SlideShare une entreprise Scribd logo

Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni 2015

jiricejka
jiricejka

„Cyber-Kriminalität wächst und ist auf dem 4.Platz aller kriminellen Taten. Cyber-Kriminalität ist nicht das Technologie Problem, es ist das Business- und das Strategie-Problem“. Quelle: PWC 2014 Crime-Survey

Business
1  sur  5
Télécharger pour lire hors ligne
69 NEWSLETTER ISACA-Training Aktuelle Aus- und Weiter- bildungsmöglichkeiten für Mitglieder und Nicht- Mitglieder Seite 73 F ür den Auditor stellt dies eine sehr grosse Herausforderung dar, denn er muss die mit den enormen Ver- änderungen in der IT Entwicklung verbundenen Cyber-Risiken und Heraus- forderungen beim Vorgehen im Audit berücksichtigen. Obwohl die Auditing Standards, bspw. ISA 315 (International Standard on Auditing) die Ausgangs- schritte für das Vorgehen aufzeigen, muss der Auditor in der Lage sein, die techni- sche Vielfalt der Angriffsmöglichkeiten, die neuen Methoden zur Erkennung der Angriffe, sowie die Verantwortlichen im Unternehmen (Management, Verwal- tungsrat) in seinen Audit mit einzubezie- hen. Der sich laufend ausweitende Einsatz des Cloud-Computings hat die Cyber-Risi- ken massiv verstärkt. 1. Entwicklung in der IT: Ge- schäftsvorteile und Bedrohungs- potential Die Entwicklungen in der IT haben im letzten Jahrzehnt ein schnelles Tempo erreicht: Mobile-Wireless und Netz-Tech- nologie, Cloud-Computing, vernetzte und virtualisierte Plattformen oder Big-Data Anwendungen. Die Fortschritte ermögli- chen strukturierte Veränderungen der IT Umgebung, wie Einführung alternativer Sourcing-Strukturen, Hosting oder Cloud-Computing. Diese Veränderungen haben für die Unternehmen grosse Kos- tenvorteile gebracht: Sie können ihre An- bindungen an Dritt-Lieferanten und Kun- den verbessern. Ein Beispiel dafür ist die Cloud-Lösung, welche wesentliche Kos- teneinsparungen gegenüber der Verwal- tung der Daten im eigenen Rechenzent- rum bietet: ➤ Aus strategischer Sicht ist das Unter- nehmen effizienter, dynamischer und un- abhängiger von Investitionen in die IT. Audit von Cyber Risiken: Verantwortung der Unterneh- mensleitung und Herausforde- rung für den Auditor Die Audit-Methodik und der Prüfungsumfang müssen laufend den technologischen Veränderungen angepasst und erweitert werden um die effektive Cyber-Sicherheit beim zu prüfenden Unternehmen wirksam beurteilen zu können. Hier kommt die Frage des „Wie“, da zurzeit keine Cyber Gesetze oder Regulationen existieren Von Jiri Cejka und Markus Martinides Risikomanagement ISACA Switzerland Chapter bietet eine solide Grundausbildung in Risikomanagement an Seite 73 Audit Vorgehen Die Business-kritische Bedeutung von Cyber- Governance und struktu- rierten Darstellung der Cyber-Risiken Seite 69 Nr. 02 | Juni 2015 | www.isaca.ch ISACA News  Nr. 02 | Juni 2015
70 ISACA-NEWSLETTER ISACA News  Nr. 02 | Juni 2015 ➤ Aus ökonomischer Sicht werden die globalen operativen Kosten reduziert, die Verfügbarkeit und Kapazität der Daten erhöht und der Einsatz neuer und effekti- verer IT-Produkte oder IT-Dienstleistun- gen ermöglicht. Folglich fragt das Management «Wie schnell und wie kann vom Cloud-Einsatz profitiert werden?» Der Auditor hingegen wird die Geschäftsleitung mit anderen Fragen adressieren: ➤ Wie ist die strategische Geschäftsaus- richtung mit der Informatik synchroni- siert? ➤ Wie unterstützt die Informatik das Ge- schäft? ➤ Basieren die IT-Investment-Entscheide auf Business-Anforderungen? ➤ Bleibt die Verantwortung für die Daten innerhalb der Firma, auch wenn sie von der Sicherheit externer Systeme abhängig ist? Verändertes Geschäftsumfeld generiert neues Bedrohungspotential Der Drang nach Geschäftsvorteilen aus der Entwicklung neuer Informatik- und Telekommunikationstechnologien ist gross, kann jedoch auch erhebliche Risi- ken und Governance-Herausforderungen mit sich bringen. Zwar bringen diese Technologien viele Annehmlichkeiten bei der täglichen Ar- beit mit der Informatik, gleichzeitig aber eröffnen sie Hackern, Betrügern und Vi- renprogrammierern unzählige Möglich- keiten um Computersysteme anzugreifen und – für den Benutzer nicht erkennbar – dabei die Vollkontrolle des Computers zu übernehmen. Für das Unternehmen entsteht eine neue Bedrohung - die Cy- ber-Kriminalität. Cyber-Kriminalität – die globale Bedro- hung Bei Cyber-Attacken können Kriminelle bestehende Schutzmassnahmen häufig einfach umgehen. Die existierenden Si- cherheitsmassnahmen bspw. die Absi- cherung der logischen Schichten durch Firewalls genügen nicht mehr, um solche Angriffe mit Erfolg abzuwenden. Durch die weltweite Vernetzung unzähliger In- formatik-Systeme über das Internet haben Angreifer innerhalb Sekunden- bruchteilen Zugriff auf alle am Internet angeschlossenen Systeme. Dabei können unsere traditionellen Rechtssysteme praktisch beliebig umgangen werden. Als Reaktion haben bereits 44 Staaten die Konvention über Cyber-Kriminalität ratifi- ziert, 9 Staaten haben sie unterzeichnet. Situation in der Schweiz «Eines der grössten Probleme im Zusam- menhang mit der Nutzung des Internets ist heute die Datensicherheit», erklärt Markus Martinides, Cyber-Experte von der im Bereich Sicherheitsanalysen spezi- alisierten Firma SUA Telenet GmbH. «Ins- besondere für Firmen, die über vertrauli- che Daten verfügen, aber auch für Private ist es wichtig, kontrollieren zu können, wer auf interne Daten zugreift und ob diese unerlaubt verändert oder sogar gelöscht werden.» Aus diesem Grund sind in der Schweiz nicht nur die grossen Institutionen wie Versicherungen, Banken oder Industrieunternehmen sondern auch KMU Betriebe wie Arztpraxen und Anwaltskanzleien ebenso wie Spitäler, Gemeinden und Kantone bedroht. Die gängigen Firewalls bieten dabei immer weniger Schutz. Denn sogenannte Zombies (Codes, die sich via Internet auf dem System installieren und dann Daten vom System nach aussen schicken), kön- nen sich oft völlig unbemerkt installieren und bleiben von Antivirenprogrammen und Firewalls vollkommen unerkannt. «Oftmals sind solche Programme lange Zeit aktiv und spionieren das Netzwerk aus, bevor sie bemerkt werden», so Mar- kus Martinides. Tür und Tor werden Viren und Hackern beispielsweise durch die Verwendung von nicht überprüfter USB- Sticks geöffnet. Ein weiteres Problem ist, dass immer mehr Angriffe über sehr komplexe Technologien wie Javascripts laufen die verstärkt im Bereich der Inter- net-Browser zum Einsatz gelangen. 