Cyber Resilience Wie mache ich meine Organisation fit für die Zukunft

Cyber Resilience
Wie mache ich meine
Organisation fit für die Zukunft



AHS-Event
ISACA Switzerland
18. August 2015
Martin Andenmatten, CISA-CGEIT-CRISC, ITIL Master
Ihr heutiger Referent: Martin Andenmatten
 Geschäftsführer und Gründer der Glenfis AG
 ITIL® Master, DPSM
 ISACA® CISA, CGEIT, CRISC
 Zertifizierter COBIT Assessor, TIPA (ITIL) Lead Assessor
 Practitioner und Lead Auditor für ISO 20000 Zertifizierungen
 Dozent an der Berner Fachhochschule im Bereich Service Management
& Governance
 Principle Consultant für IT Governance und Service Management Systeme
 Trainer und Coach für ITIL®, COBIT®, ISO 20000, ISO 27000, Cloud Foundation und Sourcing Governance
 Trainer und Coach für Business-Simulationen Apollo13, Challenge of Egypt & Grab@Pizza und PoleStar
(G2G3)
 Herausgeber & Autor 2008 Praxishandbuch
"ISO 20000, Service Management und
IT Governance"
 Herausgeber & Autor 2010 "Services managen
mit ITIL®„
 Herausgeber & Autor 2014 „COBIT® 5 Grundlagen„
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 2
Kennen.
Können.
Tun.
Wir beraten Sie, wie Sie Ihre ITAnforderungen in
Unternehmensmehrwert
verwandeln
Wir schulen Sie und Ihr Team,
damit Sie heute schon fit für die
IT-Governance von morgen sind.
Wir begleiten Sie, wenn Sie Ihre
IT-Strategien in die Praxis
umsetzen
 Cloud Computing und
Sourcing Governance
 Agile Methoden und DevOps
 Cyber und Information
Security Management
 Service Management
 IT-Governance und
Assessment
 Architektur Management
 Projekt Management
 Cloud & Sourcing
Transformation
 Governance, Risk &
Compliance
 Service und Sourcing
Management
 Cyber Security und
Informations-Sicherheit
 ITSM Tool-Assessment und Evaluation
 Business, Strategie und
Sourcing Consulting
 Audit, Assessments und
«Readiness-Checks»
 Sourcing-, Service und
Prozess-ImprovementRoadmaps
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 3
Agenda
 Cyber Kriminalität: Ist es wirklich schon fünf vor 12?
 Von Cyber Security zur Business Resilience
 Ganzheitliches Cyber Security Management mit
COBIT 5 und CSX
 Neues Framework: RESILIATM – Cyber Resilience
Best Practice
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 4
«Wind of Change» in IT Organisationen.
Big Data
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 5
«Wind of Change» in IT Organisationen.
Technologie-Management ist immer mehr «Commodity»
und wird vermehrt industrialisiert betrieben.
Cloud-Computing konkurrenziert mit veränderten
Sourcing-Modellen die internen IT-Organisationen.
Das Business will von neuen Trends profitieren.
Investitionsentscheide müssen vorbereitet und getroffen
werden.
Mobilität und permanente Datenverfügbarkeit
überfordern die bestehenden IT-Infrastrukturen.
«Bring Your Own Device», Social Media, «Big Data»
fordern die Sicherheit heraus.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 6
MSM Research:
Ausgaben für Outsourcing, Managed & Cloud Computing Services
© MSM Research: Studie Cloud Computing 2.0 – der Schweizermarkt bis 2016
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 7
MSM Research:
Die Märkte verschieben sich: On Premise vs. Cloud Standardsoftware
© MSM Research: Studie Cloud Computing 2.0 – der Schweizermarkt bis 2016
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 8
Cloud und mobile Lösungen bedeuten für jeden etwas anderes
Die Business-Sicht: (gemäss Vanson Bourne Research)
- Alles ist möglich (18% Erhöhung der Produktivität)
- Jederzeit (21% Reduktion Time-to Market)
- Zum Bruchteil der heutigen Kosten (15% tiefere Kosten)
- Verbesserte Zusammenarbeit – unabhängig von Ort & Zeit
Die Lieferanten-Sicht:
- Ein grenzenloser Markt
- Riesige Skaleneffekte
- Einfache Kundenbindung
Die Security-Sicht:
- Datenverlust
- Compliance-Verlust
- Kontroll-Verlust
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 9
Cloud Security Spotlight Report
(Umfrage 2015 in LInkedIn Security Group)
Welche Art von Unternehmensdaten speichern Sie
in der Cloud?
Wie bewerten Sie Ihre Sicherheitsbedenken
hinsichtlich des Einsatzes von Public Cloud Computing?
© Glenfis AG | glenfis.ch
Aktueller Status bezüglich Cloud Adaption im
Unternehmen?
Welches Cloud Deployment Modell setzen Sie ein?
AHS – ISACA Switzerland 18.8.2015 - 10
Cloud-Services sind heute Fakt – sie lassen sich nicht «verhindern»
90% der Cloud
Aktivitäten werden
durch Einzelpersonen
und kleine Teams
getätigt:
© Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 11
Real-World Daten Ausschnitt aus Cloud Discovery in einem europäischen
Transport Unterhemen: Analysiertes Zeitfenster: 20. Juni – 3. Juli 2015
© Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 12
Real-World Daten Ausschnitt aus Cloud Discovery in einem europäischen
Transport Unterhemen: Analysiertes Zeitfenster: 20. Juni – 3. Juli 2015
© Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 13
Zu welcher Kategorie gehören Sie?
Es gibt nur zwei Kategorien
von Unternehmen:
-
Solche, welche bereits Cloud
Security Incidents hatten
und solche, welche zwar
hatten, es aber nicht bemerkt
haben
© Copyright Skyhigh, Leader in Cloud Visibility, Enablement and Security
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 14
Globale Risiko Landkarte 2015 (World Economic Forum, WEF®)
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 15
Es kann immer und jederzeit etwas passieren – darauf muss man sich
einstellen
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 16
Begrifflichkeiten
Infromation
Security
Cybersecurity
Der Schutz von Informationen und Informationssystemen
vor unerlaubten Zugriff, Verwendung, Offenlegung,
Zerstörung, Veränderung oder Zerstörung, um die
Vertraulichkeit, Integrität und Verfügbarkeit zu
gewährleisten.
Die Fähigkeit, die Nutzung des Cyberspace zu verteidigen
und sich vor Cyber-Attacken zu schützen
Information Security
Alles was die Sicherheit von
Informationen und InformationsSystemen betrifft – unabhängig
vom Bereich
© Glenfis AG | glenfis.ch
Cybersecurity
Alles, was sich auf die
Sicherheit im CyberBereich bezieht
AHS – ISACA Switzerland 18.8.2015 - 17
Die Risiken sind zu hoch!
Der Mensch ist der kritische Faktor:
-
-
-
Phishing Attacken: bereits sind
rund 60% aller Emails reiner SPAM
(Kapersky Lab, Q1 2015 Report )
50% der User öffnen Emails und
klicken auf Phishing-Links (VerizonStudie 2015)
In 95% der Security Incidents sind
Menschen involviert (IBM 2014
Cyber Security Intelligence Index
report)
© Copyright BIS, PWC Information Security Breaches
Survey 2014
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 18
Wir stecken mittendrin
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 19
Advanced Persistent Threats – mehr als ein Virus
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 20
Agenda
 Cyber Kriminalität: Ist es wirklich schon fünf vor 12?
 Von Cyber Security zur Business Resilience
 Ganzheitliches Cyber Security Management mit
COBIT 5
 Neues Framework: RESILIATM – Cyber Resilience
Best Practice
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 21
Was sind die zentralen Herausforderungen?
Die Mitarbeiter sind das grösste Kapital,
Jedoch auch der grösste Risiko Faktor
im Unternehmen
Es kann alle treffen – es ist nicht ein reines IT-Thema.
Das Senior-Management bis zu alle einzelnen
Mitarbeiter müssen ihre Verantwortung kennen
und tragen
Die Techniken der Angriffe ändern ständig.
Reines Reagieren auf technischer Ebene reicht für
einen Schutz heute bei weitem nicht mehr aus.
Compliance bedeutet nicht automatisch auch
Sicherheit. Es wird auf spezifische Risiken reagiert und
punktuell mit technischen Massnahmen reagiert. Zudem ist
es eine reine Point-in-Time-Betrachtung – das führt zu
falscher Sicherheit und lenkt von den Risiken ab.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 22
Klassische Informationssicherheits-Konzepte genügen nicht mehr
Heute wird Sicherheit noch zu stark als Aufgabe einer dafür
spezialisierten Funktion innerhalb der Organisation
verstanden. Technische Massnahmen verhelfen oft nur zu
Punktlösungen. Das System ist trotzdem löchrig wie ein
Schweizer Käse.
Das notwendige KnowHow im Umfeld von Cyber Security ist
stark technisch fokussiert und wird von den meisten
Mitarbeitern, insbesondere dem Management und TopManagement nicht gut genug verstanden. Der Gap zwischen
den Experten und den Betroffenen ist so gross, dass die
heutigen Sicherheitsmassnahmen nur zur Hälfte wirken.
Investitionen in die Sicherheit und damit Abwehr von CyberAttacken sind betriebswirtschaftlich sehr schwer einzuordnen.
Einen ROI lässt sich schlecht errechnen und einen Sponsor
entsprechend immer schwieriger identifizieren.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 23
Cyber Resilience ist mehr als Cyber Security
Das Risiko als Person oder Unternehmen durch Cyber-Attacken getroffen zu werden,
steigt zunehmend. Nie war es einfacher für Cyber-Kriminelle, an ihr Ziel zu kommen.
Wir müssen erkennen:
