SlideShare ist ein Scribd-Unternehmen logo
© 2013 OneConsult GmbH
www.oneconsult.com
Griffige Information Security Policies
Yves Kraft – Team Leader Consulting & Training – OneConsult GmbH
Hacking Day 2013 – Security Lifecycle
Balance zwischen Theorie und Praxis
16. Mai 2013
© 2013 OneConsult GmbH
www.oneconsult.com
Hacking Day 2013 – Security Lifecycle
2
Beamte konsumierten Porno am Arbeitsplatz
DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten
im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet.
14. Januar 2013 - Blick
Datenklau bei Julius Bär: Anklage noch im Mai
ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den
verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben
werden.
25. März 2013 - Handelszeitung
Hacker-Attacke auf SRF
ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden.
Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar.
08. März 2013- NZZ
© 2013 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Theorie
→ Balance in der Praxis
→ Zertifizierung
Hacking Day 2013 – Security Lifecycle
3
© 2013 OneConsult GmbH
www.oneconsult.com
Über mich
→ Yves Kraft
→ Team Leader Consulting & Training
→ Theorie
◦ Informatiker
◦ Studium BSc FH CS (Vertiefung IT-Security)
◦ OPST, OPSA, OSSTMM Trainer
→ Praxis
◦ 11 Jahre Berufserfahrung , davon 4 Jahre in IT-Security
◦ System Engineer & System Administrator
◦ Technische Security Audits
◦ Konzeptionelles Consulting
◦ Security Officer
◦ Training & Coaching
4
Vorstellung
© 2013 OneConsult GmbH
www.oneconsult.com
Dienstleistungen
→ Security Audits 60%
◦ Security Scan
◦ Penetration Test
◦ Application Security Audit
◦ Ethical Hacking
◦ Social Engineering
◦ Conceptual Security Audit
→ Consulting 20%
◦ Strategy & Organisation
◦ Policies & Guidelines
◦ Processes & Documentation
◦ Business Continuity & Disaster
Recovery
◦ Engineering & Project Management
→ Incident Response 10%
◦ Emergency Response
◦ Computer Forensics
→ Training & Coaching 10%
◦ OSSTMM Zertifizierungskurse
◦ Practical Security Scanning
◦ Secure Web Development
◦ Coaching
→ Security as a Service
Vorstellung
5
© 2013 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Theorie
→ Balance in der Praxis
→ Zertifizierung
Hacking Day 2013 – Security Lifecycle
6
© 2013 OneConsult GmbH
www.oneconsult.com
Übersicht Information Security
Einleitung
7
Infrastruktur
Human Resources
Netzwerk Segmente
Prozesse
Compliance
Information
Security Organisation
Daten
Dokumente
© 2013 OneConsult GmbH
www.oneconsult.com
Übersicht Information Security
Einleitung
8
IT-
Sicherheits-
strategie
Informations-/IT-
Sicherheitsrichtlinie
Spezifische Security Policies, Verträge, SLAs,
Merkzettel, Weisungen, Checklisten, Guidelines,
etc.
© 2013 OneConsult GmbH
www.oneconsult.com
IT-Sicherheitsstrategie
→ Generelles Dokument zur Planung, Gewährleistung
und ständigen Aufrechterhaltung der IT-Sicherheit
→ Festlegungen werden zumeist zu IT-Sicherheits-Policies/IT-
Sicherheitsleitlinien
→ IT-Sicherheitsstrategien beinhalten u.a.
◦ Angaben den lokalen Zielen der IT-Sicherheit
◦ Zugrunde liegenden Sicherheitsstandards (z.B. IT-Grundschutz, ISO
27001)
◦ Festlegung von Sicherheitsdomänen
◦ organisatorischer Aufbau des Sicherheitsmanagements
◦ Berichtspflichten und Kontrollinstanzen
◦ Qualitätssicherung
Einleitung
9
© 2013 OneConsult GmbH
www.oneconsult.com
IT-Sicherheitsrichtlinie
→ Verfolgt die IT-Sicherheitsstrategie
→ Ziele und Massnahmen zur Umsetzung der
Informationssicherheit
◦ Stellenwert der Informationssicherheit
◦ Benennung der Sicherheitsziele
◦ Beschreibung der Organisationsstruktur
