Security Must Have

552 Aufrufe

Veröffentlicht am

Wie viel Informationssicherheit ist «gut», was bedeutet «angemessene Sicherheitsmassnahmen» und was kann man von «Best Practices» halten? Gibt es gesetzliche MUSS-Vorgaben und entsprechende Sicherheitsmassnahmen, deren Implementation Pflicht ist? Wann ist man «compliant» und wer beurteilt das? Ein Überblick über MUSS-, KANN- und NICE-TO-HAVE-Informationssicherheit aus gesetzlicher und Erfahrungs-Perspektive.

Referent: Umberto Annino

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
552
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
99
Aktionen
Geteilt
0
Downloads
9
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Security Must Have

  1. 1. Information SecurityMust-HaveMuss, Kann, Nice-to-Have ?Digicomp Hacking Day, 05.2013Umberto Annino1Wednesday, May 15, 13
  2. 2. Speaker BioUmberto Annino, WirtschaftsinformatikerNDS FH QM, C-Zertifizierungen (Infosec)Bei PwC im Bereich Risk Assurance tätigVorstand ISSS www.isss.ch undISACA Switzerland Chapter www.isaca.chDozent an verschiedenen Schulen (FA, DI, HF)2Wednesday, May 15, 13
  3. 3. DisclaimerErste Sicherheitsmassnahme...Opinions are my ownRepräsentiert nicht die Meinung derArbeitgeber, Vereine3Wednesday, May 15, 13
  4. 4. In Kürze...Information Security Must-Have:4Wednesday, May 15, 13
  5. 5. 5Wednesday, May 15, 13
  6. 6. Was wollen Sie?Definieren Sie, was Sie wollen - klareAbgrenzung in inhaltlicher (Menge undGrösse) und logischer Dimension.Kommunizieren Sie es - damit es allen(Beteiligten) klar ist. An Alle, die es betrifft!Wollen es alle?6Wednesday, May 15, 13
  7. 7. Kleines BeispielDaten vs. Informationen (vs. Wissen)IT-Sicherheit, ICT-Sicherheit undInformationssicherheit.Und physische Sicherheit?!Datenschutz?!Schutz und Sicherheit?Konzern, Gruppe, Stammsitz, Schweiz, Konzernbereich,Gruppengesellschaft, Matrix-Organisation undfunktionale Führung, etc.7Wednesday, May 15, 13
  8. 8. Was wollen Sie nicht?Leitet sich erstmal von der vorherigen Folie ab. Aberwissen das auch alle? Und ist allen klar, was man NICHTwill?Ist nicht wollen das gleiche wie nicht tun?Was ist mit “müssen”? (mehr in “Compliance”)übrigens, in Englisch: must not, can not. Die Tücken derÜbersetzung.Wollen Sie nicht, müssen Sie nicht oder können Sie es sichnicht leisten? --> Business case “with” security!(aka ROSI?)8Wednesday, May 15, 13
  9. 9. Best Practise?Oder etwa nur “good practise”?Was heisst das überhaupt?Was tun die anderen? ... und warum, oderwarum nicht? Das Lemming-Problem und dieIndividualität (Schutzbedarf, Risiko)Risiko-Akzeptanz vs. Risiko-Ignoranz--> Belegbarkeit und (Nach)prüfbarkeit9Wednesday, May 15, 13
  10. 10. Compliance“Betriebliche” und gesetzliche AnforderungenCompliance: befolgen, erfüllen, einhaltenBinär: sein oder nicht-seinIdealerweise als Anforderung (hello requirementengineering) erhoben - und nicht als “patch” hinterherProblem: “Technik und Recht”Und am Horizont: die Cloud - “denn sie wissen nicht,was sie tun”10Wednesday, May 15, 13
  11. 11. ObligationenrechtErster Titel: Entstehung der ObligationOR 716a: Verwaltungsrat - unübertragbareAufgabenOR 717: Verwaltungsrat - Sorgfalts- undTreuepflichtOR 727-731a: Revisionsstelle11Wednesday, May 15, 13
  12. 12. HaftungAuch ein “Vertrag”...Vertragliche Haftung vs. ausservertraglicheHaftungOR 41ff., VoraussetzungenSchaden, Kausalzusammenhang,Widerrechtlichkeit, Verschulden (Absicht/Vorsatz oder Fahrlässigkeit)12Wednesday, May 15, 13
  13. 13. DatenschutzgesetzDefinition: Personendaten, besonders schützenswertePersonendaten, (keine Personendaten)Art.4: Grundsätze - Legalität, Verhältnismässigkeit/Treu und Glaube, ZweckbindungArt.5: Richtigkeit, Art.7: DatensicherheitArt.6: Grenzüberschreitende BekanntgabeArt. 8: Auskunftsrecht (=Auskunftspflicht)Art 10a: Datenbearbeitung durch Dritte (Outsourcing)13Wednesday, May 15, 13
