SlideShare une entreprise Scribd logo

B3 Act Lotusday 08 09 2009

Andreas Schulte
Andreas Schulte

IT-Compliance durch IT-Sicherheit “ In God we Trust, Everything else we measure ” Referent: Heiner Frings ACT IT-Consulting & Services AG

Technologie
1  sur  17
Télécharger pour lire hors ligne
B3 IT-Compliance durch IT-Sicherheit “ In God we Trust, Everything else we measure ” Referent: Heiner Frings ACT IT-Consulting & Services AG Lotusday 2009 Hagen, 8. September 2009 - Arcadeon
(IT)-Compliance durch IT-Sicherheit Die Vortragspunkte: Rechtliche Hintergründe? Was muss ich tun, damit ich „compliant“ bin? Worauf muss ich achten? Was leistet die ACT konkret? Was passiert, wenn ich nicht „compliant“ bin? 2 COPYRIGHT ACT © 2009
Rechtliche Hintergründe Was ist „IT-Compliance“ überhaupt? Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien etc., d.h. die Übereinstimmung des Handelns mit diesen Vorgaben. Gegenstand von IT-Compliance: Werden diese Vorgaben in Bezug auf die IT des Unternehmens eingehalten? Grundlage: Verschiedene Rechtsquellen Wesentliche Bestimmungen: KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) - Herausragend: § 91 Abs. 2 AktG. - Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. BDSG (Bundesdatenschutzgesetz) HGB (Handelsgesetzbuch) und AO (Abgabenordnung) i.V.m. GoBS (Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme) und GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) Basel II (RICHTLINIE 2006/48/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Juni 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute (Neufassung) 3 COPYRIGHT ACT © 2009
(IT)-Compliance Was muss ich tun? (Fokus Innenverhältnis) • Umsetzung der Compliance-Anforderungen durch die IT sind z.B.: • Korrekte Funktionsweise der Anwendungssysteme • Verfügbarkeit und Verlässlichkeit im Betrieb • Schutz der Daten und Informationen Commitment & • Sicherheit der IT-Infrastruktur Policies • Frühzeitige Erkennung und Vermeidung von Risiken Risiko- g hun • Transparenz, Nachvollziehbarkeit und analyse wac Dokumentation relevanter Prozesse Koordination r Übe aller Elemente (Fokus Außenverhältnis) • Sauber definierte Beziehungen zu anderen Unternehmen, ( Bei Lieferung oder Inanspruchnahme von IT- Maßnahmen & Information Dienstleistungen z.B.) Verantwortlich- & Kommunikation • Outsourcing-Projekten (SLA, OLA, UC) keiten • Serviceproviding-Projekten ,, • ASP-Projekten ,, 4 COPYRIGHT ACT © 2009
Commitment & Policies Aufgabe der Geschäftsleitung ist es, für ein organisatorisches Umfeld zu sorgen sowie eine Unternehmenskultur zu fördern, die die Beachtung gesetzlicher Bestimmungen sowie die Einhaltung freiwilliger Vereinbarungen sicher stellen. Zentrale Punkte: • Zieldefinition hinsichtlich der Compliance zu geforderten (gesetzlichen) und freiwilligen Verpflichtungen • Durchgeführte Risikoanalyse • Formulierung einer Compliance Policy des Top Managements unter Berücksichtigung der strategischen Unternehmensziele • Förderung einer Compliance Kultur durch gelebte Umsetzung in der Unternehmensführung • Etablierung von Überprüfungsmechanismen 5 COPYRIGHT ACT © 2009
Risikoanalyse Bewertung und Priorisierung der identifizierten Compliance-Risiken im Hinblick auf mögliche Auswirkungen auf strategische Unternehmensziele, Geschäftsabläufe sowie persönliche Haftung von Mitarbeitern und Management. Zentrale Themen für die Organisation: • Bindende und regulatorische Verfahrensanweisungen in den Unternehmen aufsetzen • Beobachtung und Früherkennung von Compliance-Themen • Auswirkungen im Falle eines Verstoßes, (Penalties) • Abgleich des Umfangs der ergriffenen Maßnahmen mit dem Risiko und den Zielsetzungen des Vorstands und der Stakeholder? Zentrale Punkte für die IT-Organisation: • Ist ein IT-Sicherheitsmanagement implementiert? • Ist ein IT-Risikomanagement implementiert? • Existiert ein Notfallkonzept für Systeme der IT und der Infrastruktur? • Ist ein Lizenzmanagement implementiert? • Sind zwischen Servicenehmern und –Gebern klare Agreements etabliert? 6 COPYRIGHT ACT © 2009
Maßnahmen & Verantwortlichkeiten Eindeutige Zuordnung von Verantwortlichkeiten zur Einhaltung der Anforderungen sowie Absicherung durch geeignete Maßnahmen zur Vermeidung und Aufdeckung von Compliance-Verstößen Zentrale Themen für die Organisation: • Adressierung einzelner Maßnahmen an die (de)zentralen Einheiten • Eindeutige Abgrenzung von Zuständigkeiten und Kompetenzen Vermeidung Doppelaktionen und Lücken • Dokumentation von Abläufen, Informations- und Berichtswegen in Richtlinien und Verfahrensanweisungen • Definition von konkreten Rollenverteilungen und Aktionsplänen für kritische Situationen Zentrale Punkte für die IT-Organisation: • Die Umsetzung notwendiger Maßnahmen muss gemessen, dokumentiert und sichergestellt werden • Wie wird die Qualität gemessen (KPIs), • Wie wird der Kontinuierliche Verbesserungsprozess KVP gewährleistet? 7 COPYRIGHT ACT © 2009
Information & Kommunikation Informationserhebung, interne und externe Berichterstattung zum Compliance-Status sowie Schaffung einer Kultur und eines Bewusstseins für die Einhaltung der Compliance im gesamten Unternehmen Zentrale Themen: • Bewusstseinssensibilisierung des Managements und der Mitarbeiter durch Schulungen und Arbeitskreise für eine angemessene Kommunikation bei Compliance Themen • Wie und in welchen Intervallen wird der Vorstand über die Situation informiert? • Wie und in welchen Intervallen werden Aufsichtsgremien, Investoren und Öffentlichkeit über die Compliance-Situation informiert? • Wie werden Indikatoren zur Einhaltung der Anforderungen erhoben? • Wie wird die Erfassung, Kommunikation und Auswertung von Compliance-Verstößen sichergestellt? 8 COPYRIGHT ACT © 2009
Überwachung Laufendes Prozess-Monitoring, Plausibilisierung und kontinuierliche Weiterentwicklung/Nachhaltigkeit der Compliance und systematische Prüfung durch die Interne Revision, externe Gutachten und Sonderanalysen Zentrale Themen: • Regelmäßige Überprüfung der Informationen zur Früherkennung des Compliance Zustandes im internen Berichtsprozess • Wie erfolgt die Selektion und Freigabe von Compliance Informationen für die externe Berichterstattung? • Wie werden die im Unternehmen implementierten Compliance- Prozesse hinsichtlich Effektivität und Effizienz überprüft z.B. • durch Self Assessments • Audits • technische Messverfahren • Berücksichtigung der Compliance Risiken bei der • der Internen Revision • strategischen Planung • und innerhalb des Risikomanagements • Umsetzung des Anpassungsbedarfs am Compliance-System 9 COPYRIGHT ACT © 2009