◦ Auf Leitungsebene durchsetzen und Verstösse sanktionieren
◦ Periodische Überprüfung der Sicherheitsmassnahmen
◦ Erhalt und Förderung der Security Awareness durch Schulungs- und
Sensibilisierungsmassnahmen
◦ Verantwortlichkeiten im Informationssicherheitsprozess
Einleitung
10
© 2013 OneConsult GmbH
www.oneconsult.com
Policies, Checkliste, Guidelines
→ Spezifische Security Policies
◦ Verträge & SLAs
◦ Merkzettel
◦ Weisungen
◦ Checklisten
◦ Guidelines
→ Beispiele: Betriebshandbücher, Installationsanleitungen,
Hardening Guides, Gebäudepläne
Einleitung
11
© 2013 OneConsult GmbH
www.oneconsult.com
Normen und Standards
→ ISO/IEC 27000 Reihe
◦ ISO 27000 – Begriffe und Definitionen
◦ ISO 27001 – Anforderungen für Sicherheitsmechanismen
◦ ISO 27002 – Code of Practice
◦ ISO 27005 – Risk Management
→ BSI Standard 100-1/4 (eh. Grundschutzhandbuch)
→ Weitere
◦ COBIT
◦ SOX
◦ PCI-DSS
◦ …
Einleitung
12
© 2013 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Theorie
→ Balance in der Praxis
→ Zertifizierung
Hacking Day 2013 – Security Lifecycle
13
© 2013 OneConsult GmbH
www.oneconsult.com
Was will ich erreichen?
→ Informationssicherheit dient dem Schutz
◦ Gefahren bzw. Bedrohungen
◦ Vermeidung von Schäden
◦ Minimierung von Risiken
→ Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen
Balance in der Praxis
14
© 2013 OneConsult GmbH
www.oneconsult.com
Bedrohungen in der Praxis
→ Irrtum und Nachlässigkeit
→ Malware
→ Social Engineering
→ Hacking
→ Wirtschaftsspionage
→ Diebstahl von IT-Mitteln
Balance in der Praxis
15
© 2013 OneConsult GmbH
www.oneconsult.com
Probleme in der Praxis…
→ Resignation, Fatalismus und Verdrängung
→ Kommunikationsprobleme
→ Sicherheit wird als rein technisches Problem mit technischen
Lösungen gesehen
→ Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten
→ Ad-hoc Vorgehen (unter Zugzwang) bzw. falsche Methodik
→ Management: fehlendes Interesse, schlechtes Vorbild
→ Sicherheitskonzepte richten sich an Experten
Balance in der Praxis
16
© 2013 OneConsult GmbH
www.oneconsult.com
Probleme im Zusammenhang mit Policies…
→ Policies sind nicht individualisiert
→ Policies sind nicht umsetzbar
→ Freigabe, Bekanntmachung und Zielgruppe werden vergessen
→ Policies werden nicht aktualisiert
Balance in der Praxis
17
© 2013 OneConsult GmbH
www.oneconsult.com
…und die Konsequenzen
→ Konfusion im Notfall
→ lückenhafte Datensicherung
→ fehlende Klassifizierung von Informationen
→ gefährliche Internetnutzung
→ Disziplinlosigkeit
Balance in der Praxis
18
© 2013 OneConsult GmbH
www.oneconsult.com
Implementation nach ISO 2700x
Balance in der Praxis
19
ITSecurity
Organisation
ITRisk
Management
Controls
IT Security
Policy
IT Security
Resources and Services
Strategische
Ebene
Taktische
Ebene
Operative
Ebene
→ IT Security Policy
Anforderungen an ISMS
→ IT Security Organisation
Organisationsstrukturen,
Prozesse, Regelungen
→ IT Risk Management
Ermittlung von Risiken von
Komponenten und deren
Auswirkung
→ Controls
Sicherheitsmechanismen
→ IT Security Res. & Services
Technologien, Anlagen,
Anwendungen, Personal
© 2013 OneConsult GmbH
www.oneconsult.com
Grundvoraussetzungen
→ Awareness: Geschäftsleitung anerkennt IT-Security als
notwendiger Faktor
→ Commitment: Geschäftsleitung
◦ spricht die finanziellen und zeitlichen Ressourcen
◦ unterstützt das Projekt
Balance in der Praxis
20
© 2013 OneConsult GmbH
www.oneconsult.com
Inhalt & Sprache von Richtlinien
→ Zielgruppenorientierung
◦ Zielgruppe(n) Geschäftsleitung, IT-Abteilung, Mitarbeiter und/oder weitere
Stakeholder/Interessenten
◦ Akademischer Schreibstil vs. möglichst nahe an der Umgangssprache
