SlideShare ist ein Scribd-Unternehmen logo
Unified Backhaul Performance
Optimization
Strategische IT-Sicherheit
für die Landeshauptstadt München (LHM)
Dr.-Ing. Stanislav Milanovic
Kurzfassung
Ausgehend von der IT-Sicherheitsleitlinie der LHM
und dem dort beschriebenen Kräftedreieck ist es das
Hauptziel dieser Präsentation, ein strategisches
IT-Sicherheitsmanagement grob zu skizzieren.
Ein weiteres Ziel ist es, einen Überblick über die
Kerninhalte der IT-Sicherheitsleitline der LHM
darzustellen.
IT-Sicherheitsleitlinie der LHM besteht aus Eckpunkten „Rechtliche
Rahmenbedingungen“, „Flexibilität der Arbeitsumgebung“ und „Schutzbedarf der
Daten“.
„Rechtliche Rahmenbedingungen“ betreffen die Maßnahmen zum Schutz von
sensiblen Informationen, Daten, IT-Systemen und IT-Ressourcen entsprechen den
jeweils gültigen gesetzlichen Auflagen und Verordnungen. Es gibt eine Vielzahl an
internationalem Völkerrecht, EU-weiten Verordnungen/Richtlinien/Kodizes und
nationalen Gesetzesgrundlagen, die bei der Umsetzung und Implementierung von
IT-Governance oder-Compliance-Maßnahmen beachtet werden müssen.
„Flexibilität der Arbeitsumgebung“ bedeutet eine zunehmende Auflösung
bestehender Strukturen und eine Mobilisierung auch innerhalb von
Büroumgebungen.
„Schutzbedarf der Daten“ kann nach dem Ansatz der Grundschutzkataloge des
Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch die Annahme
eines Schutzbedarfes und der Umsetzung vorgeschlagener Standardmaßnahmen, in
Zusammenhang mit einem vertiefenden Risk-Assessment, formuliert werden.
Überblick über die Kerninhalte der IT-Sicherheitsleitlinie
Datenschutz und IT-Grundschutz
Modell des IT-Sicherheitsprozesses
IT-Sicherheitsmanagement
IT-Sicherheitsmanagement wird sich auf im Kern zyklische Prozesse abstützen
(Deming-Zyklus für Qualitätsmanagement und Produktlebenszyklen), um
effektiv zu sein.
IT-Sicherheitsmanagement wird nach der IT-Grundschutz (BSI-Standard 100-1)
mit konkreten technischen Maßnahmen und einem alternativen Ansatz zur
Risikoanalyse umgesetzt.
Für die Messung der Qualität von IT-Sicherheitsprozessen wird das Fähigkeit-
Reifegrad-Modell (Capability Maturity Model - CMM) verwendet werden.
IT-Sicherheitsmanagement (fort.)
Um die Aufrechterhaltung des Schutzniveaus im Zeitablauf zu gewährleisten, ist das
IT-Sicherheitsmanagement als Prozess mit den sich wiederholenden Teilschritten
• Informationswertanalyse (Aufstellung der schützenswerten Informationen und
Systeme)
• Schwachstellenanalyse
• Bedrohungsanalyse
• Risikoanalyse
• Planung der Abwehrmaßnahmen
sowie
• Umsetzungskontrolle
im Zeitablauf zu installieren.
Neben der rein sachlichen Beschäftigung mit Bedrohungen und Schutzmaßnahmen
umfasst das IT-Sicherheitsmanagement auch eine organisatorische Komponente. Im
Rahmen des IT-Sicherheitsmanagements gilt es, eine Infrastruktur in Form einer
Aufbauorganisation, Zuordnung von Verantwortlichkeiten, Personal- und
Mittelbereitstellung zu schaffen, die die Durchführung der zuvor benannten
Teilschritte ermöglicht. Häufigste Organisationsform ist die Zuordnung als
Stabsstelle zur IT-Abteilung.
Wirtschaftliche Gründe
Der gezielte und effiziente Einsatz von einem
strategischen IT-Sicherheitsmanagement bei der
LHM hat zur Folge, dass geplante
unternehmerische Ziele wie z.B. Kostensenkung
und Gewinnsteigerung erreicht werden können.
Voraussetzung dafür ist, dass dies verlässlich
arbeitet und permanent zur Verfügung steht. In
diesem Fall hat die LHM die Chance, durch
optimierte Bedingungen die geplanten
