Cyber Resilience Wie mache ich meine Organisation fit für die Zukunft AHS-Event ISACA Switzerland 18. August 2015 Martin Andenmatten, CISA-CGEIT-CRISC, ITIL Master Ihr heutiger Referent: Martin Andenmatten Geschäftsführer und Gründer der Glenfis AG ITIL® Master, DPSM ISACA® CISA, CGEIT, CRISC Zertifizierter COBIT Assessor, TIPA (ITIL) Lead Assessor Practitioner und Lead Auditor für ISO 20000 Zertifizierungen Dozent an der Berner Fachhochschule im Bereich Service Management & Governance Principle Consultant für IT Governance und Service Management Systeme Trainer und Coach für ITIL®, COBIT®, ISO 20000, ISO 27000, Cloud Foundation und Sourcing Governance Trainer und Coach für Business-Simulationen Apollo13, Challenge of Egypt & Grab@Pizza und PoleStar (G2G3) Herausgeber & Autor 2008 Praxishandbuch "ISO 20000, Service Management und IT Governance" Herausgeber & Autor 2010 "Services managen mit ITIL®„ Herausgeber & Autor 2014 „COBIT® 5 Grundlagen„ © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 2 Kennen. Können. Tun. Wir beraten Sie, wie Sie Ihre ITAnforderungen in Unternehmensmehrwert verwandeln Wir schulen Sie und Ihr Team, damit Sie heute schon fit für die IT-Governance von morgen sind. Wir begleiten Sie, wenn Sie Ihre IT-Strategien in die Praxis umsetzen Cloud Computing und Sourcing Governance Agile Methoden und DevOps Cyber und Information Security Management Service Management IT-Governance und Assessment Architektur Management Projekt Management Cloud & Sourcing Transformation Governance, Risk & Compliance Service und Sourcing Management Cyber Security und Informations-Sicherheit ITSM Tool-Assessment und Evaluation Business, Strategie und Sourcing Consulting Audit, Assessments und «Readiness-Checks» Sourcing-, Service und Prozess-ImprovementRoadmaps © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 3 Agenda Cyber Kriminalität: Ist es wirklich schon fünf vor 12? Von Cyber Security zur Business Resilience Ganzheitliches Cyber Security Management mit COBIT 5 und CSX Neues Framework: RESILIATM – Cyber Resilience Best Practice © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 4 «Wind of Change» in IT Organisationen. Big Data © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 5 «Wind of Change» in IT Organisationen. Technologie-Management ist immer mehr «Commodity» und wird vermehrt industrialisiert betrieben. Cloud-Computing konkurrenziert mit veränderten Sourcing-Modellen die internen IT-Organisationen. Das Business will von neuen Trends profitieren. Investitionsentscheide müssen vorbereitet und getroffen werden. Mobilität und permanente Datenverfügbarkeit überfordern die bestehenden IT-Infrastrukturen. «Bring Your Own Device», Social Media, «Big Data» fordern die Sicherheit heraus. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 6 MSM Research: Ausgaben für Outsourcing, Managed & Cloud Computing Services © MSM Research: Studie Cloud Computing 2.0 – der Schweizermarkt bis 2016 © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 7 MSM Research: Die Märkte verschieben sich: On Premise vs. Cloud Standardsoftware © MSM Research: Studie Cloud Computing 2.0 – der Schweizermarkt bis 2016 © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 8 Cloud und mobile Lösungen bedeuten für jeden etwas anderes Die Business-Sicht: (gemäss Vanson Bourne Research) - Alles ist möglich (18% Erhöhung der Produktivität) - Jederzeit (21% Reduktion Time-to Market) - Zum Bruchteil der heutigen Kosten (15% tiefere Kosten) - Verbesserte Zusammenarbeit – unabhängig von Ort & Zeit Die Lieferanten-Sicht: - Ein grenzenloser Markt - Riesige Skaleneffekte - Einfache Kundenbindung Die Security-Sicht: - Datenverlust - Compliance-Verlust - Kontroll-Verlust © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 9 Cloud Security Spotlight Report (Umfrage 2015 in LInkedIn Security Group) Welche Art von Unternehmensdaten speichern Sie in der Cloud? Wie bewerten Sie Ihre Sicherheitsbedenken hinsichtlich des Einsatzes von Public Cloud Computing? © Glenfis AG | glenfis.ch Aktueller Status bezüglich Cloud Adaption im Unternehmen? Welches Cloud Deployment Modell setzen Sie ein? AHS – ISACA Switzerland 18.8.2015 - 10 Cloud-Services sind heute Fakt – sie lassen sich nicht «verhindern» 90% der Cloud Aktivitäten werden durch Einzelpersonen und kleine Teams getätigt: © Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 11 Real-World Daten Ausschnitt aus Cloud Discovery in einem europäischen Transport Unterhemen: Analysiertes Zeitfenster: 20. Juni – 3. Juli 2015 © Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 12 Real-World Daten Ausschnitt aus Cloud Discovery in einem europäischen Transport Unterhemen: Analysiertes Zeitfenster: 20. Juni – 3. Juli 2015 © Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 13 Zu welcher Kategorie gehören Sie? Es gibt nur zwei Kategorien von Unternehmen: - Solche, welche bereits Cloud Security Incidents hatten und solche, welche zwar hatten, es aber nicht bemerkt haben © Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 14 Globale Risiko Landkarte 2015 (World Economic Forum, WEF®) © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 15 Es kann immer und jederzeit etwas passieren – darauf muss man sich einstellen © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 16 Begrifflichkeiten Infromation Security Cybersecurity Der Schutz von Informationen und Informationssystemen vor unerlaubten Zugriff, Verwendung, Offenlegung, Zerstörung, Veränderung oder Zerstörung, um die Vertraulichkeit, Integrität und Verfügbarkeit zu gewährleisten. Die Fähigkeit, die Nutzung des Cyberspace zu verteidigen und sich vor Cyber-Attacken zu schützen Information Security Alles was die Sicherheit von Informationen und InformationsSystemen betrifft – unabhängig vom Bereich © Glenfis AG | glenfis.ch Cybersecurity Alles, was sich auf die Sicherheit im CyberBereich bezieht AHS – ISACA Switzerland 18.8.2015 - 17 Die Risiken sind zu hoch! Der Mensch ist der kritische Faktor: - - - Phishing Attacken: bereits sind rund 60% aller Emails reiner SPAM (Kapersky Lab, Q1 2015 Report ) 50% der User öffnen Emails und klicken auf Phishing-Links (VerizonStudie 2015) In 95% der Security Incidents sind Menschen involviert (IBM 2014 Cyber Security Intelligence Index report) © Copyright BIS, PWC Information Security Breaches Survey 2014 © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 18 Wir stecken mittendrin © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 19 Advanced Persistent Threats – mehr als ein Virus © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 20 Agenda Cyber Kriminalität: Ist es wirklich schon fünf vor 12? Von Cyber Security zur Business Resilience Ganzheitliches Cyber Security Management mit COBIT 5 Neues Framework: RESILIATM – Cyber Resilience Best Practice © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 21 Was sind die zentralen Herausforderungen? Die Mitarbeiter sind das grösste Kapital, Jedoch auch der grösste Risiko Faktor im Unternehmen Es kann alle treffen – es ist nicht ein reines IT-Thema. Das Senior-Management bis zu alle einzelnen Mitarbeiter müssen ihre Verantwortung kennen und tragen Die Techniken der Angriffe ändern ständig. Reines Reagieren auf technischer Ebene reicht für einen Schutz heute bei weitem nicht mehr aus. Compliance bedeutet nicht automatisch auch Sicherheit. Es wird auf spezifische Risiken reagiert und punktuell mit technischen Massnahmen reagiert. Zudem ist es eine reine Point-in-Time-Betrachtung – das führt zu falscher Sicherheit und lenkt von den Risiken ab. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 22 Klassische Informationssicherheits-Konzepte genügen nicht mehr Heute wird Sicherheit noch zu stark als Aufgabe einer dafür spezialisierten Funktion innerhalb der Organisation verstanden. Technische Massnahmen verhelfen oft nur zu Punktlösungen. Das System ist trotzdem löchrig wie ein Schweizer Käse. Das notwendige KnowHow im Umfeld von Cyber Security ist stark technisch fokussiert und wird von den meisten Mitarbeitern, insbesondere dem Management und TopManagement nicht gut genug verstanden. Der Gap zwischen den Experten und den Betroffenen ist so gross, dass die heutigen Sicherheitsmassnahmen nur zur Hälfte wirken. Investitionen in die Sicherheit und damit Abwehr von CyberAttacken sind betriebswirtschaftlich sehr schwer einzuordnen. Einen ROI lässt sich schlecht errechnen und einen Sponsor entsprechend immer schwieriger identifizieren. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 23 Cyber Resilience ist mehr als Cyber Security Das Risiko als Person oder Unternehmen durch Cyber-Attacken getroffen zu werden, steigt zunehmend. Nie war es einfacher für Cyber-Kriminelle, an ihr Ziel zu kommen. Wir müssen erkennen: Die Tage der Implementierung von Sicherheitssystemen und sich dann zurückzulehnen, sind definitiv vorbei Es genügt nicht mehr anzunehmen, dass man jeden möglichen Angriff verteidigen kann. Früher oder später werden einige Attacken erfolgreich sein Datenschutzverletzungen sind fast unvermeidlich und es lässt sich nicht kalkulieren, wie schlimm man betroffen wird und was die Folgekosten/-konsequenzen bedeuten Traditionelle Informations-Sicherheit oder Cybersecurity genügt nicht mehr Cyber Resilience: Die Widerstandsfähigkeit und damit das Erkennen und entsprechend Reagieren auf Sicherheitsverletzungen wird ein Überlebensmerkmal von Organisationen in der Zukunft sein. Wenn man davon ausgeht, dass man getroffen wird – so sollte man sicherstellen, dass man nicht zu hart getroffen wird. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 24 Cyber Resilience ist mehr als Cyber Security Bei den klassischen Cyber-Sicherheitsmassnahmen geht es um den Schutz von Information/technischen Assets und um das Verhindern von Schäden und Bedrohungen In der Regel technische Lösungen mit Schwerpunkt Prävention: - Firewall - Data Leakage Prevention - Vulnerability Management - Web-Access-Management - API-Security, Mobile-Security ect. Bei Cyber-Resilience geht es darum, ein System zu haben, welches die Fähigkeit besitzt, einer ungeplanten Störung oder einem Ausfall zu widerstehen und fristgerecht zu regenerieren. Ganzheitliche Business-Lösung mit ausgewogener Prävention, Früherkennung und Wiederherstellung: - Risiko-basierter Ansatz - Einbezug der gesamten Organisation und aller Prozesse, inklusive Kunden, Lieferanten und Mitarbeiter - Etablierung Cyber Resilience Lifecycle: von der Cyber-ResilienceStrategie, über –Design, Transition, -Operation und –Continual Improvement © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 25 Ausgewogenheit in Vorbeugen, Entdecken, Korrigieren Vorbeugende Massnamen Entdecken und Korrigieren Kontrollen, um Cyber Attacken zu verhindern Kontrollen, um Cyber Attacken zu erkennen und falls getroffen, zu recovern. Es muss immer überlegt werden, ob eine kosteneffektive Vorbeugungs-Massnahme lebenswichtig ist – oder ob stattdessen eine schnelle Erkennung und Korrektur mit kurzfristigen Auswirkungen auf die Cyber Resilience akzeptiert werden kann © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 26 Das Rad muss nicht neu erfunden werden – Standards & Guidelines gibt es zu Hauf 27’000 15’504 Process Capability Assessment (SPICE) COBIT 5 Governance and Management of Enterprise IT PMBOK PRINCE2 Project Management methodology Project Management methodology 27’018 Code of practice for protection personally identifiable 27’018 information in public clouds Cloud Computing Sicherheit IT Service Management 17’789 20’000 ITIL Best Practice framework Reference architecture (roles, activities, functional components) 27’017 Code of practice for information security controls TOGAF SCRUM Enterprise architecture methodology & framework Project Management methodology 37’500 © Glenfis AG | glenfis.ch 38’500 AHS – ISACA Switzerland 18.8.2015 - 27 Positionierung Frameworks im Bereich Cyber Security&Cyber Resilience Business Cyber Resilience ,COBIT®, RESILIATM, ITIL® Best Practice Guidance Steuerung und Verbesserung Business Cyber Security, Risiko und Governance Diese Frameworks ermöglichen einen proaktiven und auf Zusammenarbeit ausgerichteten Ansatz zur Identifizierung und Steuerung der Cyber Risiken von einer ganzheitlichen Sicht: Menschen, Prozesse und Technologien - Business Risk Management und Recovery - Business Service Management System NIST Cyber Security Framework Das NIST Cyber Security Framework gibt Auskunft darüber, welche Standards und Best Practices in der Organisation umgesetzt werden müssen, um Cyber Risiken effektiv zu steuern und die Cyber Risiken zu minimieren. Information Technology (IT) Cyber Resilience ISO27001, ISO31000 und ISO38500 Standards Steuerung und Verbesserung der IT Cyber Security, Risiko und Governance Dies sind auditierbare internationale Standards für die Informations Sicherheit, Risiko Management und Governance mit dem Ziel, Infomationen und technische Assets vor Attacken, Beschädigung oder unauthorisiertem Zugriff zu schützen - IT Risiko Management & Recovery - Information Security Management System © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 28 Agenda Cyber Kriminalität: Ist es wirklich schon fünf vor 12? Von Cyber Security zur Business Resilience Ganzheitliches Cyber Security Management mit COBIT 5 Neues Framework: RESILIATM – Cyber Resilience Best Practice © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 29 Cyber Security Fundamentals und COBIT® 5 © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 30 Modul 2 – Die fünf Prinzipien von COBIT® 5 Core Cyber Security Framework NIST Identify – Entwickeln eines Organisationsverständnisses bezüglich Steuerung der CyberRisiken für Systeme, Assets, Daten und Funktionen Protect - Entwicklung und Umsetzung der entsprechenden Sicherheitsvorkehrungen, um die Bereitstellung kritischer Infrastrukturdienstleistungen zu gewährleisten. Detect - Entwicklung und Umsetzung der entsprechenden Massnahmen, um das Auftreten eines Cyber-Ereignis zu identifizieren. Respond - Entwickeln und implementieren von entsprechenden Aktivitäten, Massnahmen in Bezug erkannten Cyber-Event Recover - Entwickeln und implementieren der entsprechenden Aktivitäten, um Pläne für die Widerstandsfähigkeit zu erhalten und alle Funktionen oder Dienste, die aufgrund eines Cyber-Ereignisses beeinträchtigt wurden, wiederherzustellen. