Information Security Management

Ähnliche Dokumente
IT-Ausbildung für Wirtschaftsprüfer und deren Mitarbeiter KPMG Information Risk Management 1

INFRA-XS, die E2E-Monitoring-Lösung für ITIL Implementierungen

BETTER.SECURITY AWARENESS FÜR INFORMATIONSSICHERHEIT

Outpacing change Ernst & Young s 12th annual global information security survey

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

Bring Your Own Device welche Veränderungen kommen damit? Urs H. Häringer, Leiter Technology Management, 29. Mai 2012

GPP Projekte gemeinsam zum Erfolg führen

IT-Security Portfolio

Informationssicherheit als Outsourcing Kandidat

Mobile Endgeräte - Sicherheitsrisiken erkennen und abwehren

Die COBIT 5 Produktfamilie. (Kurzvorstellung) (mgaulke@kpmg.com) Markus Gaulke

Identity as a Service

Zugriff auf Unternehmensdaten über Mobilgeräte

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

IT-Infrastruktur Bestandteil einer effektiven Security Strategie

Ausgewählte Rechtsfragen der IT-Security

IIBA Austria Chapter Meeting

ITIL Trainernachweise

IT Security Dienstleistungen 1

IT-Security Portfolio

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

Dominik Stockem Datenschutzbeauftragter Microsoft Deutschland GmbH

Integriertes Management der Informationssicherheit im Krankenhaus

1. Februar 2013 Dr. Raoul- Thomas Herborg virtual solu)on AG

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

Process Management Office Process Management as a Service

IT Governance im Zusammenspiel mit IT Audit

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Datenschutz und Informationssicherheit

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Lösungsansätze-Nicht allein die Firewall macht Unternehmen sicherer. Dipl.-Ing. Dariush Ansari Network Box Deutschland GmbH

Die Rolle der HR-Organisation bei der erfolgreichen Implementierung eines effektiven CMS

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Neun Jahre ISO Zertifizierung. Eine Bilanz in Anlehnung an das BRZ-Reifegradmodell

/2008 siehe Weiterbildung (MCSE und ITIL Service Manager)

Was Sie schon immer über IPS wissen wollten, aber Ihren Hersteller nicht zu fragen wagten

Sicherheits- & Management Aspekte im mobilen Umfeld

Dr.Siegmund Priglinger

ITIL V3 zwischen Anspruch und Realität

ITIL & IT-Sicherheit. Michael Storz CN8

agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht

Ihr Service für Information und Technologie. Gestalten. Sie. mit!

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Executive Information. Der Desktop der Zukunft Überlegungen zur strategischen Ausrichtung der Desktop-Infrastruktur.

Datenschutz im Gesundheitswesen Jeder ist ein (Be)Schützer!

DIENSTLEISTERSTEUERUNG

OPAQ Optimized Processes And Quality

Dieter Brunner ISO in der betrieblichen Praxis

Modul 3: Service Transition Teil 2

Vertragsmanagement mit smartkmu Contract. smartes Vertragsmanagement für effiziente Abläufe

Informationen schützen Ihr Geschäft absichern ConSecur GmbH

ITIL. fyj Springer. Peter T.Köhler. Das IT-Servicemanagement Framework. Mit 209 Abbildungen

End User Manual EveryWare SPAM Firewall

Prof. Dr. Reiner Creutzburg. Fachhochschule Brandenburg, Fachbereich Informatik IT- und Medienforensiklabor PF Brandenburg an der Havel

Industrial Defender Defense in Depth Strategie

MOBILE DEVICE MANAGEMENT BERATUNG Mehr Sicherheit für Ihre Entscheidung

Änderungen ISO 27001: 2013

Test zur Bereitschaft für die Cloud

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Modul 3: Service Transition

SAP und die Cloud. Prof. Dr. Sachar Paulus - Studiendekan Security Management September 2012

Reduzieren der Komplexität ITIL Lite oder ITIL nach Mass?

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

CISA/CISM/CGEIT und die COBIT-Zertifikate

Sicherheits-Audit-Erkenntnisse / Software-as-a-Service TeFo10, World Trade Center Zürich, 21. September 2010

Service Performance Mapping: Reality Check

Vertriebspartner. Wer hat sie nicht gerne.

