Wie viel Informationssicherheit ist «gut», was bedeutet «angemessene Sicherheitsmassnahmen» und was kann man von «Best Practices» halten? Gibt es gesetzliche MUSS-Vorgaben und entsprechende Sicherheitsmassnahmen, deren Implementation Pflicht ist? Wann ist man «compliant» und wer beurteilt das? Ein Überblick über MUSS-, KANN- und NICE-TO-HAVE-Informationssicherheit aus gesetzlicher und Erfahrungs-Perspektive.
Referent: Umberto Annino
2. Speaker Bio
Umberto Annino, Wirtschaftsinformatiker
NDS FH QM, C-Zertifizierungen (Infosec)
Bei PwC im Bereich Risk Assurance tätig
Vorstand ISSS www.isss.ch und
ISACA Switzerland Chapter www.isaca.ch
Dozent an verschiedenen Schulen (FA, DI, HF)
2Wednesday, May 15, 13
6. Was wollen Sie?
Definieren Sie, was Sie wollen - klare
Abgrenzung in inhaltlicher (Menge und
Grösse) und logischer Dimension.
Kommunizieren Sie es - damit es allen
(Beteiligten) klar ist. An Alle, die es betrifft!
Wollen es alle?
6Wednesday, May 15, 13
7. Kleines Beispiel
Daten vs. Informationen (vs. Wissen)
IT-Sicherheit, ICT-Sicherheit und
Informationssicherheit.
Und physische Sicherheit?!
Datenschutz?!
Schutz und Sicherheit?
Konzern, Gruppe, Stammsitz, Schweiz, Konzernbereich,
Gruppengesellschaft, Matrix-Organisation und
funktionale Führung, etc.
7Wednesday, May 15, 13
8. Was wollen Sie nicht?
Leitet sich erstmal von der vorherigen Folie ab. Aber
wissen das auch alle? Und ist allen klar, was man NICHT
will?
Ist nicht wollen das gleiche wie nicht tun?
Was ist mit “müssen”? (mehr in “Compliance”)
übrigens, in Englisch: must not, can not. Die Tücken der
Übersetzung.
Wollen Sie nicht, müssen Sie nicht oder können Sie es sich
nicht leisten? --> Business case “with” security!
(aka ROSI?)
8Wednesday, May 15, 13
9. Best Practise?
Oder etwa nur “good practise”?
Was heisst das überhaupt?
Was tun die anderen? ... und warum, oder
warum nicht? Das Lemming-Problem und die
Individualität (Schutzbedarf, Risiko)
Risiko-Akzeptanz vs. Risiko-Ignoranz
--> Belegbarkeit und (Nach)prüfbarkeit
9Wednesday, May 15, 13
10. Compliance
“Betriebliche” und gesetzliche Anforderungen
Compliance: befolgen, erfüllen, einhalten
Binär: sein oder nicht-sein
Idealerweise als Anforderung (hello requirement
engineering) erhoben - und nicht als “patch” hinterher
Problem: “Technik und Recht”
Und am Horizont: die Cloud - “denn sie wissen nicht,
was sie tun”
10Wednesday, May 15, 13
11. Obligationenrecht
Erster Titel: Entstehung der Obligation
OR 716a: Verwaltungsrat - unübertragbare
Aufgaben
OR 717: Verwaltungsrat - Sorgfalts- und
Treuepflicht
OR 727-731a: Revisionsstelle
11Wednesday, May 15, 13
12. Haftung
Auch ein “Vertrag”...
Vertragliche Haftung vs. ausservertragliche
Haftung
OR 41ff., Voraussetzungen
Schaden, Kausalzusammenhang,
Widerrechtlichkeit, Verschulden (Absicht/
Vorsatz oder Fahrlässigkeit)
12Wednesday, May 15, 13
13. Datenschutzgesetz
Definition: Personendaten, besonders schützenswerte
Personendaten, (keine Personendaten)
Art.4: Grundsätze - Legalität, Verhältnismässigkeit/
Treu und Glaube, Zweckbindung
Art.5: Richtigkeit, Art.7: Datensicherheit
Art.6: Grenzüberschreitende Bekanntgabe
Art. 8: Auskunftsrecht (=Auskunftspflicht)
Art 10a: Datenbearbeitung durch Dritte (Outsourcing)
13Wednesday, May 15, 13
14. Datenschutz ++
Schutz der Kundendaten
Aber auch: Schutz der Mitarbeiterdaten,
Privatsphäre.