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 31 Modul 2 – Die fünf Prinzipien von COBIT® 5 COBIT® als Grundlage des Governance und Management Systeme © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 32 Modul 2 – Die fünf Prinzipien von COBIT® 5 Prinzip 4 – Ermöglichung eines ganzheitlichen Ansatzes 2. Prozesse 3. Organisationsstrukturen 4. Kultur, Ethik und Verhalten 1. Prinzipien, Richtlinien und Rahmenwerke 5. Informationen 6. Services, Infrastruktur und Anwendungen 7. Mitarbeiter, Fähigkeiten und Kompetenzen Ressourcen © Copyright ISACA, COBIT 2012 © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 33 Prinzipien, Richtlinien und Frameworks für Cyber Security Prinzip 1: Die potenziellen Auswirkungen von Cyberkriminalität und Cyberkriegsführung kennen Prinzip 2: Die Endbenutzer, deren kulturellen Werte und deren Verhaltensmuster verstehen Prinzip 3: Den Business Case für Cybersecurity-Risikobereitschaft des Unternehmens klar zum Ausdruck bringen Prinzip 4: Schaffung einer Cybersecurity-Governance Prinzip 5: Managen der Cybersecurity unter Verwendung der Prinzipien und Enabler Prinzip 6: Kennen des Gewährleistungsumfangs und der Cybersecurity-Ziele Prinzip 7: Hinreichende Sicherheit für Cybersecurity gewährleisten Prinzip 8: Entwickeln und Etablieren eines systemischen Cybersecurity-Ansatzes in einem dynamischen GovernanceSystem © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 34 Prozesse - das wichtigste Mittel zur Ausführung von Richtlinien für Cyber Security Beim Cyber Resilience Management müssen sowohl Management als auch Monitoring Prozesse eingerichtet sein, um einen angemessenen Grad an Sicherheit zu gewährleisten Die Prinzipien, Richtlinien und Frameworks bilden dabei die Grundlage Basis-Prozesse für Cyber Security sind: APO13 – Manage Security DSS05 – Manage Security Services DSS04 – Manage Continuity Aber Sicherheit ist nicht isoliert zu betrachten: überall dort, wo allgemeine Informationssicherheitsaktivitäten in einem Prozess notwendig sind, sind auch Cybersecurity Aktivitäten zu berücksichtigen © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 35 Cyber Security Management-Prozesse für Cyber Security COBIT-5-Prozess Prozesse des Cybersecurity Managements COBIT-5-Prozess Prozesse des Cybersecurity Managements APO01 Managen des ITManagementRahmenwerks APO02 Managen der Strategie Integration der Cybersecurity in das IT-ManagementRahmenwerk BAI03 Managen von Lösungsidentifizierung und Lösungsbau Teilprozess für die Identifikation von spezifischen Cybersecurity-bezogenen Lösungen BAI05 Managen der Ermöglichung organisatorischer Veränderungen Link zur Cybersecurity-Transformation und Einbetten der Transformationsschritte in den allgemeinen Veränderungsprozess BAI06 Managen von Änderungen Teilprozess für Changes und Notfall-Changes im Bereich Cybersecurity BAI07 Managen der Abnahme und Überführung von Änderungen BAI08 Managen von Wissen DSS01 Managen des Betriebs Link zur Cybersecurity-Transformation und Einbetten der Transformationsschritte in den allgemeinen Change Ausrichten der Cybersecurity-Strategie auf die allgemeine Informationssicherheits-Strategie APO03 Managen der Definieren und Einbetten von CybersecurityUnternehmensarchitektur Architekturkomponenten als Teil der allgemeinen Informationssicherheitsarchitektur APO05 Managen des Portfolios Teilprozess zur Identifikation und Mittelbeschaffung für Cybersecurity Management APO06 Managen von Budget und Kosten Cybersecurity-Budget als Teil des Gesamtbudgets inklusive Finanzierung von Situationen bei tatsächlichen Attacken und Verletzungen APO07 Managen des Personals Teilprozess für die Cybersecurity-Schulung der ITMitarbeiter sowie der Anwender APO09 Managen von Servicevereinbarungen Prozess für Cybersecurity SLAs (Service Level Agreements) und OLAs (Operation Level Agreements) abgestimmt mit dem allgemeinen Governance-Modell APO10 Managen von Lieferanten Hinzufügen von Prozesselementen für Dritte und das Lieferanten-Management in Bezug auf Cybersecurity APO12 Managen der Risiken Teilprozess Cybersecurity-Risiko-Identifikation, Evaluation und Bearbeitung APO13 Managen der Sicherheit Einbetten der Cybersecurity als Teil des ISMS BAI02 Managen der Definitionen und Anforderungen Teilprozess für die Definition der CybersecurityAnforderungen © Glenfis AG | glenfis.ch DSS02 Managen von Serviceanfragen und Störungen DSS03 Managen von Problemen Teilprozess des Knowledge Managements für Cybersecurity Teilprozess für Cybersecurity mit Verlinkung zum allgemeinen IT-Betrieb inklusive outgesourcter Dienste und Überwachung der kritischen Infrastrukturen Cybersecurity-Teilprozess zur Identifizierung, Klassifizierung, Eskalierung und Behebung entsprechender Störungen Cybersecurity-Teilprozess zur Identifizierung von Ursachen, Massnahmen zur Verhinderung von wiederkehrendem Auftreten und Bereitstellen von Empfehlungen zur Verbesserung AHS – ISACA Switzerland 18.8.2015 - 36 Cyber Security Überwachungs- und Continuity-Prozesse für Cyber Security COBIT-5-Prozess Überwachungsprozesse der Cybersecurity APO01 Managen des ITManagement-Rahmenwerks