SlideShare a Scribd company logo

Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis

Digicomp Academy AG
Digicomp Academy AG

Neben den klassischen technischen Massnahmen der Informationssicherheit, wie z.B. Firewalls, Virenscanner und Intrusion Detection Systeme (IDS), ist der organisatorische Rahmen in Form von Sicherheitsrichtlinien und Verfahren für Unternehmen genauso relevant. Referent: Yves Kraft

1 of 29
Download to read offline
© 2013 OneConsult GmbH www.oneconsult.com Griffige Information Security Policies Yves Kraft – Team Leader Consulting & Training – OneConsult GmbH Hacking Day 2013 – Security Lifecycle Balance zwischen Theorie und Praxis 16. Mai 2013
© 2013 OneConsult GmbH www.oneconsult.com Hacking Day 2013 – Security Lifecycle 2 Beamte konsumierten Porno am Arbeitsplatz DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet. 14. Januar 2013 - Blick Datenklau bei Julius Bär: Anklage noch im Mai ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben werden. 25. März 2013 - Handelszeitung Hacker-Attacke auf SRF ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden. Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar. 08. März 2013- NZZ
© 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 3
© 2013 OneConsult GmbH www.oneconsult.com Über mich → Yves Kraft → Team Leader Consulting & Training → Theorie ◦ Informatiker ◦ Studium BSc FH CS (Vertiefung IT-Security) ◦ OPST, OPSA, OSSTMM Trainer → Praxis ◦ 11 Jahre Berufserfahrung , davon 4 Jahre in IT-Security ◦ System Engineer & System Administrator ◦ Technische Security Audits ◦ Konzeptionelles Consulting ◦ Security Officer ◦ Training & Coaching 4 Vorstellung
© 2013 OneConsult GmbH www.oneconsult.com Dienstleistungen → Security Audits 60% ◦ Security Scan ◦ Penetration Test ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering ◦ Conceptual Security Audit → Consulting 20% ◦ Strategy & Organisation ◦ Policies & Guidelines ◦ Processes & Documentation ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management → Incident Response 10% ◦ Emergency Response ◦ Computer Forensics → Training & Coaching 10% ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning ◦ Secure Web Development ◦ Coaching → Security as a Service Vorstellung 5
© 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 6
© 2013 OneConsult GmbH www.oneconsult.com Übersicht Information Security Einleitung 7 Infrastruktur Human Resources Netzwerk Segmente Prozesse Compliance Information Security Organisation Daten Dokumente
© 2013 OneConsult GmbH www.oneconsult.com Übersicht Information Security Einleitung 8 IT- Sicherheits- strategie Informations-/IT- Sicherheitsrichtlinie Spezifische Security Policies, Verträge, SLAs, Merkzettel, Weisungen, Checklisten, Guidelines, etc.
© 2013 OneConsult GmbH www.oneconsult.com IT-Sicherheitsstrategie → Generelles Dokument zur Planung, Gewährleistung und ständigen Aufrechterhaltung der IT-Sicherheit → Festlegungen werden zumeist zu IT-Sicherheits-Policies/IT- Sicherheitsleitlinien → IT-Sicherheitsstrategien beinhalten u.a. ◦ Angaben den lokalen Zielen der IT-Sicherheit ◦ Zugrunde liegenden Sicherheitsstandards (z.B. IT-Grundschutz, ISO 27001) ◦ Festlegung von Sicherheitsdomänen ◦ organisatorischer Aufbau des Sicherheitsmanagements ◦ Berichtspflichten und Kontrollinstanzen ◦ Qualitätssicherung Einleitung 9
