Security Must Have
26
Information Security Must-Have Muss, Kann, Nice-to-Have ? Digicomp Hacking Day, 05.2013 Umberto Annino 1 Wednesday, May 15, 13
-
Upload
digicomp-academy-ag -
Category
Technology
-
view
202 -
download
0
description
Wie viel Informationssicherheit ist «gut», was bedeutet «angemessene Sicherheitsmassnahmen» und was kann man von «Best Practices» halten? Gibt es gesetzliche MUSS-Vorgaben und entsprechende Sicherheitsmassnahmen, deren Implementation Pflicht ist? Wann ist man «compliant» und wer beurteilt das? Ein Überblick über MUSS-, KANN- und NICE-TO-HAVE-Informationssicherheit aus gesetzlicher und Erfahrungs-Perspektive. Referent: Umberto Annino
Transcript of Security Must Have
Information SecurityMust-Have
Muss, Kann, Nice-to-Have ?Digicomp Hacking Day, 05.2013
Umberto Annino
1Wednesday, May 15, 13
Speaker Bio
Umberto Annino, Wirtschaftsinformatiker
NDS FH QM, C-Zertifizierungen (Infosec)
Bei PwC im Bereich Risk Assurance tätig
Vorstand ISSS www.isss.ch undISACA Switzerland Chapter www.isaca.ch
Dozent an verschiedenen Schulen (FA, DI, HF)
2Wednesday, May 15, 13
Disclaimer
Erste Sicherheitsmassnahme...
Opinions are my own
Repräsentiert nicht die Meinung der Arbeitgeber, Vereine
3Wednesday, May 15, 13
In Kürze...
Information Security Must-Have:
4Wednesday, May 15, 13
5Wednesday, May 15, 13
Was wollen Sie?
Definieren Sie, was Sie wollen - klare Abgrenzung in inhaltlicher (Menge und Grösse) und logischer Dimension.
Kommunizieren Sie es - damit es allen (Beteiligten) klar ist. An Alle, die es betrifft!
Wollen es alle?
6Wednesday, May 15, 13
Kleines Beispiel
Daten vs. Informationen (vs. Wissen)
IT-Sicherheit, ICT-Sicherheit und Informationssicherheit.Und physische Sicherheit?!
Datenschutz?!
Schutz und Sicherheit?
Konzern, Gruppe, Stammsitz, Schweiz, Konzernbereich, Gruppengesellschaft, Matrix-Organisation und funktionale Führung, etc.
7Wednesday, May 15, 13
Was wollen Sie nicht?Leitet sich erstmal von der vorherigen Folie ab. Aber wissen das auch alle? Und ist allen klar, was man NICHT will?
Ist nicht wollen das gleiche wie nicht tun?
Was ist mit “müssen”? (mehr in “Compliance”)
übrigens, in Englisch: must not, can not. Die Tücken der Übersetzung.
Wollen Sie nicht, müssen Sie nicht oder können Sie es sich nicht leisten? --> Business case “with” security!(aka ROSI?)
8Wednesday, May 15, 13
Best Practise?
Oder etwa nur “good practise”?
Was heisst das überhaupt?
Was tun die anderen? ... und warum, oder warum nicht? Das Lemming-Problem und die Individualität (Schutzbedarf, Risiko)
Risiko-Akzeptanz vs. Risiko-Ignoranz--> Belegbarkeit und (Nach)prüfbarkeit
9Wednesday, May 15, 13
Compliance
“Betriebliche” und gesetzliche Anforderungen
Compliance: befolgen, erfüllen, einhalten
Binär: sein oder nicht-sein
Idealerweise als Anforderung (hello requirement engineering) erhoben - und nicht als “patch” hinterher
Problem: “Technik und Recht”
Und am Horizont: die Cloud - “denn sie wissen nicht, was sie tun”
10Wednesday, May 15, 13
Obligationenrecht
Erster Titel: Entstehung der Obligation
OR 716a: Verwaltungsrat - unübertragbare Aufgaben
OR 717: Verwaltungsrat - Sorgfalts- und Treuepflicht
OR 727-731a: Revisionsstelle
11Wednesday, May 15, 13
Haftung
Auch ein “Vertrag”...
Vertragliche Haftung vs. ausservertragliche Haftung
OR 41ff., Voraussetzungen
Schaden, Kausalzusammenhang, Widerrechtlichkeit, Verschulden (Absicht/Vorsatz oder Fahrlässigkeit)
12Wednesday, May 15, 13
Datenschutzgesetz
Definition: Personendaten, besonders schützenswerte Personendaten, (keine Personendaten)
Art.4: Grundsätze - Legalität, Verhältnismässigkeit/Treu und Glaube, Zweckbindung
Art.5: Richtigkeit, Art.7: Datensicherheit
Art.6: Grenzüberschreitende Bekanntgabe
Art. 8: Auskunftsrecht (=Auskunftspflicht)
Art 10a: Datenbearbeitung durch Dritte (Outsourcing)
13Wednesday, May 15, 13
Datenschutz ++
Schutz der Kundendaten
Aber auch: Schutz der Mitarbeiterdaten, Privatsphäre.