wirtschaftlichen Ziele zu erreichen oder gar zu
übertreffen.
Strategisches IT-Sicherheitsmanagement
für die Landeshauptstadt München
Das Hauptziel eines effektiven IT-Sicherheitsmanagements für die
Landeshauptstadt München ist es, die Geschäftsprozesse und die darin
verarbeiteten Informationen hinsichtlich Vertraulichkeit, Integrität und
erfügbarkeit zu schützen.
In einem Initial-Audit wird der Status quo des IT-Sicherheitsmanagements im
Unternehmen auditiert. Dabei sollte der individuelle Bedarf an
IT-Sicherheitsmaßnahmen immer mit Augenmaß und in Abhängigkeit der zu
schützenden Geschäftsprozesse definiert werden. Auf Basis dieser Ergebnisse wird
die IT-Sicherheitsstrategie definiert.
Des Weiteren werden die aus den Handlungsempfehlungen des Audits
resultierenden technischen und organisatorischen Maßnahmen geplant und
umgesetzt. Die Umsetzung wird kontrolliert, regelmäßig hinsichtlich Effektivität
und Effizienz (re-) auditiert und durch bedarfsabhängige IT-Sicherheitsberatung
ergänzt. Eingebettet in eine funktionierende IT-Sicherheits-Organisation
und –Kultur wird durch professionelles Projektmanagement sichergestellt, dass die
Ziele unter Berücksichtigung von Zeit, Kosten und Qualität erreicht werden
können.
Phase 1: Ist-Analyse
Effektives IT-Sicherheitsmanagement gewährleistet
Vertraulichkeit, Integrität und Verfügbarkeit der
Geschäftsprozesse der LHM und die in ihnen verarbeiteten
Informationen. Wie gut die bestehenden Maßnahmen diese
Aufgabe erfüllen, wird im Rahmen eines Initial-Audits
analysiert und bewertet.
Auf Basis dieser Erkenntnisse können im Anschluss der
weitere Projektverlauf systematisch geplant und die
einzurichtenden technischen und organisatorischen
Maßnahmen ausgewählt werden. Folgende Schritte werden
beim Initialaudit durchgeführt:
Phase 1: Ist-Analyse (fort.)
IT-Risikoanalyse
Die Risikoanalyse gibt im Ergebnis
Aufschluss über die IT-Infrastruktur, die
die technische Grundlage für effektive
und effiziente Geschäftsprozesse ist.
Für alle relevanten Geschäftsprozesse
wird gemeinsam mit den
Prozessverantwortlichen eine
Einschätzung der Kritikalität hinsichtlich
Vertraulichkeit, Verfügbarkeit und
Integrität vorgenommen. Anschließend
werden die für die Ausführung der
Geschäftsprozesse notwendigen
Applikationen, IT-Systeme, Räume und
Gebäude aus den Ergebnissen der
Strukturanalyse ausgewählt. Die
Kritikalität des betrachteten
Geschäftsprozesses „vererbt“ sich auf die
darunterliegende IT-Infrastruktur.
Phase 1: Ist-Analyse (fort.)
Vor-Ort-Interviews
Zur Einschätzung des IT-Sicherheitsniveaus wird der Ist-
Zustand der Sicherheitsmaßnahmen für definierte Elemente
mit Soll-Vorgaben verglichen. Hierzu wird ein eigens
entwickelter Auditkatalog genutzt, der unter
Berücksichtigung der Vorgaben der wichtigsten Standards für
IT-Sicherheit erstellt wurde. Dieser Katalog wird auf die
Rahmenbedingungen des jeweiligen Unternehmens
individuell angepasst. Angaben des Unternehmens werden
durch Stichprobenuntersuchungen vor Ort verifiziert. Die
Ergebnisse der Untersuchung und konkrete
Handlungsempfehlungen werden anschließend im
Auditbericht zusammengefasst.
Phase 2: Strategie definieren und Maßnahmen planen
Die Ergebnisse des Audits werden der LHM im Rahmen einer
Ergebnispräsentation vorgestellt und erläutert.
Basierend auf diesen Ergebnissen wird gemeinsam mit den Verantwortlichen eine
IT-Sicherheitsstrategie entwickelt und geeignete technische und organisatorische
Maßnahmen zur Umsetzung abgeleitet.
Neben technischen Maßnahmen aus dem Bereich IT- und Informationssicherheit