© 2013 OneConsult GmbH www.oneconsult.com IT-Sicherheitsrichtlinie → Verfolgt die IT-Sicherheitsstrategie → Ziele und Massnahmen zur Umsetzung der Informationssicherheit ◦ Stellenwert der Informationssicherheit ◦ Benennung der Sicherheitsziele ◦ Beschreibung der Organisationsstruktur ◦ Auf Leitungsebene durchsetzen und Verstösse sanktionieren ◦ Periodische Überprüfung der Sicherheitsmassnahmen ◦ Erhalt und Förderung der Security Awareness durch Schulungs- und Sensibilisierungsmassnahmen ◦ Verantwortlichkeiten im Informationssicherheitsprozess Einleitung 10
© 2013 OneConsult GmbH www.oneconsult.com Policies, Checkliste, Guidelines → Spezifische Security Policies ◦ Verträge & SLAs ◦ Merkzettel ◦ Weisungen ◦ Checklisten ◦ Guidelines → Beispiele: Betriebshandbücher, Installationsanleitungen, Hardening Guides, Gebäudepläne Einleitung 11
© 2013 OneConsult GmbH www.oneconsult.com Normen und Standards → ISO/IEC 27000 Reihe ◦ ISO 27000 – Begriffe und Definitionen ◦ ISO 27001 – Anforderungen für Sicherheitsmechanismen ◦ ISO 27002 – Code of Practice ◦ ISO 27005 – Risk Management → BSI Standard 100-1/4 (eh. Grundschutzhandbuch) → Weitere ◦ COBIT ◦ SOX ◦ PCI-DSS ◦ … Einleitung 12
© 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 13
© 2013 OneConsult GmbH www.oneconsult.com Was will ich erreichen? → Informationssicherheit dient dem Schutz ◦ Gefahren bzw. Bedrohungen ◦ Vermeidung von Schäden ◦ Minimierung von Risiken → Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen Balance in der Praxis 14
© 2013 OneConsult GmbH www.oneconsult.com Bedrohungen in der Praxis → Irrtum und Nachlässigkeit → Malware → Social Engineering → Hacking → Wirtschaftsspionage → Diebstahl von IT-Mitteln Balance in der Praxis 15
© 2013 OneConsult GmbH www.oneconsult.com Probleme in der Praxis… → Resignation, Fatalismus und Verdrängung → Kommunikationsprobleme → Sicherheit wird als rein technisches Problem mit technischen Lösungen gesehen → Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten → Ad-hoc Vorgehen (unter Zugzwang) bzw. falsche Methodik → Management: fehlendes Interesse, schlechtes Vorbild → Sicherheitskonzepte richten sich an Experten Balance in der Praxis 16
© 2013 OneConsult GmbH www.oneconsult.com Probleme im Zusammenhang mit Policies… → Policies sind nicht individualisiert → Policies sind nicht umsetzbar → Freigabe, Bekanntmachung und Zielgruppe werden vergessen → Policies werden nicht aktualisiert Balance in der Praxis 17
© 2013 OneConsult GmbH www.oneconsult.com …und die Konsequenzen → Konfusion im Notfall → lückenhafte Datensicherung → fehlende Klassifizierung von Informationen → gefährliche Internetnutzung → Disziplinlosigkeit Balance in der Praxis 18
© 2013 OneConsult GmbH www.oneconsult.com Implementation nach ISO 2700x Balance in der Praxis 19 ITSecurity Organisation ITRisk Management Controls IT Security Policy IT Security Resources and Services Strategische Ebene Taktische Ebene Operative Ebene → IT Security Policy Anforderungen an ISMS → IT Security Organisation Organisationsstrukturen, Prozesse, Regelungen → IT Risk Management Ermittlung von Risiken von Komponenten und deren Auswirkung → Controls Sicherheitsmechanismen → IT Security Res. & Services Technologien, Anlagen, Anwendungen, Personal
© 2013 OneConsult GmbH www.oneconsult.com Grundvoraussetzungen → Awareness: Geschäftsleitung anerkennt IT-Security als notwendiger Faktor → Commitment: Geschäftsleitung ◦ spricht die finanziellen und zeitlichen Ressourcen ◦ unterstützt das Projekt Balance in der Praxis 20