 Die Tage der Implementierung von Sicherheitssystemen und sich dann
zurückzulehnen, sind definitiv vorbei
 Es genügt nicht mehr anzunehmen, dass man jeden möglichen Angriff verteidigen
kann. Früher oder später werden einige Attacken erfolgreich sein
 Datenschutzverletzungen sind fast unvermeidlich und es lässt sich nicht kalkulieren,
wie schlimm man betroffen wird und was die Folgekosten/-konsequenzen bedeuten
 Traditionelle Informations-Sicherheit oder Cybersecurity genügt nicht mehr
 Cyber Resilience: Die Widerstandsfähigkeit und damit das Erkennen und
entsprechend Reagieren auf Sicherheitsverletzungen wird ein Überlebensmerkmal
von Organisationen in der Zukunft sein. Wenn man davon ausgeht, dass man
getroffen wird – so sollte man sicherstellen, dass man nicht zu hart getroffen wird.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 24
Cyber Resilience ist mehr als Cyber Security
Bei den klassischen Cyber-Sicherheitsmassnahmen geht es um den Schutz von
Information/technischen Assets und um das Verhindern von Schäden und Bedrohungen
In der Regel technische Lösungen mit Schwerpunkt Prävention:
- Firewall
- Data Leakage Prevention
- Vulnerability Management
- Web-Access-Management
- API-Security, Mobile-Security ect.
Bei Cyber-Resilience geht es darum, ein System zu haben, welches die Fähigkeit besitzt, einer
ungeplanten Störung oder einem Ausfall zu widerstehen und fristgerecht zu regenerieren.
Ganzheitliche Business-Lösung mit ausgewogener Prävention,
Früherkennung und Wiederherstellung:
- Risiko-basierter Ansatz
- Einbezug der gesamten Organisation und aller Prozesse, inklusive
Kunden, Lieferanten und Mitarbeiter
- Etablierung Cyber Resilience Lifecycle: von der Cyber-ResilienceStrategie, über –Design, Transition, -Operation und –Continual
Improvement
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 25
Ausgewogenheit in Vorbeugen, Entdecken, Korrigieren
Vorbeugende Massnamen
Entdecken und Korrigieren
Kontrollen, um Cyber
Attacken zu verhindern
Kontrollen, um Cyber
Attacken zu erkennen und
falls getroffen, zu recovern.
Es muss immer überlegt werden, ob eine kosteneffektive Vorbeugungs-Massnahme
lebenswichtig ist – oder ob stattdessen eine schnelle Erkennung und Korrektur mit kurzfristigen Auswirkungen auf die Cyber Resilience akzeptiert werden kann
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 26
Das Rad muss nicht neu erfunden werden – Standards & Guidelines
gibt es zu Hauf
27’000
15’504
Process Capability
Assessment (SPICE)
COBIT 5 Governance
and Management of
Enterprise IT
PMBOK
PRINCE2
Project Management
methodology
Project Management
methodology
27’018
Code of practice for
protection personally
identifiable
27’018
information in public
clouds
Cloud Computing
Sicherheit
IT Service Management
17’789
20’000
ITIL Best Practice
framework
Reference
architecture (roles,
activities, functional
components)
27’017
Code of practice for
information security
controls
TOGAF
SCRUM
Enterprise architecture
methodology & framework
Project Management
methodology
37’500
© Glenfis AG | glenfis.ch
38’500
AHS – ISACA Switzerland 18.8.2015 - 27
Positionierung Frameworks im Bereich Cyber Security&Cyber Resilience
Business Cyber Resilience
,COBIT®, RESILIATM, ITIL® Best Practice Guidance
Steuerung und Verbesserung Business Cyber Security, Risiko und Governance
Diese Frameworks ermöglichen einen proaktiven und auf Zusammenarbeit
ausgerichteten Ansatz zur Identifizierung und Steuerung der Cyber Risiken von einer
ganzheitlichen Sicht: Menschen, Prozesse und Technologien
- Business Risk Management und Recovery
- Business Service Management System
NIST Cyber Security Framework
Das NIST Cyber Security Framework gibt Auskunft darüber, welche Standards und Best
Practices in der Organisation umgesetzt werden müssen, um Cyber Risiken effektiv zu
steuern und die Cyber Risiken zu minimieren.
Information Technology (IT) Cyber Resilience
ISO27001, ISO31000 und ISO38500 Standards
Steuerung und Verbesserung der IT Cyber Security, Risiko und Governance
Dies sind auditierbare internationale Standards für die Informations Sicherheit, Risiko
Management und Governance mit dem Ziel, Infomationen und technische Assets vor
Attacken, Beschädigung oder unauthorisiertem Zugriff zu schützen
- IT Risiko Management & Recovery
- Information Security Management System
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 28
Agenda
 Cyber Kriminalität: Ist es wirklich schon fünf vor 12?
