SlideShare una empresa de Scribd logo

Security Must Have

Digicomp Academy AG
Digicomp Academy AG

Wie viel Informationssicherheit ist «gut», was bedeutet «angemessene Sicherheitsmassnahmen» und was kann man von «Best Practices» halten? Gibt es gesetzliche MUSS-Vorgaben und entsprechende Sicherheitsmassnahmen, deren Implementation Pflicht ist? Wann ist man «compliant» und wer beurteilt das? Ein Überblick über MUSS-, KANN- und NICE-TO-HAVE-Informationssicherheit aus gesetzlicher und Erfahrungs-Perspektive. Referent: Umberto Annino

Tecnología
1 de 26
Descargar para leer sin conexión
Information Security Must-Have Muss, Kann, Nice-to-Have ? Digicomp Hacking Day, 05.2013 Umberto Annino 1Wednesday, May 15, 13
Speaker Bio Umberto Annino, Wirtschaftsinformatiker NDS FH QM, C-Zertifizierungen (Infosec) Bei PwC im Bereich Risk Assurance tätig Vorstand ISSS www.isss.ch und ISACA Switzerland Chapter www.isaca.ch Dozent an verschiedenen Schulen (FA, DI, HF) 2Wednesday, May 15, 13
Disclaimer Erste Sicherheitsmassnahme... Opinions are my own Repräsentiert nicht die Meinung der Arbeitgeber, Vereine 3Wednesday, May 15, 13
In Kürze... Information Security Must-Have: 4Wednesday, May 15, 13
5Wednesday, May 15, 13
Was wollen Sie? Definieren Sie, was Sie wollen - klare Abgrenzung in inhaltlicher (Menge und Grösse) und logischer Dimension. Kommunizieren Sie es - damit es allen (Beteiligten) klar ist. An Alle, die es betrifft! Wollen es alle? 6Wednesday, May 15, 13
Kleines Beispiel Daten vs. Informationen (vs. Wissen) IT-Sicherheit, ICT-Sicherheit und Informationssicherheit. Und physische Sicherheit?! Datenschutz?! Schutz und Sicherheit? Konzern, Gruppe, Stammsitz, Schweiz, Konzernbereich, Gruppengesellschaft, Matrix-Organisation und funktionale Führung, etc. 7Wednesday, May 15, 13
Was wollen Sie nicht? Leitet sich erstmal von der vorherigen Folie ab. Aber wissen das auch alle? Und ist allen klar, was man NICHT will? Ist nicht wollen das gleiche wie nicht tun? Was ist mit “müssen”? (mehr in “Compliance”) übrigens, in Englisch: must not, can not. Die Tücken der Übersetzung. Wollen Sie nicht, müssen Sie nicht oder können Sie es sich nicht leisten? --> Business case “with” security! (aka ROSI?) 8Wednesday, May 15, 13
Best Practise? Oder etwa nur “good practise”? Was heisst das überhaupt? Was tun die anderen? ... und warum, oder warum nicht? Das Lemming-Problem und die Individualität (Schutzbedarf, Risiko) Risiko-Akzeptanz vs. Risiko-Ignoranz --> Belegbarkeit und (Nach)prüfbarkeit 9Wednesday, May 15, 13
Compliance “Betriebliche” und gesetzliche Anforderungen Compliance: befolgen, erfüllen, einhalten Binär: sein oder nicht-sein Idealerweise als Anforderung (hello requirement engineering) erhoben - und nicht als “patch” hinterher Problem: “Technik und Recht” Und am Horizont: die Cloud - “denn sie wissen nicht, was sie tun” 10Wednesday, May 15, 13
Obligationenrecht Erster Titel: Entstehung der Obligation OR 716a: Verwaltungsrat - unübertragbare Aufgaben OR 717: Verwaltungsrat - Sorgfalts- und Treuepflicht OR 727-731a: Revisionsstelle 11Wednesday, May 15, 13
Haftung Auch ein “Vertrag”... Vertragliche Haftung vs. ausservertragliche Haftung OR 41ff., Voraussetzungen Schaden, Kausalzusammenhang, Widerrechtlichkeit, Verschulden (Absicht/ Vorsatz oder Fahrlässigkeit) 12Wednesday, May 15, 13
Datenschutzgesetz Definition: Personendaten, besonders schützenswerte Personendaten, (keine Personendaten) Art.4: Grundsätze - Legalität, Verhältnismässigkeit/ Treu und Glaube, Zweckbindung Art.5: Richtigkeit, Art.7: Datensicherheit Art.6: Grenzüberschreitende Bekanntgabe Art. 8: Auskunftsrecht (=Auskunftspflicht) Art 10a: Datenbearbeitung durch Dritte (Outsourcing) 13Wednesday, May 15, 13