IT Security Investments 2003

IT-Security Herausforderung für KMU s

» IT-Sicherheit nach Maß «

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

MOBILE APPLIKATIONEN IM TRAVEL MANAGEMENT. Einführung Mobile Applikationen für Geschäftsreisen Eine Handlungsempfehlung VDR Fachausschuss Technologie

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

Malware in Deutschland

Informationssicherheit ein Best-Practice Überblick (Einblick)

Managed Private Cloud Security

L i e f t d en oci l a M d e i di G a uid id l e i lines Dr. Jan Janzen

Mobile Arbeitsplätze Herausforderung an die Mitbestimmung

operational services YoUr it partner

Service Orientierung organisiertes IT Service Management in der BWI IT auf Basis ITIL

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IDV Assessment- und Migration Factory für Banken und Versicherungen

Mobiles SAP für Entscheider. Permanente Verfügbarkeit der aktuellen Unternehmenskennzahlen durch den mobilen Zugriff auf SAP ERP.

Live aus der Cloud. im Kundeneinsatz. Michael Flum Business Development Manager

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Beraterprofil. ( Nur auf expliziten Wunsch des Kunden mit Namen und Lichtbild des Beraters! ) 2015, IT-InfoSec GmbH

Modul 5: Service Transition Teil 1

RISIMA Consulting: Beratung, Planung, Produkte und Services für kleine und mittelständische Unternehmen.

Mobile Device Management. Smartphones und Tablets sicher im Behördennetz einbinden

Sicherheitsaspekte der kommunalen Arbeit

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

IT-Governance und COBIT. DI Eberhard Binder

Transkript:

Information Security Management 11. Unternehmertag der Universität des Saarlandes, 30. September 2013 Aufbau einer Information Security Organisation mit einem schlanken Budget

Agenda 1. Die treibenden Kräfte der Information Security (IS) 2. Information Security Organisation 3. Arbeitsplan für Implementierung der Information Security 4. Erfolgskontrolle CISO Michael Dembeck 2013-09-30 p. 2

CISO Michael Dembeck 2013-09-30 p. 3

Rechtliche Rahmenbedingungen Es gibt rechtliche Anforderungen, die eine IS Organisation erforderlich machen. (Compliance Anforderungen) Compliance Druck mit Nachweisforderung für Information Security: Gesetz Bundesdatenschutzgesetz, KonTraG, SOX Finance - Basel II, Solvency II, MaRisk Im KonTraG ist vor allem 91 Abs. 2 AktG zu nennen: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. CISO Michael Dembeck 2013-09-30 p. 4

Die IS Organisation Information Security Programm Chief Information Security Officer Information Security Team CISO Michael Dembeck 2013-09-30 p. 5

CISO Michael Dembeck 2013-09-30 p. 6

Wen sollten bzw. müssen Sie beteiligen? Executive Management Senior Management Leiter der Business Units Fachabteilungen der IT Rechtsabteilung Einkauf Support IT Spezialisten Interne Revision Betriebsrat Aufsichtsrat Anteilseigner CISO Michael Dembeck 2013-09-30 p. 7

Expertise Kern Expertise: IT Management, IT Know-how, IT Operation, IT Security Management, IT Revision and IT Risk Management Expertise über IS Standards: ISO 27001 and 27002, COBIT, ITIL, NIST 800-53 Standard, BSI Grundschutz, The Risk IT Framework Fachliche Expertise : Firewalls Intrusion Detection / Prevention (IDS/IPS) Identity and Access Management (IAM) Malware und Spam Protection Encryption Virtual Private Networks (IPSec, SSL etc.) Remote access Security Information and Event Management (SIEM) Datenschutz Penetration Testing CISO Michael Dembeck 2013-09-30 p. 8

Wie wird fehlende Expertise erworben? Bauen Sie auf die Experten, die Sie bereits in Ihrer Mannschaft haben. Zertifizierungskurse wie z. B. Certified Information Security Manager (CISM) ISACA Certified Information System Auditor (CISA) ISACA Certified Information System Security Professional (CISSP) ISC 2 COBIT Practitioner ISACA ISO 27001 Lead Implementor / Auditor Certified Ethical Hacker ITIL Literaturstudium CISO Michael Dembeck 2013-09-30 p. 9