© 2013 OneConsult GmbH www.oneconsult.com Inhalt & Sprache von Richtlinien → Zielgruppenorientierung ◦ Zielgruppe(n) Geschäftsleitung, IT-Abteilung, Mitarbeiter und/oder weitere Stakeholder/Interessenten ◦ Akademischer Schreibstil vs. möglichst nahe an der Umgangssprache ◦ Sprache: Deutsch oder Englisch → Aufbau/Dokumentenstruktur ◦ rein direktive Vorgaben vs. detaillierte Erläuterungen der Entscheide ◦ umfassendes Dokument vs. Hauptdokument mit Anhängen oder Beilagen → Umfang und Etappierung ◦ Kurzversion: ca. 2 - 5 Seiten ◦ Langversion: ca. 15 - 40 Seiten ◦ Erstellung aller Dokumente in einem Zug vs. etappierte Erstellung (z.B. Kurzversion und danach Voll-/Langversion) Balance in der Praxis 21
© 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 22
© 2013 OneConsult GmbH www.oneconsult.com Anerkannte Standards → BS 25999-2:2007 → BSI Standard 100-1/4 (eh. Grundschutzhandbuch) → ISO/IEC 27001:2005 Zertifizierung von Informationssicherheits- Managementsystemen (ISMS) Zertifizierung 23
© 2013 OneConsult GmbH www.oneconsult.com Motivation für eine Zertifizierung → Differenzierung im Wettbewerb ◦ Managementkompetenz im Bereich Informationssicherheit ◦ Zuverlässigkeit als Partner ◦ Sich von der Konkurrenz abheben (Zertifikat ist kein Massenprodukt) → Interner Nutzen einer Zertifizierung ◦ Mögliche Verluste Infolge von Sicherheitsschwachstellen minimieren → Vorschriften ◦ Derzeit keine gesetzlichen Anforderungen betreffend zwingender Zertifizierung ◦ aber: Sorgfaltspflicht, Datenschutzgesetz, etc. Zertifizierung 24
© 2013 OneConsult GmbH www.oneconsult.com Der Weg zur Zertifizierung (ISO/IEC 27001) → Stufe 1: Dokumentenprüfung (teils vor Ort) → Stufe 2: Audit vor Ort → Auditbericht und Zertifikat mit 3-jähriger Gültigkeit → Überwachungsaudits nach dem ersten und zweiten Jahr → Re-Zertifizierung nach dem dritten Jahr → Überwachungsaudits nach dem vierten und fünften Jahr → … Zertifizierung 25
© 2013 OneConsult GmbH www.oneconsult.com Tipps betreffend Zertifizierung → Normverständnis schaffen → Verfügbarkeit aller notwendigen Dokumente sicherstellen → Enge Zusammenarbeit mit der Zertifizierungsstelle → «Klassische» Prüfpunkte beachten und so Fehlerquellen beseitigen → Nachbesserungsfrist sinnvoll nutzen und Termine einhalten → Nach dem Audit ist vor dem Audit Zertifizierung 26
© 2013 OneConsult GmbH www.oneconsult.com Hacking Day 2013 – Security Lifecycle 27 Beamte konsumierten Porno am Arbeitsplatz DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet. 14. Januar 2013 - Blick Datenklau bei Julius Bär: Anklage noch im Mai ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben werden. 25. März 2013 - Handelszeitung Hacker-Attacke auf SRF ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden. Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar. 08. März 2013- NZZ
© 2013 OneConsult GmbH www.oneconsult.com «Sicherheit ist kein Produkt, sondern ein Prozess» Bruce Schneier Hacking Day 2013 – Security Lifecycle 28
© 2013 OneConsult GmbH www.oneconsult.com © 2013 OneConsult GmbH www.oneconsult.com Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 info@oneconsult.de Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 info@oneconsult.at Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz Tel +41 43 377 22 22 Fax +41 43 377 22 77 info@oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Yves Kraft BSc FH CS, OPST&OPSA Team Leader Consulting & Training yves.kraft@oneconsult.com +41 79 308 15 15