◦ Sprache: Deutsch oder Englisch
→ Aufbau/Dokumentenstruktur
◦ rein direktive Vorgaben vs. detaillierte Erläuterungen der Entscheide
◦ umfassendes Dokument vs. Hauptdokument mit Anhängen oder Beilagen
→ Umfang und Etappierung
◦ Kurzversion: ca. 2 - 5 Seiten
◦ Langversion: ca. 15 - 40 Seiten
◦ Erstellung aller Dokumente in einem Zug vs. etappierte Erstellung
(z.B. Kurzversion und danach Voll-/Langversion)
Balance in der Praxis
21
© 2013 OneConsult GmbH
www.oneconsult.com
Agenda
→ Vorstellung
→ Theorie
→ Balance in der Praxis
→ Zertifizierung
Hacking Day 2013 – Security Lifecycle
22
© 2013 OneConsult GmbH
www.oneconsult.com
Anerkannte Standards
→ BS 25999-2:2007
→ BSI Standard 100-1/4 (eh. Grundschutzhandbuch)
→ ISO/IEC 27001:2005
Zertifizierung von Informationssicherheits-
Managementsystemen (ISMS)
Zertifizierung
23
© 2013 OneConsult GmbH
www.oneconsult.com
Motivation für eine Zertifizierung
→ Differenzierung im Wettbewerb
◦ Managementkompetenz im Bereich Informationssicherheit
◦ Zuverlässigkeit als Partner
◦ Sich von der Konkurrenz abheben (Zertifikat ist kein Massenprodukt)
→ Interner Nutzen einer Zertifizierung
◦ Mögliche Verluste Infolge von Sicherheitsschwachstellen minimieren
→ Vorschriften
◦ Derzeit keine gesetzlichen Anforderungen betreffend zwingender
Zertifizierung
◦ aber: Sorgfaltspflicht, Datenschutzgesetz, etc.
Zertifizierung
24
© 2013 OneConsult GmbH
www.oneconsult.com
Der Weg zur Zertifizierung (ISO/IEC 27001)
→ Stufe 1: Dokumentenprüfung (teils vor Ort)
→ Stufe 2: Audit vor Ort
→ Auditbericht und Zertifikat mit 3-jähriger Gültigkeit
→ Überwachungsaudits nach dem ersten und zweiten Jahr
→ Re-Zertifizierung nach dem dritten Jahr
→ Überwachungsaudits nach dem vierten und fünften Jahr
→ …
Zertifizierung
25
© 2013 OneConsult GmbH
www.oneconsult.com
Tipps betreffend Zertifizierung
→ Normverständnis schaffen
→ Verfügbarkeit aller notwendigen Dokumente sicherstellen
→ Enge Zusammenarbeit mit der Zertifizierungsstelle
→ «Klassische» Prüfpunkte beachten und so Fehlerquellen
beseitigen
→ Nachbesserungsfrist sinnvoll nutzen und Termine einhalten
→ Nach dem Audit ist vor dem Audit
Zertifizierung
26
© 2013 OneConsult GmbH
www.oneconsult.com
Hacking Day 2013 – Security Lifecycle
27
Beamte konsumierten Porno am Arbeitsplatz
DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten
im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet.
14. Januar 2013 - Blick
Datenklau bei Julius Bär: Anklage noch im Mai
ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den
verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben
werden.
25. März 2013 - Handelszeitung
Hacker-Attacke auf SRF
ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden.
Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar.
08. März 2013- NZZ
© 2013 OneConsult GmbH
www.oneconsult.com
«Sicherheit ist kein Produkt, sondern ein Prozess»
Bruce Schneier
Hacking Day 2013 – Security Lifecycle
28
© 2013 OneConsult GmbH
www.oneconsult.com
© 2013 OneConsult GmbH
www.oneconsult.com
Büro Deutschland
Niederlassung der OneConsult GmbH
Karlstraße 35
80333 München
Deutschland
Tel +49 89 452 35 25 25
Fax +49 89 452 35 21 10
info@oneconsult.de
Büro Österreich
Niederlassung der OneConsult GmbH
Wienerbergstraße 11/12A
1100 Wien
Österreich
Tel +43 1 99460 64 69
Fax +43 1 99460 50 00
info@oneconsult.at
Hauptsitz
OneConsult GmbH
Schützenstrasse 1
8800 Thalwil
Schweiz
Tel +41 43 377 22 22
Fax +41 43 377 22 77
info@oneconsult.com
Danke für Ihre Aufmerksamkeit! Fragen?
Yves Kraft
BSc FH CS, OPST&OPSA
Team Leader Consulting & Training
yves.kraft@oneconsult.com
+41 79 308 15 15