werden auch organisatorische Maßnahmen wie die Etablierung einer
IT-Sicherheitsorganisation, Festlegung der Verantwortlichkeit für IT-Sicherheit
im Unternehmen, Schulungs- und Sensibilisierungsmaßnahmen für die Mitarbeiter
oder die Erstellung und Veröffentlichung des IT-Sicherheitshandbuchs
berücksichtigt.
Alle diese Maßnahmen werden in dieser Phase geplant. Abschließend wird nach
einer Priorisierung der Maßnahmen ein Zeitplan erarbeitet und die Frequenz für
zukünftige Audit-Zyklen festgelegt.
Phase 3: Strategien und Maßnahmen implementieren
Die geplanten technischen und organisatorischen Maßnahmen werden gemäß
der festgelegten Priorisierung von der LHM umgesetzt.
Phase 4: Re-Audit/Wartung und Übung
Als wichtiger Bestandteil des IT-Sicherheitsmanagements wird der
Implementierungsgrad der Maßnahmen in Folgeaudits zyklisch kontrolliert
und ausgewertet. Dazu wird ein Reifegradmodell verwendet, welches
einerseits eine Übersicht über den aktuellen Status der IT-Sicherheit im
Unternehmen zulässt und zum anderen einen direkten Vergleich mit früheren
Auditergebnissen ermöglicht. Regelmäßiges Reporting an die
Verantwortlichen in der LHM gehört ebenso zur Umsetzungskontrolle wie
die professionelle Dokumentation von Status und Fortschritt des
Informationssicherheits-Managementsystems.
Begleitende Aktivität: Etablierung einer IT-Sicherheitsorganisation und -Kultur
Das größte Sicherheitsrisiko im Unternehmen ist der Mensch, was zeigt sehr
deutlich, dass ohne eine ausreichende Sensibilisierung (z.B. durch gezielte
Schulungen) aller Mitarbeiter im Unternehmen, kein den Anforderungen
entsprechendes Maß an IT-Sicherheit erreicht werden kann.
Grafische Darstellung des IT-Sicherheitsreifegrads
nach untersuchten Bereichen
Vorgehensmodell IT-Sicherheitsmanagement
für die Landeshauptstadt München
Kontrollsystem
Zur Qualitätssicherung im Sicherheitsprozess, für den Nachweis
der Angemessenheit der veranlassten Maßnahmen und zur
Sicherstellung ihrer Wirksamkeit sind regelmäßig Kontrollen
vorzunehmen. Sicherheitsrelevante Vorfälle werden durch den
Beauftragten für IT-Sicherheit unverzüglich untersucht werden,
damit deren Ursachen und Auswirkungen eingeschätzt und
beseitigt werden.
Die Gewährleistung von IT-Sicherheit ist eine kontinuierliche
Aufgabe, die in alle Arbeitsabläufe integriert ist. Das dafür
nötige ganzheitliche Vorgehen wird durch das enge
Zusammenwirken von IT-Sicherheitsmanagement,
IT-Servicebereich, betrieblicher Datenschutzbeauftragter und
Konzern-Revision unterstützt.
Aufbauorganisation IT-Sicherheitsmanagement
für die Landeshauptstadt München
Fazit
Für ein erfolgreiches IT-Sicherheitsmanagement bei der Landeshauptstadt
München ist die Erkennung und Bewertung bestehender Sicherheitsrisiken
Voraussetzung.
Die umfassende Nutzung von Netzwerkinfrastrukturen und der zunehmende
Einsatz von mobilen, medienkonvergenten Endgeräten erhöhen dabei
zwangsläufig das Sicherheitsbedürfnis der Unternehmen, denn mit der
Komplexität und Anzahl der genutzten IT-Systeme wachsen auch Anzahl und
Schweregrad möglicher Angriffe.
Um diesen Risiken im Bereich der IT-Sicherheit wirksam begegnen zu können,
benötigt die Landeshauptstadt München ein geplantes, strukturiertes und
methodisches IT-Risikomanagement sowie die notwendige Sensibilität für
Warnsignale und potentielle Sicherheitslücken.
Der Schlüssel zum Erfolg der Umsetzung der einzelnen Bausteine des
IT-Sicherheitsmanagements der Landeshauptstadt München ist also ein
individuelles Vorgehensmodell.

