Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Information Security Management System as a Service (ISMaaS)

Veröffentlicht von:Bernd Heinrich Geändert vor über 8 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Information Security Management System as a Service (ISMaaS)"—  Präsentation transkript:

1 Information Security Management System as a Service (ISMaaS)
l Information Security Management System as a Service (ISMaaS) BMS Informatik GmbH Formware GmbH 1

2 01. 02. 03. Agenda. Sicherheitslage ISMS ISMaaS
Gezielte Angriffe auf bestimmte Industrie-Zweige haben in 2013 um 91 Prozent zugenommen. Was verbirgt sich hinter einem Informations-sicherheitsmanagement-system? (ISMS) Make ISMS oder Buy ISMS by ISMaas Wie finde ich den richtigen IT-Service-Provider und Cloud-Anwendungen?

3 Formware GmbH - Technologie und Innovation …
… für dokumentorientierte Geschäftsprozesse Formware-Kurzprofil Gründung: 1988 Mitarbeiter: ca. 65 Sitz: Nußdorf am Inn Niederlassung: Rosenheim/Ludwigsburg IT-Services & Produkte im Bereich Kundenkommunikation Consulting & Projektmanagement Dokumenten & Output Management Cloud Services Business Process Outsourcing (BPO) Software Produkte IT-Service-Center Managed Services

4 Sicherheitslage. Quellen: BSI / Symantec
Gezielte Angriffe auf bestimmte Industrie-Zweige haben in 2013 um 91 Prozent zugenommen. Dazu gehörte vor allem die Automobil-Industrie, die 2013 das attraktivste Ziel für Hacker-Angriffe in Deutschland war. Weltweit waren Behörden und Regierungsorganisationen am häufigsten im Visier der Angreifer. Mittelständische Unternehmen mit einer Größe von 251 bis 500 Mitarbeitern sowie Firmen ab 2.500 Mitarbeitern standen im Fokus von gezielten Angriffen. Kleine bis mittelständische Unternehmen sind nach wie vor ein beliebtes Ziel, da sie oft weniger ausgefeilte Sicherheitssysteme zum Schutz des Netzwerks einsetzen und oftmals als Dienstleister und Zulieferer für größere Unternehmen fungieren. Mit sogenannten Waterhole Attacks * nutzen Hacker sie als Einfallstor zu ihrem eigentlichen Ziel. Im Jahr 2014 gab es allein in Deutschland bisher über DDoS-Angriffe. Nahezu alle Branchen sind von DDoS-Angriffen betroffen. Im Rahmen einer Umfrage der Allianz für Cyber-Sicherheit haben mehr als ein Drittel der befragten Unternehmen angegeben, in den letzten drei Jahren Ziel eines DDoS-Angriffes auf ihre Webseiten gewesen zu sein. Ein Viertel der befragten Unternehmen war von DDoS-Angriffen auf die Netzinfrastruktur betroffen.. * Infizierte Webseiten, die die Mitarbeiter des zu attackierenden Unternehmens sehr wahrscheinlich frequentieren.

5 Anzahl Unternehmen (D).
Beliebte Ziele Im Fokus

6 I S M S ISMS. Information(s) Sicherheit(s) Management System
Informationen gibt es in unterschiedlichen Formen Die IT-Sicherheit ist eine Teilmenge der Informationssicherheit und nicht umgedreht Informationssicherheit ist grundsätzlich eine Aufgabe des Managements. Die Einführung und der Betrieb eines ISMS ist Managementaufgabe Das System sollte auf den PDCA-Zyklus (Plan, Do, Check, Act) basieren Digital (IT-Sicherheit, Informatonssicherheit) Sprache (Informations- sicherheit) Papier (Informations- sicherheit) ISO Reihe IT-Sicherheitsgesetz Energiewirtschaftsgesetz Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität Leitlinie zur Informations- sicherheit Aufgaben können deligiert werden ISMS stellt die operative Umsetzung und Kontrolle der Leitlinie sicher. Plan Erkennen von Verbesserungen Do Testen und praktische Optimierung Check Umsetzung auf breiter Front Act Regelm. Überprüfung