Datenschutz ++ Schutz der Kundendaten Aber auch: Schutz der Mitarbeiterdaten, Privatsphäre. Privat, persönlich und geschäftlich. Überwachung am Arbeitsplatz. Und ev. bald auch Büpf. Datenschutz vs. Hierarchie 14Wednesday, May 15, 13
Beispiel: Banken FINMA RS 08/7: Outsourcing Banken FINMA RS 08/21: Operationelle Risiken Banken FINMA RS 08/24: Überwachung und interne Kontrolle Banken FINMA RS 13/3: Prüfwesen, RS 13/4: Prüfgesellschaften und leitende Prüfer SBVg: Best Practise Data Security (DLP) 15Wednesday, May 15, 13
Ausblick Verschärfung der regulatorischen Anforderungen bei Banken - “Restwirtschaft” zieht irgendwann nach Zunahme von Attacken generell sowie gezieltes “information retrieval” - cross border, cross industry! Schwachstelle Mensch - oder “back to technology”? Information (und Computer) everywhere 16Wednesday, May 15, 13
Ausblick Built-in resiliency statt “planned obsolescence” Die Budgets werden nicht höher - deshalb Sicherheit vorweg als “basic requirement” berücksichtigen You get what you pay for! 17Wednesday, May 15, 13
Erfahrung zeigt... Es scheitert meistens an... Umsetzung in der Praxis (holen Sie die Stakeholder ab - alle! , adressatengerecht, “lebbar”) Kommunikation: zuviel oder zu wenig. Miteinander. Schönreden. Kein Nein. Diplomatie, Sachlichkeit und Realität. Definition: Glossar FTW! (for teh win) Budget (-> siehe Kommunikation) ROSI (yep. immer noch.) *return on security investment 18Wednesday, May 15, 13
Security Must-Have Denkende Mitarbeitende --> “Warum Sicherheit?” statt “Darum Sicherheit!” Sicherheitskultur, kritikfähiger Organismus Integre Führungspersonen mit “Rückgrat” - man darf zu Fehlern stehen! Offene(!) Kommunikation und Transparenz 19Wednesday, May 15, 13
Security Must-Have Ausgewogene technische, organisatorische und physische Sicherheit Grundschutz für ICT: www.bsi.de ISO 27001 und 270xx COBIT (seit v5 “for Information Security”) auch Risk IT Framework, ValIT ! 20Wednesday, May 15, 13
Security Must-Have Zuerst “organisatorisch” definieren/lösen: Weisung, Vorgabe, Prozess Dann “technische Leitplanke” wo sinnvoll Nicht umgekehrt! Business-Value, aber: “there’s no such thing as a free lunch” 21Wednesday, May 15, 13
Security Must-Have Je nach Organisationsgrösse: (Information) Risk Management, Globale Compliance Unabhängige Überprüfung und Berichterstattung (financial audit, aber auch und insbesondere “non-audit assurance”) Business(!) Continuity Planning 22Wednesday, May 15, 13
Security Must-Have Security Incident & Event Monitoring Advanced Persistent Threats? Cyber Security (...) Security Patch Management. Rigoros. Modulare Sicherheit. Keinesfalls one-vendor! Standards. Interne, Externe. 23Wednesday, May 15, 13
Security Must-Have (?) Identity Management + Access Management ergibt (vielleicht, irgendwann): IAM Segregation/separation of duties (SoD) Reviews. Von Weisungen, Zugriffsrechten, Logfiles und Protokollen. Richtige Sicherheit statt nur “CYA” 24Wednesday, May 15, 13
Security Must-Have Zeit. Sie brauchen VIEL Zeit. Sie = Ressource. FTE. 100% oder mehr. Sicherheit ist kein Ding der halben Sachen. Zeit = Sie müssen es tun. Information und Wissen hat es genug “da draussen”. (die IT-Grundschutzkataloge umfassen mehr als 4000 Seiten!) Tun = immer und immer wieder. Mal so, mal so. Immer und ständig. Ohne paranoid zu werden. Und ohne Budget. 25Wednesday, May 15, 13
Danke! umberto.annino@isss.ch umberto.annino@ch.pwc.com www.umbi.ch XING, Linkedin, Google+, Facebook, Path, app.net, twitter 26Wednesday, May 15, 13