Prozesskomponenten für die Überwachung der CybersecurityCompliance APO02 Managen der Strategie Prozesskomponenten für die Gap-Analyse im Bereich Cybersecurity COBIT-5-Prozess APO04 Managen von Innovationen Prozesskomponenten für die Überwachung und das Scannen der technologischen Umgebung; zusätzliche Komponenten für die Überwachung der Verwendung von neuen Technologien und Innovationen APO07 Managen des Personals Prozesskomponenten zur Überwachung der Einhaltung der Mitarbeiterverträge DSS02 Managen von Serviceanfragen und Störungen DSS04 Managen der Kontinuität APO09 Managen der Servicevereinbarungen Prozesskomponenten für das Review der Vereinbarungen hinsichtlich der Cybersecurity-Anforderungen APO10 Managen der Lieferanten Prozesskomponenten für die Überwachung der Einhaltung der Cybersecurity-Bestimmungen mit Lieferanten APO12 Managen der Risiken Prozesskomponenten für die Aufrechterhaltung des CybersecurityRisikoprofils auf Basis von Monitoring-Indikatoren Prozesse des Cybersecurity Continuity Prozesskomponenten für die Integration von Incident-Reaktionen mit dem allgemeinen Incident/Krisenmanagement Prozesskomponenten für die Integration von Incident-Reaktionen, Recovery und Wiederaufnahme des Betriebs mit dem allgemeinen Business Continuity Management (BCM) MEA01 Überwachen, Teilprozess für die Überwachung der Cybersecurity (innerhalb der Evaluieren und Beurteilen von gesetzlichen und regulatorischen Grenzen) Leistung und Konformität MEA02 Überwachen, Teilprozess für das kontrollierte Self-Assessment (CSA) im Bereich Evaluieren und Beurteilen des Cybersecurity, inklusive des Berichtswesens zu Attacken und internen Kontrollsystems Verletzungen oder anderen verdächtigen Aktivitäten MEA03 Überwachen, Evaluieren und Beurteilen der Compliance mit externen Anforderungen © Glenfis AG | glenfis.ch Teilprozess für die Identifikation und Interpretation externer Compliance-Anforderungen im Bereich Cybersecurity AHS – ISACA Switzerland 18.8.2015 - 37 Information Security Steeering Committee (ISSC) Organisationsstrukturen für Cyber Security CEO CISO Betrieb © Glenfis AG | glenfis.ch Access Management Incident Management Fragen: Compliance & Risiko Mgmt Engineering Business Continuity ….. - Informationssicherheit Teil der IT oder der Unternehmenssicherheit? - Cybersecurity Teil der Informationssicherheit oder separat bei der Unternehmenssicherheit - Separate Rolle des Cyber Security Officers notwendig – oder Teil der CISO-Rolle? Change Management AHS – ISACA Switzerland 18.8.2015 - 38 Kultur, Ethik und Verhalten für Cyber Security Ethik und Verhaltensbeispiele © Glenfis AG | glenfis.ch Alle Benutzer kennen die Cybersecurity Verhaltensprinzipien und wie diese im persönlichen und geschäftlichen Umfeld angewendet werden Security Manager und Anwender teilen sich die Verantwortlichkeiten für Cybersecurity im Geschäftsalltag, auf Dienstreisen oder Zuhause Das Security Management und die Endanwender identifizieren, testen und übernehmen gemeinsam neue Innovationen im Bereich Cybersecurity Alle Benutzer sind Stakeholder im Bereich Cybersecurity, unabhängig ihrer hierarchischen Stufe innerhalb des Unternehmens Die notwendige Reaktion auf Bedrohungen und Störungen ist klar verständlich und wird regelmässig geübt AHS – ISACA Switzerland 18.8.2015 - 39 Informationen Die Währung des 21. Jahrhunderts – und das Ziel der Cyber-Kriminellen Anforderungen an das Informationsmanagement Modell auf Basis von zwei Dimensionen Die erste Dimension bezieht sich auf alle Unternehmensdaten und Informationen, die durch Cybersecurity-Massnahmen geschützt werden müssen. In der Regel wird dies im übergeordneten ISMS mittels einer Datenklassifizierung hinsichtlich „Vertraulichkeit, Integrität und Verfügbarkeit“ festgelegt. Diese Klassifikation sollte mit Attributen wie „Attraktivität für Cybersecurity“ oder „Attraktivität für Cyberkriegsführung“ erweitert werden. Die andere Dimension umfasst die Informationen über die Cybersecurity selbst. Dazu gehören Informationen zur Sicherheitsstrategie, zum Budget oder zu spezifischen Anforderungen. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 40 Informationen Schützen der Informationen in der Cloud Heutzutage sind viele Informationen entweder beabsichtigt oder versehentlich in Public- oder Hybrid- Cloud-Lösungen gespeichert. Typische Lücken, welche Massnahmen aus Sicht Cybersecurity notwendig machen: Mobile Geräte, die z. B. eine Replikation durch den Verkäufer/Hersteller erzwingen , Fragestellungen rund um die private Nutzung, z. B. die ungezwungene, aber riskante Verwendung von beliebten öffentlichen Cloud-Services, File-Sharing oder Web-Speicher-Dienste, Weiterleitung von E-Mails mit permanenter oder vorübergehender Speicherung von Anhängen sowie unverschlüsselter Übermittlung, mangelhafte Datei-Upload-Einrichtungen in gängigen Browsern und Nutzung webbasierter E-Mail-Kontos, Fragestellungen rund um Geschäftsreisen wie etwa die Nutzung von Filetransfer-Services aus der Cloud. