinformatik - M.Sc. IT-Management (nebenberuflich) Beruf - Seit 2015 IT Security Officer bei Eberspächer Qualifikationen - ITIL Foundation Certificate in IT Service Management - PECB Certified ISO/IEC 27001 Implementer - PECB Certified ISO/IEC 27032 Cybersecurity Manager - TÜV Information Security Officer Examination acc. to ISO/IEC 27000 series - PRINCE2 Practitioner Certificate in Project Management Seite 2
Eberspächer in Zahlen 4,3 Mrd. EUR* Nach Jahren des starken Wachstums stabilisierten sich die Umsatzerlöse 2016 auf hohem Niveau. 61 Mio. EUR* 147 Mio. EUR* Die konsequente Umsetzung von Optimierungsprogrammen spiegelt sich in einem positiven Konzernergebnis wider. Sieben Prozent des Nettoumsatzes investierte Eberspächer in die Forschung und Entwicklung. 9.063 Mitarbeiter Rund jeder zweite Mitarbeiter ist außerhalb Deutschlands tätig. 2016 schuf Eberspächer weltweit 452 neue Arbeitsplätze. * Zahlen gerundet Seite 3
Ausgangslage Sicherheit einer Organisation Bildquelle: https://www.pinterest.de/pin/330099847667605462/ Seite 4
Wahrscheinlichkeit Warum IT-Sicherheit? Asset / Wert Bedrohung Informationen Hacker Naturereignis Sicherheitsrisiko Geräte Personal Schwachstelle? Auswirkung Liegenschaften Softwarefehler Unwissenheit Seite 5
Wahrscheinlichkeit Warum IT-Sicherheit? Asset / Wert Bedrohung Komplexe Angriffsszenarien Informationen Hacker Naturereignis Sicherheitsrisiko Geräte Verteilte Infrastruktur Personal Schwachstelle Große Anzahl an Mitarbeitern? Auswirkung Liegenschaften Softwarefehler Unwissenheit Seite 6
Was ist die ISO/IEC 27001 ISO 2700x Familie Aufbau eines integrierten Managementsystems Anforderungen an Prozesse und Dokumentationen Auditierung durch ext. Zertifizierungsstelle möglich Seite 7
Kernthemen der ISO 27001 Definition Einheitliche Klassifikation Definition von Stufen zur Klassifikation Festlegen von Regelungen zu jeder Stufe Einstufung aller Assets Bildquelle: https://www.pinterest.de/pin/330099847667605462/ Seite 8
Kernthemen der ISO 27001 Identifikation Identifikation und Bewertung von Risiken Identifikation von Risiken Angriffe (un-)bewusst - Naturereignisse Diebstahl von Assets E A Bewertung von Risiken Umgang mit Risiken Eindringen in Sicherheitsbereiche E A Eindringen ins interne Netz Bildquelle: https://www.pinterest.de/pin/330099847667605462/ E A Seite 9
Kernthemen der ISO 27001 Vorsorge Regelmäßige Schulung von allen Beteiligten Neue Vorgaben Bei Änderung von Vorgaben Regelmäßig Einmal im Jahr Bei Ereignissen Zugriff auf vertrauliche Assets Bildquelle: https://www.pinterest.de/pin/330099847667605462/ Seite 10
Kernthemen der ISO 27001 Vorsorge Technische Maßnahmen Perimeter Systeme Firewalls - Virenscanner - Intrusion Prevention Verschlüsselung E-Mails - Festplatten Prozesse Berechtigungs-/ Updatemanagement Bildquelle: https://www.pinterest.de/pin/330099847667605462/ Seite 11
Kernthemen der ISO 27001 Erkennung & Behandlung Umgang mit Schwachstellen und Sicherheitsvorfällen Erkennung Durch Mitarbeiter oder automatisch Kommunikation Per Mail, Telefon oder Ticket Behandlung Notbetrieb, Abschalten von Systemen Bildquelle: https://www.pinterest.de/pin/330099847667605462/ Seite 12
Kernthemen der ISO 27001 Erkennung & Behandlung Regelmäßige Überprüfung Überprüfungen - Audits Selbst oder durch externe Stellen Plan Durchführung von Notfalltest Test von Notfallsystemen und Redundanzen Act Do Prüfung durch das Management Check Bildquelle: https://www.pinterest.de/pin/330099847667605462/ Seite 13
Kernthemen der ISO 27001 Wiederherstellung Sicherung und Wiederherstellung Backups und Redundanzen Online und Offline / Verschiedene Standorte Notfalldokumentation zur Wiederherstellung Durchführung von Notfalltests und Übungen Bildquelle: https://www.pinterest.de/pin/330099847667605462/ Seite 14
Fazit Einzelne Maßnahmen können gut sein, aber sind nicht immer zielführend Definition und Anwendung übergreifender Standards für die Organisation Regelmäßige Überprüfung und kontinuierliche Verbesserung Die ISO 27001 bildet ein Grundgerüst, das ausgefüllt werden muss Weltweit anerkannte Zertifizierung Seite 15
Zukünftige Herausforderungen Proaktiv statt reaktiv Nicht nur schützen sondern erkennen, zielgerichtet handeln und auf Ausfälle vorbereitet sein. Seite 16
Vielen Dank für die Aufmerksamkeit Seite 17
Na, neugierig? Seite 18