 Von Cyber Security zur Business Resilience
 Ganzheitliches Cyber Security Management mit
COBIT 5
 Neues Framework: RESILIATM – Cyber Resilience
Best Practice
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 29
Cyber Security Fundamentals und COBIT® 5
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 30
Modul 2 – Die fünf Prinzipien von COBIT® 5
Core Cyber Security Framework NIST
Identify – Entwickeln eines Organisationsverständnisses bezüglich Steuerung der CyberRisiken für Systeme, Assets, Daten und
Funktionen
Protect - Entwicklung und Umsetzung der
entsprechenden Sicherheitsvorkehrungen, um
die Bereitstellung kritischer
Infrastrukturdienstleistungen zu gewährleisten.
Detect - Entwicklung und Umsetzung der
entsprechenden Massnahmen, um das Auftreten
eines Cyber-Ereignis zu identifizieren.
Respond - Entwickeln und implementieren von
entsprechenden Aktivitäten, Massnahmen in
Bezug erkannten Cyber-Event
Recover - Entwickeln und implementieren der
entsprechenden Aktivitäten, um Pläne für die
Widerstandsfähigkeit zu erhalten und alle
Funktionen oder Dienste, die aufgrund eines
Cyber-Ereignisses beeinträchtigt wurden,
wiederherzustellen.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 31
Modul 2 – Die fünf Prinzipien von COBIT® 5
COBIT® als Grundlage des Governance und Management Systeme
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 32
Modul 2 – Die fünf Prinzipien von COBIT® 5
Prinzip 4 – Ermöglichung eines ganzheitlichen Ansatzes
2. Prozesse
3. Organisationsstrukturen
4. Kultur, Ethik
und Verhalten
1. Prinzipien, Richtlinien und Rahmenwerke
5. Informationen
6. Services, Infrastruktur und
Anwendungen
7. Mitarbeiter,
Fähigkeiten und
Kompetenzen
Ressourcen
© Copyright ISACA, COBIT 2012
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 33
Prinzipien, Richtlinien und Frameworks
für Cyber Security
 Prinzip 1: Die potenziellen Auswirkungen von Cyberkriminalität
und Cyberkriegsführung kennen
 Prinzip 2: Die Endbenutzer, deren kulturellen Werte und deren
Verhaltensmuster verstehen
 Prinzip 3: Den Business Case für Cybersecurity-Risikobereitschaft
des Unternehmens klar zum Ausdruck bringen
 Prinzip 4: Schaffung einer Cybersecurity-Governance
 Prinzip 5: Managen der Cybersecurity unter Verwendung der
Prinzipien und Enabler
 Prinzip 6: Kennen des Gewährleistungsumfangs und der
Cybersecurity-Ziele
 Prinzip 7: Hinreichende Sicherheit für Cybersecurity
gewährleisten
 Prinzip 8: Entwickeln und Etablieren eines systemischen
Cybersecurity-Ansatzes in einem dynamischen GovernanceSystem
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 34
Prozesse - das wichtigste Mittel zur Ausführung von Richtlinien
für Cyber Security
 Beim Cyber Resilience Management müssen sowohl
Management als auch Monitoring Prozesse eingerichtet sein,
um einen angemessenen Grad an Sicherheit zu gewährleisten
 Die Prinzipien, Richtlinien und Frameworks bilden dabei die
Grundlage
 Basis-Prozesse für Cyber Security sind:
 APO13 – Manage Security
 DSS05 – Manage Security Services
 DSS04 – Manage Continuity
Aber Sicherheit ist nicht isoliert zu betrachten: überall dort,
wo allgemeine Informationssicherheitsaktivitäten in einem
Prozess notwendig sind, sind auch Cybersecurity Aktivitäten
zu berücksichtigen
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 35
Cyber Security Management-Prozesse
für Cyber Security
COBIT-5-Prozess
Prozesse des Cybersecurity Managements
COBIT-5-Prozess
Prozesse des Cybersecurity Managements
APO01 Managen des ITManagementRahmenwerks
APO02 Managen der
Strategie
Integration der Cybersecurity in das IT-ManagementRahmenwerk
BAI03 Managen von
Lösungsidentifizierung
und Lösungsbau
Teilprozess für die Identifikation von spezifischen
Cybersecurity-bezogenen Lösungen
BAI05 Managen der
Ermöglichung
organisatorischer
Veränderungen
Link zur Cybersecurity-Transformation und
Einbetten der Transformationsschritte in den
allgemeinen Veränderungsprozess
BAI06 Managen von
Änderungen
Teilprozess für Changes und Notfall-Changes im
Bereich Cybersecurity
BAI07 Managen der
Abnahme und
Überführung von
Änderungen
BAI08 Managen von
Wissen
DSS01 Managen des
Betriebs
Link zur Cybersecurity-Transformation und
Einbetten der Transformationsschritte in den
allgemeinen Change
Ausrichten der Cybersecurity-Strategie auf die
allgemeine Informationssicherheits-Strategie
APO03 Managen der
Definieren und Einbetten von CybersecurityUnternehmensarchitektur Architekturkomponenten als Teil der allgemeinen