Recomendados

Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Fraunhofer AISEC
 
Industrial Security Entmystifiziert
Industrial Security EntmystifiziertIndustrial Security Entmystifiziert
Industrial Security Entmystifiziert
team-WIBU
 
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
team-WIBU
 
The IoT Hunger Games 2015
The IoT Hunger Games 2015The IoT Hunger Games 2015
The IoT Hunger Games 2015
Haystack Technologies
 
Experimento
ExperimentoExperimento
Experimento
Andrea Ortiz
 
Ocena działań wewnętrznego call center
Ocena działań wewnętrznego call centerOcena działań wewnętrznego call center
Ocena działań wewnętrznego call center
CCIG
 
Agrotic adicional-albornoz
Agrotic adicional-albornozAgrotic adicional-albornoz
Agrotic adicional-albornoz
Mario Jose Pastrana Moreno
 
Kurs företag
Kurs företagKurs företag
Kurs företag
Mats Adamczak
 

Recomendados

Cybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for SecurityCybersecurity 2013 - Design for Security
Cybersecurity 2013 - Design for Security
Fraunhofer AISEC
 
Industrial Security Entmystifiziert
Industrial Security EntmystifiziertIndustrial Security Entmystifiziert
Industrial Security Entmystifiziert
team-WIBU
 
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
Protecting IIoT Endpoints - an inside look at the Industrial Internet Securit...
team-WIBU
 
The IoT Hunger Games 2015
The IoT Hunger Games 2015The IoT Hunger Games 2015
The IoT Hunger Games 2015
Haystack Technologies
 
Experimento
ExperimentoExperimento
Experimento
Andrea Ortiz
 
Ocena działań wewnętrznego call center
Ocena działań wewnętrznego call centerOcena działań wewnętrznego call center
Ocena działań wewnętrznego call center
CCIG
 
Agrotic adicional-albornoz
Agrotic adicional-albornozAgrotic adicional-albornoz
Agrotic adicional-albornoz
Mario Jose Pastrana Moreno
 
Kurs företag
Kurs företagKurs företag
Kurs företag
Mats Adamczak
 
Skype en una Organización
Skype en una OrganizaciónSkype en una Organización
Skype en una Organización
Venan Llona
 
Ch4
Ch4Ch4
Ch4
infcom
 
Web Form Design 讀書會 Ch5-6
Web Form Design 讀書會 Ch5-6Web Form Design 讀書會 Ch5-6
Web Form Design 讀書會 Ch5-6
知世‧安索帕 台北 (使用經驗設計中心)
 
Suelo técnico
Suelo técnicoSuelo técnico
Suelo técnico
msolerartis
 
Tr scit-3 q13-executive-summary
Tr scit-3 q13-executive-summaryTr scit-3 q13-executive-summary
Tr scit-3 q13-executive-summary
Mae Guerra
 
Benchmark of Ecommerce solution - full [english]
Benchmark of Ecommerce solution - full [english]Benchmark of Ecommerce solution - full [english]
Benchmark of Ecommerce solution - full [english]
Philippe Humeau
 
Mujeres y usos de drogas
Mujeres y usos de drogasMujeres y usos de drogas
Mujeres y usos de drogas
Ai Laket!! elkartea
 
El segmento que quería ser humano
El segmento que quería ser humanoEl segmento que quería ser humano
El segmento que quería ser humano
NanikiGuaili
 
Decalogo vph samem9
Decalogo vph samem9Decalogo vph samem9
Decalogo vph samem9
Instituto Palacios
 
Brazil Card - Price List
Brazil Card - Price ListBrazil Card - Price List
Brazil Card - Price List
ScanSource Brasil
 
Presentación Wordpress Express para curso Marketing 3.0 para el emprendimiento
Presentación Wordpress Express para curso Marketing 3.0 para el emprendimientoPresentación Wordpress Express para curso Marketing 3.0 para el emprendimiento
Presentación Wordpress Express para curso Marketing 3.0 para el emprendimiento
Fernando García Catalina
 