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 41 Services, Applikationen und Infrastrukturen für Cyber Security Der Enabler “Services, Infrastruktur und Anwendungen” basiert auf Service-Fähigkeitsattributen und Zielen, wie sie in der Publikation „COBIT 5 for Information Security“ beschrieben sind: Sicherheitsarchitektur, Sicherheitsbewusstsein, sichere Entwicklung, Sicherheits-Assessment, ausreichend gesicherte und konfigurierte Systeme, mit dem Business abgestimmte Benutzerzugriffe und Zugriffsrechte, ausreichender Schutz gegen Malware, externe Angriffe und Einbruchsversuche, ausreichend definierte Handlungsoptionen bei Störfällen, Sicherheitstests, Überwachungs- und Alarmierungsdienste für sicherheitsrelevante Ereignisse. Security Officer sollten keine spezifischen Anforderungen benötigen, um sich gegen Cyberattacken und -verstösse zu verteidigen. Sie sollten sich auf das Security Architecture Repository beziehen können. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 42 Mitarbeiter, Kompetenzen und Erfahrungen für Cyber Security Cybersecurity ist eine hochspezialisierte Tätigkeit. Aus Sicht der Transformation werden die notwendigen Fähigkeiten und Kompetenzen, um mit Angriffen, Verletzungen und Vorfällen umgehen zu können, aber nicht auf Security Officer und technische Spezialisten beschränkt. Es ist genauso wichtig, dass die Endbenutzer einbezogen werden und im Unternehmen ein Kompetenzprofil aufweisen, das sie vor vermeidbaren Fehlern und neuen Angriffsformen schützt. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 43 Enabler sind getrieben durch die Zielkaskade des Unternehmens für Cyber Security Die 7 Enabler sind die Faktoren, die individuell und kollektiv beeinflussen, ob Cyber Resilience funktioniert. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 44 Agenda Cyber Kriminalität: Ist es wirklich schon fünf vor 12? Von Cyber Security zur Business Resilience Ganzheitliches Cyber Security Management mit COBIT 5 Neues Framework: RESILIATM – Cyber Resilience Best Practice © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 45 Neues Framework zu Cyber Resilience mit Business Fokus RESILIATM ist ein Best Practice Leitfaden von Axelos (Owner von ITIL®, PRINCE2®), welches spezifisch dafür entwickelt wurde, um Cyber Resilience in der gesamten Organisation aufzubauen. Dabei ersetzt RESILIATM nicht bestehende Sicherheitsmanagement-Systeme, sondern ergänzt diese und fokussiert sich primär die Business-Sicht © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 46 Lyfecycle - Ansatz RESILIATM bedient sich dem Lifecycle-Ansatz, wie dies bereits von ITIL® bekannt ist: Cyber Resilience Strategy: Cyber Resilience Design Cyber Resilience Transition Cyber Resilience Operation Cyber Resilience Continual Improvement © Copyright Axelos © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 47 Menschen – Prozesse - Technologien Auch RESILIATM basiert auf einem ganzheitlichen Ansatz Menschen und Cyber Resilience: Menschen sind in aller Regel be Bedrohungen immer irgendwie beteiligt. Ein schlecht informierter Benutzer kann die Bedrohung durch ahnungsloses Handeln verschärfen Prozesse und Cyber Resilience: Die Prozesse einer organisation beinhalten die formellen Vorgaben, wie in der Organisation gearbeitet werden soll. Technologie und Cyber Resilience: Mit der Verbreitung von Konsum- und Industriegeräten, welche jetzt mit dem Internet verbunden sind, ist der Umfang der Technologie bei der Betrachtung der Schutzmassnahmen für Cyber Resilience rasch grösser geworden. © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 48 Cyber Risiko Management Threat Vulnerability Asset © Copyright Axelos RESILIATM basiert auf einem Risiko Management Ansatz. Wichtig dabei ist das Verständnis innerhalb der Organisation, warum Risiko Management wichtig ist, Was sind schützenswerte Assets? Wissen wir um die vorhandenen Bedrohungen? Erkennen wir Schwachstellen, welche die Bedrohungen zum Ernstfall machen? Können wir diese Faktoren im Alltag unterscheiden und identifizieren? © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 49 Cyber Resilience Management System Governance & Management & Compliance © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 50 Cyber Resilience Lifecycle Controls Cyber Resilience Baseline Assessment Cyber Resilience Integration Management System Stakeholder Reporting Cyber Resilience & Risk Management Risk Method, Risk Appetite, Identification Criteria Risk monitoring and review Cyber Resilience Strategy Establish governance of cyber resilience Manage stakeholders & Requirements Stakeholder communications Create and manage cyber resilience policies Manage cyber resilience audit and compliance Aligning cyber resilience