Informationssicherheitsarchitektur
APO05 Managen des
Portfolios
Teilprozess zur Identifikation und Mittelbeschaffung für
Cybersecurity Management
APO06 Managen von
Budget und Kosten
Cybersecurity-Budget als Teil des Gesamtbudgets
inklusive Finanzierung von Situationen bei tatsächlichen
Attacken und Verletzungen
APO07 Managen des
Personals
Teilprozess für die Cybersecurity-Schulung der ITMitarbeiter sowie der Anwender
APO09 Managen von
Servicevereinbarungen
Prozess für Cybersecurity SLAs (Service Level
Agreements) und OLAs (Operation Level Agreements)
abgestimmt mit dem allgemeinen Governance-Modell
APO10 Managen von
Lieferanten
Hinzufügen von Prozesselementen für Dritte und das
Lieferanten-Management in Bezug auf Cybersecurity
APO12 Managen der
Risiken
Teilprozess Cybersecurity-Risiko-Identifikation,
Evaluation und Bearbeitung
APO13 Managen der
Sicherheit
Einbetten der Cybersecurity als Teil des ISMS
BAI02 Managen der
Definitionen und
Anforderungen
Teilprozess für die Definition der CybersecurityAnforderungen
© Glenfis AG | glenfis.ch
DSS02 Managen von
Serviceanfragen und
Störungen
DSS03 Managen von
Problemen
Teilprozess des Knowledge Managements für
Cybersecurity
Teilprozess für Cybersecurity mit Verlinkung zum
allgemeinen IT-Betrieb inklusive outgesourcter
Dienste und Überwachung der kritischen
Infrastrukturen
Cybersecurity-Teilprozess zur Identifizierung,
Klassifizierung, Eskalierung und Behebung
entsprechender Störungen
Cybersecurity-Teilprozess zur Identifizierung von
Ursachen, Massnahmen zur Verhinderung von
wiederkehrendem Auftreten und Bereitstellen von
Empfehlungen zur Verbesserung
AHS – ISACA Switzerland 18.8.2015 - 36
Cyber Security Überwachungs- und Continuity-Prozesse
für Cyber Security
COBIT-5-Prozess
Überwachungsprozesse der Cybersecurity
APO01 Managen des ITManagement-Rahmenwerks
Prozesskomponenten für die Überwachung der CybersecurityCompliance
APO02 Managen der Strategie Prozesskomponenten für die Gap-Analyse im Bereich Cybersecurity
COBIT-5-Prozess
APO04 Managen von
Innovationen
Prozesskomponenten für die Überwachung und das Scannen der
technologischen Umgebung; zusätzliche Komponenten für die
Überwachung der Verwendung von neuen Technologien und
Innovationen
APO07 Managen des
Personals
Prozesskomponenten zur Überwachung der Einhaltung der
Mitarbeiterverträge
DSS02 Managen
von
Serviceanfragen
und Störungen
DSS04 Managen
der Kontinuität
APO09 Managen der
Servicevereinbarungen
Prozesskomponenten für das Review der Vereinbarungen
hinsichtlich der Cybersecurity-Anforderungen
APO10 Managen der
Lieferanten
Prozesskomponenten für die Überwachung der Einhaltung der
Cybersecurity-Bestimmungen mit Lieferanten
APO12 Managen der Risiken
Prozesskomponenten für die Aufrechterhaltung des CybersecurityRisikoprofils auf Basis von Monitoring-Indikatoren
Prozesse des Cybersecurity
Continuity
Prozesskomponenten für die
Integration von Incident-Reaktionen
mit dem allgemeinen Incident/Krisenmanagement
Prozesskomponenten für die
Integration von Incident-Reaktionen,
Recovery und Wiederaufnahme des
Betriebs mit dem allgemeinen
Business Continuity Management
(BCM)
MEA01 Überwachen,
Teilprozess für die Überwachung der Cybersecurity (innerhalb der
Evaluieren und Beurteilen von gesetzlichen und regulatorischen Grenzen)
Leistung und Konformität
MEA02 Überwachen,
Teilprozess für das kontrollierte Self-Assessment (CSA) im Bereich
Evaluieren und Beurteilen des Cybersecurity, inklusive des Berichtswesens zu Attacken und
internen Kontrollsystems
Verletzungen oder anderen verdächtigen Aktivitäten
MEA03 Überwachen,
Evaluieren und Beurteilen der
Compliance mit externen
Anforderungen
© Glenfis AG | glenfis.ch
Teilprozess für die Identifikation und Interpretation externer
Compliance-Anforderungen im Bereich Cybersecurity
AHS – ISACA Switzerland 18.8.2015 - 37
Information Security Steeering Committee
(ISSC)
Organisationsstrukturen
für Cyber Security
CEO
CISO
Betrieb
© Glenfis AG | glenfis.ch
Access
Management
Incident
Management
Fragen:
Compliance &
Risiko Mgmt
Engineering
Business
Continuity
…..
- Informationssicherheit Teil der
IT oder der Unternehmenssicherheit?
- Cybersecurity Teil der
Informationssicherheit oder
separat bei der
Unternehmenssicherheit
- Separate Rolle des Cyber
Security Officers notwendig –
oder Teil der
CISO-Rolle?
Change
Management
AHS – ISACA Switzerland 18.8.2015 - 38
Kultur, Ethik und Verhalten
für Cyber Security
Ethik und Verhaltensbeispiele
© Glenfis AG | glenfis.ch