2. Cyber-Governance ist Manage- ment Aufgabe «Cyber-Kriminalität wächst und ist auf dem 4.Platz aller kriminellen Taten. Cy- ber-Kriminalität ist nicht das Technologie Problem, es ist das Business- und das Strategie-Problem». Quelle: PWC 2014 Crime-Survey Die Verantwortung für die Daten des Unternehmens liegt beim Management. Dem Verwaltungsrat sollten die Cyber-Ri- siken deshalb bewusst sein. Folgende Corporate Governance Prinzipien können helfen, die Cyber-Risiken aktiv zu mana- gen. Prinzipien für Corporate Governance ➤ Der Verwaltungsrat soll das Vorgehen bei Cyber-Sicherheit als unternehmens- weites Risk-Management positionieren, nicht nur als IT-Risiko. ➤ Der Verwaltungsrat soll die juristischen Konsequenzen der Cyber-Risiken verste- hen, da sie sich auf unternehmens-spezi- fische Umstände beziehen. ➤ Der Verwaltungsrat soll Zugriff zur Cy- ber-Sicherheit Expertise haben und die Diskussionen über Cyber-Risiko-Manage- ment sollten ausreichend Zeit auf seiner Agenda einnehmen. ➤ Der Verwaltungsrat erlässt eine Richtli- nie an das Management, dass ein unter- nehmensweites Cyber-Risiko-Manage- ment-Framework aufgebaut und mit ge- nügend Personal und Budget unterstützt wird. ➤ Cyber-Risiken können nicht einfach durch Abschluss einer Daten-Verlustver- sicherung gelöst werden. ➤ Die Diskussion zwischen VR und Ma- nagement sollte die Identifikation der tatsächlichen Cyber-Risiken und deren effektiven Abwehr durch organisatorische und technische Massnahmen beinhalten. Audit Fragen an Verwaltungsräte Der Auditor soll die Unternehmensleitung und den Verwaltungsrat aktiv unterstüt- zen, das Risikobewusstsein gegenüber Cyber Attacken zu schärfen und konkret zu formulieren. Folgende Fragen des Au- ditors an den Verwaltungsrat können dabei eine Hilfe sein: ➤ Wendet das Unternehmen ein Sicher- heitsframework an? ➤ Welche sind die Top fünf Risiken im Unternehmen, welche auf Cyber-Sicher- heit bezogen sind? ➤ Ist bei dem Mitarbeiter ein Bewusst- sein in Bezug auf Cyber-Sicherheit vor- handen? ➤ Wurden bei der Planung des Cyber-Si- cherheit Programms externe und interne Bedrohungen beachtet? ➤ Wie ist die Sicherheits-Governance in- nerhalb des Unternehmens geregelt? ➤ Gibt es einen konkreten Notfallplan im Falle einer Cyber-Attacke? 3. Darstellung von Cyber-Risiken und Vorgehen im Audit Die Cyber-Kriminalität «profitiert» von den, durch IT-Fortschritt erzeugten, neuen Risiko Quellen, welche vor allem mit dem Cloud-Computing Einsatz, mit Konzepten
71 ISACA-NEWSLETTER ISACA News  Nr. 02 | Juni 2015 wie «Bring-Your-Own-Device» (BYOD) mobilen Geräten und Applikationen sowie mit der Auslagerung der für Business kritischen IT-Bereichen, entstanden sind. Die neuen Risiko Quellen haben die Cy- ber-Angriffsflächen vergrössert. Die Risiken der Cyber-Kriminalität sind: i) Datenverlust, ii) Bedrohungen im Da- tenschutz-Bereich, iii) Verlust der Kon- trolle über Zugriff auf die Daten iv) Ver- lust der Verfügbarkeit der Daten im Be- trieb. Die Folgen der Cyber-Attacke können dem Unternehmen weitreichenden Scha- den zufügen wie bspw. Verlust der Wett- bewerbsfähigkeit, Kosten, Reputations- schaden oder Compliance-Probleme. Die Cyber-Bedrohung wird kritisch, da die Hacker sich auf den Missbrauch sensi- tiver oder finanziell wertvoller Information oder auf die Störung der wichtigen opera- tiven Bereiche fokussieren. Dabei ist der Anstieg von Attacken drastisch, da die Hacker-Bedrohungen und Sicherheits-Ein- brüche nicht nur in der Anzahl exponenti- ell wachsen (Bild 1), sondern ihre Metho- den kontinuierlich weiterentwickelt und ausgeklügelter konstruiert werden. In vielen Fällen werden Hacker-Atta- cken viel zu spät erkannt. Sehr viele Daten des Unternehmens können in dieser Zeit unbemerkt ausgeforscht, verändert und gelöscht werden. Viele Angreifer erstellen einen versteckten Remote-Zugang, der es ermöglicht Informationen erst bei «Be- darf» als bezahlte Dienstleistung gegen- über Ihren Auftraggebern bereitzustellen. Themen Aufgaben im Cyber Audit Der Audit der Cyber-Risiken erweitert sich um spezifische Themen in den Berei- chen i) IT Governance und Assurance, ii) IT Sicherheitsstrategie inkl. Richtlinien und Vorgaben, iii) Implementierungen iv) Projekt Risk-Management. Zu den Aufgaben des Auditors gehören die Beurteilung der Cyber-Bedrohungen und Risiken, der Kontrollprozesse inkl. ihrer Maturität sowie der Kommunikation mit Verwaltungsrat, Management, Ge- schäfts und IT Verantwortlichen. Essenti- ell ist weiter auch ein Verständnis über interne Kontrollen, wie das Unternehmen auf die durch die IT initiierten Risiken reagiert. Cyber relevante IT-Umgebung und Cyber Sicherheits-Framework Der Auditor verschafft sich eine Übersicht im Unternehmen betreffend IT-Organisa- tion, Compliance Regeln, IT-Infrastruktur und den assoziierten Risiken. Weiter geht es darum wie IT-Prozesse und Ap- plikation gemanagt werden und welche Dienstleistungen an Drittfirmen ausgela- gert sind. Dabei muss er in seinem Be- richt die Risiken nachweisen und beur- teilen können. Für den Aufbau der Cyber-Sicherheit ist es wichtig, das Gesamtbild in einem Framework darzustellen, welches die aktuelle Situation und Ausblick umfasst, damit das Vorgehen beim Audit mit dem Kunden festgelegt werden kann. Das Cybersecurity Framework NIST (National Institute of Standards and Technology, Feb 2014) hilft dem Auditor die Situation abgestimmt und transparent in Querver- gleichen beurteilen zu können. Dieses Framework besteht aus den drei Berei- chen Basis Framework, Implementie- rung in Schichten und Framework Profi- len. Das Basis Framework -beinhaltet Funk- tionen, Aktivitäten, Resultate und Referen- zen, welche die Priorisierung der Cyber Sicherheit relevanten Entscheide ermögli- chen. In diesem Basis Framework wird der Aufbau der Cyber Sicherheit als ein konti- nuierlicher Prozess mit fünf Funktionen definiert: Identifikation, Schutz, Detektie- ren, Reagieren und Recovery. Die Implementierung in Schichten be- inhaltet vorhandene Cyber-Sicherheit Messwerte, mit welchen die Tiefe der erfüllten Vorgaben der Sicherheitspro- zesse (Maturität) beurteilt werden kann. Dabei wird unterschieden zwischen ‚partiell‘, ‚Risiko informativ‘ und ‚wie- derholbar‘. Mit den Framework Profilen wird die Beurteilung der existierenden Position (Ist Zustand) sowie die Definition der zu erreichenden Ziele der Cyber-Sicherheit formuliert. Entlang dieses Frameworks kann das Cy- ber-Security-Program mit den nachfol- genden sechs Schritten erfasst und for- muliert werden: 1. Priorisierung und Festlegung des Um- fangs (Business Ziele, organisatorisches Umfeld, Umfangs des Cyber-Security-Pro- gramms). 2. Positionierung und Identifizierung der Systeme, Anforderungen, Risiko-Ansatz, Schwachstellen und Bedrohung. 3. Das Erstellen des Profils der aktuellen Situation sowie Bestimmen der Maturität der bestehenden Prozesse. 4. Risk-Assessments: Durchführung der Risiko-Impact-Analyse, Bewertung der Ereignis-Eintritts-Wahrscheinlichkeit und die Bestimmung der Risiko-Eskalation. 5. Das Erstellen des Ziel-Profils: Festle- gung der geforderten Ziele unter Berück- sichtigung der Business-Strategie 6. IST-SOLL Analyse und Priorisierung der Verbesserungs-Schritte. Die Bedeutung des «Three Lines of De- fense Model» Im Kontext eines Audits zu Cyber-Security liegt eine grosse Bedeutung auf dem Bild 1: Zunehmende Anzahl der Hacker Angriffe (Quelle: Verizon 2014 Data Breach Investigation Report) Bild 2: Die 5 Funktionen im Basis Framework