Recommended

Incident response
Incident responseIncident response
Incident responseDigicomp Academy AG
 
Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Digicomp Academy AG
 
Die Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM TechnologieDie Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM Technologietopsoft - inspiring digital business
 
Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10Digicomp Academy AG
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter A. Baggenstos & Co. AG
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Andreas Klöcker
 

Recommended

Incident response
Incident responseIncident response
Incident responseDigicomp Academy AG
 
Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Aktuelles zu ISO 27000
Aktuelles zu ISO 27000Digicomp Academy AG
 
Die Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM TechnologieDie Nadel im Heuhaufen finden mit der SIEM Technologie
Die Nadel im Heuhaufen finden mit der SIEM Technologietopsoft - inspiring digital business
 
Owasp mobile top 10
Owasp mobile top 10Owasp mobile top 10
Owasp mobile top 10Digicomp Academy AG
 
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...
Security by Design - von der Single Instanz über DWH, In-Memory, Big Data mit...Carsten Muetzlitz
 
Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter Cyber Security im Cloud Zeitalter
Cyber Security im Cloud Zeitalter A. Baggenstos & Co. AG
 
IT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und ComplianceIT auf Grossbaustellen - Security und Compliance
IT auf Grossbaustellen - Security und Compliancemmi-consult
 
Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Klöcker & Kück Datenschutz
Klöcker & Kück Datenschutz Andreas Klöcker
 
#Wir georg beham
#Wir georg beham#Wir georg beham
#Wir georg behamDanube University Krems, Centre for E-Governance
 
E-Mail-Sicherheit
E-Mail-SicherheitE-Mail-Sicherheit
E-Mail-SicherheitDigicomp Academy AG
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureUppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 
Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDigicomp Academy AG
 
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingInformation Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingSopra Steria Consulting
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesOPITZ CONSULTING Deutschland
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesSven Bernhardt
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im ÜbersetzungsprozessInformationssicherheit im Übersetzungsprozess
Informationssicherheit im ÜbersetzungsprozessHans Pich
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in UnternehmenSicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmenphilippkumar
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitFraunhofer Institute for Secure Information Technology
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxisDigicomp Academy AG
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Rene Buest
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) DeviceWalter Brenner
 
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...PROJECT CONSULT Unternehmensberatung Dr. Ulrich Kampffmeyer GmbH
 
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...AT Internet
 

More Related Content

Viewers also liked

EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementSven Wohlgemuth
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureUppala Anand
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview Ahmed Riad .
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?lernet
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Holliday Consulting
 

Viewers also liked (7)

#Wir georg beham
#Wir georg beham#Wir georg beham
#Wir georg beham
 
E-Mail-Sicherheit
E-Mail-SicherheitE-Mail-Sicherheit
E-Mail-Sicherheit
 
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-SicherheitsmanagementEN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
EN 6.3: 2 IT-Compliance und IT-Sicherheitsmanagement
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
 
ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview ISO/IEC 27001:2013 An Overview
ISO/IEC 27001:2013 An Overview
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
Was beinhaltet der Begriff IT-Sicherheit? / What is the content of the topic ...
 

Similar to Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis

Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheitDigicomp Academy AG
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDigicomp Academy AG
 
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingInformation Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingSopra Steria Consulting
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesSven Bernhardt
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securitybhoeck
 
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im ÜbersetzungsprozessInformationssicherheit im Übersetzungsprozess
Informationssicherheit im ÜbersetzungsprozessHans Pich
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertAlexander Junk
 
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in UnternehmenSicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmenphilippkumar
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxisDigicomp Academy AG
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Rene Buest
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) DeviceWalter Brenner
 
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...AT Internet
 
Cyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightCyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightRaffael Marty
 
FOM Vortrag Bernd Fuhlert
FOM Vortrag Bernd FuhlertFOM Vortrag Bernd Fuhlert
FOM Vortrag Bernd FuhlertBernd Fuhlert
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigicomp Academy AG
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"Eileen Erdmann
 

Similar to Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis (20)

Android smartphones und sicherheit
Android smartphones und sicherheitAndroid smartphones und sicherheit
Android smartphones und sicherheit
 