Weitere ähnliche Inhalte

Andere mochten auch

#Wir georg beham
#Wir georg beham#Wir georg beham
E-Mail-Sicherheit
E-Mail-SicherheitE-Mail-Sicherheit
E-Mail-Sicherheit
Digicomp Academy AG
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
Uppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013  An Overview ISO/IEC 27001:2013  An Overview
ISO/IEC 27001:2013 An Overview
Ahmed Riad .
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
lernet
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Holliday Consulting
 

Andere mochten auch (7)

#Wir georg beham
#Wir georg beham#Wir georg beham
#Wir georg beham
 
E-Mail-Sicherheit
E-Mail-SicherheitE-Mail-Sicherheit
E-Mail-Sicherheit
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013  An Overview ISO/IEC 27001:2013  An Overview
ISO/IEC 27001:2013 An Overview
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
 

Ähnlich wie Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis

Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Digicomp Academy AG
 
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingInformation Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Sopra Steria Consulting
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
Sven Bernhardt
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
OPITZ CONSULTING Deutschland
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
bhoeck
 
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im ÜbersetzungsprozessInformationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
Hans Pich
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in UnternehmenSicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
philippkumar
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Fraunhofer Institute for Secure Information Technology
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxisDigicomp Academy AG
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Rene Buest
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) DeviceWalter Brenner
 
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten  von Chris...Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten  von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
AT Internet
 
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Cyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightCyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock Insight
Raffael Marty
 
FOM Vortrag Bernd Fuhlert
FOM Vortrag Bernd FuhlertFOM Vortrag Bernd Fuhlert
FOM Vortrag Bernd Fuhlert
Bernd Fuhlert
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
Digicomp Academy AG
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
Eileen Erdmann
 

Ähnlich wie Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis (20)

Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheit
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
 
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingInformation Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im ÜbersetzungsprozessInformationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in UnternehmenSicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) Device
 
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
 
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten  von Chris...Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten  von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
 
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
 
Cyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightCyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock Insight
 
FOM Vortrag Bernd Fuhlert
FOM Vortrag Bernd FuhlertFOM Vortrag Bernd Fuhlert
FOM Vortrag Bernd Fuhlert
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
 