Weitere ähnliche Inhalte

Was ist angesagt?

5 recozimento e normalização (1)
5 recozimento e normalização (1)5 recozimento e normalização (1)
5 recozimento e normalização (1)
Victor Mota
 
CISA Training - Chapter 2 - 2016
CISA Training - Chapter 2 - 2016CISA Training - Chapter 2 - 2016
CISA Training - Chapter 2 - 2016
Hafiz Sheikh Adnan Ahmed
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?
PECB
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
Dilamar Hoffmann
 
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
Institut Teknologi Sepuluh Nopember Surabaya
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1
TI Safe
 
Aula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de InformaçãoAula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de Informação
Daniel Brandão
 
Introdução aos processos de Soldagem
Introdução aos processos de SoldagemIntrodução aos processos de Soldagem
Introdução aos processos de Soldagem
wendelrocha
 
A importância dos sistemas de informação nas organizações slideshare
A importância dos sistemas de informação nas organizações slideshareA importância dos sistemas de informação nas organizações slideshare
A importância dos sistemas de informação nas organizações slideshare
Faculdade Evangélica de Brasília
 
NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF) NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF)
Priyanka Aash
 
Proposta de um plano de manutenção centrada em confiabilidade para máquinas c...
Proposta de um plano de manutenção centrada em confiabilidade para máquinas c...Proposta de um plano de manutenção centrada em confiabilidade para máquinas c...
Proposta de um plano de manutenção centrada em confiabilidade para máquinas c...
Raízen
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
PECB
 
Nbr 9062 abnt - projeto e execução de estruturas de concreto pré-moldado
Nbr 9062   abnt - projeto e execução de estruturas de concreto pré-moldadoNbr 9062   abnt - projeto e execução de estruturas de concreto pré-moldado
Nbr 9062 abnt - projeto e execução de estruturas de concreto pré-moldado
Andre Santos
 
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton ChuvakinPCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
Anton Chuvakin
 
Processos de conformação parte i
Processos de conformação   parte iProcessos de conformação   parte i
Processos de conformação parte i
Maria Adrina Silva
 
Apostila eletrodo revestido esab
Apostila eletrodo revestido   esabApostila eletrodo revestido   esab
Apostila eletrodo revestido esab
Marcelo Borges
 
Iso27001 The Road To Certification
Iso27001   The Road To CertificationIso27001   The Road To Certification
Iso27001 The Road To Certification
tschraider
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Adriano Martins Antonio
 
Auditing SOX ITGC Compliance
Auditing SOX ITGC ComplianceAuditing SOX ITGC Compliance
Auditing SOX ITGC Compliance
seanpizzy
 
Apostila eletrodos revestidos
Apostila eletrodos revestidosApostila eletrodos revestidos
Apostila eletrodos revestidos
Vinicius Bock Floriano
 

Was ist angesagt? (20)

5 recozimento e normalização (1)
5 recozimento e normalização (1)5 recozimento e normalização (1)
5 recozimento e normalização (1)
 
CISA Training - Chapter 2 - 2016
CISA Training - Chapter 2 - 2016CISA Training - Chapter 2 - 2016
CISA Training - Chapter 2 - 2016
 
ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?ISO/IEC 27001:2022 – What are the changes?
ISO/IEC 27001:2022 – What are the changes?
 
Nbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informaçãoNbr iso 27001 2006 - gestão de segurança da informação
Nbr iso 27001 2006 - gestão de segurança da informação
 
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
Keamanan Komputer [Sistem Manajemen Keamanan Informasi]
 
Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1Pacote TI Safe ONS Ready v1
Pacote TI Safe ONS Ready v1
 
Aula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de InformaçãoAula 01 - Introdução ao Sistema de Informação
Aula 01 - Introdução ao Sistema de Informação
 
Introdução aos processos de Soldagem
Introdução aos processos de SoldagemIntrodução aos processos de Soldagem
Introdução aos processos de Soldagem
 
A importância dos sistemas de informação nas organizações slideshare
A importância dos sistemas de informação nas organizações slideshareA importância dos sistemas de informação nas organizações slideshare
A importância dos sistemas de informação nas organizações slideshare
 
NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF) NIST Critical Security Framework (CSF)
NIST Critical Security Framework (CSF)
 
Proposta de um plano de manutenção centrada em confiabilidade para máquinas c...
Proposta de um plano de manutenção centrada em confiabilidade para máquinas c...Proposta de um plano de manutenção centrada em confiabilidade para máquinas c...
Proposta de um plano de manutenção centrada em confiabilidade para máquinas c...
 