Privat, persönlich und geschäftlich.
Überwachung am Arbeitsplatz.Und ev. bald auch Büpf.
Datenschutz vs. Hierarchie
14Wednesday, May 15, 13
Beispiel: Banken
FINMA RS 08/7: Outsourcing Banken
FINMA RS 08/21: Operationelle Risiken Banken
FINMA RS 08/24: Überwachung und interne Kontrolle Banken
FINMA RS 13/3: Prüfwesen, RS 13/4: Prüfgesellschaften und leitende Prüfer
SBVg: Best Practise Data Security (DLP)
15Wednesday, May 15, 13
Ausblick
Verschärfung der regulatorischen Anforderungen bei Banken - “Restwirtschaft” zieht irgendwann nach
Zunahme von Attacken generell sowie gezieltes “information retrieval” - cross border, cross industry!
Schwachstelle Mensch - oder “back to technology”?
Information (und Computer) everywhere
16Wednesday, May 15, 13
Ausblick
Built-in resiliency statt “planned obsolescence”
Die Budgets werden nicht höher - deshalb Sicherheit vorweg als “basic requirement” berücksichtigen
You get what you pay for!
17Wednesday, May 15, 13
Erfahrung zeigt...
Es scheitert meistens an...
Umsetzung in der Praxis (holen Sie die Stakeholder ab - alle! , adressatengerecht, “lebbar”)
Kommunikation: zuviel oder zu wenig. Miteinander. Schönreden. Kein Nein. Diplomatie, Sachlichkeit und Realität.
Definition: Glossar FTW! (for teh win)
Budget (-> siehe Kommunikation)
ROSI (yep. immer noch.) *return on security investment
18Wednesday, May 15, 13
Security Must-Have
Denkende Mitarbeitende --> “Warum Sicherheit?” statt “Darum Sicherheit!”
Sicherheitskultur, kritikfähiger Organismus
Integre Führungspersonen mit “Rückgrat” - man darf zu Fehlern stehen!
Offene(!) Kommunikation und Transparenz
19Wednesday, May 15, 13
Security Must-Have
Ausgewogene technische, organisatorische und physische Sicherheit
Grundschutz für ICT: www.bsi.de
ISO 27001 und 270xx
COBIT (seit v5 “for Information Security”)
auch Risk IT Framework, ValIT !
20Wednesday, May 15, 13
Security Must-Have
Zuerst “organisatorisch” definieren/lösen: Weisung, Vorgabe, Prozess
Dann “technische Leitplanke” wo sinnvoll
Nicht umgekehrt!
Business-Value, aber:“there’s no such thing as a free lunch”
21Wednesday, May 15, 13
Security Must-Have
Je nach Organisationsgrösse: (Information) Risk Management, Globale Compliance
Unabhängige Überprüfung und Berichterstattung (financial audit, aber auch und insbesondere “non-audit assurance”)
Business(!) Continuity Planning
22Wednesday, May 15, 13
Security Must-Have
Security Incident & Event Monitoring
Advanced Persistent Threats?
Cyber Security (...)
Security Patch Management. Rigoros.
Modulare Sicherheit. Keinesfalls one-vendor!
Standards. Interne, Externe.
23Wednesday, May 15, 13
Security Must-Have (?)
Identity Management + Access Management ergibt (vielleicht, irgendwann): IAM
Segregation/separation of duties (SoD)
Reviews. Von Weisungen, Zugriffsrechten, Logfiles und Protokollen.
Richtige Sicherheit statt nur “CYA”
24Wednesday, May 15, 13
Security Must-HaveZeit. Sie brauchen VIEL Zeit.
Sie = Ressource. FTE. 100% oder mehr. Sicherheit ist kein Ding der halben Sachen.
Zeit = Sie müssen es tun. Information und Wissen hat es genug “da draussen”.(die IT-Grundschutzkataloge umfassen mehr als 4000 Seiten!)
Tun = immer und immer wieder. Mal so, mal so. Immer und ständig. Ohne paranoid zu werden.Und ohne Budget.
25Wednesday, May 15, 13
Danke!
www.umbi.ch
XING, Linkedin, Google+, Facebook, Path, app.net, twitter
26Wednesday, May 15, 13