72 ISACA-NEWSLETTER ISACA News  Nr. 02 | Juni 2015 Three Lines of Defense Models (IAA: The Institute of Internal Auditors). Das Externe und Interne Audit rapportiert das Assess- ment und die erstellten IST- und SOLL-Pro- file des Cyber-Security-Programms direkt an den Verwaltungsrat und das Manage- ment um entsprechende Risiken dort zu adressieren. Damit soll sichergestellt wer- den, dass Cyber-Risiken in der Unterneh- mensleitung bekannt sind und das Ma- nagement die Verantwortung übernimmt. Auditors Fokus und Vorbereitung Der Auditor soll sich bei seinem Audit auf drei Themen fokussieren: Zuerst eine Priorisierung auf Bereichen, bei denen die Cyber-Bedrohung besonders relevant ist: Cloud Computing, Mobile Applikatio- nen, Sozial-Engineering und Soziale Netze, Angestellte und externe Firmen Berater. Die zweite Voraussetzung für ein effizientes Audit Vorgehen ist die Erwei- terung eigener Kenntnisse der neuen Methoden, welche vor allem bei der Ana- lyse von grossen Datenmengen hilfreich sind, sowie die Monitoring und Logging Techniken, mit welchen die Spuren der Cyber-Attacke erkannt werden können. Das letzte Fokus-Thema ist die Entwick- lung der Fähigkeit der Erkennung des Cyber-Betrugs im Geschäftsumfeld sowie am Arbeitsplatz. Die Vorbereitung auf den Cyber-Sicher- heits-Audit sollte Fragen beinhalten, wel- che sich auf die Benutzung der Mobi- le-und/oder Internet in geschäftskritischen Prozessen sowie auf die Verarbeitung und Speicherung der geschäftskritischen Daten konzentrieren. Weiterhin sollten die Berei- che der Überwachung und Aufzeichnung der Transaktionen und der Daten ange- fragt werden. Wichtige Fragenthemen sind auch das Change Management, Imple- mentierung neuer Funktionen sowie die Qualität der Sicherheitsmassnahmen in der Organisation. Cyber-Audit-Programm Im Cyber-Audit-Programm werden zehn typische Bereiche für den Plan des Audi- tors aufgeführt: ➤ Planung und Umfangsabschätzung des Audits – was gehört zum Audit und was ist ausgeschlossen? ➤ Kenntnisse und Verständnis der vor- handenen IT-Architektur. Sind diese be- kannt? ➤ Governance - Wie sollte die Gover- nance für die Cyber-Kriminalität struktu- riert werden? ➤ Organisation - Wie ist VR Manage- ment bei Cyber-Themen involviert und in welcher Rolle? ➤ Richtlinien und Verordnungen – wel- che sind spezifiziert und werden diese in der Praxis angewendet? ➤ Geschäftsunterstützende Rolle in Cy- ber-Verbrechen Prävention – wie ist die Business-Gruppe in der Prävention von der Cyber-Kriminalität involviert? ➤ IT Management – welches Know-How ist vorhanden und welche Massnahmen sind implementiert? ➤ Störfallmanagement Richtlinien und Prozesse – welche sind vorhanden und wurden getestet? ➤ Störfallmanagement Implementierung – welche Schutzmassnahmen sind einge- führt? ➤ Krisenmanagement - wenn eine Cy- ber-Attacke passiert, wie ist die Organisa- tion auf die Krisen Situation vorbereitet? Zusammenfassung: Wichtige Schlüsse für den Audit der Cyber-Risiken: ➤ Cyber-Governance hat Business-kriti- sche Bedeutung. Das Management muss wissen, wo die Risiken liegen. ➤ Jede Organisation kann von Cyber-Atta- cken betroffen werden. ➤ Cyber-Sicherheit kann in der Organisa- tion mit Hilfe des Frameworks aufgebaut werden. ➤ Auditors Fokus soll Kenntnis neuer Methoden und Erkennung der Cyber-Risi- ken im Geschäftsumfeld beinhalten. ➤ Vorbereitung für Cyber-Audit besteht aus Fragen/Programm zu neuer Techno- logie und geschäftskritischen Daten. Weitere Informationen Der vollständige Artikel, das Literaturver- zeichnis inkl. des Beispiels des Cyber Audits beim Cloud Einsatz kann hier her- untergeladen werden: www.acons.ch und www.sua-tele.net. Bild 3: Das »Three Lines of Defence Model” (IIA) DIE AUTOREN Jiri Cejka, Senior Mana- ger, Acons Governance Audit AG Dipl. El.-Ing, Fach technische Kybernetik, CISA, Quality Auditor ISO 9000 jiri.cejka@acons.ch www.acons.ch Bereiche Kompetenzen: GRC, BCM, IT Cyber Sicherheit, IT Risikomanagement, Programm Management Jiri Cejka prüft bei ISACA HQ weltweit das Lernprogramm «IS Audit and Control» für Universitäten. Er war langjähriger Entwickler der Börsen-Systeme, tätig im IT Audit der KPMG sowie Leiter IT Audit OC Oerlikon. Markus Martinides, CEO SUA Telenet GmbH Studium: ETH Zürich Nachrichten- und Informationstechnologien (1986) info@sua-tele.net www.sua-tele.net / www.sec-check.net Bereiche Kompetenzen: Informatik, Mobil-, Richtfunk-, Daten- und Sprachkommunika- tion, IT-Sicherheit, Projektmanagement, Betriebssysteme, Cloud Architektur. Mitglied ISACA, Information Security Society Switzerland (ISSS) und Dozent UZH MedLAW
73 ISACA-NEWSLETTER ISACA-TRAINING Datum Code Hauptthema – Kurstitel 15.06.2015 CISA-VK CISA Zertifikatskurs 2015 15.06.2015 CISM-VK CISM Zertifikatskurs 2015 15.06.2015 CGEIT-VK CGEIT Zertifikatskurs 2015 15.06.2015 CRISC-VK CRISC Zertifikatskurs 2015 01.10.2015 CGEIT-PV2 CGEIT Prüfungsvorbereitung 2015 08.10.2015 CRISC-PV2 CRISC Prüfungsvorbereitung 2015 www.isaca.ch 15. - 17.6.2015 P-COF3 COBIT 5 Foundation 22. - 24.6.2015 P-COI3 COBIT 5 Implementation 27.7. - 29.7.2015 P-COF3 COBIT 5 Foundation www.glenfis.ch IMPRESSUM ISACA NEWS Herausgeber, Redaktion: ISACA Switzerland Chapter Adresse: Sekretariat ISACA c/o BDO AG, Biberiststrasse 16, 4501 Solothurn Erscheinungsweise: 4x jährlich in Swiss IT Magazine Mitgliedschaft: Wir begrüssen alle, die Interesse an Audit, Governance und Sicherheit von Informationssystemen haben. Es ist nicht notwendig, dass Sie Sicherheitsspezialist oder Revisor sind, um bei uns Mitglied zu werden. Weitere Informationen finden Sie unter www.isaca.ch Copyright: © Switzerland Chapter der ISACA ISACA News  Nr. 02 | Juni 2015 Informationen des Verbands Risikomanagement – (auch) für Cyber Risk unabdingbar D er vorangehende Artikel von Jiri Cejka zum Audit von Cyber-Risi- ken zeigt sehr gut auf, mit wel- chen Fragestellungen sich nicht nur der Revisor sondern auch der eigent- lich für dieses Thema zuständige Risiko- manager beschäftigen muss. Neben der Analyse der Entwicklungen innerhalb des Unternehmens selbst (z.B. Geschäftsstra- tegie oder Sourcing-Strategie), den Ver- änderungen im Markt (neue Gesetze und regulatorischen Anforderungen, verän- derte Konkurrenzsituation, Devisenkur- sentwicklung usw.) sind auch die spezifi- schen Risiken in den jeweiligen Fachberei- chen zu identifizieren, zu bewerten, wo sinnvoll zu vermindern und ganz grund- sätzlich zu überwachen. Dabei darf man Spezialrisiken wie die Cyber-Risiken weder überbewerten noch vernachlässigen. Was wir für so einen »Job” benötigen, sind umfassend ausgebildete Risikoma- nager, wie sie zum Beispiel im CRISC-Be- rufsbild von ISACA vorgestellt werden. Gemäss CRISC muss ein Risikomanager insgesamt 39 verschiedene Aufgaben in fünf übergeordneten Themen¬bereichen abdecken: Von der Identifikation, Ein- schätzung und Bewertung von Risiken bis zu deren Management und Überwa- chung. Ein Schwerpunkt im CRISC-Be- rufsbild ist aber auch die Informations- technologie (IT), wo spezifische IT-Mass- nahmen entworfen und implementiert werden müssen. Das ISACA Switzerland Chapter bietet eine solide Grundausbildung zum CRISC an. Jeweils ab Februar bis anfangs Juni bereitet sich die Teilnehmer zuerst mit einem strukturierten Selbststudium vor. Im Sommer (Juni/Juli) findet dann der eigentliche Präsenzunterricht in Zürich statt. Mit einem separaten Prüfungstrai- ning im Spätherbst wird dann die Vorbe- reitung auf die internationale Zertifikats- prüfung anfangs Dezember (insgesamt 13 Kurstage) abgeschlossen. Der durch ITACS Training AG im Auftrag des ISACA Switzerland Chapter durchge- führte Kurs vermittelt und vertieft theore- tisches wie praktisches Fachwissen im breiten Feld von Risikomanagement und internen Kontrollen, bereitet aber auch intensiv auf die von ISACA organisierte CRISC-Prüfung vor. WEITERE INFORMATIONEN Weitere Details zum CRISC-Zertifikat und zur entsprechenden Ausbildung finden Sie auf www.isaca.ch