Compliance & IT-Sicherheit Vertraulichkeit Integrität Der unberechtigte Zugang zu Unversehrtheit und Daten wird unterbunden Korrektheit der Daten Authentizität Echtheit der Kommunikations- partner Verfügbarkeit Verbindlichkeit Der Zugriff auf die eigenen Das Senden und Empfangen Daten ist gesichert von Daten kann nicht geleugnet werden • Eine IT-Infrastruktur gilt als sicher, wenn die Risiken, die beim Betrieb der IT- Infrastruktur aufgrund von Bedrohungen vorhanden sind, auf ein tragbares Maß beschränkt sind. 10 COPYRIGHT ACT © 2009
Was liefern wir ? Strukturiertes Herangehen Analyse der Rechtslage Bedrohungsanalyse Eine IT-Security-Strategie muss immer über die technischen Lösungen hinaus auch die recht- unterschiedliche Szenarien, welchen Be- lichen Aspekte berücksichtigen. drohungen Unternehmen bei der Nutzung von (z.B. BDSG, KonTraG, HGB, BGB, HIPAA) IT-Technologien ausgesetzt sind. Analyze Report Optimize Schadens- & Schutzbedarfsanalyse Kosten/Nutzenanalyse Certify Ein Schaden, der aufgrund unzureichender oder Finanzielle Schäden sind meist wesentlich höher, nicht umgesetzter IT-Sicherheitsmaßnahmen als die Kosten für die jeweils erforderlichen eintritt, hat immer finanzielle Auswirkung, oft Sicherheitslösungen. In jeder Organisation muss daneben auch erheblichen Imageverlust. das Verhältnis individuell ermittelt werden. Letzteres ist der Grund für die hohen Dunkel- ziffern. 11 COPYRIGHT ACT © 2009
Auditierung nach BSI-Grundschutz, ISO2700x 12 COPYRIGHT ACT © 2009
Compliance Check mit Sicherheitsbrille Prozess: Vulnerability Prozess: Compliance Prozess: Compliance Management Management Management Ergebnis: Definiert zu treffende Behebungsmaßnahmen Notwendigkeit: Notwendigkeit: Prozess: Incident Management Aktuelles Wissen über alle AktuelleKenntnis der Definiert Impact und Priorität, leitet das an eine Vulnerabilities weltweit, eigenen IT-Infrastruktur, ob zentrale Stelle weiter, überwacht den Lücken eine Bedrohung Behebungsprozess Produkt am Markt möglichst früher als die Bekanntgabe durch die darstellen und mit welchem Prozess: Change Management Schaden zu rechnen ist. Entscheidet über die Möglichkeiten der Behebung, der Herstellern. Phase: Bedrohungs- & Workarounds oder Alternativen. Richtet sich nach vorgegebenen Standards. (PCI-Standard) Phase: Erkennen Schadensanalyse Phase: Behebung der Maßnahmen Ziel: Ziel: Deutliches Verschieben des Gesamtziel: Deutliches Verschieben des Zeitpunktes Deutliches Verschieben des Behebungszeitpunktes. Zeitpunktes Deutliches Verringern des Angriffzeitfensters Less Than Zero Day Zero Day Vulnerabilities Innerhalb dieses Zeitfensters besteht eine akute Angriffsgefahr Zeitachse t Ship- Bekanntwerden einer Erkennen der Erkenntnis, dass die Schließen der Lücke ment Sicherheitslücke Lücke durch die Lücke eine Bedrohung oder impl. Workaround weltweit (Zero Day) eigenen Spezialisten für die eigene IT darstellt 13 COPYRIGHT ACT © 2009
Nächster Schritt: Sicherheitsmanagement Ständige automatische, zeitgesteuerte Überwachung von Teilnetzen sowie von verteilten Umgebungen Zentrale Zusammenführung der aktuellen Informationen als Basis exakter Entscheidungen Reporting mit Prioritäten für eine systematische und effiziente Beseitigung der Sicherheitslücken Maßnahmen mit Berücksichtigung der Auswirkung auf Ihre Geschäftsprozesse Intrusion-Detection, -Prevention System Malwareschutz Integrierte intelligente Firewall Integration in IT-Servicemanagement Incident-Management Problem-Management Change-Management 14 COPYRIGHT ACT © 2009
Risiko- & Notfallmanagement 1 Sind Sie sich der Risiken, denen Ihr Unternehmen ausgesetzt ist, bewusst? Wie ist der Begriff Notfall für Ihr Unternehmen definiert? 2 Welche Auswirkungen hat der Ausfall unternehmenskritischer IT-Prozesse für das Unternehmen (Umsatzverlust, zukünftige Auftragseinbußen, Zahlungsverpflichtungen, Vertragsstrafen, Ausfallzeiten des operativen Betriebs, Imageverlust)? 3 Können Sie den IT-Betrieb nach einem Notfall in einem definierten Zeitraum kontrolliert wiederherstellen? 4 Kennen Sie die notwendige Wiederherstellungszeit ihrer Prozesse nach einem Notfall? 5 Gibt es ein Notfallkonzept, das regelt, durch welche Maßnahmen der IT-Betrieb nach einem Notfall in angemessener Zeit wieder aufgenommen werden kann? Stellen Sie fest, ob • Maßnahmen für den Notbetrieb sich in Einklang mit der Risikobeurteilung des Unternehmens befinden, • bei der Umsetzung der Maßnahmen eine Analyse der Geschäftsprozesse erfolgte und sichergestellt wurde, • alle rechnungslegungsrelevanten IT-gestützten Geschäftsprozesse abgedeckt werden, • Maßnahmen dokumentiert und Verfahren etabliert sind, die die Regeln zur Anpassung bzw. Änderung dieser Dokumentation beschreiben, • Notfallmaßnahmen den Mitarbeitern bekannt sind. 6 Sind die Wiederherstellungsprozesse so beschrieben, dass die Wiederherstellungsreihenfolge präzise dokumentiert ist? 7 Sind die Verträge zur Leistungserbringung externer Dienstleister (Hersteller/Lieferanten) aktuell bzw. vollständig dokumentiert? Ist ein Verfahren etabliert, dass die Regeln zur Anpassung bzw. Änderung dieser Dokumentation beschreibt? 8 Entspricht ihr Datensicherungskonzept den Anforderungen an die notwendigen Wiederherstellungsverfahren in Bezug auf • Lagerung der Sicherungen, • Zugriffsberechtigungen, • Verfügbarkeit im Notfall, • usw. 15 COPYRIGHT ACT © 2009
Risiko- & Notfallmanagement • Verhütung Parameter Kosten • Eintrittswahr- • Reduktion • Identifizierung vs. scheinlichkeit • Transfer Eintrittswahrsch. • Auswirkungen • Maßnahmen und Auswirkung • Akzeptanz analyse Risiko- Identifikation Bewertung Identifikation der Auswahl der der Risiken der Risiken Gegenmaßnahmen Gegenmaßnahmen management Risiko- Beobachten und Planen und berichten beschaffen • Risikoprofile Parameter • Risikobudget • Menschen • Risikofelder • Risikoowner • Material • Eintrittsindikatoren • Risikoprotokoll 16 COPYRIGHT ACT © 2009
Was passiert, wenn ich nicht „compliant“ bin? Die zivilrechtliche Haftung Werden innerhalb eines Unternehmens erforderliche Maßnahmen schuldhaft nicht oder nicht hinreichend getroffen, so droht bei einem dadurch eingetretenen Schaden bei Dritten stets eine entsprechende Schadensersatzverpflichtung. Solche Schadensersatzansprüche ergeben sich dabei entweder aus einem Vertrag mit dem Geschädigten (z.B. Kunde oder Lieferant) oder aus Gesetz (z.B. §§ 823 ff BGB oder § 7 BDSG) Daneben besteht die zivilrechtliche Verantwortlichkeit der Organe des Unternehmens, sofern ihr – schuldhaftes – Handeln (Tun oder Unterlassen) Schäden für das Unternehmen bewirkt hat. Die strafrechtliche Haftung Neben der zivilrechtlichen Haftung kommt auch eine strafrechtliche Verantwortlichkeit – je nach Einzelfall – in Betracht. z.B. bei Verstößen gegen das BDSG 17 COPYRIGHT ACT © 2009