Ferdigmelding_716_Hoegskolen_Bergen_web
Ferdigmelding_716_Hoegskolen_Bergen_webFerdigmelding_716_Hoegskolen_Bergen_web
Ferdigmelding_716_Hoegskolen_Bergen_web
Rita Willassen
 
Guía didáctica.
Guía didáctica.Guía didáctica.
Guía didáctica.
maocampanya
 
Facebook advertising - benchmark report-retail
Facebook advertising - benchmark report-retailFacebook advertising - benchmark report-retail
Facebook advertising - benchmark report-retail
Sebastien Elion
 
Revista nº 164 - Noviembre 2012
Revista nº 164 - Noviembre 2012Revista nº 164 - Noviembre 2012
Revista nº 164 - Noviembre 2012
andalumedio
 
Fostering Inclusive innovation in Universities
Fostering Inclusive innovation in UniversitiesFostering Inclusive innovation in Universities
Fostering Inclusive innovation in Universities
M.L. Bapna
 
ASEE Student Chapter Longevity and Programming
ASEE Student Chapter Longevity and ProgrammingASEE Student Chapter Longevity and Programming
ASEE Student Chapter Longevity and Programming
Rebecca Reck
 
Engagiert gegen Rechts - Report über wirkungsvolles zivilgesellschaftliches E...
Engagiert gegen Rechts - Report über wirkungsvolles zivilgesellschaftliches E...Engagiert gegen Rechts - Report über wirkungsvolles zivilgesellschaftliches E...
Engagiert gegen Rechts - Report über wirkungsvolles zivilgesellschaftliches E...
PHINEO gemeinnützige AG
 
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Digicomp Academy AG
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
Digicomp Academy AG
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Digicomp Academy AG
 

Más contenido relacionado

Destacado

Tr scit-3 q13-executive-summary
Tr scit-3 q13-executive-summaryTr scit-3 q13-executive-summary
Tr scit-3 q13-executive-summary
Mae Guerra
 
Benchmark of Ecommerce solution - full [english]
Benchmark of Ecommerce solution - full [english]Benchmark of Ecommerce solution - full [english]
Benchmark of Ecommerce solution - full [english]
Philippe Humeau
 
Ferdigmelding_716_Hoegskolen_Bergen_web
Ferdigmelding_716_Hoegskolen_Bergen_webFerdigmelding_716_Hoegskolen_Bergen_web
Ferdigmelding_716_Hoegskolen_Bergen_web
Rita Willassen
 
Guía didáctica.
Guía didáctica.Guía didáctica.
Guía didáctica.
maocampanya
 
Facebook advertising - benchmark report-retail
Facebook advertising - benchmark report-retailFacebook advertising - benchmark report-retail
Facebook advertising - benchmark report-retail
Sebastien Elion
 
Revista nº 164 - Noviembre 2012
Revista nº 164 - Noviembre 2012Revista nº 164 - Noviembre 2012
Revista nº 164 - Noviembre 2012
andalumedio
 
Fostering Inclusive innovation in Universities
Fostering Inclusive innovation in UniversitiesFostering Inclusive innovation in Universities
Fostering Inclusive innovation in Universities
M.L. Bapna
 

Destacado (18)

Skype en una Organización
Skype en una OrganizaciónSkype en una Organización
Skype en una Organización
 
Ch4
Ch4Ch4
Ch4
 
Web Form Design 讀書會 Ch5-6
Web Form Design 讀書會 Ch5-6Web Form Design 讀書會 Ch5-6
Web Form Design 讀書會 Ch5-6
 
Suelo técnico
Suelo técnicoSuelo técnico
Suelo técnico
 
Tr scit-3 q13-executive-summary
Tr scit-3 q13-executive-summaryTr scit-3 q13-executive-summary
Tr scit-3 q13-executive-summary
 
Benchmark of Ecommerce solution - full [english]
Benchmark of Ecommerce solution - full [english]Benchmark of Ecommerce solution - full [english]
Benchmark of Ecommerce solution - full [english]
 
Mujeres y usos de drogas
Mujeres y usos de drogasMujeres y usos de drogas
Mujeres y usos de drogas
 
El segmento que quería ser humano
El segmento que quería ser humanoEl segmento que quería ser humano
El segmento que quería ser humano
 
