Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit als Geschäftsmodell

Veröffentlicht von:Sieglinde Rauth Geändert vor über 10 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Sicherheit als Geschäftsmodell"—  Präsentation transkript:

1 Sicherheit als Geschäftsmodell
Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH

2 Unser heutiges Ziel Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen Einführung in aktuelle Sicherheitsstandards Überblick Security-Markt in Deutschland Status quo: Sicherheitsmanagement in deutschen Unternehmen Ansätze für Dienstleistungen & Produkte in den Bereichen IT- & organisatorische Sicherheit

3 Agenda Teil I Einführung Der Security-Markt in Deutschland
Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen

4 Was ist Informationssicherheit?
<Vortragstitel> Was ist Informationssicherheit? Sicherheitspolitik Sicherheitsprozesse Sicherheitsmanagement IT- Sicherheit Informations- sicherheit Firewalls / Virenschutz IS-Risikomanagement Secure Coding Sicherheitsrichtlinien & -standards Security-Awareness Security-Audits TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

5 Rahmenwerke & Standards im Bereich Informationssicherheit
<Vortragstitel> Rahmenwerke & Standards im Bereich Informationssicherheit ISO / ISO 27001 Internationaler Informationssicherheitsstandard Fokus: Etablierung eines ISMS BSI IT-Grundschutz Nationaler Sicherheitsstandard Empfehlung für (technische) Basis-Sicherheitsmaßnahmen COBIT Control Objectives for Information & related Technologie Modell zur Überwachung & Prüfung der IT ITIL / ISO – Sicherheitsmanagement Sammlung von „Best Practices“ Betrieb von IT-Infrastrukturen TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

6 Informationssicherheits-Management-systeme (ISMS) nach ISO
<Vortragstitel> Informationssicherheits-Management-systeme (ISMS) nach ISO Teil 1: ISO 17799:2005 Leitfaden zum Management von Informationssicherheit Best Practices Teil 2: ISO 27001:2005 Spezifikation für ISMS für Unternehmen (Anforderungen) Grundlage für die Zertifizierung von ISMS Anwendbar für alle Industriezweige und alle Arten sowie Ausprägungen von Unternehmen 11 Themenbereiche / 39 Sicherheitsziele/ 133 Maßnahmen im verbindlichen Anhang A Ständige Überwachung und Weiterentwicklung des ISMS ist explizit gefordert (PDCA-Zyklus) Beispiel TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

7 ISO 27001: Controls im Anhang A
A.5 - Security Policy A.6 – Organization of Information Security A.7 – Asset Management A.8 – Human Ressources Security A.9 – Physical and Environment Security A.10 – Communication and Operations Management A.12 – Information Systems acquisition, development and maintenance A.11 – Access Control A.13 – Information Security Incident Management A.14 - Business Continuity Management A.15 - Compliance

8 <Vortragstitel>
BSI IT-Grundschutz Neugliederung des IT-Grundschutzes BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement IT-Grundschutz Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen BSI Standard 100-1 ISMS: Managementsysteme für Informationssicherheit BSI Standard 100-2 IT-Grundschutz Vorgehensweise Baustein-Kataloge Kap.B1 „Übergreifende Aspekte“ Kap. B1.0 IT-Sicherheitsmgnt. Kap. B2 „Infrastruktur“ Kap. B3 „IT-Systeme“ Kap. B4 „Netze“ Kap. B5 „IT-Anwendungen Gefährdungs-Kataloge Maßnahmen-Kataloge BSI Standard 100-3 Risikoanalyse auf Basis von IT-Grundschutz Zertifizierung nach ISO auf der Basis von IT-Grundschutz Prüfschema für ISO Audits TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

9 Aufbau der IT-Grundschutz-Kataloge
Bis 2004 Neu ab 2005 BSI-Standards & Loseblattsammlung Beispiel

10 Neue organisatorische Anforderungen: Global regulatory compliance
<Vortragstitel> Neue organisatorische Anforderungen: Global regulatory compliance Canadian Electronic Evidence Act Basel II Capital Accord SEC 17a-4 (USA) Electronic Ledger Storage Law (Japan) HIPAA (USA) 11MEDIS-DC (Japan) ISO 18501/18509 AIPA (Italy) FDA 21 CRF Part 11 GDPdU & GoBS (Germany) NF Z (France) Sarbanes-Oxley Act (USA) Public Records Office (UK) Financial Services Authority (UK) BSI PD0008 (UK) TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