Recommandé

Die Zukunft der IT
Die Zukunft der ITDie Zukunft der IT
Die Zukunft der ITMark SThree
 
Data Governance – Lessons Learnt der Projektpraxis
Data Governance – Lessons Learnt der ProjektpraxisData Governance – Lessons Learnt der Projektpraxis
Data Governance – Lessons Learnt der Projektpraxisaccenture
 
Understanding IT Governance and Risk Management
Understanding IT Governance and Risk ManagementUnderstanding IT Governance and Risk Management
Understanding IT Governance and Risk Managementjiricejka
 
Evolution of Network, Internet, Security and Public cryptography
Evolution of Network, Internet, Security and Public cryptographyEvolution of Network, Internet, Security and Public cryptography
Evolution of Network, Internet, Security and Public cryptographyjiricejka
 
Cyber Security Transformation - A New Approach for 2015 & Beyond - Daryl Pereira
Cyber Security Transformation - A New Approach for 2015 & Beyond - Daryl PereiraCyber Security Transformation - A New Approach for 2015 & Beyond - Daryl Pereira
Cyber Security Transformation - A New Approach for 2015 & Beyond - Daryl PereiraKnowledge Group
 
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018Bechtle
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxcaniceconsulting
 
Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch Karlsruhe
Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch KarlsruheSlides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch Karlsruhe
Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch KarlsruheDNUG e.V.
 

Recommandé

Die Zukunft der IT
Die Zukunft der ITDie Zukunft der IT
Die Zukunft der ITMark SThree
 
Data Governance – Lessons Learnt der Projektpraxis
Data Governance – Lessons Learnt der ProjektpraxisData Governance – Lessons Learnt der Projektpraxis
Data Governance – Lessons Learnt der Projektpraxisaccenture
 
Understanding IT Governance and Risk Management
Understanding IT Governance and Risk ManagementUnderstanding IT Governance and Risk Management
Understanding IT Governance and Risk Managementjiricejka
 
Evolution of Network, Internet, Security and Public cryptography
Evolution of Network, Internet, Security and Public cryptographyEvolution of Network, Internet, Security and Public cryptography
Evolution of Network, Internet, Security and Public cryptographyjiricejka
 
Cyber Security Transformation - A New Approach for 2015 & Beyond - Daryl Pereira
Cyber Security Transformation - A New Approach for 2015 & Beyond - Daryl PereiraCyber Security Transformation - A New Approach for 2015 & Beyond - Daryl Pereira
Cyber Security Transformation - A New Approach for 2015 & Beyond - Daryl PereiraKnowledge Group
 
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018
IT-Sicherheit im Zeitalter der Digitalisierung | Bechtle Competence Days 2018Bechtle
 
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxModul 8 - Externe Krisenauslöser - Technologiekrise.pptx
Modul 8 - Externe Krisenauslöser - Technologiekrise.pptxcaniceconsulting
 
Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch Karlsruhe
Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch KarlsruheSlides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch Karlsruhe
Slides zum Impulsreferat: NIS2 & HCL BigFix - DNUG Stammtisch KarlsruheDNUG e.V.
 
CWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT ArchitekturenCWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT ArchitekturenCWMC - Christian Wild Management Consultants
 
cysmo by PPI Cyber
cysmo by PPI Cybercysmo by PPI Cyber
cysmo by PPI CyberPPI AG
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfTobiasBessel
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Praxistage
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungBranding Maintenance
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC - Christian Wild Management Consultants
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Effizienz in Serverräumen und Rechenzentren
 
Fn neu broschuere_mai2017
Fn neu broschuere_mai2017Fn neu broschuere_mai2017
Fn neu broschuere_mai2017CON.ECT Eventmanagement
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Praxistage
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...IBsolution GmbH
 
Internetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und TrendsInternetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und TrendsVogel IT-Medien
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)Gigya
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Sopra Steria Consulting
 
Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceSymantec
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRamona Kohrs
 
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019bhoeck
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 

Contenu connexe

Similaire à Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni 2015

cysmo by PPI Cyber
cysmo by PPI Cybercysmo by PPI Cyber
cysmo by PPI CyberPPI AG
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfTobiasBessel
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Praxistage
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitFilipe Felix
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungBranding Maintenance
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Effizienz in Serverräumen und Rechenzentren
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Praxistage
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorbhoeck
 
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...IBsolution GmbH
 
Internetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und TrendsInternetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und TrendsVogel IT-Medien
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)Gigya
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Sopra Steria Consulting
 
Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceSymantec
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRamona Kohrs
 
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019bhoeck
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Praxistage
 

Similaire à Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni 2015 (20)

CWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT ArchitekturenCWMC Insights 2020|12 - Einführung IIoT Architekturen
CWMC Insights 2020|12 - Einführung IIoT Architekturen
 
cysmo by PPI Cyber
cysmo by PPI Cybercysmo by PPI Cyber
cysmo by PPI Cyber
 
CyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdfCyberDirekt_Risikolage_2022_teaser.pdf
CyberDirekt_Risikolage_2022_teaser.pdf
 
Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)Walter Khom, MBA (bit media e-solutions)
Walter Khom, MBA (bit media e-solutions)
 
IT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-SicherheitIT-Gefährdungslage / IT-Sicherheit
IT-Gefährdungslage / IT-Sicherheit
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
It Sicherheit in der Instandhaltung
It Sicherheit in der InstandhaltungIt Sicherheit in der Instandhaltung
It Sicherheit in der Instandhaltung
 
CWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT SecurityCWMC Insights 2020|14 - Einführung IIoT Security
CWMC Insights 2020|14 - Einführung IIoT Security
 
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
Cloud oder eigenes Rechenzentrum – Paradigmenwechsel im ICT-Betrieb geht weiter
 
Fn neu broschuere_mai2017
Fn neu broschuere_mai2017Fn neu broschuere_mai2017
Fn neu broschuere_mai2017
 
Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)Doris Ingerisch (Axians ICT Austria GmbH)
Doris Ingerisch (Axians ICT Austria GmbH)
 
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vorabtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
abtis stellt auf Roadshow modernes Konzept für Endpoint Security vor
 
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
NIS2: Welche Security-Maßnahmen Unternehmen jetzt für ihre SAP-Systeme ergrei...
 
Internetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und TrendsInternetkriminalität in Deutschland - Status und Trends
Internetkriminalität in Deutschland - Status und Trends
 
White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)White Paper: Managing consumer data privacy with Gigya (German)
White Paper: Managing consumer data privacy with Gigya (German)
 
Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting Informationssicherheit mit System Sopra Steria Consulting
Informationssicherheit mit System Sopra Steria Consulting
 
Ein Manifest für Cyber Resilience
Ein Manifest für Cyber ResilienceEin Manifest für Cyber Resilience
Ein Manifest für Cyber Resilience
 
Rethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event ReportRethink! ITIS 2016 - Post Event Report
Rethink! ITIS 2016 - Post Event Report
 
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
abtis mit Security-Lösungen für eine digitale Welt auf der it-sa 2019
 
Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)Mag. Hans Stögerer (Helvetia Versicherungen)
Mag. Hans Stögerer (Helvetia Versicherungen)
 

Cyber Risk Management & Audit, ISACA Switzerland chapter, Newsletter 15. Juni 2015