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
GDPR vs US Regulations: Their differences and Commonalities with ISO/IEC 27701
 
Nbr 9062 abnt - projeto e execução de estruturas de concreto pré-moldado
Nbr 9062   abnt - projeto e execução de estruturas de concreto pré-moldadoNbr 9062   abnt - projeto e execução de estruturas de concreto pré-moldado
Nbr 9062 abnt - projeto e execução de estruturas de concreto pré-moldado
 
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton ChuvakinPCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
PCI DSS and Logging: What You Need To Know by Dr. Anton Chuvakin
 
Processos de conformação parte i
Processos de conformação   parte iProcessos de conformação   parte i
Processos de conformação parte i
 
Apostila eletrodo revestido esab
Apostila eletrodo revestido   esabApostila eletrodo revestido   esab
Apostila eletrodo revestido esab
 
Iso27001 The Road To Certification
Iso27001   The Road To CertificationIso27001   The Road To Certification
Iso27001 The Road To Certification
 
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
Material Oficial do Cobit 5 Foundation - Curso Online - ISACA | APMG | PMG Ac...
 
Auditing SOX ITGC Compliance
Auditing SOX ITGC ComplianceAuditing SOX ITGC Compliance
Auditing SOX ITGC Compliance
 
Apostila eletrodos revestidos
Apostila eletrodos revestidosApostila eletrodos revestidos
Apostila eletrodos revestidos
 

Ähnlich wie Strategische IT-Sicherheit für die Landeshauptstadt München

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Hans Peter Knaust
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
Michael Hettich
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiMatthias Leisi
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009
Andreas Schulte
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserDigicomp Academy AG
 
Tuws08 Wl Folien
Tuws08 Wl FolienTuws08 Wl Folien
Tuws08 Wl Folienguest49e60a
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
Sopra Steria Consulting
 
Regelkonforme Assekuranz
Regelkonforme AssekuranzRegelkonforme Assekuranz
Regelkonforme Assekuranz
metafinanz Informationssysteme GmbH
 
Prozessoptimierung mit ITIL
Prozessoptimierung mit ITILProzessoptimierung mit ITIL
Prozessoptimierung mit ITIL
Christian Reinboth
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Carsten Muetzlitz
 
Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]
CGI Germany
 
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointAufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
IOZ AG
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dt
Iris Maaß
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting
Sopra Steria Consulting
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
jiricejka
 
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
Axel Oppermann
 
Kopie von PROSPER - Module 1 - Unit 5 de.pptx
Kopie von PROSPER - Module 1 - Unit 5 de.pptxKopie von PROSPER - Module 1 - Unit 5 de.pptx
Kopie von PROSPER - Module 1 - Unit 5 de.pptx
caniceconsulting
 
Leistungsportfolio der ICT
Leistungsportfolio der ICTLeistungsportfolio der ICT
Leistungsportfolio der ICT
Chris H. Leeb
 

Ähnlich wie Strategische IT-Sicherheit für die Landeshauptstadt München (20)

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting Whitepaper über  IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
Whitepaper über IT-Sicherheit in Industrie 4.0 Projekten der DST consulting
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
 
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias LeisiNavigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
Navigator im Compliance-Dickicht - computerworld.ch - Matthias Leisi
 
B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009B3 Act Lotusday 08 09 2009
B3 Act Lotusday 08 09 2009
 
Lost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer WegweiserLost in translation – ein praktischer Wegweiser
Lost in translation – ein praktischer Wegweiser
 
Tuws08 Wl Folien
Tuws08 Wl FolienTuws08 Wl Folien
Tuws08 Wl Folien
 
Cobit
CobitCobit
Cobit
 
Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting Security Compliance und Sicherheit Sopra Steria Consulting
Security Compliance und Sicherheit Sopra Steria Consulting
 
Regelkonforme Assekuranz
Regelkonforme AssekuranzRegelkonforme Assekuranz
Regelkonforme Assekuranz
 
Prozessoptimierung mit ITIL
Prozessoptimierung mit ITILProzessoptimierung mit ITIL
Prozessoptimierung mit ITIL
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
 
Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]Seminar tu do-20090625_3 [kompatibilitätsmodus]
Seminar tu do-20090625_3 [kompatibilitätsmodus]
 
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePointAufbau eines integrierten Management-Systems (IMS) mit SharePoint
Aufbau eines integrierten Management-Systems (IMS) mit SharePoint
 
Auswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dtAuswahlhilfe informationssicherheitssystem 2015dt
Auswahlhilfe informationssicherheitssystem 2015dt
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting
 
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni...
 
