Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Information Security Management System as a Service (ISMaaS) BMS Informatik GmbH Formware GmbH l.

Ähnliche Präsentationen


Präsentation zum Thema: "Information Security Management System as a Service (ISMaaS) BMS Informatik GmbH Formware GmbH l."—  Präsentation transkript:

1 Information Security Management System as a Service (ISMaaS) BMS Informatik GmbH Formware GmbH l

2 Agenda. 01. Sicherheitslage 02. ISMS 03. ISMaaS Gezielte Angriffe auf bestimmte Industrie- Zweige haben in 2013 um 91 Prozent zugenommen. Was verbirgt sich hinter einem Informations- sicherheitsmanagement- system? (ISMS) Make ISMS oder Buy ISMS by ISMaas Wie finde ich den richtigen IT-Service- Provider und Cloud- Anwendungen?

3 Formware GmbH - Technologie und Innovation … … für dokumentorientierte Geschäftsprozesse Formware-Kurzprofil Gründung: 1988 Mitarbeiter: ca. 65 Sitz: Nußdorf am Inn Niederlassung: Rosenheim/Ludwigsburg IT-Services & Produkte im Bereich Kundenkommunikation ■ Consulting & Projektmanagement ■ Dokumenten & Output Management ■ Cloud Services ■ Business Process Outsourcing (BPO) IT-Service- Center Managed Services Software Produkte

4 Gezielte Angriffe auf bestimmte Industrie-Zweige haben in 2013 um 91 Prozent zugenommen. Dazu gehörte vor allem die Automobil-Industrie, die 2013 das attraktivste Ziel für Hacker-Angriffe in Deutschland war. Weltweit waren Behörden und Regierungsorganisationen am häufigsten im Visier der Angreifer. Mittelständische Unternehmen mit einer Größe von 251 bis 500 Mitarbeitern sowie Firmen ab Mitarbeitern standen im Fokus von gezielten Angriffen. Kleine bis mittelständische Unternehmen sind nach wie vor ein beliebtes Ziel, da sie oft weniger ausgefeilte Sicherheitssysteme zum Schutz des Netzwerks einsetzen und oftmals als Dienstleister und Zulieferer für größere Unternehmen fungieren. Mit sogenannten Waterhole Attacks * nutzen Hacker sie als Einfallstor zu ihrem eigentlichen Ziel. Im Jahr 2014 gab es allein in Deutschland bisher über DDoS-Angriffe. Nahezu alle Branchen sind von DDoS-Angriffen betroffen. Im Rahmen einer Umfrage der Allianz für Cyber-Sicherheit haben mehr als ein Drittel der befragten Unternehmen angegeben, in den letzten drei Jahren Ziel eines DDoS-Angriffes auf ihre Webseiten gewesen zu sein. Ein Viertel der befragten Unternehmen war von DDoS-Angriffen auf die Netzinfrastruktur betroffen.. * Infizierte Webseiten, die die Mitarbeiter des zu attackierenden Unternehmens sehr wahrscheinlich frequentieren. Sicherheitslage. Quellen: BSI / Symantec

5 Anzahl Unternehmen (D). Beliebte Ziele Im Fokus

6 ISMS. Informationen gibt es in unterschiedlichen Formen Die IT-Sicherheit ist eine Teilmenge der Informationssicherheit und nicht umgedreht Informationssicherheit ist grundsätzlich eine Aufgabe des Managements. Die Einführung und der Betrieb eines ISMS ist Managementaufgabe Digital (IT-Sicherheit, Informatonssicherheit) Sprache (Informations- sicherheit) Papier (Informations- sicherheit) ISO Reihe IT-Sicherheitsgesetz Energiewirtschaftsgesetz Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität Leitlinie zur Informations- sicherheit Aufgaben können deligiert werden ISMS stellt die operative Umsetzung und Kontrolle der Leitlinie sicher. MSI Information(s)Sicherheit(s)Management Das System sollte auf den PDCA-Zyklus (Plan, Do, Check, Act) basieren Plan Erkennen von Verbesserungen Do Testen und praktische Optimierung Check Umsetzung auf breiter Front Act Regelm. Überprüfung S System

7 ISMS by ISMaaS. Make (ISMS) Hosting. Sie müssen im eigenem RZ dafür sorgen, dass die ISMS Datenumgebung sicher ist vor dem Zugriff Dritter. Evtl erfordert dies zusätzliches Know How. 05 Verwaltung. Die operative Integrations und Pflege des ISMS erfolgt meist über unverschlüsselte Wege und Speichermedien. Dadurch wird man sehr leicht zur Zielscheibe für Häcker. 04 Kosten. Zu beginn können die Implementierungs- kosten niedriger sein, jedoch sind häufiger die Folgekosten (Zeit und Kosten) durch Implemetierungsfehler höher. 03 Timeline. Die Implementierung des ISMS in die Organisation und Prozesslandschaft erfordert viel Zeit, wenn die Vorgehensweise nicht erprobt ist. 02 Know How. Es besteht nach wie vor ein Fachkräfte- mangel im Informationssicherheitsbereich. Gute Leute sind teuer und schwer zu finden 01 Know How. Unterstützt durch eine sichere Software- lösung für das Betreiben des ISMS wäre ein Betrieb sogar durch Ihren IT-Dienstleister möglich. 01 Timeline. Eine erprobte Softwarelösung für das Betreiben des ISMS kann die Timeline wesentlich verkürzen. 02 Kosten. In der Implemetierungsphase kann es zu höhren Kosten kommen bezüglich der Anschaffung der Software, jedoch verringert sich meistens der interne Aufwand für die Pflege des ISMS (Zeit, Kosten). 03 Verwaltung. Ein Softwarelösung für die verschlüsselte, zentrale Speicherung und Pflege aller ISMS Unterlagen hilft Ihnen den Überblick zu behalten, über ihre kritischen ISMS Dokumente. 04 Hosting. Ein sichere Cloudumgebung in Deutschland, von einem zertifizierten Provider, sorgt für einen sicheren Betrieb. 05 Buy (ISMaaS) or