Alle Benutzer kennen die Cybersecurity
Verhaltensprinzipien und wie diese im
persönlichen und geschäftlichen Umfeld
angewendet werden

Security Manager und Anwender teilen sich die
Verantwortlichkeiten für Cybersecurity im
Geschäftsalltag, auf Dienstreisen oder Zuhause

Das Security Management und die Endanwender
identifizieren, testen und übernehmen
gemeinsam neue Innovationen im Bereich
Cybersecurity

Alle Benutzer sind Stakeholder im Bereich
Cybersecurity, unabhängig ihrer hierarchischen
Stufe innerhalb des Unternehmens

Die notwendige Reaktion auf Bedrohungen und
Störungen ist klar verständlich und wird
regelmässig geübt
AHS – ISACA Switzerland 18.8.2015 - 39
Informationen
Die Währung des 21. Jahrhunderts – und das Ziel der Cyber-Kriminellen
Anforderungen an das Informationsmanagement Modell auf Basis von zwei Dimensionen
 Die erste Dimension bezieht sich auf alle
Unternehmensdaten und Informationen, die
durch Cybersecurity-Massnahmen geschützt
werden müssen. In der Regel wird dies im
übergeordneten ISMS mittels einer
Datenklassifizierung hinsichtlich
„Vertraulichkeit, Integrität und Verfügbarkeit“
festgelegt. Diese Klassifikation sollte mit
Attributen wie „Attraktivität für
Cybersecurity“ oder „Attraktivität für
Cyberkriegsführung“ erweitert werden.
 Die andere Dimension umfasst die
Informationen über die Cybersecurity selbst.
Dazu gehören Informationen zur
Sicherheitsstrategie, zum Budget oder zu
spezifischen Anforderungen.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 40
Informationen
Schützen der Informationen in der Cloud
Heutzutage sind viele Informationen entweder beabsichtigt
oder versehentlich in Public- oder Hybrid- Cloud-Lösungen
gespeichert.
Typische Lücken, welche Massnahmen aus Sicht
Cybersecurity notwendig machen:

Mobile Geräte, die z. B. eine Replikation durch den
Verkäufer/Hersteller erzwingen ,

Fragestellungen rund um die private Nutzung, z. B. die
ungezwungene, aber riskante Verwendung von
beliebten öffentlichen Cloud-Services, File-Sharing oder
Web-Speicher-Dienste,

Weiterleitung von E-Mails mit permanenter oder
vorübergehender Speicherung von Anhängen sowie
unverschlüsselter Übermittlung,

mangelhafte Datei-Upload-Einrichtungen in gängigen
Browsern und Nutzung webbasierter E-Mail-Kontos,

Fragestellungen rund um Geschäftsreisen wie etwa die
Nutzung von Filetransfer-Services aus der Cloud.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 41
Services, Applikationen und Infrastrukturen
für Cyber Security
Der Enabler “Services, Infrastruktur und Anwendungen” basiert auf
Service-Fähigkeitsattributen und Zielen, wie sie in der Publikation
„COBIT 5 for Information Security“ beschrieben sind:










Sicherheitsarchitektur,
Sicherheitsbewusstsein,
sichere Entwicklung,
Sicherheits-Assessment,
ausreichend gesicherte und konfigurierte Systeme,
mit dem Business abgestimmte Benutzerzugriffe und
Zugriffsrechte,
ausreichender Schutz gegen Malware, externe
Angriffe und Einbruchsversuche,
ausreichend definierte Handlungsoptionen bei Störfällen,
Sicherheitstests,
Überwachungs- und Alarmierungsdienste für
sicherheitsrelevante Ereignisse.
Security Officer sollten keine spezifischen Anforderungen benötigen, um sich gegen
Cyberattacken und -verstösse zu verteidigen. Sie sollten sich auf das
Security Architecture Repository beziehen können.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 42
Mitarbeiter, Kompetenzen und Erfahrungen
für Cyber Security
Cybersecurity ist eine
hochspezialisierte Tätigkeit. Aus Sicht
der Transformation werden die
notwendigen Fähigkeiten und
Kompetenzen, um mit Angriffen,
Verletzungen und Vorfällen umgehen
zu können, aber nicht auf Security
Officer und technische Spezialisten
beschränkt. Es ist genauso wichtig,
dass die Endbenutzer einbezogen
werden und im Unternehmen ein
Kompetenzprofil aufweisen, das sie
vor vermeidbaren Fehlern und neuen
Angriffsformen schützt.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 43
Enabler sind getrieben durch die Zielkaskade des Unternehmens
für Cyber Security
Die 7 Enabler sind die Faktoren, die
individuell und kollektiv
beeinflussen, ob Cyber Resilience
funktioniert.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 44
Agenda
 Cyber Kriminalität: Ist es wirklich schon fünf vor 12?
 Von Cyber Security zur Business Resilience
 Ganzheitliches Cyber Security Management mit
COBIT 5
 Neues Framework: RESILIATM – Cyber Resilience
Best Practice
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 45
Neues Framework zu Cyber Resilience mit Business Fokus
RESILIATM ist ein Best Practice Leitfaden
von Axelos (Owner von ITIL®, PRINCE2®),
welches spezifisch dafür entwickelt wurde,
um Cyber Resilience in der gesamten
Organisation aufzubauen.
Dabei ersetzt RESILIATM nicht bestehende
Sicherheitsmanagement-Systeme, sondern
ergänzt diese und fokussiert sich primär
die Business-Sicht
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 46
Lyfecycle - Ansatz
RESILIATM bedient sich dem Lifecycle-Ansatz,
wie dies bereits von ITIL® bekannt ist:
 Cyber Resilience Strategy:
 Cyber Resilience Design
 Cyber Resilience Transition
 Cyber Resilience Operation
 Cyber Resilience Continual Improvement
© Copyright Axelos
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 47
Menschen – Prozesse - Technologien
Auch RESILIATM basiert auf einem ganzheitlichen Ansatz