Recommandé

Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und Prävention
Acertigo
 
Vortrag: DQM - Ein kritischer Erfolgsfaktor?
Vortrag: DQM - Ein kritischer Erfolgsfaktor? Vortrag: DQM - Ein kritischer Erfolgsfaktor?
Vortrag: DQM - Ein kritischer Erfolgsfaktor?
Marco Geuer
 
Revisoren und hacker
Revisoren und hackerRevisoren und hacker
Revisoren und hacker
Digicomp Academy AG
 
Operational Intelligence - TDWI Europe 2008
Operational Intelligence - TDWI Europe 2008Operational Intelligence - TDWI Europe 2008
Operational Intelligence - TDWI Europe 2008
Christian Schieder
 
Operational Intelligence im Kontext des Enterprise Decision Managements - MKW...
Operational Intelligence im Kontext des Enterprise Decision Managements - MKW...Operational Intelligence im Kontext des Enterprise Decision Managements - MKW...
Operational Intelligence im Kontext des Enterprise Decision Managements - MKW...
Christian Schieder
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
Symposia 360°
 
WS: Wiedemann, Proventa - Sustainbility Governance - saas auswahl
WS: Wiedemann, Proventa - Sustainbility Governance - saas auswahlWS: Wiedemann, Proventa - Sustainbility Governance - saas auswahl
WS: Wiedemann, Proventa - Sustainbility Governance - saas auswahl
CloudOps Summit
 
Public seal vertragsmanagement-2011
Public seal vertragsmanagement-2011Public seal vertragsmanagement-2011
Public seal vertragsmanagement-2011
Franz Schreiber
 

Recommandé

Datensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und PräventionDatensicherheit: Diebstahl und Prävention
Datensicherheit: Diebstahl und Prävention
Acertigo
 
Vortrag: DQM - Ein kritischer Erfolgsfaktor?
Vortrag: DQM - Ein kritischer Erfolgsfaktor? Vortrag: DQM - Ein kritischer Erfolgsfaktor?
Vortrag: DQM - Ein kritischer Erfolgsfaktor?
Marco Geuer
 
Revisoren und hacker
Revisoren und hackerRevisoren und hacker
Revisoren und hacker
Digicomp Academy AG
 
Operational Intelligence - TDWI Europe 2008
Operational Intelligence - TDWI Europe 2008Operational Intelligence - TDWI Europe 2008
Operational Intelligence - TDWI Europe 2008
Christian Schieder
 
Operational Intelligence im Kontext des Enterprise Decision Managements - MKW...
Operational Intelligence im Kontext des Enterprise Decision Managements - MKW...Operational Intelligence im Kontext des Enterprise Decision Managements - MKW...
Operational Intelligence im Kontext des Enterprise Decision Managements - MKW...
Christian Schieder
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
Symposia 360°
 
WS: Wiedemann, Proventa - Sustainbility Governance - saas auswahl
WS: Wiedemann, Proventa - Sustainbility Governance - saas auswahlWS: Wiedemann, Proventa - Sustainbility Governance - saas auswahl
WS: Wiedemann, Proventa - Sustainbility Governance - saas auswahl
CloudOps Summit
 