Privat, persönlich und geschäftlich.
Überwachung am Arbeitsplatz.
Und ev. bald auch Büpf.
Datenschutz vs. Hierarchie
14Wednesday, May 15, 13
15. Beispiel: Banken
FINMA RS 08/7: Outsourcing Banken
FINMA RS 08/21: Operationelle Risiken Banken
FINMA RS 08/24: Überwachung und interne
Kontrolle Banken
FINMA RS 13/3: Prüfwesen, RS 13/4:
Prüfgesellschaften und leitende Prüfer
SBVg: Best Practise Data Security (DLP)
15Wednesday, May 15, 13
16. Ausblick
Verschärfung der regulatorischen Anforderungen
bei Banken - “Restwirtschaft” zieht irgendwann
nach
Zunahme von Attacken generell sowie gezieltes
“information retrieval” - cross border, cross
industry!
Schwachstelle Mensch - oder “back to
technology”?
Information (und Computer) everywhere
16Wednesday, May 15, 13
17. Ausblick
Built-in resiliency statt “planned
obsolescence”
Die Budgets werden nicht höher - deshalb
Sicherheit vorweg als “basic requirement”
berücksichtigen
You get what you pay for!
17Wednesday, May 15, 13
18. Erfahrung zeigt...
Es scheitert meistens an...
Umsetzung in der Praxis (holen Sie die Stakeholder ab -
alle! , adressatengerecht, “lebbar”)
Kommunikation: zuviel oder zu wenig. Miteinander.
Schönreden. Kein Nein. Diplomatie, Sachlichkeit und
Realität.
Definition: Glossar FTW! (for teh win)
Budget (-> siehe Kommunikation)
ROSI (yep. immer noch.) *return on security investment
18Wednesday, May 15, 13
19. Security Must-Have
Denkende Mitarbeitende --> “Warum
Sicherheit?” statt “Darum Sicherheit!”
Sicherheitskultur, kritikfähiger Organismus
Integre Führungspersonen mit “Rückgrat” -
man darf zu Fehlern stehen!
Offene(!) Kommunikation und Transparenz
19Wednesday, May 15, 13
20. Security Must-Have
Ausgewogene technische, organisatorische
und physische Sicherheit
Grundschutz für ICT: www.bsi.de
ISO 27001 und 270xx
COBIT (seit v5 “for Information Security”)
auch Risk IT Framework, ValIT !
20Wednesday, May 15, 13
21. Security Must-Have
Zuerst “organisatorisch” definieren/lösen:
Weisung, Vorgabe, Prozess
Dann “technische Leitplanke” wo sinnvoll
Nicht umgekehrt!
Business-Value, aber:
“there’s no such thing as a free lunch”
21Wednesday, May 15, 13
22. Security Must-Have
Je nach Organisationsgrösse: (Information)
Risk Management, Globale Compliance
Unabhängige Überprüfung und
Berichterstattung (financial audit, aber auch
und insbesondere “non-audit assurance”)
Business(!) Continuity Planning
22Wednesday, May 15, 13
24. Security Must-Have (?)
Identity Management + Access Management
ergibt (vielleicht, irgendwann): IAM
Segregation/separation of duties (SoD)
Reviews. Von Weisungen, Zugriffsrechten,
Logfiles und Protokollen.
Richtige Sicherheit statt nur “CYA”
24Wednesday, May 15, 13
25. Security Must-Have
Zeit. Sie brauchen VIEL Zeit.
Sie = Ressource. FTE. 100% oder mehr. Sicherheit ist
kein Ding der halben Sachen.
Zeit = Sie müssen es tun. Information und Wissen hat
es genug “da draussen”.
(die IT-Grundschutzkataloge umfassen mehr als 4000
Seiten!)
Tun = immer und immer wieder. Mal so, mal so. Immer
und ständig. Ohne paranoid zu werden.
Und ohne Budget.
25Wednesday, May 15, 13