Menschen und Cyber Resilience: Menschen sind in aller Regel be Bedrohungen immer
irgendwie beteiligt. Ein schlecht informierter Benutzer kann die Bedrohung durch
ahnungsloses Handeln verschärfen
Prozesse und Cyber Resilience: Die Prozesse einer organisation beinhalten die formellen
Vorgaben, wie in der Organisation gearbeitet werden soll.
Technologie und Cyber Resilience: Mit der Verbreitung von Konsum- und Industriegeräten,
welche jetzt mit dem Internet verbunden sind, ist der Umfang der Technologie bei der
Betrachtung der Schutzmassnahmen für Cyber Resilience rasch grösser geworden.
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 48
Cyber Risiko Management
Threat
Vulnerability
Asset
© Copyright Axelos
RESILIATM basiert auf einem Risiko Management Ansatz. Wichtig dabei ist das
Verständnis innerhalb der Organisation, warum Risiko Management wichtig ist,
 Was sind schützenswerte Assets?
 Wissen wir um die vorhandenen Bedrohungen?
 Erkennen wir Schwachstellen, welche die Bedrohungen zum Ernstfall machen?
 Können wir diese Faktoren im Alltag unterscheiden und identifizieren?
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 49
Cyber Resilience Management System
Governance & Management &
Compliance
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 50
Cyber Resilience Lifecycle Controls
Cyber Resilience Baseline Assessment
Cyber Resilience Integration Management System
Stakeholder
Reporting
Cyber Resilience & Risk Management
Risk Method, Risk Appetite, Identification Criteria
Risk monitoring and review
Cyber Resilience Strategy
Establish governance of cyber resilience
Manage stakeholders & Requirements
Stakeholder communications
Create and manage cyber resilience policies
Manage cyber resilience audit and compliance
Aligning cyber resilience strategy with IT service strategy
Cyber Resilience Design
Human resource security (people, HR, awareness and
training)
System acquisition, development, architecture and design
Supplier and third-party security management
Endpoint security
Cryptography
Aligning cyber resilience strategy with IT service design
© Glenfis AG | glenfis.ch
Cyber Resilience Transition
Asset management and configuration management
Change management
Testing
Training
Documentation management
Information retention
Information disposal
Aligning cyber resilience strategy with IT service Transition
Management of organizational change
Cyber Resilience Operation
Access control
Network security management
Physical security
Operations security
Cyber resilience incident management
Aligning cyber resilience strategy with IT service Operation
Service Desk
Cyber Resilience Continual Improvement
Cyber resilience audit and review
Control assessment
Key performance indicators, key risk indicators and
benchmarking
Business continuity improvements
Process improvement
Remediation and improvement planning
Aligning cyber resilience strategy with IT CSI
AHS – ISACA Switzerland 18.8.2015 - 51
Verknüpfung Cyber Resilience Controls mit IT Service Management
Prozessen
In den meisten Organisationen ist heute IT Service Management
auf Basis von ITIL® bereits implementiert. Die Integration der
Cyber Resilience Kontrollen in die Planungs und Betriebsprozesse
wird dadurch vereinfacht
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 52
Building Blocks für ein Cyber Resilience Betriebskonzept
Basis ITIL® und/oder COBIT® Prozesse
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 53
Ausbildung Security & Cyber Resilience Trainingsprogramme
Index
Blau = Seminare der
Glenfis AG
Allgemeines Publikum
AXELOS Cyber
Foundation
Grösse der Kreise =
Marktanteil
ISACA Cybersecurity
Fundamentals
Certificate
IT VENDORSCISCO, MS,
ORACLE etc
CompTIA
Security+
ISO27001/
27018
Cloud
Security
COBIT Security
Assessor
Technischer Fokus
ISC(2)
CISSP
Business Fokus
ISO27001
auditor
CESG
CCP
EC Council
Ethical Hacker
ISC(2)
SSCP
EC Council
Certified Security
Analyst
AXELOS Cyber
Practitioner
CESG
CCT
CGEIT
CLAS
CISM
Nischen Publikum
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 54
Können. Unser Trainingsangebot.
Cyber- und Information Security Management
Phishing
Social
engineering
Password
safety
Information
handling
Online safety
Remote and
mobile working
Personal
information
In unseren Glenfis-Trainings lernen Sie, wie Cyber-Resilience und -Security im Unternehmen
umgesetzt und in das Informations-Sicherheits-Management System integriert wird. Sie lernen die
Standards im Bereich Informations-Sicherheit kennen und wie insbesondere die Bereiche mobile
Geräte (BYOD), Datenschutz und Cloud-Security auf Basis von Best Practices sichergestellt werden.
27’000
Cybersecurity
Fundamentals
auf Basis von NIST
© Glenfis AG | glenfis.ch
RESILIA - Cyber
Resilience
Foundation
27’018
Cloud Security
Foundation auf
Basis ISO/IEC
27001 & 27018
Implementierung
des NIST
Cybersecurity
Framework mit
COBIT® 5
COBIT® 5
Security
Assessor
AHS – ISACA Switzerland 18.8.2015 - 55
Vielen Dank!
Haben Sie Fragen
?
© Glenfis AG | glenfis.ch
AHS – ISACA Switzerland 18.8.2015 - 56
Cloud Security & Cyber Resiliance Training & Awareness
Programm der Glenfis AG