8 Buy ISMS by ISMaaS ? Analysephase (auszugsweise) Fragestellungen zur Ermittlung des Ist- Standes und Erstellung einer Entscheidungs- grundlage zur Anbieter-, Software-, Cloudtyp- Auswahl 01 Wieviel Sicherheit benötigt mein Unternehmen bzw. meine Daten? Durchführen einer Risikoanalyse/Schutzbedarfsanalyse Handelt es sich um Auftragsdatenverarbeitung (ADV) gemäß BDSG §11? Welche Maßnahmen / Zertifizierungen sind notwendig bzw. zu empfehlen? Je nach Ergebnis Risikoanalyse/Schutzbedarfsanalyse -> ISO / BSI Grundschutz / Datenschutztestate, etc. Datenschutz-/Sicherheitskonzept auf Basis TOMs §9 BDSG …. Wie finde ich den „richtigen“ IT-Service-Provider bzw. Cloud-Applikation? Vertragliche Gestaltung (Compliance) Zertifizierungen/Gütesiegel/Normen und Standards/etc. SLA-Vereinbarungen, flankierende Regelungen bezüglich Haftung, Kündigung,.. Welchen Cloud-Typ sollte man wählen? -> Public Cloud / Private Cloud / Hybrid Cloud? Wie stellt der IT-SP die Datenintegrität/Vertraulichkeit der sensiblen Daten sicher? ….. Welche Vorteile liegen bei der Nutzung der Services bei der Einführung und im Rahmen des KVP – Prozess? Reduzierung der Aufwände und Kosten für Einführung und KVP-Prozess (intern/extern) Immer aktuelle Anwendung bezüglich datenschutzrechtlicher / gesetzlicher Änderungen/Erweiterungen garantiert (Rückgriff auf Spezialisten - Know How) Vollständige Transparenz bzw. auch Zusammenspiel der relevanten ISMS–Bereiche

9 Framework zur Anbieterauswahl Quelle: Cloud Computing Framework zur Anbieterauswahl (Jonas Repschläger 2013) IT-Sicherheit & Compliance & Datenschutz. Ist einer der wesentlichsten Entscheidungskriterien. Die Daten und Anwendungen müssen sicher verarbeitet, gespeichert und zugreifbar sein. 01 Flexibilität. & Skalierbarkeit & Standardisierung Cloud-Services, -Plattformen und -Anwendungen müssen auf Basis von Standardtechnologien und offenen Kommunikationsschnittstellen einfach, flexibel und skalierbar aufschaltbar und nutzbar sein. 02 Kosten. Eines der wichtigsten Ziele besteht in der Reduzierung der Kosten durch Auslagerung von IT-technischen Geschäftsprozessen, IT- Infrastrukturen und Anwendungen. 03

10 Referenzmodell zur Auswahl Quelle: Cloud Computing Framework zur Anbieterauswahl (Jonas Repschläger 2013) Top Level Anforderunungen. Sicherheit, Vertrauenswürdigkeit, Zuverlässigkeit, Preis-, Abrechnungsmodell, Interoperabilität, Portabilität, Dynamik&Skalierbarkeit, Leistungsumfang, Performance, Service- und Transformations Management, …….. 02 Bewertungskriterium Anbieter-Reputation, -Zertifizierungen, Qualität, SLA, IT-Sicherheitsarchitektur, Dienste-Elastizität, Anbindungskapazitäten, Ausfallsicherheit, BCM- Management, Support, Monitoring, Transparenz, ….. 03 Anbieter- & Dienstkriterium. Funktionalität, Benutzerfreundlichkeit, Preis- Transparenz, Kostenmodelle z.B. abhängig vom Nutzungsgrad, standardisierte Schnittstellen, Portabilität von Daten und Anwend., einfaches Aufschalten, Vertragsverlängerung,-kündigung, Serviceorientierung, …. 04

11 Erfolgskritische Faktoren - Übersicht

12 Referent. Fragen? Formware GmbH Stangenreiterstraße Nußdorf am Inn Peter Schindecker Geschäftsführer Phone: Fax: Mobil: Web:


Herunterladen ppt "Information Security Management System as a Service (ISMaaS) BMS Informatik GmbH Formware GmbH l."

Ähnliche Präsentationen


Google-Anzeigen