Public seal vertragsmanagement-2011
Public seal vertragsmanagement-2011Public seal vertragsmanagement-2011
Public seal vertragsmanagement-2011
Franz Schreiber
 
12 Schritte - eine Veränderungs-Beschreibungs-Sprache
12 Schritte - eine Veränderungs-Beschreibungs-Sprache12 Schritte - eine Veränderungs-Beschreibungs-Sprache
12 Schritte - eine Veränderungs-Beschreibungs-Sprache
Institut QBS Qualität in Beratung & Selbsthilfe
 
Franquicia Esteticbody
Franquicia EsteticbodyFranquicia Esteticbody
Franquicia Esteticbody
Tattoo Cleaners
 
Disco duro
Disco duroDisco duro
Disco duro
h0lydark
 
Enomina Cpt1]
Enomina Cpt1]Enomina Cpt1]
Enomina Cpt1]
DiegoEstebanEnomina
 
Diana Gabaldon, saga Forastera
Diana Gabaldon, saga ForasteraDiana Gabaldon, saga Forastera
Diana Gabaldon, saga Forastera
obuj
 
Zertifizierung für Endlich-Leben-Gruppen? Qualität sichern!
Zertifizierung für Endlich-Leben-Gruppen? Qualität sichern!Zertifizierung für Endlich-Leben-Gruppen? Qualität sichern!
Zertifizierung für Endlich-Leben-Gruppen? Qualität sichern!
Institut QBS Qualität in Beratung & Selbsthilfe
 
Qui sóc
Qui sócQui sóc
Qui sóc
spicumay
 
AIESEC Deutschland Jahresbericht 1415
AIESEC Deutschland Jahresbericht 1415AIESEC Deutschland Jahresbericht 1415
AIESEC Deutschland Jahresbericht 1415
Daniel Baumann
 
Las 7 maravillas del mundo
Las 7 maravillas del mundoLas 7 maravillas del mundo
Las 7 maravillas del mundo
Alejandra Cruz
 
Cerjioo al rescate ¬¬
Cerjioo al rescate ¬¬ Cerjioo al rescate ¬¬
Cerjioo al rescate ¬¬
cerjioo
 
Kathe!
Kathe!Kathe!
Kathe!
xiomi1996
 
Bloque IV: Electrónica digital
Bloque IV: Electrónica digitalBloque IV: Electrónica digital
Bloque IV: Electrónica digital
Gianmarco Bonetto Paredes
 
Compasión Universal
Compasión UniversalCompasión Universal
Compasión Universal
Plataforma La Tortura No Es Cultura
 
NOTA DE PRENSA CLAMOR EN TODA ESPAÑA CONTRA EL MALTRATO ANIMAL
NOTA DE PRENSA CLAMOR EN TODA ESPAÑA CONTRA EL MALTRATO ANIMAL NOTA DE PRENSA CLAMOR EN TODA ESPAÑA CONTRA EL MALTRATO ANIMAL
NOTA DE PRENSA CLAMOR EN TODA ESPAÑA CONTRA EL MALTRATO ANIMAL
Plataforma La Tortura No Es Cultura
 
Qualitätsdefinitionen Beratung
Qualitätsdefinitionen BeratungQualitätsdefinitionen Beratung
Qualitätsdefinitionen Beratung
Institut QBS Qualität in Beratung & Selbsthilfe
 
Csb Kundenforum 2007
Csb Kundenforum 2007Csb Kundenforum 2007
Csb Kundenforum 2007
Andreas Schulte
 
CAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIOR
CAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIORCAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIOR
CAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIOR
roster1
 
Kathe!
Kathe!Kathe!
Kathe!
xiomi1996
 
B3
B3B3
B3
Yannis Belonis
 
1. As redes sociais na práctica docente: Introdución
1. As redes sociais na práctica docente: Introdución1. As redes sociais na práctica docente: Introdución
1. As redes sociais na práctica docente: Introdución
Juan Marcos Filgueira
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
Sven Wohlgemuth
 
Leistungsportfolio der ICT
Leistungsportfolio der ICTLeistungsportfolio der ICT
Leistungsportfolio der ICT
Chris H. Leeb
 

Contenu connexe

En vedette

Diana Gabaldon, saga Forastera
Diana Gabaldon, saga ForasteraDiana Gabaldon, saga Forastera
Diana Gabaldon, saga Forastera
obuj
 
AIESEC Deutschland Jahresbericht 1415
AIESEC Deutschland Jahresbericht 1415AIESEC Deutschland Jahresbericht 1415
AIESEC Deutschland Jahresbericht 1415
Daniel Baumann
 
Cerjioo al rescate ¬¬
Cerjioo al rescate ¬¬ Cerjioo al rescate ¬¬
Cerjioo al rescate ¬¬
cerjioo
 
Qualitätsdefinitionen Beratung
Qualitätsdefinitionen BeratungQualitätsdefinitionen Beratung
Qualitätsdefinitionen Beratung
Institut QBS Qualität in Beratung & Selbsthilfe
 
CAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIOR
CAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIORCAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIOR
CAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIOR
roster1
 

En vedette (20)

12 Schritte - eine Veränderungs-Beschreibungs-Sprache
12 Schritte - eine Veränderungs-Beschreibungs-Sprache12 Schritte - eine Veränderungs-Beschreibungs-Sprache
12 Schritte - eine Veränderungs-Beschreibungs-Sprache
 
Franquicia Esteticbody
Franquicia EsteticbodyFranquicia Esteticbody
Franquicia Esteticbody
 
Disco duro
Disco duroDisco duro
Disco duro
 
Enomina Cpt1]
Enomina Cpt1]Enomina Cpt1]
Enomina Cpt1]
 
Diana Gabaldon, saga Forastera
Diana Gabaldon, saga ForasteraDiana Gabaldon, saga Forastera
Diana Gabaldon, saga Forastera
 
Zertifizierung für Endlich-Leben-Gruppen? Qualität sichern!
Zertifizierung für Endlich-Leben-Gruppen? Qualität sichern!Zertifizierung für Endlich-Leben-Gruppen? Qualität sichern!
Zertifizierung für Endlich-Leben-Gruppen? Qualität sichern!
 