  • 1. 69 NEWSLETTER ISACA-Training Aktuelle Aus- und Weiter- bildungsmöglichkeiten für Mitglieder und Nicht- Mitglieder Seite 73 F ür den Auditor stellt dies eine sehr grosse Herausforderung dar, denn er muss die mit den enormen Ver- änderungen in der IT Entwicklung verbundenen Cyber-Risiken und Heraus- forderungen beim Vorgehen im Audit berücksichtigen. Obwohl die Auditing Standards, bspw. ISA 315 (International Standard on Auditing) die Ausgangs- schritte für das Vorgehen aufzeigen, muss der Auditor in der Lage sein, die techni- sche Vielfalt der Angriffsmöglichkeiten, die neuen Methoden zur Erkennung der Angriffe, sowie die Verantwortlichen im Unternehmen (Management, Verwal- tungsrat) in seinen Audit mit einzubezie- hen. Der sich laufend ausweitende Einsatz des Cloud-Computings hat die Cyber-Risi- ken massiv verstärkt. 1. Entwicklung in der IT: Ge- schäftsvorteile und Bedrohungs- potential Die Entwicklungen in der IT haben im letzten Jahrzehnt ein schnelles Tempo erreicht: Mobile-Wireless und Netz-Tech- nologie, Cloud-Computing, vernetzte und virtualisierte Plattformen oder Big-Data Anwendungen. Die Fortschritte ermögli- chen strukturierte Veränderungen der IT Umgebung, wie Einführung alternativer Sourcing-Strukturen, Hosting oder Cloud-Computing. Diese Veränderungen haben für die Unternehmen grosse Kos- tenvorteile gebracht: Sie können ihre An- bindungen an Dritt-Lieferanten und Kun- den verbessern. Ein Beispiel dafür ist die Cloud-Lösung, welche wesentliche Kos- teneinsparungen gegenüber der Verwal- tung der Daten im eigenen Rechenzent- rum bietet: ➤ Aus strategischer Sicht ist das Unter- nehmen effizienter, dynamischer und un- abhängiger von Investitionen in die IT. Audit von Cyber Risiken: Verantwortung der Unterneh- mensleitung und Herausforde- rung für den Auditor Die Audit-Methodik und der Prüfungsumfang müssen laufend den technologischen Veränderungen angepasst und erweitert werden um die effektive Cyber-Sicherheit beim zu prüfenden Unternehmen wirksam beurteilen zu können. Hier kommt die Frage des „Wie“, da zurzeit keine Cyber Gesetze oder Regulationen existieren Von Jiri Cejka und Markus Martinides Risikomanagement ISACA Switzerland Chapter bietet eine solide Grundausbildung in Risikomanagement an Seite 73 Audit Vorgehen Die Business-kritische Bedeutung von Cyber- Governance und struktu- rierten Darstellung der Cyber-Risiken Seite 69 Nr. 02 | Juni 2015 | www.isaca.ch ISACA News  Nr. 02 | Juni 2015
  • 2. 70 ISACA-NEWSLETTER ISACA News  Nr. 02 | Juni 2015 ➤ Aus ökonomischer Sicht werden die globalen operativen Kosten reduziert, die Verfügbarkeit und Kapazität der Daten erhöht und der Einsatz neuer und effekti- verer IT-Produkte oder IT-Dienstleistun- gen ermöglicht. Folglich fragt das Management «Wie schnell und wie kann vom Cloud-Einsatz profitiert werden?» Der Auditor hingegen wird die Geschäftsleitung mit anderen Fragen adressieren: ➤ Wie ist die strategische Geschäftsaus- richtung mit der Informatik synchroni- siert? ➤ Wie unterstützt die Informatik das Ge- schäft? ➤ Basieren die IT-Investment-Entscheide auf Business-Anforderungen? ➤ Bleibt die Verantwortung für die Daten innerhalb der Firma, auch wenn sie von der Sicherheit externer Systeme abhängig ist? Verändertes Geschäftsumfeld generiert neues Bedrohungspotential Der Drang nach Geschäftsvorteilen aus der Entwicklung neuer Informatik- und Telekommunikationstechnologien ist gross, kann jedoch auch erhebliche Risi- ken und Governance-Herausforderungen mit sich bringen. Zwar bringen diese Technologien viele Annehmlichkeiten bei der täglichen Ar- beit mit der Informatik, gleichzeitig aber eröffnen sie Hackern, Betrügern und Vi- renprogrammierern unzählige Möglich- keiten um Computersysteme anzugreifen und – für den Benutzer nicht erkennbar – dabei die Vollkontrolle des Computers zu übernehmen. Für das Unternehmen entsteht eine neue Bedrohung - die Cy- ber-Kriminalität. Cyber-Kriminalität – die globale Bedro- hung Bei Cyber-Attacken können Kriminelle bestehende Schutzmassnahmen häufig einfach umgehen. Die existierenden Si- cherheitsmassnahmen bspw. die Absi- cherung der logischen Schichten durch Firewalls genügen nicht mehr, um solche Angriffe mit Erfolg abzuwenden. Durch die weltweite Vernetzung unzähliger In- formatik-Systeme über das Internet haben Angreifer innerhalb Sekunden- bruchteilen Zugriff auf alle am Internet angeschlossenen Systeme. Dabei können unsere traditionellen Rechtssysteme praktisch beliebig umgangen werden. Als Reaktion haben bereits 44 Staaten die Konvention über Cyber-Kriminalität ratifi- ziert, 9 Staaten haben sie unterzeichnet. Situation in der Schweiz «Eines der grössten Probleme im Zusam- menhang mit der Nutzung des Internets ist heute die Datensicherheit», erklärt Markus Martinides, Cyber-Experte von der im Bereich Sicherheitsanalysen spezi- alisierten Firma SUA Telenet GmbH. «Ins- besondere für Firmen, die über vertrauli- che Daten verfügen, aber auch für Private ist es wichtig, kontrollieren zu können, wer auf interne Daten zugreift und ob diese unerlaubt verändert oder sogar gelöscht werden.» Aus diesem Grund sind in der Schweiz nicht nur die grossen Institutionen wie Versicherungen, Banken oder Industrieunternehmen sondern auch KMU Betriebe wie Arztpraxen und Anwaltskanzleien ebenso wie Spitäler, Gemeinden und Kantone bedroht. Die gängigen Firewalls bieten dabei immer weniger Schutz. Denn sogenannte Zombies (Codes, die sich via Internet auf dem System installieren und dann Daten vom System nach aussen schicken), kön- nen sich oft völlig unbemerkt installieren und bleiben von Antivirenprogrammen und Firewalls vollkommen unerkannt. «Oftmals sind solche Programme lange Zeit aktiv und spionieren das Netzwerk aus, bevor sie bemerkt werden», so Mar- kus Martinides. Tür und Tor werden Viren und Hackern beispielsweise durch die Verwendung von nicht überprüfter USB- Sticks geöffnet. Ein weiteres Problem ist, dass immer mehr Angriffe über sehr komplexe Technologien wie Javascripts laufen die verstärkt im Bereich der Inter- net-Browser zum Einsatz gelangen. 2. Cyber-Governance ist Manage- ment Aufgabe «Cyber-Kriminalität wächst und ist auf dem 4.Platz aller kriminellen Taten. Cy- ber-Kriminalität ist nicht das Technologie Problem, es ist das Business- und das Strategie-Problem». Quelle: PWC 2014 Crime-Survey Die Verantwortung für die Daten des Unternehmens liegt beim Management. Dem Verwaltungsrat sollten die Cyber-Ri- siken deshalb bewusst sein. Folgende Corporate Governance Prinzipien können helfen, die Cyber-Risiken aktiv zu mana- gen. Prinzipien für Corporate Governance ➤ Der Verwaltungsrat soll das Vorgehen bei Cyber-Sicherheit als unternehmens- weites Risk-Management positionieren, nicht nur als IT-Risiko. ➤ Der Verwaltungsrat soll die juristischen Konsequenzen der Cyber-Risiken verste- hen, da sie sich auf unternehmens-spezi- fische Umstände beziehen. ➤ Der Verwaltungsrat soll Zugriff zur Cy- ber-Sicherheit Expertise haben und die Diskussionen über Cyber-Risiko-Manage- ment sollten ausreichend Zeit auf seiner Agenda einnehmen. ➤ Der Verwaltungsrat erlässt eine Richtli- nie an das Management, dass ein unter- nehmensweites