Decalogo vph samem9
Decalogo vph samem9Decalogo vph samem9
Decalogo vph samem9
 
Brazil Card - Price List
Brazil Card - Price ListBrazil Card - Price List
Brazil Card - Price List
 
Presentación Wordpress Express para curso Marketing 3.0 para el emprendimiento
Presentación Wordpress Express para curso Marketing 3.0 para el emprendimientoPresentación Wordpress Express para curso Marketing 3.0 para el emprendimiento
Presentación Wordpress Express para curso Marketing 3.0 para el emprendimiento
 
Ferdigmelding_716_Hoegskolen_Bergen_web
Ferdigmelding_716_Hoegskolen_Bergen_webFerdigmelding_716_Hoegskolen_Bergen_web
Ferdigmelding_716_Hoegskolen_Bergen_web
 
Guía didáctica.
Guía didáctica.Guía didáctica.
Guía didáctica.
 
Facebook advertising - benchmark report-retail
Facebook advertising - benchmark report-retailFacebook advertising - benchmark report-retail
Facebook advertising - benchmark report-retail
 
Revista nº 164 - Noviembre 2012
Revista nº 164 - Noviembre 2012Revista nº 164 - Noviembre 2012
Revista nº 164 - Noviembre 2012
 
Fostering Inclusive innovation in Universities
Fostering Inclusive innovation in UniversitiesFostering Inclusive innovation in Universities
Fostering Inclusive innovation in Universities
 
ASEE Student Chapter Longevity and Programming
ASEE Student Chapter Longevity and ProgrammingASEE Student Chapter Longevity and Programming
ASEE Student Chapter Longevity and Programming
 
Engagiert gegen Rechts - Report über wirkungsvolles zivilgesellschaftliches E...
Engagiert gegen Rechts - Report über wirkungsvolles zivilgesellschaftliches E...Engagiert gegen Rechts - Report über wirkungsvolles zivilgesellschaftliches E...
Engagiert gegen Rechts - Report über wirkungsvolles zivilgesellschaftliches E...
 

Más de Digicomp Academy AG

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Digicomp Academy AG
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Digicomp Academy AG
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
Digicomp Academy AG
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
Digicomp Academy AG
 

Más de Digicomp Academy AG (20)

Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
Becoming Agile von Christian Botta – Personal Swiss Vortrag 2019
 
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
Swiss IPv6 Council – Case Study - Deployment von IPv6 in einer Container Plat...
 
Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018Innovation durch kollaboration gennex 2018
Innovation durch kollaboration gennex 2018
 
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handoutRoger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
Roger basler meetup_digitale-geschaeftsmodelle-entwickeln_handout
 
Roger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handoutRoger basler meetup_21082018_work-smarter-not-harder_handout
Roger basler meetup_21082018_work-smarter-not-harder_handout
 
Xing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit xXing expertendialog zu nudge unit x
Xing expertendialog zu nudge unit x
 
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
Responsive Organisation auf Basis der Holacracy – nur ein Hype oder die Zukunft?
 
IPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe KleinIPv6 Security Talk mit Joe Klein
IPv6 Security Talk mit Joe Klein
 
Agiles Management - Wie geht das?
Agiles Management - Wie geht das?Agiles Management - Wie geht das?
Agiles Management - Wie geht das?
 
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi OdermattGewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
Gewinnen Sie Menschen und Ziele - Referat von Andi Odermatt
 
Querdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING ExpertendialogQuerdenken mit Kreativitätsmethoden – XING Expertendialog
Querdenken mit Kreativitätsmethoden – XING Expertendialog
 
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickelnXing LearningZ: Digitale Geschäftsmodelle entwickeln
Xing LearningZ: Digitale Geschäftsmodelle entwickeln
 
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only BuildingSwiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
Swiss IPv6 Council: The Cisco-Journey to an IPv6-only Building
 
UX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital BusinessUX – Schlüssel zum Erfolg im Digital Business
UX – Schlüssel zum Erfolg im Digital Business
 
Minenfeld IPv6
Minenfeld IPv6Minenfeld IPv6
Minenfeld IPv6
 
Was ist design thinking
Was ist design thinkingWas ist design thinking
Was ist design thinking
 
Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich Die IPv6 Journey der ETH Zürich
Die IPv6 Journey der ETH Zürich
 