Qui sóc
Qui sócQui sóc
Qui sóc
 
AIESEC Deutschland Jahresbericht 1415
AIESEC Deutschland Jahresbericht 1415AIESEC Deutschland Jahresbericht 1415
AIESEC Deutschland Jahresbericht 1415
 
Las 7 maravillas del mundo
Las 7 maravillas del mundoLas 7 maravillas del mundo
Las 7 maravillas del mundo
 
Cerjioo al rescate ¬¬
Cerjioo al rescate ¬¬ Cerjioo al rescate ¬¬
Cerjioo al rescate ¬¬
 
Kathe!
Kathe!Kathe!
Kathe!
 
Bloque IV: Electrónica digital
Bloque IV: Electrónica digitalBloque IV: Electrónica digital
Bloque IV: Electrónica digital
 
Compasión Universal
Compasión UniversalCompasión Universal
Compasión Universal
 
NOTA DE PRENSA CLAMOR EN TODA ESPAÑA CONTRA EL MALTRATO ANIMAL
NOTA DE PRENSA CLAMOR EN TODA ESPAÑA CONTRA EL MALTRATO ANIMAL NOTA DE PRENSA CLAMOR EN TODA ESPAÑA CONTRA EL MALTRATO ANIMAL
NOTA DE PRENSA CLAMOR EN TODA ESPAÑA CONTRA EL MALTRATO ANIMAL
 
Qualitätsdefinitionen Beratung
Qualitätsdefinitionen BeratungQualitätsdefinitionen Beratung
Qualitätsdefinitionen Beratung
 
Csb Kundenforum 2007
Csb Kundenforum 2007Csb Kundenforum 2007
Csb Kundenforum 2007
 
CAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIOR
CAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIORCAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIOR
CAUSAS Y PROPUESTAS DE LA SOLUCIÓN EN EL NIVEL MEDIO SUPERIOR
 
Kathe!
Kathe!Kathe!
Kathe!
 
B3
B3B3
B3
 
1. As redes sociais na práctica docente: Introdución
1. As redes sociais na práctica docente: Introdución1. As redes sociais na práctica docente: Introdución
1. As redes sociais na práctica docente: Introdución
 

Similaire à B3 Act Lotusday 08 09 2009

Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Constanze Liebenau
 
Datenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgenDatenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgen
Vizlib Ltd.
 
Der Einsatz von Process Mining Techniken in Revision und Compliance
Der Einsatz von Process Mining Techniken in Revision und ComplianceDer Einsatz von Process Mining Techniken in Revision und Compliance
Der Einsatz von Process Mining Techniken in Revision und Compliance
ProcessGold AG
 

Similaire à B3 Act Lotusday 08 09 2009 (20)

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
Leistungsportfolio der ICT
Leistungsportfolio der ICTLeistungsportfolio der ICT
Leistungsportfolio der ICT
 
Microsoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -SecurityMicrosoft Kompendium IT-Compliance und -Security
Microsoft Kompendium IT-Compliance und -Security
 
Cobit
CobitCobit
Cobit
 
BARC Was Datenmanagement Messbar Dazu Beitragen Kann
BARC Was Datenmanagement Messbar Dazu Beitragen KannBARC Was Datenmanagement Messbar Dazu Beitragen Kann
BARC Was Datenmanagement Messbar Dazu Beitragen Kann
 
We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch Webcast On24We Do Web Sphere Deutsch Webcast On24
We Do Web Sphere Deutsch Webcast On24
 
Data Governance: Schlüsselfaktor zur erfolgreichen Umsetzung der Finance Tran...
Data Governance: Schlüsselfaktor zur erfolgreichen Umsetzung der Finance Tran...Data Governance: Schlüsselfaktor zur erfolgreichen Umsetzung der Finance Tran...
Data Governance: Schlüsselfaktor zur erfolgreichen Umsetzung der Finance Tran...
 
Der Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum WorkflowDer Weg zum vernetzten Spital: Von Silos zum Workflow
Der Weg zum vernetzten Spital: Von Silos zum Workflow
 
Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt München
 
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher IntelligenzSeal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
Seal Software - Digitales Vertragsmanagement mit kuenstlicher Intelligenz
 
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
 
ISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_SchmidtISD2016_SolutionL_Wolfgang_Schmidt
ISD2016_SolutionL_Wolfgang_Schmidt
 
2009 05 26 Leeb It Governance
2009 05 26 Leeb It Governance2009 05 26 Leeb It Governance
2009 05 26 Leeb It Governance
 
Datenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgenDatenqualitätsmanagement heute und morgen
Datenqualitätsmanagement heute und morgen
 
Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1Infos Zum Thema Reifegradentwicklung V1 1
Infos Zum Thema Reifegradentwicklung V1 1
 
Fit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar machtFit für Solvency II – wie man Datenqualität messbar macht
Fit für Solvency II – wie man Datenqualität messbar macht
 
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus ThielOSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
OSMC 2017 | Monitoring - dos and don'ts by Markus Thiel
 
Der Einsatz von Process Mining Techniken in Revision und Compliance
Der Einsatz von Process Mining Techniken in Revision und ComplianceDer Einsatz von Process Mining Techniken in Revision und Compliance
Der Einsatz von Process Mining Techniken in Revision und Compliance
 
Cloud Governance
Cloud GovernanceCloud Governance
Cloud Governance
 
Process Mining @
Process Mining @Process Mining @
Process Mining @
 

Plus de Andreas Schulte

C3 Nubizz Lotus Day2009 V1.0
C3 Nubizz Lotus Day2009 V1.0C3 Nubizz Lotus Day2009 V1.0
C3 Nubizz Lotus Day2009 V1.0
Andreas Schulte
 
C1 Adcon Backup For Domino
C1 Adcon Backup For DominoC1 Adcon Backup For Domino
C1 Adcon Backup For Domino
Andreas Schulte
 
B1 Acocon Lotus Day 08.09.2009
B1 Acocon Lotus Day 08.09.2009B1 Acocon Lotus Day 08.09.2009
B1 Acocon Lotus Day 08.09.2009
Andreas Schulte
 

Plus de Andreas Schulte (20)