7 ISMS by ISMaaS. 01 05 02 04 03 03 04 02 05 01 or Make (ISMS)
Buy (ISMaaS) 01 05 Es besteht nach wie vor ein Fachkräfte-mangel im Informationssicherheitsbereich. Gute Leute sind teuer und schwer zu finden Ein sichere Cloudumgebung in Deutschland, von einem zertifizierten Provider, sorgt für einen sicheren Betrieb. Know How. Hosting. 02 04 Die Implementierung des ISMS in die Organisation und Prozesslandschaft erfordert viel Zeit, wenn die Vorgehensweise nicht erprobt ist. Ein Softwarelösung für die verschlüsselte, zentrale Speicherung und Pflege aller ISMS Unterlagen hilft Ihnen den Überblick zu behalten, über ihre kritischen ISMS Dokumente. Timeline. Verwaltung. 03 03 Zu beginn können die Implementierungs-kosten niedriger sein, jedoch sind häufiger die Folgekosten (Zeit und Kosten) durch Implemetierungsfehler höher. In der Implemetierungsphase kann es zu höhren Kosten kommen bezüglich der Anschaffung der Software, jedoch verringert sich meistens der interne Aufwand für die Pflege des ISMS (Zeit, Kosten). Kosten. Kosten. 04 02 Die operative Integrations und Pflege des ISMS erfolgt meist über unverschlüsselte Wege und Speichermedien. Dadurch wird man sehr leicht zur Zielscheibe für Häcker. Eine erprobte Softwarelösung für das Betreiben des ISMS kann die Timeline wesentlich verkürzen. Verwaltung. Timeline. 05 01 Sie müssen im eigenem RZ dafür sorgen, dass die ISMS Datenumgebung sicher ist vor dem Zugriff Dritter. Evtl erfordert dies zusätzliches Know How. Unterstützt durch eine sichere Software-lösung für das Betreiben des ISMS wäre ein Betrieb sogar durch Ihren IT-Dienstleister möglich. Hosting. Know How.

8 Buy ISMS by ISMaaS ? 01 Analysephase (auszugsweise)
Fragestellungen zur Ermittlung des Ist-Standes und Erstellung einer Entscheidungs-grundlage zur Anbieter-, Software-, Cloudtyp-Auswahl Analysephase (auszugsweise) Wieviel Sicherheit benötigt mein Unternehmen bzw. meine Daten? Durchführen einer Risikoanalyse/Schutzbedarfsanalyse Handelt es sich um Auftragsdatenverarbeitung (ADV) gemäß BDSG §11? Welche Maßnahmen / Zertifizierungen sind notwendig bzw. zu empfehlen? Je nach Ergebnis Risikoanalyse/Schutzbedarfsanalyse -> ISO / BSI Grundschutz / Datenschutztestate, etc. Datenschutz-/Sicherheitskonzept auf Basis TOMs §9 BDSG …. Wie finde ich den „richtigen“ IT-Service-Provider bzw. Cloud-Applikation? Vertragliche Gestaltung (Compliance) Zertifizierungen/Gütesiegel/Normen und Standards/etc. SLA-Vereinbarungen, flankierende Regelungen bezüglich Haftung, Kündigung, .. Welchen Cloud-Typ sollte man wählen? -> Public Cloud / Private Cloud / Hybrid Cloud? Wie stellt der IT-SP die Datenintegrität/Vertraulichkeit der sensiblen Daten sicher? ….. Welche Vorteile liegen bei der Nutzung der Services bei der Einführung und im Rahmen des KVP – Prozess? Reduzierung der Aufwände und Kosten für Einführung und KVP-Prozess (intern/extern) Immer aktuelle Anwendung bezüglich datenschutzrechtlicher / gesetzlicher Änderungen/Erweiterungen garantiert (Rückgriff auf Spezialisten - Know How) Vollständige Transparenz bzw. auch Zusammenspiel der relevanten ISMS–Bereiche CC-Framework für die Entscheidungsfindung auf Basis von wirtschaftlichen, technischen und rechtlichen Parametern müssen unternehmensbezogen/geschäftsprozessbezogen bewertet und priorisiert werden. Das Vorgehensmodell besteht aus 4 Stufen Cloud Zieldimension Top Level Anforderungen Bewertungskriterium Anbieter- und Dienstkriterium

9 Framework zur Anbieterauswahl
IT-Sicherheit & Compliance & Datenschutz. Ist einer der wesentlichsten Entscheidungskriterien. Die Daten und Anwendungen müssen sicher verarbeitet, gespeichert und zugreifbar sein. 01 Flexibilität. & Skalierbarkeit & Standardisierung Cloud-Services, -Plattformen und -Anwendungen müssen auf Basis von Standardtechnologien und offenen Kommunikationsschnittstellen einfach, flexibel und skalierbar aufschaltbar und nutzbar sein. 02 CC-Framework für die Entscheidungsfindung auf Basis von wirtschaftlichen, technischen und rechtlichen Parametern müssen unternehmensbezogen/geschäftsprozessbezogen bewertet und priorisiert werden. Anbei die 3 wesentlichen Entscheidungskriterien (auf Basis von Studien der TU Berlin, Bitkom-, eco-Whitepapers, etc.) ……. Mehr Infos bitte im Internet unter eco, Bitkom, etc. ……. Kosten. Eines der wichtigsten Ziele besteht in der Reduzierung der Kosten durch Auslagerung von IT-technischen Geschäftsprozessen, IT-Infrastrukturen und Anwendungen. 03 Quelle: Cloud Computing Framework zur Anbieterauswahl (Jonas Repschläger 2013)