  14. 14. Datenschutz ++Schutz der KundendatenAber auch: Schutz der Mitarbeiterdaten,Privatsphäre.Privat, persönlich und geschäftlich.Überwachung am Arbeitsplatz.Und ev. bald auch Büpf.Datenschutz vs. Hierarchie14Wednesday, May 15, 13
  15. 15. Beispiel: BankenFINMA RS 08/7: Outsourcing BankenFINMA RS 08/21: Operationelle Risiken BankenFINMA RS 08/24: Überwachung und interneKontrolle BankenFINMA RS 13/3: Prüfwesen, RS 13/4:Prüfgesellschaften und leitende PrüferSBVg: Best Practise Data Security (DLP)15Wednesday, May 15, 13
  16. 16. AusblickVerschärfung der regulatorischen Anforderungenbei Banken - “Restwirtschaft” zieht irgendwannnachZunahme von Attacken generell sowie gezieltes“information retrieval” - cross border, crossindustry!Schwachstelle Mensch - oder “back totechnology”?Information (und Computer) everywhere16Wednesday, May 15, 13
  17. 17. AusblickBuilt-in resiliency statt “plannedobsolescence”Die Budgets werden nicht höher - deshalbSicherheit vorweg als “basic requirement”berücksichtigenYou get what you pay for!17Wednesday, May 15, 13
  18. 18. Erfahrung zeigt...Es scheitert meistens an...Umsetzung in der Praxis (holen Sie die Stakeholder ab -alle! , adressatengerecht, “lebbar”)Kommunikation: zuviel oder zu wenig. Miteinander.Schönreden. Kein Nein. Diplomatie, Sachlichkeit undRealität.Definition: Glossar FTW! (for teh win)Budget (-> siehe Kommunikation)ROSI (yep. immer noch.) *return on security investment18Wednesday, May 15, 13
  19. 19. Security Must-HaveDenkende Mitarbeitende --> “WarumSicherheit?” statt “Darum Sicherheit!”Sicherheitskultur, kritikfähiger OrganismusIntegre Führungspersonen mit “Rückgrat” -man darf zu Fehlern stehen!Offene(!) Kommunikation und Transparenz19Wednesday, May 15, 13
  20. 20. Security Must-HaveAusgewogene technische, organisatorischeund physische SicherheitGrundschutz für ICT: www.bsi.deISO 27001 und 270xxCOBIT (seit v5 “for Information Security”)auch Risk IT Framework, ValIT !20Wednesday, May 15, 13
  21. 21. Security Must-HaveZuerst “organisatorisch” definieren/lösen:Weisung, Vorgabe, ProzessDann “technische Leitplanke” wo sinnvollNicht umgekehrt!Business-Value, aber:“there’s no such thing as a free lunch”21Wednesday, May 15, 13
  22. 22. Security Must-HaveJe nach Organisationsgrösse: (Information)Risk Management, Globale ComplianceUnabhängige Überprüfung undBerichterstattung (financial audit, aber auchund insbesondere “non-audit assurance”)Business(!) Continuity Planning22Wednesday, May 15, 13
  23. 23. Security Must-HaveSecurity Incident & Event MonitoringAdvanced Persistent Threats?Cyber Security (...)Security Patch Management. Rigoros.Modulare Sicherheit. Keinesfalls one-vendor!Standards. Interne, Externe.23Wednesday, May 15, 13
  24. 24. Security Must-Have (?)Identity Management + Access Managementergibt (vielleicht, irgendwann): IAMSegregation/separation of duties (SoD)Reviews. Von Weisungen, Zugriffsrechten,Logfiles und Protokollen.Richtige Sicherheit statt nur “CYA”24Wednesday, May 15, 13
  25. 25. Security Must-HaveZeit. Sie brauchen VIEL Zeit.Sie = Ressource. FTE. 100% oder mehr. Sicherheit istkein Ding der halben Sachen.Zeit = Sie müssen es tun. Information und Wissen hates genug “da draussen”.(die IT-Grundschutzkataloge umfassen mehr als 4000Seiten!)Tun = immer und immer wieder. Mal so, mal so. Immerund ständig. Ohne paranoid zu werden.Und ohne Budget.25Wednesday, May 15, 13
  26. 26. Danke!umberto.annino@isss.chumberto.annino@ch.pwc.comwww.umbi.chXING, Linkedin, Google+, Facebook, Path,app.net, twitter26Wednesday, May 15, 13

×