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
BUYING Butler Tutorial No.3 Software-Asset-Management ist nichts anderes als ...
 
Kopie von PROSPER - Module 1 - Unit 5 de.pptx
Kopie von PROSPER - Module 1 - Unit 5 de.pptxKopie von PROSPER - Module 1 - Unit 5 de.pptx
Kopie von PROSPER - Module 1 - Unit 5 de.pptx
 
Leistungsportfolio der ICT
Leistungsportfolio der ICTLeistungsportfolio der ICT
Leistungsportfolio der ICT
 

Strategische IT-Sicherheit für die Landeshauptstadt München

  • 1. Unified Backhaul Performance Optimization Strategische IT-Sicherheit für die Landeshauptstadt München (LHM) Dr.-Ing. Stanislav Milanovic
  • 2. Kurzfassung Ausgehend von der IT-Sicherheitsleitlinie der LHM und dem dort beschriebenen Kräftedreieck ist es das Hauptziel dieser Präsentation, ein strategisches IT-Sicherheitsmanagement grob zu skizzieren. Ein weiteres Ziel ist es, einen Überblick über die Kerninhalte der IT-Sicherheitsleitline der LHM darzustellen.
  • 3. IT-Sicherheitsleitlinie der LHM besteht aus Eckpunkten „Rechtliche Rahmenbedingungen“, „Flexibilität der Arbeitsumgebung“ und „Schutzbedarf der Daten“. „Rechtliche Rahmenbedingungen“ betreffen die Maßnahmen zum Schutz von sensiblen Informationen, Daten, IT-Systemen und IT-Ressourcen entsprechen den jeweils gültigen gesetzlichen Auflagen und Verordnungen. Es gibt eine Vielzahl an internationalem Völkerrecht, EU-weiten Verordnungen/Richtlinien/Kodizes und nationalen Gesetzesgrundlagen, die bei der Umsetzung und Implementierung von IT-Governance oder-Compliance-Maßnahmen beachtet werden müssen. „Flexibilität der Arbeitsumgebung“ bedeutet eine zunehmende Auflösung bestehender Strukturen und eine Mobilisierung auch innerhalb von Büroumgebungen. „Schutzbedarf der Daten“ kann nach dem Ansatz der Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) durch die Annahme eines Schutzbedarfes und der Umsetzung vorgeschlagener Standardmaßnahmen, in Zusammenhang mit einem vertiefenden Risk-Assessment, formuliert werden. Überblick über die Kerninhalte der IT-Sicherheitsleitlinie
  • 6. IT-Sicherheitsmanagement IT-Sicherheitsmanagement wird sich auf im Kern zyklische Prozesse abstützen (Deming-Zyklus für Qualitätsmanagement und Produktlebenszyklen), um effektiv zu sein. IT-Sicherheitsmanagement wird nach der IT-Grundschutz (BSI-Standard 100-1) mit konkreten technischen Maßnahmen und einem alternativen Ansatz zur Risikoanalyse umgesetzt. Für die Messung der Qualität von IT-Sicherheitsprozessen wird das Fähigkeit- Reifegrad-Modell (Capability Maturity Model - CMM) verwendet werden.
  • 7. IT-Sicherheitsmanagement (fort.) Um die Aufrechterhaltung des Schutzniveaus im Zeitablauf zu gewährleisten, ist das IT-Sicherheitsmanagement als Prozess mit den sich wiederholenden Teilschritten • Informationswertanalyse (Aufstellung der schützenswerten Informationen und Systeme) • Schwachstellenanalyse • Bedrohungsanalyse • Risikoanalyse • Planung der Abwehrmaßnahmen sowie • Umsetzungskontrolle im Zeitablauf zu installieren. Neben der rein sachlichen Beschäftigung mit Bedrohungen und Schutzmaßnahmen umfasst das IT-Sicherheitsmanagement auch eine organisatorische Komponente. Im Rahmen des IT-Sicherheitsmanagements gilt es, eine Infrastruktur in Form einer Aufbauorganisation, Zuordnung von Verantwortlichkeiten, Personal- und Mittelbereitstellung zu schaffen, die die Durchführung der zuvor benannten Teilschritte ermöglicht. Häufigste Organisationsform ist die Zuordnung als Stabsstelle zur IT-Abteilung.