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo ScriptDefense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
Defense in Depth und Security-Prozesse am Beispiel von Heartbleed Demo Script
 
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria ConsultingInformation Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
Information Security Geschäftsdaten in fremden Händen Sopra Steria Consulting
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
 
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Securityabtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
abtis informiert auf Modern Security Roadshow über Zukunft der IT-Security
 
Informationssicherheit im Übersetzungsprozess
Informationssicherheit im ÜbersetzungsprozessInformationssicherheit im Übersetzungsprozess
Informationssicherheit im Übersetzungsprozess
 
Cloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziertCloud-Sicherheit entmystifiziert
Cloud-Sicherheit entmystifiziert
 
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in UnternehmenSicherheitsaspekte bei der Einführung von BYOD in Unternehmen
Sicherheitsaspekte bei der Einführung von BYOD in Unternehmen
 
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-SicherheitZukunftstrends von Informationstechnologie und Cyber-Sicherheit
Zukunftstrends von Informationstechnologie und Cyber-Sicherheit
 
8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis8 robert schneider application security-audit_in_theorie_und_praxis
8 robert schneider application security-audit_in_theorie_und_praxis
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
 
Bring Your Own (mobile) Device
Bring Your Own (mobile) DeviceBring Your Own (mobile) Device
Bring Your Own (mobile) Device
 
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
[DE] EIM Update 2013 | Information Management | Dr. Ulrich Kampffmeyer | PROJ...
 
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
Internet und Datenschutz – Sicheres Auftreten in unsicheren Zeiten von Chris...
 
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
[DE] Herausforderung Information Governance | Webinar "Mit ECM zu effektiver ...
 
Cyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock InsightCyber Security – How Visual Analytics Unlock Insight
Cyber Security – How Visual Analytics Unlock Insight
 
FOM Vortrag Bernd Fuhlert
FOM Vortrag Bernd FuhlertFOM Vortrag Bernd Fuhlert
FOM Vortrag Bernd Fuhlert
 
Digital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen SpurenDigital Forensics – die Jagd nach digitalen Spuren
Digital Forensics – die Jagd nach digitalen Spuren
 
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
How-to Webinarserie Live-Webinar "Office 365 sicher verwalten"
 

More from Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutDigicomp Academy AG
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutDigicomp Academy AG
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xDigicomp Academy AG
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Digicomp Academy AG
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinDigicomp Academy AG
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Digicomp Academy AG
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattDigicomp Academy AG
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogDigicomp Academy AG
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnDigicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingDigicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessDigicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Digicomp Academy AG
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceDigicomp Academy AG
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudDigicomp Academy AG
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 

More from Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Griffige Informationen Security Policies – Balance zwischen Theorie und Praxis