Cyber-Risiko-Manage- ment-Framework aufgebaut und mit ge- nügend Personal und Budget unterstützt wird. ➤ Cyber-Risiken können nicht einfach durch Abschluss einer Daten-Verlustver- sicherung gelöst werden. ➤ Die Diskussion zwischen VR und Ma- nagement sollte die Identifikation der tatsächlichen Cyber-Risiken und deren effektiven Abwehr durch organisatorische und technische Massnahmen beinhalten. Audit Fragen an Verwaltungsräte Der Auditor soll die Unternehmensleitung und den Verwaltungsrat aktiv unterstüt- zen, das Risikobewusstsein gegenüber Cyber Attacken zu schärfen und konkret zu formulieren. Folgende Fragen des Au- ditors an den Verwaltungsrat können dabei eine Hilfe sein: ➤ Wendet das Unternehmen ein Sicher- heitsframework an? ➤ Welche sind die Top fünf Risiken im Unternehmen, welche auf Cyber-Sicher- heit bezogen sind? ➤ Ist bei dem Mitarbeiter ein Bewusst- sein in Bezug auf Cyber-Sicherheit vor- handen? ➤ Wurden bei der Planung des Cyber-Si- cherheit Programms externe und interne Bedrohungen beachtet? ➤ Wie ist die Sicherheits-Governance in- nerhalb des Unternehmens geregelt? ➤ Gibt es einen konkreten Notfallplan im Falle einer Cyber-Attacke? 3. Darstellung von Cyber-Risiken und Vorgehen im Audit Die Cyber-Kriminalität «profitiert» von den, durch IT-Fortschritt erzeugten, neuen Risiko Quellen, welche vor allem mit dem Cloud-Computing Einsatz, mit Konzepten
  • 3. 71 ISACA-NEWSLETTER ISACA News  Nr. 02 | Juni 2015 wie «Bring-Your-Own-Device» (BYOD) mobilen Geräten und Applikationen sowie mit der Auslagerung der für Business kritischen IT-Bereichen, entstanden sind. Die neuen Risiko Quellen haben die Cy- ber-Angriffsflächen vergrössert. Die Risiken der Cyber-Kriminalität sind: i) Datenverlust, ii) Bedrohungen im Da- tenschutz-Bereich, iii) Verlust der Kon- trolle über Zugriff auf die Daten iv) Ver- lust der Verfügbarkeit der Daten im Be- trieb. Die Folgen der Cyber-Attacke können dem Unternehmen weitreichenden Scha- den zufügen wie bspw. Verlust der Wett- bewerbsfähigkeit, Kosten, Reputations- schaden oder Compliance-Probleme. Die Cyber-Bedrohung wird kritisch, da die Hacker sich auf den Missbrauch sensi- tiver oder finanziell wertvoller Information oder auf die Störung der wichtigen opera- tiven Bereiche fokussieren. Dabei ist der Anstieg von Attacken drastisch, da die Hacker-Bedrohungen und Sicherheits-Ein- brüche nicht nur in der Anzahl exponenti- ell wachsen (Bild 1), sondern ihre Metho- den kontinuierlich weiterentwickelt und ausgeklügelter konstruiert werden. In vielen Fällen werden Hacker-Atta- cken viel zu spät erkannt. Sehr viele Daten des Unternehmens können in dieser Zeit unbemerkt ausgeforscht, verändert und gelöscht werden. Viele Angreifer erstellen einen versteckten Remote-Zugang, der es ermöglicht Informationen erst bei «Be- darf» als bezahlte Dienstleistung gegen- über Ihren Auftraggebern bereitzustellen. Themen Aufgaben im Cyber Audit Der Audit der Cyber-Risiken erweitert sich um spezifische Themen in den Berei- chen i) IT Governance und Assurance, ii) IT Sicherheitsstrategie inkl. Richtlinien und Vorgaben, iii) Implementierungen iv) Projekt Risk-Management. Zu den Aufgaben des Auditors gehören die Beurteilung der Cyber-Bedrohungen und Risiken, der Kontrollprozesse inkl. ihrer Maturität sowie der Kommunikation mit Verwaltungsrat, Management, Ge- schäfts und IT Verantwortlichen. Essenti- ell ist weiter auch ein Verständnis über interne Kontrollen, wie das Unternehmen auf die durch die IT initiierten Risiken reagiert. Cyber relevante IT-Umgebung und Cyber Sicherheits-Framework Der Auditor verschafft sich eine Übersicht im Unternehmen betreffend IT-Organisa- tion, Compliance Regeln, IT-Infrastruktur und den assoziierten Risiken. Weiter geht es darum wie IT-Prozesse und Ap- plikation gemanagt werden und welche Dienstleistungen an Drittfirmen ausgela- gert sind. Dabei muss er in seinem Be- richt die Risiken nachweisen und beur- teilen können. Für den Aufbau der Cyber-Sicherheit ist es wichtig, das Gesamtbild in einem Framework darzustellen, welches die aktuelle Situation und Ausblick umfasst, damit das Vorgehen beim Audit mit dem Kunden festgelegt werden kann. Das Cybersecurity Framework NIST (National Institute of Standards and Technology, Feb 2014) hilft dem Auditor die Situation abgestimmt und transparent in Querver- gleichen beurteilen zu können. Dieses Framework besteht aus den drei Berei- chen Basis Framework, Implementie- rung in Schichten und Framework Profi- len. Das Basis Framework -beinhaltet Funk- tionen, Aktivitäten, Resultate und Referen- zen, welche die Priorisierung der Cyber Sicherheit relevanten Entscheide ermögli- chen. In diesem Basis Framework wird der Aufbau der Cyber Sicherheit als ein konti- nuierlicher Prozess mit fünf Funktionen definiert: Identifikation, Schutz, Detektie- ren, Reagieren und Recovery. Die Implementierung in Schichten be- inhaltet vorhandene Cyber-Sicherheit Messwerte, mit welchen die Tiefe der erfüllten Vorgaben der Sicherheitspro- zesse (Maturität) beurteilt werden kann. Dabei wird unterschieden zwischen ‚partiell‘, ‚Risiko informativ‘ und ‚wie- derholbar‘. Mit den Framework Profilen wird die Beurteilung der existierenden Position (Ist Zustand) sowie die Definition der zu erreichenden Ziele der Cyber-Sicherheit formuliert. Entlang dieses Frameworks kann das Cy- ber-Security-Program mit den nachfol- genden sechs Schritten erfasst und for- muliert werden: 1. Priorisierung und Festlegung des Um- fangs (Business Ziele, organisatorisches Umfeld, Umfangs des Cyber-Security-Pro- gramms). 2. Positionierung und Identifizierung der Systeme, Anforderungen, Risiko-Ansatz, Schwachstellen und Bedrohung. 3. Das Erstellen des Profils der aktuellen Situation sowie Bestimmen der Maturität der bestehenden Prozesse. 4. Risk-Assessments: Durchführung der Risiko-Impact-Analyse, Bewertung der Ereignis-Eintritts-Wahrscheinlichkeit und die Bestimmung der Risiko-Eskalation. 5. Das Erstellen des Ziel-Profils: Festle- gung der geforderten Ziele unter Berück- sichtigung der Business-Strategie 6. IST-SOLL Analyse und Priorisierung der Verbesserungs-Schritte. Die Bedeutung des «Three Lines of De- fense Model» Im Kontext eines Audits zu Cyber-Security liegt eine grosse Bedeutung auf dem Bild 1: Zunehmende Anzahl der Hacker Angriffe (Quelle: Verizon 2014 Data Breach Investigation Report) Bild 2: Die 5 Funktionen im Basis Framework