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)CommerceXing LearningZ: Die 10 + 1 Trends im (E-)Commerce
Xing LearningZ: Die 10 + 1 Trends im (E-)Commerce
 
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloudZahlen Battle: klassische werbung vs.online-werbung-somexcloud
Zahlen Battle: klassische werbung vs.online-werbung-somexcloud
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 

Security Must Have

  • 1. Information Security Must-Have Muss, Kann, Nice-to-Have ? Digicomp Hacking Day, 05.2013 Umberto Annino 1Wednesday, May 15, 13
  • 2. Speaker Bio Umberto Annino, Wirtschaftsinformatiker NDS FH QM, C-Zertifizierungen (Infosec) Bei PwC im Bereich Risk Assurance tätig Vorstand ISSS www.isss.ch und ISACA Switzerland Chapter www.isaca.ch Dozent an verschiedenen Schulen (FA, DI, HF) 2Wednesday, May 15, 13
  • 3. Disclaimer Erste Sicherheitsmassnahme... Opinions are my own Repräsentiert nicht die Meinung der Arbeitgeber, Vereine 3Wednesday, May 15, 13
  • 4. In Kürze... Information Security Must-Have: 4Wednesday, May 15, 13
  • 6. Was wollen Sie? Definieren Sie, was Sie wollen - klare Abgrenzung in inhaltlicher (Menge und Grösse) und logischer Dimension. Kommunizieren Sie es - damit es allen (Beteiligten) klar ist. An Alle, die es betrifft! Wollen es alle? 6Wednesday, May 15, 13
  • 7. Kleines Beispiel Daten vs. Informationen (vs. Wissen) IT-Sicherheit, ICT-Sicherheit und Informationssicherheit. Und physische Sicherheit?! Datenschutz?! Schutz und Sicherheit? Konzern, Gruppe, Stammsitz, Schweiz, Konzernbereich, Gruppengesellschaft, Matrix-Organisation und funktionale Führung, etc. 7Wednesday, May 15, 13
  • 8. Was wollen Sie nicht? Leitet sich erstmal von der vorherigen Folie ab. Aber wissen das auch alle? Und ist allen klar, was man NICHT will? Ist nicht wollen das gleiche wie nicht tun? Was ist mit “müssen”? (mehr in “Compliance”) übrigens, in Englisch: must not, can not. Die Tücken der Übersetzung. Wollen Sie nicht, müssen Sie nicht oder können Sie es sich nicht leisten? --> Business case “with” security! (aka ROSI?) 8Wednesday, May 15, 13
  • 9. Best Practise? Oder etwa nur “good practise”? Was heisst das überhaupt? Was tun die anderen? ... und warum, oder warum nicht? Das Lemming-Problem und die Individualität (Schutzbedarf, Risiko) Risiko-Akzeptanz vs. Risiko-Ignoranz --> Belegbarkeit und (Nach)prüfbarkeit 9Wednesday, May 15, 13
  • 10. Compliance “Betriebliche” und gesetzliche Anforderungen Compliance: befolgen, erfüllen, einhalten Binär: sein oder nicht-sein Idealerweise als Anforderung (hello requirement engineering) erhoben - und nicht als “patch” hinterher Problem: “Technik und Recht” Und am Horizont: die Cloud - “denn sie wissen nicht, was sie tun” 10Wednesday, May 15, 13
  • 11. Obligationenrecht Erster Titel: Entstehung der Obligation OR 716a: Verwaltungsrat - unübertragbare Aufgaben OR 717: Verwaltungsrat - Sorgfalts- und Treuepflicht OR 727-731a: Revisionsstelle 11Wednesday, May 15, 13
  • 12. Haftung Auch ein “Vertrag”... Vertragliche Haftung vs. ausservertragliche Haftung OR 41ff., Voraussetzungen Schaden, Kausalzusammenhang, Widerrechtlichkeit, Verschulden (Absicht/ Vorsatz oder Fahrlässigkeit) 12Wednesday, May 15, 13
  • 13. Datenschutzgesetz Definition: Personendaten, besonders schützenswerte Personendaten, (keine Personendaten) Art.4: Grundsätze - Legalität, Verhältnismässigkeit/ Treu und Glaube, Zweckbindung Art.5: Richtigkeit, Art.7: Datensicherheit Art.6: Grenzüberschreitende Bekanntgabe Art. 8: Auskunftsrecht (=Auskunftspflicht) Art 10a: Datenbearbeitung durch Dritte (Outsourcing) 13Wednesday, May 15, 13