IBM Lotus Notes E-Postbrief Integration
IBM Lotus Notes E-Postbrief IntegrationIBM Lotus Notes E-Postbrief Integration
IBM Lotus Notes E-Postbrief Integration
 
Lotus Foundations Branch Office
Lotus Foundations Branch OfficeLotus Foundations Branch Office
Lotus Foundations Branch Office
 
LotusLive Cloud Computing
LotusLive Cloud ComputingLotusLive Cloud Computing
LotusLive Cloud Computing
 
LotusLive Cloud Computing
LotusLive Cloud ComputingLotusLive Cloud Computing
LotusLive Cloud Computing
 
Webcast Lf 04112009
Webcast Lf 04112009Webcast Lf 04112009
Webcast Lf 04112009
 
Webcast 12 09
Webcast 12 09Webcast 12 09
Webcast 12 09
 
B1 Acocon Lotus Day 08.09.2009
B1 Acocon Lotus Day 08.09.2009B1 Acocon Lotus Day 08.09.2009
B1 Acocon Lotus Day 08.09.2009
 
D3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id VaultD3 000908 Lotusday Hagen Bcc Id Vault
D3 000908 Lotusday Hagen Bcc Id Vault
 
C3 Nubizz Lotus Day2009 V1.0
C3 Nubizz Lotus Day2009 V1.0C3 Nubizz Lotus Day2009 V1.0
C3 Nubizz Lotus Day2009 V1.0
 
A2 Sametime
A2 SametimeA2 Sametime
A2 Sametime
 
D1 Effiziente Werkzeuge
D1 Effiziente WerkzeugeD1 Effiziente Werkzeuge
D1 Effiziente Werkzeuge
 
E5 Dnug Lotusday
E5 Dnug LotusdayE5 Dnug Lotusday
E5 Dnug Lotusday
 
C1 Adcon Backup For Domino
C1 Adcon Backup For DominoC1 Adcon Backup For Domino
C1 Adcon Backup For Domino
 
A1 Connections Mashups
A1 Connections MashupsA1 Connections Mashups
A1 Connections Mashups
 
A1 Connections Mashups
A1 Connections MashupsA1 Connections Mashups
A1 Connections Mashups
 
B1 Acocon Lotus Day 08.09.2009
B1 Acocon Lotus Day 08.09.2009B1 Acocon Lotus Day 08.09.2009
B1 Acocon Lotus Day 08.09.2009
 
Lotus Foundations
Lotus FoundationsLotus Foundations
Lotus Foundations
 
B2 CDH Lotusday 2009
B2 CDH Lotusday 2009B2 CDH Lotusday 2009
B2 CDH Lotusday 2009
 
D2 TimeFleX
D2 TimeFleXD2 TimeFleX
D2 TimeFleX
 
A5 Portal Now Überblick
A5 Portal Now ÜberblickA5 Portal Now Überblick
A5 Portal Now Überblick
 