  • 4. 72 ISACA-NEWSLETTER ISACA News  Nr. 02 | Juni 2015 Three Lines of Defense Models (IAA: The Institute of Internal Auditors). Das Externe und Interne Audit rapportiert das Assess- ment und die erstellten IST- und SOLL-Pro- file des Cyber-Security-Programms direkt an den Verwaltungsrat und das Manage- ment um entsprechende Risiken dort zu adressieren. Damit soll sichergestellt wer- den, dass Cyber-Risiken in der Unterneh- mensleitung bekannt sind und das Ma- nagement die Verantwortung übernimmt. Auditors Fokus und Vorbereitung Der Auditor soll sich bei seinem Audit auf drei Themen fokussieren: Zuerst eine Priorisierung auf Bereichen, bei denen die Cyber-Bedrohung besonders relevant ist: Cloud Computing, Mobile Applikatio- nen, Sozial-Engineering und Soziale Netze, Angestellte und externe Firmen Berater. Die zweite Voraussetzung für ein effizientes Audit Vorgehen ist die Erwei- terung eigener Kenntnisse der neuen Methoden, welche vor allem bei der Ana- lyse von grossen Datenmengen hilfreich sind, sowie die Monitoring und Logging Techniken, mit welchen die Spuren der Cyber-Attacke erkannt werden können. Das letzte Fokus-Thema ist die Entwick- lung der Fähigkeit der Erkennung des Cyber-Betrugs im Geschäftsumfeld sowie am Arbeitsplatz. Die Vorbereitung auf den Cyber-Sicher- heits-Audit sollte Fragen beinhalten, wel- che sich auf die Benutzung der Mobi- le-und/oder Internet in geschäftskritischen Prozessen sowie auf die Verarbeitung und Speicherung der geschäftskritischen Daten konzentrieren. Weiterhin sollten die Berei- che der Überwachung und Aufzeichnung der Transaktionen und der Daten ange- fragt werden. Wichtige Fragenthemen sind auch das Change Management, Imple- mentierung neuer Funktionen sowie die Qualität der Sicherheitsmassnahmen in der Organisation. Cyber-Audit-Programm Im Cyber-Audit-Programm werden zehn typische Bereiche für den Plan des Audi- tors aufgeführt: ➤ Planung und Umfangsabschätzung des Audits – was gehört zum Audit und was ist ausgeschlossen? ➤ Kenntnisse und Verständnis der vor- handenen IT-Architektur. Sind diese be- kannt? ➤ Governance - Wie sollte die Gover- nance für die Cyber-Kriminalität struktu- riert werden? ➤ Organisation - Wie ist VR Manage- ment bei Cyber-Themen involviert und in welcher Rolle? ➤ Richtlinien und Verordnungen – wel- che sind spezifiziert und werden diese in der Praxis angewendet? ➤ Geschäftsunterstützende Rolle in Cy- ber-Verbrechen Prävention – wie ist die Business-Gruppe in der Prävention von der Cyber-Kriminalität involviert? ➤ IT Management – welches Know-How ist vorhanden und welche Massnahmen sind implementiert? ➤ Störfallmanagement Richtlinien und Prozesse – welche sind vorhanden und wurden getestet? ➤ Störfallmanagement Implementierung – welche Schutzmassnahmen sind einge- führt? ➤ Krisenmanagement - wenn eine Cy- ber-Attacke passiert, wie ist die Organisa- tion auf die Krisen Situation vorbereitet? Zusammenfassung: Wichtige Schlüsse für den Audit der Cyber-Risiken: ➤ Cyber-Governance hat Business-kriti- sche Bedeutung. Das Management muss wissen, wo die Risiken liegen. ➤ Jede Organisation kann von Cyber-Atta- cken betroffen werden. ➤ Cyber-Sicherheit kann in der Organisa- tion mit Hilfe des Frameworks aufgebaut werden. ➤ Auditors Fokus soll Kenntnis neuer Methoden und Erkennung der Cyber-Risi- ken im Geschäftsumfeld beinhalten. ➤ Vorbereitung für Cyber-Audit besteht aus Fragen/Programm zu neuer Techno- logie und geschäftskritischen Daten. Weitere Informationen Der vollständige Artikel, das Literaturver- zeichnis inkl. des Beispiels des Cyber Audits beim Cloud Einsatz kann hier her- untergeladen werden: www.acons.ch und www.sua-tele.net. Bild 3: Das »Three Lines of Defence Model” (IIA) DIE AUTOREN Jiri Cejka, Senior Mana- ger, Acons Governance Audit AG Dipl. El.-Ing, Fach technische Kybernetik, CISA, Quality Auditor ISO 9000 jiri.cejka@acons.ch www.acons.ch Bereiche Kompetenzen: GRC, BCM, IT Cyber Sicherheit, IT Risikomanagement, Programm Management Jiri Cejka prüft bei ISACA HQ weltweit das Lernprogramm «IS Audit and Control» für Universitäten. Er war langjähriger Entwickler der Börsen-Systeme, tätig im IT Audit der KPMG sowie Leiter IT Audit OC Oerlikon. Markus Martinides, CEO SUA Telenet GmbH Studium: ETH Zürich Nachrichten- und Informationstechnologien (1986) info@sua-tele.net www.sua-tele.net / www.sec-check.net Bereiche Kompetenzen: Informatik, Mobil-, Richtfunk-, Daten- und Sprachkommunika- tion, IT-Sicherheit, Projektmanagement, Betriebssysteme, Cloud Architektur. Mitglied ISACA, Information Security Society Switzerland (ISSS) und Dozent UZH MedLAW
  • 5. 73 ISACA-NEWSLETTER ISACA-TRAINING Datum Code Hauptthema – Kurstitel 15.06.2015 CISA-VK CISA Zertifikatskurs 2015 15.06.2015 CISM-VK CISM Zertifikatskurs 2015 15.06.2015 CGEIT-VK CGEIT Zertifikatskurs 2015 15.06.2015 CRISC-VK CRISC Zertifikatskurs 2015 01.10.2015 CGEIT-PV2 CGEIT Prüfungsvorbereitung 2015 08.10.2015 CRISC-PV2 CRISC Prüfungsvorbereitung 2015 www.isaca.ch 15. - 17.6.2015 P-COF3 COBIT 5 Foundation 22. - 24.6.2015 P-COI3 COBIT 5 Implementation 27.7. - 29.7.2015 P-COF3 COBIT 5 Foundation www.glenfis.ch IMPRESSUM ISACA NEWS Herausgeber, Redaktion: ISACA Switzerland Chapter Adresse: Sekretariat ISACA c/o BDO AG, Biberiststrasse 16, 4501 Solothurn Erscheinungsweise: 4x jährlich in Swiss IT Magazine Mitgliedschaft: Wir begrüssen alle, die Interesse an Audit, Governance und Sicherheit von Informationssystemen haben. Es ist nicht notwendig, dass Sie Sicherheitsspezialist oder Revisor sind, um bei uns Mitglied zu werden. Weitere Informationen finden Sie unter www.isaca.ch Copyright: © Switzerland Chapter der ISACA ISACA News  Nr. 02 | Juni 2015 Informationen des Verbands Risikomanagement – (auch) für Cyber Risk unabdingbar D er vorangehende Artikel von Jiri Cejka zum Audit von Cyber-Risi- ken zeigt sehr gut auf, mit wel- chen Fragestellungen sich nicht nur der Revisor sondern auch der eigent- lich für dieses Thema zuständige Risiko- manager beschäftigen muss. Neben der Analyse der Entwicklungen innerhalb des Unternehmens selbst (z.B. Geschäftsstra- tegie oder Sourcing-Strategie), den Ver- änderungen im Markt (neue Gesetze und regulatorischen Anforderungen, verän- derte Konkurrenzsituation, Devisenkur- sentwicklung usw.) sind auch die spezifi- schen Risiken in den jeweiligen Fachberei- chen zu identifizieren, zu bewerten, wo sinnvoll zu vermindern und ganz grund- sätzlich zu überwachen. Dabei darf man Spezialrisiken wie die Cyber-Risiken weder überbewerten noch vernachlässigen. Was wir für so einen »Job” benötigen, sind umfassend ausgebildete Risikoma- nager, wie sie zum Beispiel im CRISC-Be- rufsbild von ISACA vorgestellt werden. Gemäss CRISC muss ein Risikomanager insgesamt 39 verschiedene Aufgaben in fünf übergeordneten Themen¬bereichen abdecken: Von der Identifikation, Ein- schätzung und Bewertung von Risiken bis zu deren Management und Überwa- chung. Ein Schwerpunkt im CRISC-Be- rufsbild ist aber auch die Informations- technologie (IT), wo spezifische IT-Mass- nahmen entworfen und implementiert werden müssen. Das ISACA Switzerland Chapter bietet eine solide Grundausbildung zum CRISC an. Jeweils ab Februar bis anfangs Juni bereitet sich die Teilnehmer zuerst mit einem strukturierten Selbststudium vor. Im Sommer (Juni/Juli) findet dann der eigentliche Präsenzunterricht in Zürich statt. Mit einem separaten Prüfungstrai- ning im Spätherbst wird dann die Vorbe- reitung auf die internationale Zertifikats- prüfung anfangs Dezember (insgesamt 13 Kurstage) abgeschlossen. Der durch ITACS Training AG im Auftrag des ISACA Switzerland Chapter durchge- führte Kurs vermittelt und vertieft theore- tisches wie praktisches Fachwissen im breiten Feld von Risikomanagement und internen Kontrollen, bereitet aber auch intensiv auf die von ISACA organisierte CRISC-Prüfung vor. WEITERE INFORMATIONEN Weitere Details zum CRISC-Zertifikat und zur entsprechenden Ausbildung finden Sie auf www.isaca.ch