  • 14. Datenschutz ++ Schutz der Kundendaten Aber auch: Schutz der Mitarbeiterdaten, Privatsphäre. Privat, persönlich und geschäftlich. Überwachung am Arbeitsplatz. Und ev. bald auch Büpf. Datenschutz vs. Hierarchie 14Wednesday, May 15, 13
  • 15. Beispiel: Banken FINMA RS 08/7: Outsourcing Banken FINMA RS 08/21: Operationelle Risiken Banken FINMA RS 08/24: Überwachung und interne Kontrolle Banken FINMA RS 13/3: Prüfwesen, RS 13/4: Prüfgesellschaften und leitende Prüfer SBVg: Best Practise Data Security (DLP) 15Wednesday, May 15, 13
  • 16. Ausblick Verschärfung der regulatorischen Anforderungen bei Banken - “Restwirtschaft” zieht irgendwann nach Zunahme von Attacken generell sowie gezieltes “information retrieval” - cross border, cross industry! Schwachstelle Mensch - oder “back to technology”? Information (und Computer) everywhere 16Wednesday, May 15, 13
  • 17. Ausblick Built-in resiliency statt “planned obsolescence” Die Budgets werden nicht höher - deshalb Sicherheit vorweg als “basic requirement” berücksichtigen You get what you pay for! 17Wednesday, May 15, 13
  • 18. Erfahrung zeigt... Es scheitert meistens an... Umsetzung in der Praxis (holen Sie die Stakeholder ab - alle! , adressatengerecht, “lebbar”) Kommunikation: zuviel oder zu wenig. Miteinander. Schönreden. Kein Nein. Diplomatie, Sachlichkeit und Realität. Definition: Glossar FTW! (for teh win) Budget (-> siehe Kommunikation) ROSI (yep. immer noch.) *return on security investment 18Wednesday, May 15, 13
  • 19. Security Must-Have Denkende Mitarbeitende --> “Warum Sicherheit?” statt “Darum Sicherheit!” Sicherheitskultur, kritikfähiger Organismus Integre Führungspersonen mit “Rückgrat” - man darf zu Fehlern stehen! Offene(!) Kommunikation und Transparenz 19Wednesday, May 15, 13
  • 20. Security Must-Have Ausgewogene technische, organisatorische und physische Sicherheit Grundschutz für ICT: www.bsi.de ISO 27001 und 270xx COBIT (seit v5 “for Information Security”) auch Risk IT Framework, ValIT ! 20Wednesday, May 15, 13
  • 21. Security Must-Have Zuerst “organisatorisch” definieren/lösen: Weisung, Vorgabe, Prozess Dann “technische Leitplanke” wo sinnvoll Nicht umgekehrt! Business-Value, aber: “there’s no such thing as a free lunch” 21Wednesday, May 15, 13
  • 22. Security Must-Have Je nach Organisationsgrösse: (Information) Risk Management, Globale Compliance Unabhängige Überprüfung und Berichterstattung (financial audit, aber auch und insbesondere “non-audit assurance”) Business(!) Continuity Planning 22Wednesday, May 15, 13
  • 23. Security Must-Have Security Incident & Event Monitoring Advanced Persistent Threats? Cyber Security (...) Security Patch Management. Rigoros. Modulare Sicherheit. Keinesfalls one-vendor! Standards. Interne, Externe. 23Wednesday, May 15, 13
  • 24. Security Must-Have (?) Identity Management + Access Management ergibt (vielleicht, irgendwann): IAM Segregation/separation of duties (SoD) Reviews. Von Weisungen, Zugriffsrechten, Logfiles und Protokollen. Richtige Sicherheit statt nur “CYA” 24Wednesday, May 15, 13
  • 25. Security Must-Have Zeit. Sie brauchen VIEL Zeit. Sie = Ressource. FTE. 100% oder mehr. Sicherheit ist kein Ding der halben Sachen. Zeit = Sie müssen es tun. Information und Wissen hat es genug “da draussen”. (die IT-Grundschutzkataloge umfassen mehr als 4000 Seiten!) Tun = immer und immer wieder. Mal so, mal so. Immer und ständig. Ohne paranoid zu werden. Und ohne Budget. 25Wednesday, May 15, 13