Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Sicherheit als Geschäftsmodell Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH

Ähnliche Präsentationen


Präsentation zum Thema: "Sicherheit als Geschäftsmodell Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH"—  Präsentation transkript:

1 Sicherheit als Geschäftsmodell Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH

2 Unser heutiges Ziel Neue Geschäftspotentiale durch innovative Security-Produkte & -lösungen Einführung in aktuelle Sicherheitsstandards Überblick Security-Markt in Deutschland Status quo: Sicherheitsmanagement in deutschen Unternehmen Ansätze für Dienstleistungen & Produkte in den Bereichen IT- & organisatorische Sicherheit

3 Agenda Teil I Einführung Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische Bauchschmerzen eines Sicherheitsverantwortlichen

4 Informations- sicherheit IT- Sicherheit Secure Coding Sicherheitsmanagement Security-Audits Security-Awareness IS-Risikomanagement Sicherheitspolitik Sicherheitsrichtlinien & -standards Firewalls / Virenschutz Sicherheitsprozesse Was ist Informationssicherheit? … …

5 Rahmenwerke & Standards im Bereich Informationssicherheit ISO / ISO Internationaler Informationssicherheitsstandard Fokus: Etablierung eines ISMS BSI IT-Grundschutz Nationaler Sicherheitsstandard Empfehlung für (technische) Basis-Sicherheitsmaßnahmen COBIT Control Objectives for Information & related Technologie Modell zur Überwachung & Prüfung der IT ITIL / ISO – Sicherheitsmanagement Sammlung von Best Practices Betrieb von IT-Infrastrukturen

6 Informationssicherheits-Management- systeme (ISMS) nach ISO Teil 1: ISO 17799:2005 Leitfaden zum Management von Informationssicherheit Best Practices Teil 2: ISO 27001:2005 Spezifikation für ISMS für Unternehmen (Anforderungen) Grundlage für die Zertifizierung von ISMS Anwendbar für alle Industriezweige und alle Arten sowie Ausprägungen von Unternehmen 11 Themenbereiche / 39 Sicherheitsziele/ 133 Maßnahmen im verbindlichen Anhang A Ständige Überwachung und Weiterentwicklung des ISMS ist explizit gefordert (PDCA-Zyklus)

7 ISO 27001: Controls im Anhang A A.5 - Security Policy A.6 – Organization of Information Security A.7 – Asset Management A.14 - Business Continuity Management A.13 – Information Security Incident Management A.12 – Information Systems acquisition, development and maintenance A.10 – Communication and Operations Management A.9 – Physical and Environment Security A.8 – Human Ressources Security A.15 - Compliance A.11 – Access Control

8 Neugliederung des IT-Grundschutzes BSI IT-Grundschutz BSI Standard IT-Grundschutz Vorgehensweise BSI Standard Risikoanalyse auf Basis von IT- Grundschutz Zertifizierung nach ISO auf der Basis von IT-Grundschutz Prüfschema für ISO Audits BSI Standard ISMS: Managementsysteme für Informationssicherheit BSI-Standards zur IT-Sicherheit - Bereich IT-Sicherheitsmanagement IT-Grundschutz Kataloge Kapitel 1: Einleitung Kapitel 2: Schichtenmodell und Modellierung Kapitel 3: Glossar Kapitel 4: Rollen -Baustein-Kataloge -Kap.B1 Übergreifende Aspekte -Kap. B1.0 IT-Sicherheitsmgnt. -Kap. B2 Infrastruktur -Kap. B3 IT-Systeme -Kap. B4 Netze -Kap. B5 IT-Anwendungen -Gefährdungs-Kataloge -Maßnahmen-Kataloge

9 Aufbau der IT-Grundschutz-Kataloge Bis 2004 Neu ab 2005 BSI-Standards & Loseblattsammlung

10 Neue organisatorische Anforderungen: Global regulatory compliance Electronic Ledger Storage Law (Japan) 11MEDIS-DC (Japan) Canadian Electronic Evidence Act SEC 17a-4 (USA) HIPAA (USA) FDA 21 CRF Part 11 ISO 18501/18509 Sarbanes-Oxley Act (USA) AIPA (Italy) GDPdU & GoBS (Germany) BSI PD0008 (UK) Public Records Office (UK) NF Z (France) Financial Services Authority (UK) Basel II Capital Accord

11 Risikoabsicherung, Versicherungen, Eigenkapital (Basel II) Auskunft- und Nachweispflichten (GoBS/BMF, HGB, Steuerrecht,...) Gesetz zur Kontrolle und Transparenz in Unternehmensbereichen (AktG/KonTraG) Datenschutz (Teledienstedatenschutz, Informations- u. Kommunikationsdienstegesetz) Allgemeine Geheimhaltungspflichten / Bankgeheimnis (KWG) Compliance-Vorgaben Compliance-Vorgaben in Deutschland Compliance-Vorgaben müssen in der IT abgebildet werden IT-Governance

12 § 276 BGB – Organisationsverschulden / Schadensersatzansprüche § 202a StGB – Ausspähen von Daten § 303b StGB – Computersabotage § 3 TKG – Definition Diensteanbieter § 4 TDDSG – Pflichten des Diensteanbieters § 8 TDG, z.B. Haftung bei illegalen Inhalten im Internet u.v.m. Praxisbeispiel: Gesetzliche/rechtliche Anforderungen Private Mails: Was darf der Arbeitgeber? MÜNCHEN (COMPUTERWOCHE) – Wer als Arbeitgeber die private Nutzung von Internet und am Arbeitsplatz gestattet, wird Rechtlich mit normalen Anbietern von telekommunikationsdiensten (TK-Diensten) nach dem Telekommunikationsgesetz (TKG) Gleichgesetzt – mit unvorhergesehenen Konsequenzen.