Mehr von Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
Digicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
Digicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
Digicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Digicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Digicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
Digicomp Academy AG
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Digicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Digicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
Digicomp Academy AG
 

Mehr von Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis

  • 1. © 2013 OneConsult GmbH www.oneconsult.com Griffige Information Security Policies Yves Kraft – Team Leader Consulting & Training – OneConsult GmbH Hacking Day 2013 – Security Lifecycle Balance zwischen Theorie und Praxis 16. Mai 2013
  • 2. © 2013 OneConsult GmbH www.oneconsult.com Hacking Day 2013 – Security Lifecycle 2 Beamte konsumierten Porno am Arbeitsplatz DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet. 14. Januar 2013 - Blick Datenklau bei Julius Bär: Anklage noch im Mai ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben werden. 25. März 2013 - Handelszeitung Hacker-Attacke auf SRF ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden. Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar. 08. März 2013- NZZ
  • 3. © 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 3
  • 4. © 2013 OneConsult GmbH www.oneconsult.com Über mich → Yves Kraft → Team Leader Consulting & Training → Theorie ◦ Informatiker ◦ Studium BSc FH CS (Vertiefung IT-Security) ◦ OPST, OPSA, OSSTMM Trainer → Praxis ◦ 11 Jahre Berufserfahrung , davon 4 Jahre in IT-Security ◦ System Engineer & System Administrator ◦ Technische Security Audits ◦ Konzeptionelles Consulting ◦ Security Officer ◦ Training & Coaching 4 Vorstellung
  • 5. © 2013 OneConsult GmbH www.oneconsult.com Dienstleistungen → Security Audits 60% ◦ Security Scan ◦ Penetration Test ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering ◦ Conceptual Security Audit → Consulting 20% ◦ Strategy & Organisation ◦ Policies & Guidelines ◦ Processes & Documentation ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management → Incident Response 10% ◦ Emergency Response ◦ Computer Forensics → Training & Coaching 10% ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning ◦ Secure Web Development ◦ Coaching → Security as a Service Vorstellung 5
  • 6. © 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 6
  • 7. © 2013 OneConsult GmbH www.oneconsult.com Übersicht Information Security Einleitung 7 Infrastruktur Human Resources Netzwerk Segmente Prozesse Compliance Information Security Organisation Daten Dokumente
  • 8. © 2013 OneConsult GmbH www.oneconsult.com Übersicht Information Security Einleitung 8 IT- Sicherheits- strategie Informations-/IT- Sicherheitsrichtlinie Spezifische Security Policies, Verträge, SLAs, Merkzettel, Weisungen, Checklisten, Guidelines, etc.
  • 9. © 2013 OneConsult GmbH www.oneconsult.com IT-Sicherheitsstrategie → Generelles Dokument zur Planung, Gewährleistung und ständigen Aufrechterhaltung der IT-Sicherheit → Festlegungen werden zumeist zu IT-Sicherheits-Policies/IT- Sicherheitsleitlinien → IT-Sicherheitsstrategien beinhalten u.a. ◦ Angaben den lokalen Zielen der IT-Sicherheit ◦ Zugrunde liegenden Sicherheitsstandards (z.B. IT-Grundschutz, ISO 27001) ◦ Festlegung von Sicherheitsdomänen ◦ organisatorischer Aufbau des Sicherheitsmanagements ◦ Berichtspflichten und Kontrollinstanzen ◦ Qualitätssicherung Einleitung 9