  • 8. Wirtschaftliche Gründe Der gezielte und effiziente Einsatz von einem strategischen IT-Sicherheitsmanagement bei der LHM hat zur Folge, dass geplante unternehmerische Ziele wie z.B. Kostensenkung und Gewinnsteigerung erreicht werden können. Voraussetzung dafür ist, dass dies verlässlich arbeitet und permanent zur Verfügung steht. In diesem Fall hat die LHM die Chance, durch optimierte Bedingungen die geplanten wirtschaftlichen Ziele zu erreichen oder gar zu übertreffen.
  • 9. Strategisches IT-Sicherheitsmanagement für die Landeshauptstadt München Das Hauptziel eines effektiven IT-Sicherheitsmanagements für die Landeshauptstadt München ist es, die Geschäftsprozesse und die darin verarbeiteten Informationen hinsichtlich Vertraulichkeit, Integrität und erfügbarkeit zu schützen. In einem Initial-Audit wird der Status quo des IT-Sicherheitsmanagements im Unternehmen auditiert. Dabei sollte der individuelle Bedarf an IT-Sicherheitsmaßnahmen immer mit Augenmaß und in Abhängigkeit der zu schützenden Geschäftsprozesse definiert werden. Auf Basis dieser Ergebnisse wird die IT-Sicherheitsstrategie definiert. Des Weiteren werden die aus den Handlungsempfehlungen des Audits resultierenden technischen und organisatorischen Maßnahmen geplant und umgesetzt. Die Umsetzung wird kontrolliert, regelmäßig hinsichtlich Effektivität und Effizienz (re-) auditiert und durch bedarfsabhängige IT-Sicherheitsberatung ergänzt. Eingebettet in eine funktionierende IT-Sicherheits-Organisation und –Kultur wird durch professionelles Projektmanagement sichergestellt, dass die Ziele unter Berücksichtigung von Zeit, Kosten und Qualität erreicht werden können.
  • 10. Phase 1: Ist-Analyse Effektives IT-Sicherheitsmanagement gewährleistet Vertraulichkeit, Integrität und Verfügbarkeit der Geschäftsprozesse der LHM und die in ihnen verarbeiteten Informationen. Wie gut die bestehenden Maßnahmen diese Aufgabe erfüllen, wird im Rahmen eines Initial-Audits analysiert und bewertet. Auf Basis dieser Erkenntnisse können im Anschluss der weitere Projektverlauf systematisch geplant und die einzurichtenden technischen und organisatorischen Maßnahmen ausgewählt werden. Folgende Schritte werden beim Initialaudit durchgeführt:
  • 11. Phase 1: Ist-Analyse (fort.) IT-Risikoanalyse Die Risikoanalyse gibt im Ergebnis Aufschluss über die IT-Infrastruktur, die die technische Grundlage für effektive und effiziente Geschäftsprozesse ist. Für alle relevanten Geschäftsprozesse wird gemeinsam mit den Prozessverantwortlichen eine Einschätzung der Kritikalität hinsichtlich Vertraulichkeit, Verfügbarkeit und Integrität vorgenommen. Anschließend werden die für die Ausführung der Geschäftsprozesse notwendigen Applikationen, IT-Systeme, Räume und Gebäude aus den Ergebnissen der Strukturanalyse ausgewählt. Die Kritikalität des betrachteten Geschäftsprozesses „vererbt“ sich auf die darunterliegende IT-Infrastruktur.
  • 12. Phase 1: Ist-Analyse (fort.) Vor-Ort-Interviews Zur Einschätzung des IT-Sicherheitsniveaus wird der Ist- Zustand der Sicherheitsmaßnahmen für definierte Elemente mit Soll-Vorgaben verglichen. Hierzu wird ein eigens entwickelter Auditkatalog genutzt, der unter Berücksichtigung der Vorgaben der wichtigsten Standards für IT-Sicherheit erstellt wurde. Dieser Katalog wird auf die Rahmenbedingungen des jeweiligen Unternehmens individuell angepasst. Angaben des Unternehmens werden durch Stichprobenuntersuchungen vor Ort verifiziert. Die Ergebnisse der Untersuchung und konkrete Handlungsempfehlungen werden anschließend im Auditbericht zusammengefasst.