11 Compliance-Vorgaben in Deutschland
<Vortragstitel> Compliance-Vorgaben in Deutschland Compliance-Vorgaben Risikoabsicherung, Versicherungen, Eigenkapital (Basel II) Auskunft- und Nachweispflichten (GoBS/BMF, HGB, Steuerrecht, ...) Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (AktG/KonTraG) Datenschutz (Teledienstedatenschutz, Informations- u. Kommunikationsdienstegesetz) Allgemeine Geheimhaltungspflichten / Bankgeheimnis (KWG) Compliance-Vorgaben müssen in der IT abgebildet werden  IT-Governance TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

12 Praxisbeispiel: Gesetzliche/rechtliche Anforderungen
<Vortragstitel> Praxisbeispiel: Gesetzliche/rechtliche Anforderungen Private Mails: Was darf der Arbeitgeber? MÜNCHEN (COMPUTERWOCHE) – Wer als Arbeitgeber die private Nutzung von Internet und am Arbeitsplatz gestattet, wird Rechtlich mit „normalen“ Anbietern von telekommunikationsdiensten (TK-Diensten) nach dem Telekommunikationsgesetz (TKG) Gleichgesetzt – mit unvorhergesehenen Konsequenzen. § 276 BGB – Organisationsverschulden / Schadensersatzansprüche § 202a StGB – Ausspähen von Daten § 303b StGB – Computersabotage § 3 TKG – Definition Diensteanbieter § 4 TDDSG – Pflichten des Diensteanbieters § 8 TDG, z.B. Haftung bei illegalen Inhalten im Internet u.v.m. Beispiel TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

13 Die Rechtslage …

14 Agenda Teil I Einführung Der Security-Markt in Deutschland
Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen

15 Der Security-Markt (D) – Zahlen & Daten Typische Sicherheitsprobleme
Quelle: siliconDEStudie_IT_Sicherheit2005

16 Der Security-Markt (D) – Zahlen & Daten Eingesetzte Sicherheits-Technologien
Quelle: siliconDEStudie_IT_Sicherheit2005

17 Der Security-Markt (D) – Zahlen & Daten Security-Ausgaben in % des IT-Budget
Quelle: siliconDEStudie_IT_Sicherheit2005

18 Der Security-Markt – Zahlen & Daten Planungen für das Jahr 2006
Quelle: InformationWeek, IT-Security 2005

19 Agenda Teil I Einführung Der Security-Markt in Deutschland
Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische „Bauchschmerzen“ eines Sicherheitsverantwortlichen

20 Statusbericht: Sicherheit in großen & mittelständischen Unternehmen
<Vortragstitel> Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen Theorie: Security hat oberste Priorität Praxis: Wellenbewegung, wenn oben, dann stark IT-technisch orientiert Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Physische Sicherheit Gebäude- und Zugangsschutz IT-Sicherheit State-of-the-Art Produkte & Technologien Organisatorische Sicherheit Risiko-Management, Sicherheits-Richtlinien, Security Awareness TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

21 Statusbericht: Sicherheit in großen & mittelständischen Unternehmen
<Vortragstitel> Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen Theorie: Security hat oberste Priorität Praxis: Wellenbewegung – wenn, dann stark IT-technisch orientiert Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Vorstand Chief Security Officer Physical IT - Organisational Chief Security Officer Datenschutz beauftragter Physische Sicherheit IT-Sicherheit Organisatorische Sicherheit Sicherheitsmanagement Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.) TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

22 Statusbericht: Sicherheit in großen & mittelständischen Unternehmen
Sicherheitsmanagement Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.) Bildung von virtuellen Teams (z.B. IT, Personal, Recht, Gebäude, BR …) Achtung! Rollenkonflikte! IT-Abteilung Security Datenschutz

23 Zusammenfassung des Status Quo
<Vortragstitel> Zusammenfassung des Status Quo ? Stellenwert des Themas Sicherheit schwankt Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Häufig Rollenkonflikte im Sicherheitsmanagement Bei wem platziere ich welches Thema? TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