  • 1. © 2013 OneConsult GmbH www.oneconsult.com Griffige Information Security Policies Yves Kraft – Team Leader Consulting & Training – OneConsult GmbH Hacking Day 2013 – Security Lifecycle Balance zwischen Theorie und Praxis 16. Mai 2013
  • 2. © 2013 OneConsult GmbH www.oneconsult.com Hacking Day 2013 – Security Lifecycle 2 Beamte konsumierten Porno am Arbeitsplatz DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet. 14. Januar 2013 - Blick Datenklau bei Julius Bär: Anklage noch im Mai ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben werden. 25. März 2013 - Handelszeitung Hacker-Attacke auf SRF ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden. Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar. 08. März 2013- NZZ
  • 3. © 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 3
  • 4. © 2013 OneConsult GmbH www.oneconsult.com Über mich → Yves Kraft → Team Leader Consulting & Training → Theorie ◦ Informatiker ◦ Studium BSc FH CS (Vertiefung IT-Security) ◦ OPST, OPSA, OSSTMM Trainer → Praxis ◦ 11 Jahre Berufserfahrung , davon 4 Jahre in IT-Security ◦ System Engineer & System Administrator ◦ Technische Security Audits ◦ Konzeptionelles Consulting ◦ Security Officer ◦ Training & Coaching 4 Vorstellung
  • 5. © 2013 OneConsult GmbH www.oneconsult.com Dienstleistungen → Security Audits 60% ◦ Security Scan ◦ Penetration Test ◦ Application Security Audit ◦ Ethical Hacking ◦ Social Engineering ◦ Conceptual Security Audit → Consulting 20% ◦ Strategy & Organisation ◦ Policies & Guidelines ◦ Processes & Documentation ◦ Business Continuity & Disaster Recovery ◦ Engineering & Project Management → Incident Response 10% ◦ Emergency Response ◦ Computer Forensics → Training & Coaching 10% ◦ OSSTMM Zertifizierungskurse ◦ Practical Security Scanning ◦ Secure Web Development ◦ Coaching → Security as a Service Vorstellung 5
  • 6. © 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 6
  • 7. © 2013 OneConsult GmbH www.oneconsult.com Übersicht Information Security Einleitung 7 Infrastruktur Human Resources Netzwerk Segmente Prozesse Compliance Information Security Organisation Daten Dokumente
  • 8. © 2013 OneConsult GmbH www.oneconsult.com Übersicht Information Security Einleitung 8 IT- Sicherheits- strategie Informations-/IT- Sicherheitsrichtlinie Spezifische Security Policies, Verträge, SLAs, Merkzettel, Weisungen, Checklisten, Guidelines, etc.
  • 9. © 2013 OneConsult GmbH www.oneconsult.com IT-Sicherheitsstrategie → Generelles Dokument zur Planung, Gewährleistung und ständigen Aufrechterhaltung der IT-Sicherheit → Festlegungen werden zumeist zu IT-Sicherheits-Policies/IT- Sicherheitsleitlinien → IT-Sicherheitsstrategien beinhalten u.a. ◦ Angaben den lokalen Zielen der IT-Sicherheit ◦ Zugrunde liegenden Sicherheitsstandards (z.B. IT-Grundschutz, ISO 27001) ◦ Festlegung von Sicherheitsdomänen ◦ organisatorischer Aufbau des Sicherheitsmanagements ◦ Berichtspflichten und Kontrollinstanzen ◦ Qualitätssicherung Einleitung 9
  • 10. © 2013 OneConsult GmbH www.oneconsult.com IT-Sicherheitsrichtlinie → Verfolgt die IT-Sicherheitsstrategie → Ziele und Massnahmen zur Umsetzung der Informationssicherheit ◦ Stellenwert der Informationssicherheit ◦ Benennung der Sicherheitsziele ◦ Beschreibung der Organisationsstruktur ◦ Auf Leitungsebene durchsetzen und Verstösse sanktionieren ◦ Periodische Überprüfung der Sicherheitsmassnahmen ◦ Erhalt und Förderung der Security Awareness durch Schulungs- und Sensibilisierungsmassnahmen ◦ Verantwortlichkeiten im Informationssicherheitsprozess Einleitung 10