B3 Act Lotusday 08 09 2009

  • 1. B3 IT-Compliance durch IT-Sicherheit “ In God we Trust, Everything else we measure ” Referent: Heiner Frings ACT IT-Consulting & Services AG Lotusday 2009 Hagen, 8. September 2009 - Arcadeon
  • 2. (IT)-Compliance durch IT-Sicherheit Die Vortragspunkte: Rechtliche Hintergründe? Was muss ich tun, damit ich „compliant“ bin? Worauf muss ich achten? Was leistet die ACT konkret? Was passiert, wenn ich nicht „compliant“ bin? 2 COPYRIGHT ACT © 2009
  • 3. Rechtliche Hintergründe Was ist „IT-Compliance“ überhaupt? Einhaltung von Verhaltensmaßregeln, Gesetzen und Richtlinien etc., d.h. die Übereinstimmung des Handelns mit diesen Vorgaben. Gegenstand von IT-Compliance: Werden diese Vorgaben in Bezug auf die IT des Unternehmens eingehalten? Grundlage: Verschiedene Rechtsquellen Wesentliche Bestimmungen: KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) - Herausragend: § 91 Abs. 2 AktG. - Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden. BDSG (Bundesdatenschutzgesetz) HGB (Handelsgesetzbuch) und AO (Abgabenordnung) i.V.m. GoBS (Grundsätze ordnungsgemäßer DV gestützter Buchführungssysteme) und GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) Basel II (RICHTLINIE 2006/48/EG DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 14. Juni 2006 über die Aufnahme und Ausübung der Tätigkeit der Kreditinstitute (Neufassung) 3 COPYRIGHT ACT © 2009
  • 4. (IT)-Compliance Was muss ich tun? (Fokus Innenverhältnis) • Umsetzung der Compliance-Anforderungen durch die IT sind z.B.: • Korrekte Funktionsweise der Anwendungssysteme • Verfügbarkeit und Verlässlichkeit im Betrieb • Schutz der Daten und Informationen Commitment & • Sicherheit der IT-Infrastruktur Policies • Frühzeitige Erkennung und Vermeidung von Risiken Risiko- g hun • Transparenz, Nachvollziehbarkeit und analyse wac Dokumentation relevanter Prozesse Koordination r Übe aller Elemente (Fokus Außenverhältnis) • Sauber definierte Beziehungen zu anderen Unternehmen, ( Bei Lieferung oder Inanspruchnahme von IT- Maßnahmen & Information Dienstleistungen z.B.) Verantwortlich- & Kommunikation • Outsourcing-Projekten (SLA, OLA, UC) keiten • Serviceproviding-Projekten ,, • ASP-Projekten ,, 4 COPYRIGHT ACT © 2009
  • 5. Commitment & Policies Aufgabe der Geschäftsleitung ist es, für ein organisatorisches Umfeld zu sorgen sowie eine Unternehmenskultur zu fördern, die die Beachtung gesetzlicher Bestimmungen sowie die Einhaltung freiwilliger Vereinbarungen sicher stellen. Zentrale Punkte: • Zieldefinition hinsichtlich der Compliance zu geforderten (gesetzlichen) und freiwilligen Verpflichtungen • Durchgeführte Risikoanalyse • Formulierung einer Compliance Policy des Top Managements unter Berücksichtigung der strategischen Unternehmensziele • Förderung einer Compliance Kultur durch gelebte Umsetzung in der Unternehmensführung • Etablierung von Überprüfungsmechanismen 5 COPYRIGHT ACT © 2009
  • 6. Risikoanalyse Bewertung und Priorisierung der identifizierten Compliance-Risiken im Hinblick auf mögliche Auswirkungen auf strategische Unternehmensziele, Geschäftsabläufe sowie persönliche Haftung von Mitarbeitern und Management. Zentrale Themen für die Organisation: • Bindende und regulatorische Verfahrensanweisungen in den Unternehmen aufsetzen • Beobachtung und Früherkennung von Compliance-Themen • Auswirkungen im Falle eines Verstoßes, (Penalties) • Abgleich des Umfangs der ergriffenen Maßnahmen mit dem Risiko und den Zielsetzungen des Vorstands und der Stakeholder? Zentrale Punkte für die IT-Organisation: • Ist ein IT-Sicherheitsmanagement implementiert? • Ist ein IT-Risikomanagement implementiert? • Existiert ein Notfallkonzept für Systeme der IT und der Infrastruktur? • Ist ein Lizenzmanagement implementiert? • Sind zwischen Servicenehmern und –Gebern klare Agreements etabliert? 6 COPYRIGHT ACT © 2009
  • 7. Maßnahmen & Verantwortlichkeiten Eindeutige Zuordnung von Verantwortlichkeiten zur Einhaltung der Anforderungen sowie Absicherung durch geeignete Maßnahmen zur Vermeidung und Aufdeckung von Compliance-Verstößen Zentrale Themen für die Organisation: • Adressierung einzelner Maßnahmen an die (de)zentralen Einheiten • Eindeutige Abgrenzung von Zuständigkeiten und Kompetenzen Vermeidung Doppelaktionen und Lücken • Dokumentation von Abläufen, Informations- und Berichtswegen in Richtlinien und Verfahrensanweisungen • Definition von konkreten Rollenverteilungen und Aktionsplänen für kritische Situationen Zentrale Punkte für die IT-Organisation: • Die Umsetzung notwendiger Maßnahmen muss gemessen, dokumentiert und sichergestellt werden • Wie wird die Qualität gemessen (KPIs), • Wie wird der Kontinuierliche Verbesserungsprozess KVP gewährleistet? 7 COPYRIGHT ACT © 2009
  • 8. Information & Kommunikation Informationserhebung, interne und externe Berichterstattung zum Compliance-Status sowie Schaffung einer Kultur und eines Bewusstseins für die Einhaltung der Compliance im gesamten Unternehmen Zentrale Themen: • Bewusstseinssensibilisierung des Managements und der Mitarbeiter durch Schulungen und Arbeitskreise für eine angemessene Kommunikation bei Compliance Themen • Wie und in welchen Intervallen wird der Vorstand über die Situation informiert? • Wie und in welchen Intervallen werden Aufsichtsgremien, Investoren und Öffentlichkeit über die Compliance-Situation informiert? • Wie werden Indikatoren zur Einhaltung der Anforderungen erhoben? • Wie wird die Erfassung, Kommunikation und Auswertung von Compliance-Verstößen sichergestellt? 8 COPYRIGHT ACT © 2009
  • 9. Überwachung Laufendes Prozess-Monitoring, Plausibilisierung und kontinuierliche Weiterentwicklung/Nachhaltigkeit der Compliance und systematische Prüfung durch die Interne Revision, externe Gutachten und Sonderanalysen Zentrale Themen: • Regelmäßige Überprüfung der Informationen zur Früherkennung des Compliance Zustandes im internen Berichtsprozess • Wie erfolgt die Selektion und Freigabe von Compliance Informationen für die externe Berichterstattung? • Wie werden die im Unternehmen implementierten Compliance- Prozesse hinsichtlich Effektivität und Effizienz überprüft z.B. • durch Self Assessments • Audits • technische Messverfahren • Berücksichtigung der Compliance Risiken bei der • der Internen Revision • strategischen Planung • und innerhalb des Risikomanagements • Umsetzung des Anpassungsbedarfs am Compliance-System 9 COPYRIGHT ACT © 2009