24 Die Top „Bauchschmerzen“ eines CSO
Sensibilisierung Geschäftsleitung / Vorstand Security Governance Mitarbeiter Awareness Komplexität IT-Sicherheit

25 Die Top „Bauchschmerzen“ eines CSO
<Vortragstitel> Die Top „Bauchschmerzen“ eines CSO Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Wie rechtfertigen Sie Sicherheitsinvestitionen? Deutschland USA TechNet Roadshow zum Windows Server System: Migration, Deployment und Sicherheit

26 Die Top „Bauchschmerzen“ eines CSO
Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit) Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung Gesetze BDSG, TDDSG, TDG HGB, AktG, GmbHG, KontraG UrhG BGB, StGB Richtlinien Basel II PS330 ITIL Sicherheitsstandards BSI ISO 27001 ITSEC / CC

27 Die Top „Bauchschmerzen“ eines CSO
Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit) Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & ) Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance

28 Gratwanderung der Sicherheit
Secure Choose any two! Usable Cheap

29 Die Top „Bauchschmerzen“ eines CSO
Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit) Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen  Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & ) Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance IT-Sicherheit Patchmanagement, System-Hardening, Application-Security Incident-Handling & Notfall-Management

30 Pause

Herunterladen ppt "Sicherheit als Geschäftsmodell"

Ähnliche Präsentationen

INTOSAI-Richtlinien für die Finanzkontrolle (ISSAI )

INTOSAI-Richtlinien für die Finanzkontrolle (ISSAI )
Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Juristische Aspekte der IT-Sicherheit

Juristische Aspekte der IT-Sicherheit
SOX - Ganymed & GoBScape

SOX - Ganymed & GoBScape
Die Region Das weltweite Internet Die Chancen Regionale Versorgung mit schnellen Internet-Verbindungen 11. April 2006 Jürgen Herrmann.

Die Region Das weltweite Internet Die Chancen Regionale Versorgung mit schnellen Internet-Verbindungen 11. April 2006 Jürgen Herrmann.
Agenda Einleitung Risiken und Gefahren Vorbeugung

Agenda Einleitung Risiken und Gefahren Vorbeugung
Modell der Verfahrensdokumentation für die E-Buchführung

Modell der Verfahrensdokumentation für die E-Buchführung
IT-Sicherheit macht Schule in NRW Thomas Faber Landesinitiative »secure-it.nrw« Neuss, 30. November 2005.

IT-Sicherheit macht Schule in NRW Thomas Faber Landesinitiative »secure-it.nrw« Neuss, 30. November 2005.
1 5. Update-Tage Dokumententechnologien Agenda 2009 PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße 17 20251 Hamburg.

1 5. Update-Tage Dokumententechnologien Agenda 2009 PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH Breitenfelder Straße Hamburg.
Thema: Sicherheitsarchitektur für mobiles Arbeiten

Thema: Sicherheitsarchitektur für mobiles Arbeiten
Private Cloud Services für Ihr Geschäft

Private Cloud Services für Ihr Geschäft
Design- und Entwicklungswerkzeuge

Design- und Entwicklungswerkzeuge
Wertorientiertes BPM Christian Kuhn Vorstand HRW Consulting

Wertorientiertes BPM Christian Kuhn Vorstand HRW Consulting
Andreas Emhart - Alegri International Service

Andreas Emhart - Alegri International Service
Sicherheit als Geschäftsmodell

Sicherheit als Geschäftsmodell
Vorlesung Gesamtbanksteuerung Operationelle Risiken

Vorlesung Gesamtbanksteuerung Operationelle Risiken
Ulrich Kähler, DFN-Verein

Ulrich Kähler, DFN-Verein
Corporate Citizenship – Teil 1

Corporate Citizenship – Teil 1
Mit Condat-Effekt. Mobile Business we make IT berlinbrandenburg XML-Tage 2005: E-Learningforum Blended Learning in der Praxis (2)

Mit Condat-Effekt. Mobile Business we make IT berlinbrandenburg XML-Tage 2005: E-Learningforum Blended Learning in der Praxis (2)
Enterprise Protection Betriebskonzept IT Security –

Enterprise Protection Betriebskonzept IT Security –

Ähnliche Präsentationen

Google-Anzeigen