strategy with IT service strategy Cyber Resilience Design Human resource security (people, HR, awareness and training) System acquisition, development, architecture and design Supplier and third-party security management Endpoint security Cryptography Aligning cyber resilience strategy with IT service design © Glenfis AG | glenfis.ch Cyber Resilience Transition Asset management and configuration management Change management Testing Training Documentation management Information retention Information disposal Aligning cyber resilience strategy with IT service Transition Management of organizational change Cyber Resilience Operation Access control Network security management Physical security Operations security Cyber resilience incident management Aligning cyber resilience strategy with IT service Operation Service Desk Cyber Resilience Continual Improvement Cyber resilience audit and review Control assessment Key performance indicators, key risk indicators and benchmarking Business continuity improvements Process improvement Remediation and improvement planning Aligning cyber resilience strategy with IT CSI AHS – ISACA Switzerland 18.8.2015 - 51 Verknüpfung Cyber Resilience Controls mit IT Service Management Prozessen In den meisten Organisationen ist heute IT Service Management auf Basis von ITIL® bereits implementiert. Die Integration der Cyber Resilience Kontrollen in die Planungs und Betriebsprozesse wird dadurch vereinfacht © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 52 Building Blocks für ein Cyber Resilience Betriebskonzept Basis ITIL® und/oder COBIT® Prozesse © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 53 Ausbildung Security & Cyber Resilience Trainingsprogramme Index Blau = Seminare der Glenfis AG Allgemeines Publikum AXELOS Cyber Foundation Grösse der Kreise = Marktanteil ISACA Cybersecurity Fundamentals Certificate IT VENDORSCISCO, MS, ORACLE etc CompTIA Security+ ISO27001/ 27018 Cloud Security COBIT Security Assessor Technischer Fokus ISC(2) CISSP Business Fokus ISO27001 auditor CESG CCP EC Council Ethical Hacker ISC(2) SSCP EC Council Certified Security Analyst AXELOS Cyber Practitioner CESG CCT CGEIT CLAS CISM Nischen Publikum © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 54 Können. Unser Trainingsangebot. Cyber- und Information Security Management Phishing Social engineering Password safety Information handling Online safety Remote and mobile working Personal information In unseren Glenfis-Trainings lernen Sie, wie Cyber-Resilience und -Security im Unternehmen umgesetzt und in das Informations-Sicherheits-Management System integriert wird. Sie lernen die Standards im Bereich Informations-Sicherheit kennen und wie insbesondere die Bereiche mobile Geräte (BYOD), Datenschutz und Cloud-Security auf Basis von Best Practices sichergestellt werden. 27’000 Cybersecurity Fundamentals auf Basis von NIST © Glenfis AG | glenfis.ch RESILIA - Cyber Resilience Foundation 27’018 Cloud Security Foundation auf Basis ISO/IEC 27001 & 27018 Implementierung des NIST Cybersecurity Framework mit COBIT® 5 COBIT® 5 Security Assessor AHS – ISACA Switzerland 18.8.2015 - 55 Vielen Dank! Haben Sie Fragen ? © Glenfis AG | glenfis.ch AHS – ISACA Switzerland 18.8.2015 - 56 Cloud Security & Cyber Resiliance Training & Awareness Programm der Glenfis AG Cyber Resilience – RESILIA Cybersecurity Fundamentals auf Basis von NIST Cloud Security Foundation auf Basis ISO/IEC 27001 & 27018 Implementierung des NIST Cybersecurity Framework mit COBIT® 5 COBIT Security Assessor © Glenfis AG | glenfis.ch Cloud & Cyber Security Programm - 57 Cyber und Information Security Management Cybersecurity Fundamentals auf Basis von NIST Kursinhalt Zielpublikum Identifizieren der Schlüsselkomponenten IT Security Manager der Cybersecurity Netzwerk Architektur IT Operations Security Cybersecurity Architektur Prinzipien IAM Verantwortliche Risiko Management Prozesse und Voraussetzungen Praktiken — Keine formellen Voraussetzungen Security Werkzeuge und Hardening — Erfahrungen im Bereich IT Security Techniken empfohlen Verschiedene Klassen von Attacken Prüfung Cybersecurity Incident Kategorien und — Englisch – 75 Fragen in 120 Minuten Bearbeitungen (Online) — 65% richtige Antworten für Zertifikat Bewerten von Cybersecurity Szenarios — Multiple Choice Fragen Dauer — Drei Tage Zertifikat — Cybersecurity Fundamentals Zertifizierungsstelle — ISACA International © Glenfis AG | glenfis.ch Cloud & Cyber Security Programm - 58 Cyber und Information Security Management RESILIA – Cyber Resilience Foundation Kursinhalt Einleitung zu Cyber Resilience Risiko Management Management der Cyber Resilience Cyber Resilience Strategie Cyber Resilience Design Cyber Resilience Transition Cyber Resilience Operation Cyber Resilience Continual Improvement Cyber Resilience Rollen & Verantwortlichkeiten Voraussetzungen — Keine formellen Voraussetzungen — Kenntnisse ITIL empfohlen © Glenfis AG | glenfis.ch Zielpublikum Mitarbeiter innerhalb und ausserhalb IT Miatarbeiter im Bereich Risiko Mgmt & Compliance Business-Verantwortliche, insbesondere HR, Finance, Einkauf, Betrieb und Marketing Prüfung — Englisch – 50 Fragen in 100 Minuten — 65% richtige Antworten für Zertifikat — Multiple Choice Fragen Dauer — Drei Tage Zertifikat — RESILIA – Cyber Resilience Foundation Zertifizierungsstelle — AXELOS - APMG Cloud & Cyber Security Programm - 59 Cyber und Information Security Management Cloud Security Foundation auf Basis ISO/IEC 27001 & 27018 Kursinhalt Definitionen und Grundsätze des Informations-Sicherheits-Managements Die Stellung der Norm ISO/IEC 27‘001 im Rahmen des Informations-SicherheitsManagements Konzepte und Inhalte des InformationsSicherheits-Managements gemäss ISO Voraussetzungen für den Aufbau, die Implementierung und die Dokumentation des ISM-Systems Anforderungen an Training, Sicherheitsbewusstsein und Sicherheitskompetenz Die Empfehlungen seitens ISO 27‘018 für die Anwendung in Clouds. 27’000 27’017 © Glenfis AG | glenfis.ch 27’018 Zielpublikum IT Security Manager IT Operations Security IAM Verantwortliche Voraussetzungen — Keine formellen Voraussetzungen — Erfahrungen im Bereich IT Security empfohlen Prüfung — Englisch – 40 Fragen in 60 Minuten (Online) — 65% richtige Antworten für Zertifikat — Multiple Choice Fragen Dauer — Drei Tage Zertifikat — ISO27001 ISMS Foundation Zertifizierungsstelle — Tüv Süd Akademie Cloud & Cyber Security Programm - 60 Cyber und Information Security Management Implementing the NIST Cybersecurity Framework using COBIT® 5 Kursinhalt Übersicht Cybersecurity Framework CSF Steps Priorisierung und Festlegung Umfang Orientierung Aktuelles Profile erstellen Durchführung eines Risk Assessments Zielprofil erstellen Lücken feststellen, analysieren und priorisieren Implementation CSF Review CSF Life Cycle Management © Glenfis AG | glenfis.ch Zielpublikum IT Security Manager IT Operations Security IAM Verantwortliche Voraussetzungen — COBIT 5 Foundation — Erfahrungen im Bereich IT Security empfohlen Prüfung — Englisch – 75 Fragen in 60 Minuten — 35 richtige Antworten für Zertifikat — Multiple Choice Fragen Dauer — Drei Tage Zertifikat — Cybersecurity Framework Implementation Zertifizierungsstelle — ISACA International / APMG Cloud & Cyber Security Programm - 61 IT-Governance und Assessment COBIT 5 Security Assessor Kursinhalt Zielpublikum Durchführung eines Assessment IT Service Manager Programms mit Hilfe des Assessor-Guides IT Security Management Anwendung Prozess Assessment Model Governance Verantwortliche von COBIT 5 und ISO/IEC 15504 Prozess-Owner Bewertungsmodel für Voraussetzungen Prozessbefähigungsmessung — COBIT 5 Foundation Capability Dimensionen — Erfahrungen im Bereich IT Management Rollen im Assessment Programm Prüfung 7 Stufen Assessment Prozess — Englisch – 4 Fragenblöcke à 20 Punkte in 2.5 Stunden — 50% (40 Punkte) für Zertifikat — Komplexe, Szenario basierte Fragen Dauer — Drei Tage Zertifikat — COBIT 5 Assessor Zertifizierungsstelle — ISACA International / APMG © Glenfis AG | glenfis.ch Cloud & Cyber Security Programm - 62 Simulationen: Lernen mit Spass und Praxis hautnah erleben Oceans99™ – eine Cyber Resilience / Information Security Simulation • • • © Glenfis AG | glenfis.ch Schwerpunkt: • Risiko Management • Bedrohungen • Schwachstellen • Engagement mit Mitarbeitern (Einstellung, Verhalten, Kultur) Ziel • Erhöhung des Verständnisses für Cyber Security & Cyber Resilience • Verstehen der Wichtigkeit des eigenen Verhaltens • Erfahrung von Cyber Security Prozessen 1 Tagesvariante oder kombiniert mit RESILIA Cyber Resilience Foundation Cloud & Cyber Security Programm - 63 Trainings-Philosophie der Glenfis AG Trainer-Qualifikation: Alle Trainer sind Praxis-Experten: Was wir schulen, das machen wir, was wir machen, das schulen wir Hoher Praxisbezug: Erste Priorität ist Anwendbarkeit. Praxis-Übungen anhand eigener Fallstudie Colibri Berücksichtigung Kultur als kritischer Erfolgsfaktor: Integration ABC (Attitude, Behavior und Culture) in allen Foundation Trainings Erarbeiten der Themen: Keine langweiligen Slideshows Workbook-basiertes Erarbeiten am Flipchart Modulare Lernmethoden: Flexibilität in der Lernmethodik mit: eLearning, Blended Learning, Simulation und Klassentraining eLearning Vorbereitung bei Public Kursen Erlebnisfaktor: Training muss Spass machen. Rundum Betreuung von der Anmeldung bis zur Nachbetreuung Hochwertige Unterlagen: Glenfis-Ordner mit Skript, Glossar sowie USB-Stick mit Probeprüfungen und Templates © Glenfis AG | glenfis.ch Cloud & Cyber Security Programm - 64 Glenfis AG Badenerstrasse 623 8048 Zürich Schweiz +41 (0)848 88 90 89 +41 (0)848 88 92 89 glenfis.ch shop.glenfis.ch blog.itil.org
© Copyright 2024 ExpyDoc