  • 11. © 2013 OneConsult GmbH www.oneconsult.com Policies, Checkliste, Guidelines → Spezifische Security Policies ◦ Verträge & SLAs ◦ Merkzettel ◦ Weisungen ◦ Checklisten ◦ Guidelines → Beispiele: Betriebshandbücher, Installationsanleitungen, Hardening Guides, Gebäudepläne Einleitung 11
  • 12. © 2013 OneConsult GmbH www.oneconsult.com Normen und Standards → ISO/IEC 27000 Reihe ◦ ISO 27000 – Begriffe und Definitionen ◦ ISO 27001 – Anforderungen für Sicherheitsmechanismen ◦ ISO 27002 – Code of Practice ◦ ISO 27005 – Risk Management → BSI Standard 100-1/4 (eh. Grundschutzhandbuch) → Weitere ◦ COBIT ◦ SOX ◦ PCI-DSS ◦ … Einleitung 12
  • 13. © 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 13
  • 14. © 2013 OneConsult GmbH www.oneconsult.com Was will ich erreichen? → Informationssicherheit dient dem Schutz ◦ Gefahren bzw. Bedrohungen ◦ Vermeidung von Schäden ◦ Minimierung von Risiken → Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen Balance in der Praxis 14
  • 15. © 2013 OneConsult GmbH www.oneconsult.com Bedrohungen in der Praxis → Irrtum und Nachlässigkeit → Malware → Social Engineering → Hacking → Wirtschaftsspionage → Diebstahl von IT-Mitteln Balance in der Praxis 15
  • 16. © 2013 OneConsult GmbH www.oneconsult.com Probleme in der Praxis… → Resignation, Fatalismus und Verdrängung → Kommunikationsprobleme → Sicherheit wird als rein technisches Problem mit technischen Lösungen gesehen → Zielkonflikte: Sicherheit, Bequemlichkeit, Kosten → Ad-hoc Vorgehen (unter Zugzwang) bzw. falsche Methodik → Management: fehlendes Interesse, schlechtes Vorbild → Sicherheitskonzepte richten sich an Experten Balance in der Praxis 16
  • 17. © 2013 OneConsult GmbH www.oneconsult.com Probleme im Zusammenhang mit Policies… → Policies sind nicht individualisiert → Policies sind nicht umsetzbar → Freigabe, Bekanntmachung und Zielgruppe werden vergessen → Policies werden nicht aktualisiert Balance in der Praxis 17
  • 18. © 2013 OneConsult GmbH www.oneconsult.com …und die Konsequenzen → Konfusion im Notfall → lückenhafte Datensicherung → fehlende Klassifizierung von Informationen → gefährliche Internetnutzung → Disziplinlosigkeit Balance in der Praxis 18
  • 19. © 2013 OneConsult GmbH www.oneconsult.com Implementation nach ISO 2700x Balance in der Praxis 19 ITSecurity Organisation ITRisk Management Controls IT Security Policy IT Security Resources and Services Strategische Ebene Taktische Ebene Operative Ebene → IT Security Policy Anforderungen an ISMS → IT Security Organisation Organisationsstrukturen, Prozesse, Regelungen → IT Risk Management Ermittlung von Risiken von Komponenten und deren Auswirkung → Controls Sicherheitsmechanismen → IT Security Res. & Services Technologien, Anlagen, Anwendungen, Personal
  • 20. © 2013 OneConsult GmbH www.oneconsult.com Grundvoraussetzungen → Awareness: Geschäftsleitung anerkennt IT-Security als notwendiger Faktor → Commitment: Geschäftsleitung ◦ spricht die finanziellen und zeitlichen Ressourcen ◦ unterstützt das Projekt Balance in der Praxis 20
  • 21. © 2013 OneConsult GmbH www.oneconsult.com Inhalt & Sprache von Richtlinien → Zielgruppenorientierung ◦ Zielgruppe(n) Geschäftsleitung, IT-Abteilung, Mitarbeiter und/oder weitere Stakeholder/Interessenten ◦ Akademischer Schreibstil vs. möglichst nahe an der Umgangssprache ◦ Sprache: Deutsch oder Englisch → Aufbau/Dokumentenstruktur ◦ rein direktive Vorgaben vs. detaillierte Erläuterungen der Entscheide ◦ umfassendes Dokument vs. Hauptdokument mit Anhängen oder Beilagen → Umfang und Etappierung ◦ Kurzversion: ca. 2 - 5 Seiten ◦ Langversion: ca. 15 - 40 Seiten ◦ Erstellung aller Dokumente in einem Zug vs. etappierte Erstellung (z.B. Kurzversion und danach Voll-/Langversion) Balance in der Praxis 21