CISO Michael Dembeck 2013-09-30 p. 10

Was ist zuerst zu tun? Aufgabenbeschreibung für den Chief Information Security Officer (CISO): Konzeption des Information Security Management Programms Konzeption der IS Organisation Implementierung des Information Security Management Systems Implementierung des Risk Managements Analyse der Information Security Anforderungen und Implementierung der geeigneten Policies Periodische Überprüfung der Security Policies Entwickeln von Security Performance Kennzahlen Überprüfen und Bewerten von Security Technologien Monitoring von Information Security Verletzungen und Einleitung von Gegenmaßnahmen Information Security Awareness Trainings durchführen Abstimmung mit Compliance, Risk Management und Revision CISO Michael Dembeck 2013-09-30 p. 11

Policy Framework Policies und Dokumente hierarchisch strukturieren: Information Security Policy Top Level Policies 2 nd Level Guidelines 3 rd Level CISO Michael Dembeck 2013-09-30 p. 12

INFORMATION SECURITY POLICY BEISPIEL Scope of Document Importance of Information Technology Object and Coverage of the ISP Definitions Information Security Management Owners and Custodians of IT Assets IT Security Principles Permission Corporate Strategy and Methodology for IT Security IT Security as an integral part of IT Awareness to Security Aspects IT Compliance Classification of IT Assets Risk Analysis und Risk Evaluation Protection of IT Assets Commitment to ISP IT System Auditing System Actuality Economic Principle Conflict of Interests Continuous Control and Extrapolation of Security Measures Orientation to international Standards Security Breaches CISO Michael Dembeck 2013-09-30 p. 13

Policy Framework Folgende Bereiche sollten abdeckt werden: Rollenbeschreibung Rollendefinition Benutzer Policy Umgang mit Passwörtern Daten Backup Email Benutzung Netzwerk Benutzung Cloud Security Schutz vor Malware Datenklassifizierung LAN/WLAN Zugang Firewall Remote Access Schutz mobiler Endgeräte Sichere Entsorgung Update und Patch der Betriebssysteme Umgang mit IT Service Provider CISO Michael Dembeck 2013-09-30 p. 14

Policy Framework Schlanke Policies statt Monsterdokument Zielgruppenorientierte Sprache ist sehr wichtig Der Zielgruppe angepasst Unternehmenskultur beachten Auf regionale Kulturunterschiede achten Neue Themen frühzeitig regeln (Cloud, BYOD usw.) CISO Michael Dembeck 2013-09-30 p. 15

Sensibilisierungs Kampagne Verkünden sie ihr Evangelium Tragen Sie die frohe Botschaft in die Welt ihre Unternehmenswelt Zum Beispiel: 10 Gebote der Information Security Merkblatt mit den wichtigsten Punkten aus der Policy Kurzpräsentation pro Policy Newsletter CISO Michael Dembeck 2013-09-30 p. 16

Unbedingt notwendig: Stolperfalle: Klare Management Unterstützung Das macht alles der CISO Praxisgerechte Lösungen Das ist ein Thema der IT Aktive Mitarbeit im Unternehmen Details mit sieben Nachkommastellen Mut (nicht nur zur Lücke) haben Achtung vor Grabenkämpfen Vorausschauen, neue Themen integrieren CISO Michael Dembeck 2013-09-30 p. 17

Erfolgskontrolle Führen Sie eine Erfolgskontrolle durch IT Audit ist die richtige Methode IT Audit ist Bestandteil des PLAN DO CHECK ACT Zyklus IS ist ein Prozess und keine Einzelaktion Überführung in den permanenten Verbesserungsprozess CISO Michael Dembeck 2013-09-30 p. 18

Sicher ist, dass nichts SICHER ist. Selbst das nicht. Joachim Ringelnatz CISO Michael Dembeck 2013-09-30 p. 19

Herzlichen Dank für Ihre Aufmerksamkeit! Fragen? CISO Michael Dembeck 2013-09-30 p. 20

Michael Dembeck Chief Information Security Officer Datenschutzbeauftragter CISM, CISA, COBIT Practitioner Corporate IT Center Grosser Grasbrook 11 13 20457 HAMBURG Tel.: +49 (40) 303 33-3344 Mobile: +49 (172) 445 46 45 michael.dembeck@kuehne-nagel.com CISO Michael Dembeck 2013-09-30 p. 21

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback