Information Security Management System as a Service (ISMaaS) l Information Security Management System as a Service (ISMaaS) BMS Informatik GmbH Formware GmbH 1

01. 02. 03. Agenda. Sicherheitslage ISMS ISMaaS Gezielte Angriffe auf bestimmte Industrie-Zweige haben in 2013 um 91 Prozent zugenommen. Was verbirgt sich hinter einem Informations-sicherheitsmanagement-system? (ISMS) Make ISMS oder Buy ISMS by ISMaas Wie finde ich den richtigen IT-Service-Provider und Cloud-Anwendungen?

Formware GmbH - Technologie und Innovation … … für dokumentorientierte Geschäftsprozesse Formware-Kurzprofil Gründung: 1988 Mitarbeiter: ca. 65 Sitz: Nußdorf am Inn Niederlassung: Rosenheim/Ludwigsburg IT-Services & Produkte im Bereich Kundenkommunikation Consulting & Projektmanagement Dokumenten & Output Management Cloud Services Business Process Outsourcing (BPO) Software Produkte IT-Service-Center Managed Services

Sicherheitslage. Quellen: BSI / Symantec Gezielte Angriffe auf bestimmte Industrie-Zweige haben in 2013 um 91 Prozent zugenommen. Dazu gehörte vor allem die Automobil-Industrie, die 2013 das attraktivste Ziel für Hacker-Angriffe in Deutschland war. Weltweit waren Behörden und Regierungsorganisationen am häufigsten im Visier der Angreifer. Mittelständische Unternehmen mit einer Größe von 251 bis 500 Mitarbeitern sowie Firmen ab 2.500 Mitarbeitern standen im Fokus von gezielten Angriffen. Kleine bis mittelständische Unternehmen sind nach wie vor ein beliebtes Ziel, da sie oft weniger ausgefeilte Sicherheitssysteme zum Schutz des Netzwerks einsetzen und oftmals als Dienstleister und Zulieferer für größere Unternehmen fungieren. Mit sogenannten Waterhole Attacks * nutzen Hacker sie als Einfallstor zu ihrem eigentlichen Ziel. Im Jahr 2014 gab es allein in Deutschland bisher über 32.000 DDoS-Angriffe. Nahezu alle Branchen sind von DDoS-Angriffen betroffen. Im Rahmen einer Umfrage der Allianz für Cyber-Sicherheit haben mehr als ein Drittel der befragten Unternehmen angegeben, in den letzten drei Jahren Ziel eines DDoS-Angriffes auf ihre Webseiten gewesen zu sein. Ein Viertel der befragten Unternehmen war von DDoS-Angriffen auf die Netzinfrastruktur betroffen.. * Infizierte Webseiten, die die Mitarbeiter des zu attackierenden Unternehmens sehr wahrscheinlich frequentieren.

Anzahl Unternehmen (D). Beliebte Ziele Im Fokus

I S M S ISMS. Information(s) Sicherheit(s) Management System Informationen gibt es in unterschiedlichen Formen Die IT-Sicherheit ist eine Teilmenge der Informationssicherheit und nicht umgedreht Informationssicherheit ist grundsätzlich eine Aufgabe des Managements. Die Einführung und der Betrieb eines ISMS ist Managementaufgabe Das System sollte auf den PDCA-Zyklus (Plan, Do, Check, Act) basieren Digital (IT-Sicherheit, Informatonssicherheit) Sprache (Informations- sicherheit) Papier (Informations- sicherheit) ISO 27000 Reihe IT-Sicherheitsgesetz Energiewirtschaftsgesetz Verfügbarkeit, Integrität, Vertraulichkeit, Authentizität Leitlinie zur Informations- sicherheit Aufgaben können deligiert werden ISMS stellt die operative Umsetzung und Kontrolle der Leitlinie sicher. Plan Erkennen von Verbesserungen Do Testen und praktische Optimierung Check Umsetzung auf breiter Front Act Regelm. Überprüfung

ISMS by ISMaaS. 01 05 02 04 03 03 04 02 05 01 or Make (ISMS) Buy (ISMaaS) 01 05 Es besteht nach wie vor ein Fachkräfte-mangel im Informationssicherheitsbereich. Gute Leute sind teuer und schwer zu finden Ein sichere Cloudumgebung in Deutschland, von einem zertifizierten Provider, sorgt für einen sicheren Betrieb. Know How. Hosting. 02 04 Die Implementierung des ISMS in die Organisation und Prozesslandschaft erfordert viel Zeit, wenn die Vorgehensweise nicht erprobt ist. Ein Softwarelösung für die verschlüsselte, zentrale Speicherung und Pflege aller ISMS Unterlagen hilft Ihnen den Überblick zu behalten, über ihre kritischen ISMS Dokumente. Timeline. Verwaltung. 03 03 Zu beginn können die Implementierungs-kosten niedriger sein, jedoch sind häufiger die Folgekosten (Zeit und Kosten) durch Implemetierungsfehler höher. In der Implemetierungsphase kann es zu höhren Kosten kommen bezüglich der Anschaffung der Software, jedoch verringert sich meistens der interne Aufwand für die Pflege des ISMS (Zeit, Kosten). Kosten. Kosten. 04 02 Die operative Integrations und Pflege des ISMS erfolgt meist über unverschlüsselte Wege und Speichermedien. Dadurch wird man sehr leicht zur Zielscheibe für Häcker. Eine erprobte Softwarelösung für das Betreiben des ISMS kann die Timeline wesentlich verkürzen. Verwaltung. Timeline. 05 01 Sie müssen im eigenem RZ dafür sorgen, dass die ISMS Datenumgebung sicher ist vor dem Zugriff Dritter. Evtl erfordert dies zusätzliches Know How. Unterstützt durch eine sichere Software-lösung für das Betreiben des ISMS wäre ein Betrieb sogar durch Ihren IT-Dienstleister möglich. Hosting. Know How.

Buy ISMS by ISMaaS ? 01 Analysephase (auszugsweise) Fragestellungen zur Ermittlung des Ist-Standes und Erstellung einer Entscheidungs-grundlage zur Anbieter-, Software-, Cloudtyp-Auswahl Analysephase (auszugsweise) Wieviel Sicherheit benötigt mein Unternehmen bzw. meine Daten? Durchführen einer Risikoanalyse/Schutzbedarfsanalyse Handelt es sich um Auftragsdatenverarbeitung (ADV) gemäß BDSG §11? Welche Maßnahmen / Zertifizierungen sind notwendig bzw. zu empfehlen? Je nach Ergebnis Risikoanalyse/Schutzbedarfsanalyse -> ISO 27001 / BSI Grundschutz / Datenschutztestate, etc. Datenschutz-/Sicherheitskonzept auf Basis TOMs §9 BDSG …. Wie finde ich den „richtigen“ IT-Service-Provider bzw. Cloud-Applikation? Vertragliche Gestaltung (Compliance) Zertifizierungen/Gütesiegel/Normen und Standards/etc. SLA-Vereinbarungen, flankierende Regelungen bezüglich Haftung, Kündigung, .. Welchen Cloud-Typ sollte man wählen? -> Public Cloud / Private Cloud / Hybrid Cloud? Wie stellt der IT-SP die Datenintegrität/Vertraulichkeit der sensiblen Daten sicher? ….. Welche Vorteile liegen bei der Nutzung der Services bei der Einführung und im Rahmen des KVP – Prozess? Reduzierung der Aufwände und Kosten für Einführung und KVP-Prozess (intern/extern) Immer aktuelle Anwendung bezüglich datenschutzrechtlicher / gesetzlicher Änderungen/Erweiterungen garantiert (Rückgriff auf Spezialisten - Know How) Vollständige Transparenz bzw. auch Zusammenspiel der relevanten ISMS–Bereiche CC-Framework für die Entscheidungsfindung auf Basis von wirtschaftlichen, technischen und rechtlichen Parametern müssen unternehmensbezogen/geschäftsprozessbezogen bewertet und priorisiert werden. Das Vorgehensmodell besteht aus 4 Stufen Cloud Zieldimension Top Level Anforderungen Bewertungskriterium Anbieter- und Dienstkriterium