  • 22. © 2013 OneConsult GmbH www.oneconsult.com Agenda → Vorstellung → Theorie → Balance in der Praxis → Zertifizierung Hacking Day 2013 – Security Lifecycle 22
  • 23. © 2013 OneConsult GmbH www.oneconsult.com Anerkannte Standards → BS 25999-2:2007 → BSI Standard 100-1/4 (eh. Grundschutzhandbuch) → ISO/IEC 27001:2005 Zertifizierung von Informationssicherheits- Managementsystemen (ISMS) Zertifizierung 23
  • 24. © 2013 OneConsult GmbH www.oneconsult.com Motivation für eine Zertifizierung → Differenzierung im Wettbewerb ◦ Managementkompetenz im Bereich Informationssicherheit ◦ Zuverlässigkeit als Partner ◦ Sich von der Konkurrenz abheben (Zertifikat ist kein Massenprodukt) → Interner Nutzen einer Zertifizierung ◦ Mögliche Verluste Infolge von Sicherheitsschwachstellen minimieren → Vorschriften ◦ Derzeit keine gesetzlichen Anforderungen betreffend zwingender Zertifizierung ◦ aber: Sorgfaltspflicht, Datenschutzgesetz, etc. Zertifizierung 24
  • 25. © 2013 OneConsult GmbH www.oneconsult.com Der Weg zur Zertifizierung (ISO/IEC 27001) → Stufe 1: Dokumentenprüfung (teils vor Ort) → Stufe 2: Audit vor Ort → Auditbericht und Zertifikat mit 3-jähriger Gültigkeit → Überwachungsaudits nach dem ersten und zweiten Jahr → Re-Zertifizierung nach dem dritten Jahr → Überwachungsaudits nach dem vierten und fünften Jahr → … Zertifizierung 25
  • 26. © 2013 OneConsult GmbH www.oneconsult.com Tipps betreffend Zertifizierung → Normverständnis schaffen → Verfügbarkeit aller notwendigen Dokumente sicherstellen → Enge Zusammenarbeit mit der Zertifizierungsstelle → «Klassische» Prüfpunkte beachten und so Fehlerquellen beseitigen → Nachbesserungsfrist sinnvoll nutzen und Termine einhalten → Nach dem Audit ist vor dem Audit Zertifizierung 26
  • 27. © 2013 OneConsult GmbH www.oneconsult.com Hacking Day 2013 – Security Lifecycle 27 Beamte konsumierten Porno am Arbeitsplatz DELSBERG – Rund 30 Angestellte des Kantons Jura sollen während der Arbeit Sexseiten im Internet besucht haben. Die Regierung hat eine Untersuchung eingeleitet. 14. Januar 2013 - Blick Datenklau bei Julius Bär: Anklage noch im Mai ZÜRICH - In den Fall des Datendiebstahls bei Julius Bär kommt Bewegung: Gegen den verhafteten deutschen IT-Spezialisten soll spätestens Ende Mai Anklage erhoben werden. 25. März 2013 - Handelszeitung Hacker-Attacke auf SRF ZÜRICH - Das Schweizer Radio und Fernsehen ist Ziel einer Cyberattacke geworden. Daher sind seit gut einer Woche SRF-Blogs und Foren nicht verfügbar. 08. März 2013- NZZ
  • 28. © 2013 OneConsult GmbH www.oneconsult.com «Sicherheit ist kein Produkt, sondern ein Prozess» Bruce Schneier Hacking Day 2013 – Security Lifecycle 28
  • 29. © 2013 OneConsult GmbH www.oneconsult.com © 2013 OneConsult GmbH www.oneconsult.com Büro Deutschland Niederlassung der OneConsult GmbH Karlstraße 35 80333 München Deutschland Tel +49 89 452 35 25 25 Fax +49 89 452 35 21 10 info@oneconsult.de Büro Österreich Niederlassung der OneConsult GmbH Wienerbergstraße 11/12A 1100 Wien Österreich Tel +43 1 99460 64 69 Fax +43 1 99460 50 00 info@oneconsult.at Hauptsitz OneConsult GmbH Schützenstrasse 1 8800 Thalwil Schweiz Tel +41 43 377 22 22 Fax +41 43 377 22 77 info@oneconsult.com Danke für Ihre Aufmerksamkeit! Fragen? Yves Kraft BSc FH CS, OPST&OPSA Team Leader Consulting & Training yves.kraft@oneconsult.com +41 79 308 15 15