  • 10. © 2013 OneConsult GmbH www.oneconsult.com IT-Sicherheitsrichtlinie → Verfolgt die IT-Sicherheitsstrategie → Ziele und Massnahmen zur Umsetzung der Informationssicherheit ◦ Stellenwert der Informationssicherheit ◦ Benennung der Sicherheitsziele ◦ Beschreibung der Organisationsstruktur ◦ Auf Leitungsebene durchsetzen und Verstösse sanktionieren ◦ Periodische Überprüfung der Sicherheitsmassnahmen ◦ Erhalt und Förderung der Security Awareness durch Schulungs- und Sensibilisierungsmassnahmen ◦ Verantwortlichkeiten im Informationssicherheitsprozess Einleitung 10
  • 11. © 2013 OneConsult GmbH www.oneconsult.com Policies, Checkliste, Guidelines → Spezifische Security Policies ◦ Verträge & SLAs ◦ Merkzettel ◦ Weisungen ◦ Checklisten ◦ Guidelines → Beispiele: Betriebshandbücher, Installationsanleitungen, Hardening Guides, Gebäudepläne Einleitung 11
  • 12. © 2013 OneConsult GmbH www.oneconsult.com Normen und Standards → ISO/IEC 27000 Reihe ◦ ISO 27000 – Begriffe und Definitionen ◦ ISO 27001 – Anforderungen für Sicherheitsmechanismen ◦ ISO 27002 – Code of Practice ◦ ISO 27005 – Risk Management → BSI Standard 100-1/4 (eh. Grundschutzhandbuch) → Weitere ◦ COBIT ◦ SOX ◦ PCI-DSS ◦ … Einleitung 12
  • 13. © 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 13
  • 14. © 2013 OneConsult GmbH www.oneconsult.com Was will ich erreichen? → Informationssicherheit dient dem Schutz ◦ Gefahren bzw. Bedrohungen ◦ Vermeidung von Schäden ◦ Minimierung von Risiken → Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen Balance in der Praxis 14
  • 15. © 2013 OneConsult GmbH www.oneconsult.com Bedrohungen in der Praxis → Irrtum und Nachlässigkeit → Malware → Social Engineering → Hacking → Wirtschaftsspionage → Diebstahl von IT-Mitteln Balance in der Praxis 15
  • 16. © 2013 OneConsult GmbH www.oneconsult.com Probleme in der Praxis… → Resignation, Fatalismus und Verdrängung → Kommunikationsprobleme → Sicherheit wird als rein technisches Problem mit technischen Lösungen gesehen → Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten → Ad-hoc Vorgehen (unter Zugzwang) bzw. falsche Methodik → Management: fehlendes Interesse, schlechtes Vorbild → Sicherheitskonzepte richten sich an Experten Balance in der Praxis 16
  • 17. © 2013 OneConsult GmbH www.oneconsult.com Probleme im Zusammenhang mit Policies… → Policies sind nicht individualisiert → Policies sind nicht umsetzbar → Freigabe, Bekanntmachung und Zielgruppe werden vergessen → Policies werden nicht aktualisiert Balance in der Praxis 17
  • 18. © 2013 OneConsult GmbH www.oneconsult.com …und die Konsequenzen → Konfusion im Notfall → lückenhafte Datensicherung → fehlende Klassifizierung von Informationen → gefährliche Internetnutzung → Disziplinlosigkeit Balance in der Praxis 18
  • 19. © 2013 OneConsult GmbH www.oneconsult.com Implementation nach ISO 2700x Balance in der Praxis 19 ITSecurity Organisation ITRisk Management Controls IT Security Policy IT Security Resources and Services Strategische Ebene Taktische Ebene Operative Ebene → IT Security Policy Anforderungen an ISMS → IT Security Organisation Organisationsstrukturen, Prozesse, Regelungen → IT Risk Management Ermittlung von Risiken von Komponenten und deren Auswirkung → Controls Sicherheitsmechanismen → IT Security Res. & Services Technologien, Anlagen, Anwendungen, Personal
  • 20. © 2013 OneConsult GmbH www.oneconsult.com Grundvoraussetzungen → Awareness: Geschäftsleitung anerkennt IT-Security als notwendiger Faktor → Commitment: Geschäftsleitung ◦ spricht die finanziellen und zeitlichen Ressourcen ◦ unterstützt das Projekt Balance in der Praxis 20