13 Die Rechtslage …

14 Agenda Teil I Einführung Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische Bauchschmerzen eines Sicherheitsverantwortlichen

15 Der Security-Markt (D) – Zahlen & Daten Typische Sicherheitsprobleme Quelle: siliconDEStudie_IT_Sicherheit2005

16 Der Security-Markt (D) – Zahlen & Daten Eingesetzte Sicherheits-Technologien Quelle: siliconDEStudie_IT_Sicherheit2005

17 Der Security-Markt (D) – Zahlen & Daten Security-Ausgaben in % des IT-Budget Quelle: siliconDEStudie_IT_Sicherheit2005

18 Der Security-Markt – Zahlen & Daten Planungen für das Jahr 2006 Quelle: InformationWeek, IT-Security 2005

19 Agenda Teil I Einführung Sicherheitsrahmenwerke & -standards Gesetzliche Vorgaben Der Security-Markt in Deutschland Aktuelle Zahlen & Daten Trends Das Geschäft mit der Angst – How to sell Security? Stellenwert der Sicherheit im Unternehmen Relevante Ansprechpartner beim Kunden Typische Bauchschmerzen eines Sicherheitsverantwortlichen

20 Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen Theorie: Security hat oberste Priorität Praxis: Wellenbewegung, wenn oben, dann stark IT-technisch orientiert Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Organisatorische Sicherheit Risiko-Management, Sicherheits-Richtlinien, Security Awareness IT-Sicherheit State-of-the-Art Produkte & Technologien Physische Sicherheit Gebäude- und Zugangsschutz

21 Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Stellenwert im Unternehmen Theorie: Security hat oberste Priorität Praxis: Wellenbewegung – wenn, dann stark IT- technisch orientiert Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Sicherheitsmanagement Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.) Vorstand ChiefSecurityOfficer PhysicalSecurityIT-SecurityOrganisationalSecurity … Vorstand Chief Security Officer Datenschutz beauftragter Physische Sicherheit IT-Sicherheit Organisatorische Sicherheit

22 Statusbericht: Sicherheit in großen & mittelständischen Unternehmen Sicherheitsmanagement Ernennung eines dedizierten Verantwortlichen (z.B. CSO, CISO etc.) Bildung von virtuellen Teams (z.B. IT, Personal, Recht, Gebäude, BR …) Achtung! Rollenkonflikte! IT-AbteilungSecurity Datenschutz

23 ? Zusammenfassung des Status Quo Stellenwert des Themas Sicherheit schwankt Ganzheitliche Sicherheit rückt immer mehr in den Vordergrund Häufig Rollenkonflikte im Sicherheitsmanagement Bei wem platziere ich welches Thema?

24 Die Top Bauchschmerzen eines CSO Sensibilisierung Geschäftsleitung / Vorstand Security Governance Mitarbeiter Awareness Komplexität IT-Sicherheit

25 Die Top Bauchschmerzen eines CSO Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Wie rechtfertigen Sie Sicherheitsinvestitionen? Deutschland USA

26 Die Top Bauchschmerzen eines CSO Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit) Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen Haftung Sicherheitsstandards BSI ISO ITSEC / CC Gesetze BDSG, TDDSG, TDG HGB, AktG, GmbHG, KontraG UrhG BGB, StGB Richtlinien Basel II PS330 ITIL

27 Die Top Bauchschmerzen eines CSO Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit) Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & ) Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance

28 Gratwanderung der Sicherheit Secure Usable Cheap Choose any two!

29 Die Top Bauchschmerzen eines CSO Sensibilisierung Geschäftsleitung / Vorstand Rechtfertigung Security-Budget (ROSI) Schwieriges Security-Reporting (Messbarkeit) Security Governance Einhaltung gesetzlicher & rechtlicher Anforderungen Haftung Interne Richtlinien (z.B. Privatnutzung von Internet & ) Mitarbeiter Awareness Herausforderung, alle Mitarbeiter entsprechend zu sensibilisieren Akzeptanz Security vs. Usability, Functionality, Performance IT-Sicherheit Patchmanagement, System-Hardening, Application-Security Incident-Handling & Notfall-Management

30 Pause


Herunterladen ppt "Sicherheit als Geschäftsmodell Michael Hochenrieder Senior Security Consultant HvS-Consulting GmbH"

Ähnliche Präsentationen


Google-Anzeigen