10 Referenzmodell zur Auswahl
Top Level Anforderunungen . Sicherheit, Vertrauenswürdigkeit, Zuverlässigkeit, Preis-, Abrechnungsmodell, Interoperabilität, Portabilität, Dynamik&Skalierbarkeit, Leistungsumfang, Performance, Service- und Transformations Management, …….. 02 Bewertungskriterium Anbieter-Reputation, -Zertifizierungen, Qualität, SLA, IT-Sicherheitsarchitektur, Dienste-Elastizität, Anbindungskapazitäten, Ausfallsicherheit, BCM-Management, Support, Monitoring, Transparenz, ….. 03 CC-Framework für die Entscheidungsfindung auf Basis von wirtschaftlichen, technischen und rechtlichen Parametern müssen unternehmensbezogen/geschäftsprozessbezogen bewertet und priorisiert werden. Das Vorgehensmodell besteht aus 4 Stufen Cloud Zieldimension Top Level Anforderungen Bewertungskriterium Anbieter- und Dienstkriterium Anbieter- & Dienstkriterium. Funktionalität, Benutzerfreundlichkeit, Preis-Transparenz, Kostenmodelle z.B. abhängig vom Nutzungsgrad, standardisierte Schnittstellen, Portabilität von Daten und Anwend., einfaches Aufschalten, Vertragsverlängerung,-kündigung, Serviceorientierung, …. 04 Quelle: Cloud Computing Framework zur Anbieterauswahl (Jonas Repschläger 2013)

11 Erfolgskritische Faktoren - Übersicht
CC-Framework für die Entscheidungsfindung auf Basis von wirtschaftlichen, technischen und rechtlichen Parametern müssen unternehmensbezogen/geschäftsprozessbezogen bewertet und priorisiert werden. Das Vorgehensmodell besteht aus 4 Stufen Cloud Zieldimension Top Level Anforderungen Bewertungskriterium Anbieter- und Dienstkriterium

12 Referent. Fragen? Formware GmbH Peter Schindecker
Stangenreiterstraße 2 83131 Nußdorf am Inn Peter Schindecker Geschäftsführer Phone: Fax: Mobil: Web:  Fragen?

Herunterladen ppt "Information Security Management System as a Service (ISMaaS)"

Ähnliche Präsentationen

V-Modell XT - Ein Überblick

V-Modell XT - Ein Überblick
Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.

Verwendungszweck: Diese Folien dienen zur Unterstützung von Microsoft Dynamics NAV-Vertriebsmitarbeitern und -Partnern für Produktpräsentationen beim Kunden.
Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell
Lizenzmodelle Miete der Software ASP Nutzungslizenz.

Lizenzmodelle Miete der Software ASP Nutzungslizenz.
Enterprise Resource Planning

Enterprise Resource Planning
Fachgerechte Bereitstellung von Geoinformationen mit Service- orientierten Infrastrukturen Niklas Panzer - PRO DV Software AG Wachtberg 24. September 2008.

Fachgerechte Bereitstellung von Geoinformationen mit Service- orientierten Infrastrukturen Niklas Panzer - PRO DV Software AG Wachtberg 24. September 2008.
Mit Condat-Effekt. Mobile Business we make IT berlinbrandenburg XML-Tage 2005: E-Learningforum Blended Learning in der Praxis (2)

Mit Condat-Effekt. Mobile Business we make IT berlinbrandenburg XML-Tage 2005: E-Learningforum Blended Learning in der Praxis (2)
Rational Unified Process (RUP) - Definitionen

Rational Unified Process (RUP) - Definitionen
Wirtschaftsinformatik Göppingen – WF5 Enterprise Projektmanagement undDokumentenmanagement M. Feil | C. Kehrle | J. Buhleier.

Wirtschaftsinformatik Göppingen – WF5 Enterprise Projektmanagement undDokumentenmanagement M. Feil | C. Kehrle | J. Buhleier.
eXtreme Programming (XP)

eXtreme Programming (XP)
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.

Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Gesundes Führen lohnt sich !

Gesundes Führen lohnt sich !
IBM Workplace Forms - In Kürze © 2007 IBM Corporation XML basierte elektronische Formulare: Effizienzsteigerung und Kostenreduktion durch Automatisierung.

IBM Workplace Forms - In Kürze © 2007 IBM Corporation XML basierte elektronische Formulare: Effizienzsteigerung und Kostenreduktion durch Automatisierung.
Web Services für die Integration von Geschäftsprozessen Technologie – Entwicklung – Umsetzung Charles Clavadetscher, Swisscom Innovations Köln, 29.06.2006.

Web Services für die Integration von Geschäftsprozessen Technologie – Entwicklung – Umsetzung Charles Clavadetscher, Swisscom Innovations Köln,
Datensicherheit und Compliance

Datensicherheit und Compliance
Norman SecureBox Synchronisieren * Speichern * Teilen* Zusammenarbeiten Sicherer Cloud-Speicher für Unternehmen.

Norman SecureBox Synchronisieren * Speichern * Teilen* Zusammenarbeiten Sicherer Cloud-Speicher für Unternehmen.
Synergieeffekte durch softwaregestützte Prozessmodelle

Synergieeffekte durch softwaregestützte Prozessmodelle
Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.

Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.
Microsoft Cloud OS Auf dem Weg zum optimierten Rechenzentrum

Microsoft Cloud OS Auf dem Weg zum optimierten Rechenzentrum
Formular- und Dokumentenarchivierung

Formular- und Dokumentenarchivierung

Ähnliche Präsentationen

Google-Anzeigen