  • 10. Compliance & IT-Sicherheit Vertraulichkeit Integrität Der unberechtigte Zugang zu Unversehrtheit und Daten wird unterbunden Korrektheit der Daten Authentizität Echtheit der Kommunikations- partner Verfügbarkeit Verbindlichkeit Der Zugriff auf die eigenen Das Senden und Empfangen Daten ist gesichert von Daten kann nicht geleugnet werden • Eine IT-Infrastruktur gilt als sicher, wenn die Risiken, die beim Betrieb der IT- Infrastruktur aufgrund von Bedrohungen vorhanden sind, auf ein tragbares Maß beschränkt sind. 10 COPYRIGHT ACT © 2009
  • 11. Was liefern wir ? Strukturiertes Herangehen Analyse der Rechtslage Bedrohungsanalyse Eine IT-Security-Strategie muss immer über die technischen Lösungen hinaus auch die recht- unterschiedliche Szenarien, welchen Be- lichen Aspekte berücksichtigen. drohungen Unternehmen bei der Nutzung von (z.B. BDSG, KonTraG, HGB, BGB, HIPAA) IT-Technologien ausgesetzt sind. Analyze Report Optimize Schadens- & Schutzbedarfsanalyse Kosten/Nutzenanalyse Certify Ein Schaden, der aufgrund unzureichender oder Finanzielle Schäden sind meist wesentlich höher, nicht umgesetzter IT-Sicherheitsmaßnahmen als die Kosten für die jeweils erforderlichen eintritt, hat immer finanzielle Auswirkung, oft Sicherheitslösungen. In jeder Organisation muss daneben auch erheblichen Imageverlust. das Verhältnis individuell ermittelt werden. Letzteres ist der Grund für die hohen Dunkel- ziffern. 11 COPYRIGHT ACT © 2009
  • 12. Auditierung nach BSI-Grundschutz, ISO2700x 12 COPYRIGHT ACT © 2009
  • 13. Compliance Check mit Sicherheitsbrille Prozess: Vulnerability Prozess: Compliance Prozess: Compliance Management Management Management Ergebnis: Definiert zu treffende Behebungsmaßnahmen Notwendigkeit: Notwendigkeit: Prozess: Incident Management Aktuelles Wissen über alle AktuelleKenntnis der Definiert Impact und Priorität, leitet das an eine Vulnerabilities weltweit, eigenen IT-Infrastruktur, ob zentrale Stelle weiter, überwacht den Lücken eine Bedrohung Behebungsprozess Produkt am Markt möglichst früher als die Bekanntgabe durch die darstellen und mit welchem Prozess: Change Management Schaden zu rechnen ist. Entscheidet über die Möglichkeiten der Behebung, der Herstellern. Phase: Bedrohungs- & Workarounds oder Alternativen. Richtet sich nach vorgegebenen Standards. (PCI-Standard) Phase: Erkennen Schadensanalyse Phase: Behebung der Maßnahmen Ziel: Ziel: Deutliches Verschieben des Gesamtziel: Deutliches Verschieben des Zeitpunktes Deutliches Verschieben des Behebungszeitpunktes. Zeitpunktes Deutliches Verringern des Angriffzeitfensters Less Than Zero Day Zero Day Vulnerabilities Innerhalb dieses Zeitfensters besteht eine akute Angriffsgefahr Zeitachse t Ship- Bekanntwerden einer Erkennen der Erkenntnis, dass die Schließen der Lücke ment Sicherheitslücke Lücke durch die Lücke eine Bedrohung oder impl. Workaround weltweit (Zero Day) eigenen Spezialisten für die eigene IT darstellt 13 COPYRIGHT ACT © 2009
  • 14. Nächster Schritt: Sicherheitsmanagement Ständige automatische, zeitgesteuerte Überwachung von Teilnetzen sowie von verteilten Umgebungen Zentrale Zusammenführung der aktuellen Informationen als Basis exakter Entscheidungen Reporting mit Prioritäten für eine systematische und effiziente Beseitigung der Sicherheitslücken Maßnahmen mit Berücksichtigung der Auswirkung auf Ihre Geschäftsprozesse Intrusion-Detection, -Prevention System Malwareschutz Integrierte intelligente Firewall Integration in IT-Servicemanagement Incident-Management Problem-Management Change-Management 14 COPYRIGHT ACT © 2009
  • 15. Risiko- & Notfallmanagement 1 Sind Sie sich der Risiken, denen Ihr Unternehmen ausgesetzt ist, bewusst? Wie ist der Begriff Notfall für Ihr Unternehmen definiert? 2 Welche Auswirkungen hat der Ausfall unternehmenskritischer IT-Prozesse für das Unternehmen (Umsatzverlust, zukünftige Auftragseinbußen, Zahlungsverpflichtungen, Vertragsstrafen, Ausfallzeiten des operativen Betriebs, Imageverlust)? 3 Können Sie den IT-Betrieb nach einem Notfall in einem definierten Zeitraum kontrolliert wiederherstellen? 4 Kennen Sie die notwendige Wiederherstellungszeit ihrer Prozesse nach einem Notfall? 5 Gibt es ein Notfallkonzept, das regelt, durch welche Maßnahmen der IT-Betrieb nach einem Notfall in angemessener Zeit wieder aufgenommen werden kann? Stellen Sie fest, ob • Maßnahmen für den Notbetrieb sich in Einklang mit der Risikobeurteilung des Unternehmens befinden, • bei der Umsetzung der Maßnahmen eine Analyse der Geschäftsprozesse erfolgte und sichergestellt wurde, • alle rechnungslegungsrelevanten IT-gestützten Geschäftsprozesse abgedeckt werden, • Maßnahmen dokumentiert und Verfahren etabliert sind, die die Regeln zur Anpassung bzw. Änderung dieser Dokumentation beschreiben, • Notfallmaßnahmen den Mitarbeitern bekannt sind. 6 Sind die Wiederherstellungsprozesse so beschrieben, dass die Wiederherstellungsreihenfolge präzise dokumentiert ist? 7 Sind die Verträge zur Leistungserbringung externer Dienstleister (Hersteller/Lieferanten) aktuell bzw. vollständig dokumentiert? Ist ein Verfahren etabliert, dass die Regeln zur Anpassung bzw. Änderung dieser Dokumentation beschreibt? 8 Entspricht ihr Datensicherungskonzept den Anforderungen an die notwendigen Wiederherstellungsverfahren in Bezug auf • Lagerung der Sicherungen, • Zugriffsberechtigungen, • Verfügbarkeit im Notfall, • usw. 15 COPYRIGHT ACT © 2009
  • 16. Risiko- & Notfallmanagement • Verhütung Parameter Kosten • Eintrittswahr- • Reduktion • Identifizierung vs. scheinlichkeit • Transfer Eintrittswahrsch. • Auswirkungen • Maßnahmen und Auswirkung • Akzeptanz analyse Risiko- Identifikation Bewertung Identifikation der Auswahl der der Risiken der Risiken Gegenmaßnahmen Gegenmaßnahmen management Risiko- Beobachten und Planen und berichten beschaffen • Risikoprofile Parameter • Risikobudget • Menschen • Risikofelder • Risikoowner • Material • Eintrittsindikatoren • Risikoprotokoll 16 COPYRIGHT ACT © 2009
  • 17. Was passiert, wenn ich nicht „compliant“ bin? Die zivilrechtliche Haftung Werden innerhalb eines Unternehmens erforderliche Maßnahmen schuldhaft nicht oder nicht hinreichend getroffen, so droht bei einem dadurch eingetretenen Schaden bei Dritten stets eine entsprechende Schadensersatzverpflichtung. Solche Schadensersatzansprüche ergeben sich dabei entweder aus einem Vertrag mit dem Geschädigten (z.B. Kunde oder Lieferant) oder aus Gesetz (z.B. §§ 823 ff BGB oder § 7 BDSG) Daneben besteht die zivilrechtliche Verantwortlichkeit der Organe des Unternehmens, sofern ihr – schuldhaftes – Handeln (Tun oder Unterlassen) Schäden für das Unternehmen bewirkt hat. Die strafrechtliche Haftung Neben der zivilrechtlichen Haftung kommt auch eine strafrechtliche Verantwortlichkeit – je nach Einzelfall – in Betracht. z.B. bei Verstößen gegen das BDSG 17 COPYRIGHT ACT © 2009