Framework zur Anbieterauswahl IT-Sicherheit & Compliance & Datenschutz. Ist einer der wesentlichsten Entscheidungskriterien. Die Daten und Anwendungen müssen sicher verarbeitet, gespeichert und zugreifbar sein. 01 Flexibilität. & Skalierbarkeit & Standardisierung Cloud-Services, -Plattformen und -Anwendungen müssen auf Basis von Standardtechnologien und offenen Kommunikationsschnittstellen einfach, flexibel und skalierbar aufschaltbar und nutzbar sein. 02 CC-Framework für die Entscheidungsfindung auf Basis von wirtschaftlichen, technischen und rechtlichen Parametern müssen unternehmensbezogen/geschäftsprozessbezogen bewertet und priorisiert werden. Anbei die 3 wesentlichen Entscheidungskriterien (auf Basis von Studien der TU Berlin, Bitkom-, eco-Whitepapers, etc.) ……. Mehr Infos bitte im Internet unter eco, Bitkom, etc. ……. Kosten. Eines der wichtigsten Ziele besteht in der Reduzierung der Kosten durch Auslagerung von IT-technischen Geschäftsprozessen, IT-Infrastrukturen und Anwendungen. 03 Quelle: Cloud Computing Framework zur Anbieterauswahl (Jonas Repschläger 2013)

Referenzmodell zur Auswahl Top Level Anforderunungen . Sicherheit, Vertrauenswürdigkeit, Zuverlässigkeit, Preis-, Abrechnungsmodell, Interoperabilität, Portabilität, Dynamik&Skalierbarkeit, Leistungsumfang, Performance, Service- und Transformations Management, …….. 02 Bewertungskriterium Anbieter-Reputation, -Zertifizierungen, Qualität, SLA, IT-Sicherheitsarchitektur, Dienste-Elastizität, Anbindungskapazitäten, Ausfallsicherheit, BCM-Management, Support, Monitoring, Transparenz, ….. 03 CC-Framework für die Entscheidungsfindung auf Basis von wirtschaftlichen, technischen und rechtlichen Parametern müssen unternehmensbezogen/geschäftsprozessbezogen bewertet und priorisiert werden. Das Vorgehensmodell besteht aus 4 Stufen Cloud Zieldimension Top Level Anforderungen Bewertungskriterium Anbieter- und Dienstkriterium Anbieter- & Dienstkriterium. Funktionalität, Benutzerfreundlichkeit, Preis-Transparenz, Kostenmodelle z.B. abhängig vom Nutzungsgrad, standardisierte Schnittstellen, Portabilität von Daten und Anwend., einfaches Aufschalten, Vertragsverlängerung,-kündigung, Serviceorientierung, …. 04 Quelle: Cloud Computing Framework zur Anbieterauswahl (Jonas Repschläger 2013)

Erfolgskritische Faktoren - Übersicht CC-Framework für die Entscheidungsfindung auf Basis von wirtschaftlichen, technischen und rechtlichen Parametern müssen unternehmensbezogen/geschäftsprozessbezogen bewertet und priorisiert werden. Das Vorgehensmodell besteht aus 4 Stufen Cloud Zieldimension Top Level Anforderungen Bewertungskriterium Anbieter- und Dienstkriterium

Referent. Fragen? Formware GmbH Peter Schindecker Stangenreiterstraße 2 83131 Nußdorf am Inn Peter Schindecker Geschäftsführer Phone: +49 8034 9038-0 Fax: +49 8034 9038-6338 Mobil: +49 176 19038220 E-Mail: peter.schindecker@formware.de Web: www.formware.de Fragen?