  • 13. Phase 2: Strategie definieren und Maßnahmen planen Die Ergebnisse des Audits werden der LHM im Rahmen einer Ergebnispräsentation vorgestellt und erläutert. Basierend auf diesen Ergebnissen wird gemeinsam mit den Verantwortlichen eine IT-Sicherheitsstrategie entwickelt und geeignete technische und organisatorische Maßnahmen zur Umsetzung abgeleitet. Neben technischen Maßnahmen aus dem Bereich IT- und Informationssicherheit werden auch organisatorische Maßnahmen wie die Etablierung einer IT-Sicherheitsorganisation, Festlegung der Verantwortlichkeit für IT-Sicherheit im Unternehmen, Schulungs- und Sensibilisierungsmaßnahmen für die Mitarbeiter oder die Erstellung und Veröffentlichung des IT-Sicherheitshandbuchs berücksichtigt. Alle diese Maßnahmen werden in dieser Phase geplant. Abschließend wird nach einer Priorisierung der Maßnahmen ein Zeitplan erarbeitet und die Frequenz für zukünftige Audit-Zyklen festgelegt.
  • 14. Phase 3: Strategien und Maßnahmen implementieren Die geplanten technischen und organisatorischen Maßnahmen werden gemäß der festgelegten Priorisierung von der LHM umgesetzt. Phase 4: Re-Audit/Wartung und Übung Als wichtiger Bestandteil des IT-Sicherheitsmanagements wird der Implementierungsgrad der Maßnahmen in Folgeaudits zyklisch kontrolliert und ausgewertet. Dazu wird ein Reifegradmodell verwendet, welches einerseits eine Übersicht über den aktuellen Status der IT-Sicherheit im Unternehmen zulässt und zum anderen einen direkten Vergleich mit früheren Auditergebnissen ermöglicht. Regelmäßiges Reporting an die Verantwortlichen in der LHM gehört ebenso zur Umsetzungskontrolle wie die professionelle Dokumentation von Status und Fortschritt des Informationssicherheits-Managementsystems. Begleitende Aktivität: Etablierung einer IT-Sicherheitsorganisation und -Kultur Das größte Sicherheitsrisiko im Unternehmen ist der Mensch, was zeigt sehr deutlich, dass ohne eine ausreichende Sensibilisierung (z.B. durch gezielte Schulungen) aller Mitarbeiter im Unternehmen, kein den Anforderungen entsprechendes Maß an IT-Sicherheit erreicht werden kann.
  • 15. Grafische Darstellung des IT-Sicherheitsreifegrads nach untersuchten Bereichen
  • 17. Kontrollsystem Zur Qualitätssicherung im Sicherheitsprozess, für den Nachweis der Angemessenheit der veranlassten Maßnahmen und zur Sicherstellung ihrer Wirksamkeit sind regelmäßig Kontrollen vorzunehmen. Sicherheitsrelevante Vorfälle werden durch den Beauftragten für IT-Sicherheit unverzüglich untersucht werden, damit deren Ursachen und Auswirkungen eingeschätzt und beseitigt werden. Die Gewährleistung von IT-Sicherheit ist eine kontinuierliche Aufgabe, die in alle Arbeitsabläufe integriert ist. Das dafür nötige ganzheitliche Vorgehen wird durch das enge Zusammenwirken von IT-Sicherheitsmanagement, IT-Servicebereich, betrieblicher Datenschutzbeauftragter und Konzern-Revision unterstützt.
  • 19. Fazit Für ein erfolgreiches IT-Sicherheitsmanagement bei der Landeshauptstadt München ist die Erkennung und Bewertung bestehender Sicherheitsrisiken Voraussetzung. Die umfassende Nutzung von Netzwerkinfrastrukturen und der zunehmende Einsatz von mobilen, medienkonvergenten Endgeräten erhöhen dabei zwangsläufig das Sicherheitsbedürfnis der Unternehmen, denn mit der Komplexität und Anzahl der genutzten IT-Systeme wachsen auch Anzahl und Schweregrad möglicher Angriffe. Um diesen Risiken im Bereich der IT-Sicherheit wirksam begegnen zu können, benötigt die Landeshauptstadt München ein geplantes, strukturiertes und methodisches IT-Risikomanagement sowie die notwendige Sensibilität für Warnsignale und potentielle Sicherheitslücken. Der Schlüssel zum Erfolg der Umsetzung der einzelnen Bausteine des IT-Sicherheitsmanagements der Landeshauptstadt München ist also ein individuelles Vorgehensmodell.