  • 21. © 2013 OneConsult GmbH www.oneconsult.com Inhalt & Sprache von Richtlinien → Zielgruppenorientierung ◦ Zielgruppe(n) Geschäftsleitung, IT-Abteilung, Mitarbeiter und/oder weitere Stakeholder/Interessenten ◦ Akademischer Schreibstil vs. möglichst nahe an der Umgangssprache ◦ Sprache: Deutsch oder Englisch → Aufbau/Dokumentenstruktur ◦ rein direktive Vorgaben vs. detaillierte Erläuterungen der Entscheide ◦ umfassendes Dokument vs. Hauptdokument mit Anhängen oder Beilagen → Umfang und Etappierung ◦ Kurzversion: ca. 2 - 5 Seiten ◦ Langversion: ca. 15 - 40 Seiten ◦ Erstellung aller Dokumente in einem Zug vs. etappierte Erstellung (z.B. Kurzversion und danach Voll-/Langversion) Balance in der Praxis 21
  • 22. © 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 22
  • 23. © 2013 OneConsult GmbH www.oneconsult.com Anerkannte Standards → BS 25999-2:2007 → BSI Standard 100-1/4 (eh. Grundschutzhandbuch) → ISO/IEC 27001:2005 Zertifizierung von Informationssicherheits- Managementsystemen (ISMS) Zertifizierung 23
  • 24. © 2013 OneConsult GmbH www.oneconsult.com Motivation für eine Zertifizierung → Differenzierung im Wettbewerb ◦ Managementkompetenz im Bereich Informationssicherheit ◦ Zuverlässigkeit als Partner ◦ Sich von der Konkurrenz abheben (Zertifikat ist kein Massenprodukt) → Interner Nutzen einer Zertifizierung ◦ Mögliche Verluste Infolge von Sicherheitsschwachstellen minimieren → Vorschriften ◦ Derzeit keine gesetzlichen Anforderungen betreffend zwingender Zertifizierung ◦ aber: Sorgfaltspflicht, Datenschutzgesetz, etc. Zertifizierung 24
  • 25. © 2013 OneConsult GmbH www.oneconsult.com Der Weg zur Zertifizierung (ISO/IEC 27001) → Stufe 1: Dokumentenprüfung (teils vor Ort) → Stufe 2: Audit vor Ort → Auditbericht und Zertifikat mit 3-jähriger Gültigkeit → Überwachungsaudits nach dem ersten und zweiten Jahr → Re-Zertifizierung nach dem dritten Jahr → Überwachungsaudits nach dem vierten und fünften Jahr → … Zertifizierung 25
  • 26. © 2013 OneConsult GmbH www.oneconsult.com Tipps betreffend Zertifizierung → Normverständnis schaffen → Verfügbarkeit aller notwendigen Dokumente sicherstellen → Enge Zusammenarbeit mit der Zertifizierungsstelle → «Klassische» Prüfpunkte beachten und so Fehlerquellen beseitigen → Nachbesserungsfrist sinnvoll nutzen und Termine einhalten → Nach dem Audit ist vor dem Audit Zertifizierung 26
  • 27. © 2013 OneConsult GmbH www.oneconsult.com Hacking Day 2013 – Security Lifecycle 27 Beamte konsumierten Porno am Arbeitsplatz DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet. 14. Januar 2013 - Blick Datenklau bei Julius Bär: Anklage noch im Mai ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben werden. 25. März 2013 - Handelszeitung Hacker-Attacke auf SRF ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden. Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar. 08. März 2013- NZZ
  • 28. © 2013 OneConsult GmbH www.oneconsult.com «Sicherheit ist kein Produkt, sondern ein Prozess» Bruce Schneier Hacking Day 2013 – Security Lifecycle 28
  • 29. © 2013 OneConsult GmbH www.oneconsult.com © 2013 OneConsult GmbH www.oneconsult.com Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 info@oneconsult.de Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 info@oneconsult.at Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz Tel +41 43 377 22 22 Fax +41 43 377 22 77 info@oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Yves Kraft BSc FH CS, OPST&OPSA Team Leader Consulting & Training yves.kraft@oneconsult.com +41 79 308 15 15