Cyber Resilience – RESILIA
Cybersecurity Fundamentals auf Basis von NIST
Cloud Security Foundation auf Basis ISO/IEC 27001 & 27018
Implementierung des NIST Cybersecurity Framework mit COBIT® 5
COBIT Security Assessor
© Glenfis AG | glenfis.ch
Cloud & Cyber Security Programm - 57
Cyber und Information Security Management
Cybersecurity Fundamentals auf Basis von NIST
 Kursinhalt
 Zielpublikum
 Identifizieren der Schlüsselkomponenten
 IT Security Manager
der Cybersecurity Netzwerk Architektur
 IT Operations Security
 Cybersecurity Architektur Prinzipien
 IAM Verantwortliche
 Risiko Management Prozesse und
 Voraussetzungen
Praktiken
— Keine formellen Voraussetzungen
 Security Werkzeuge und Hardening
— Erfahrungen im Bereich IT Security
Techniken
empfohlen
 Verschiedene Klassen von Attacken
 Prüfung
 Cybersecurity Incident Kategorien und
— Englisch – 75 Fragen in 120 Minuten
Bearbeitungen
(Online)
— 65% richtige Antworten für Zertifikat
 Bewerten von Cybersecurity Szenarios
— Multiple Choice Fragen
 Dauer
— Drei Tage
 Zertifikat
— Cybersecurity Fundamentals
 Zertifizierungsstelle
— ISACA International
© Glenfis AG | glenfis.ch
Cloud & Cyber Security Programm - 58
Cyber und Information Security Management
RESILIA – Cyber Resilience Foundation
 Kursinhalt
 Einleitung zu Cyber Resilience
 Risiko Management
 Management der Cyber Resilience
 Cyber Resilience Strategie
 Cyber Resilience Design
 Cyber Resilience Transition
 Cyber Resilience Operation
 Cyber Resilience Continual Improvement
 Cyber Resilience Rollen &
Verantwortlichkeiten
 Voraussetzungen
— Keine formellen Voraussetzungen
— Kenntnisse ITIL empfohlen
© Glenfis AG | glenfis.ch
 Zielpublikum
 Mitarbeiter innerhalb und ausserhalb IT
 Miatarbeiter im Bereich Risiko Mgmt &
Compliance
 Business-Verantwortliche, insbesondere
HR, Finance, Einkauf, Betrieb und
Marketing
 Prüfung
— Englisch – 50 Fragen in 100 Minuten
— 65% richtige Antworten für Zertifikat
— Multiple Choice Fragen
 Dauer
— Drei Tage
 Zertifikat
— RESILIA – Cyber Resilience Foundation
 Zertifizierungsstelle
— AXELOS - APMG
Cloud & Cyber Security Programm - 59
Cyber und Information Security Management
Cloud Security Foundation auf Basis ISO/IEC 27001 & 27018
 Kursinhalt
 Definitionen und Grundsätze des
Informations-Sicherheits-Managements
 Die Stellung der Norm ISO/IEC 27‘001 im
Rahmen des Informations-SicherheitsManagements
 Konzepte und Inhalte des InformationsSicherheits-Managements gemäss ISO
 Voraussetzungen für den Aufbau, die
Implementierung und die Dokumentation
des ISM-Systems
 Anforderungen an Training,
Sicherheitsbewusstsein und
Sicherheitskompetenz
 Die Empfehlungen seitens ISO 27‘018 für
die Anwendung in Clouds.
27’000
27’017
© Glenfis AG | glenfis.ch
27’018
 Zielpublikum
 IT Security Manager
 IT Operations Security
 IAM Verantwortliche
 Voraussetzungen
— Keine formellen Voraussetzungen
— Erfahrungen im Bereich IT Security
empfohlen
 Prüfung
— Englisch – 40 Fragen in 60 Minuten
(Online)
— 65% richtige Antworten für Zertifikat
— Multiple Choice Fragen
 Dauer
— Drei Tage
 Zertifikat
— ISO27001 ISMS Foundation
 Zertifizierungsstelle
— Tüv Süd Akademie
Cloud & Cyber Security Programm - 60
Cyber und Information Security Management
Implementing the NIST Cybersecurity Framework using COBIT® 5
 Kursinhalt
 Übersicht Cybersecurity Framework
 CSF Steps
 Priorisierung und Festlegung
Umfang
 Orientierung
 Aktuelles Profile erstellen
 Durchführung eines Risk
Assessments
 Zielprofil erstellen
 Lücken feststellen, analysieren und
priorisieren
 Implementation
 CSF Review
 CSF Life Cycle Management
© Glenfis AG | glenfis.ch
 Zielpublikum
 IT Security Manager
 IT Operations Security
 IAM Verantwortliche
 Voraussetzungen
— COBIT 5 Foundation
— Erfahrungen im Bereich IT Security
empfohlen
 Prüfung
— Englisch – 75 Fragen in 60 Minuten
— 35 richtige Antworten für Zertifikat
— Multiple Choice Fragen
 Dauer
— Drei Tage
 Zertifikat
— Cybersecurity Framework
Implementation
 Zertifizierungsstelle
— ISACA International / APMG
Cloud & Cyber Security Programm - 61
IT-Governance und Assessment
COBIT 5 Security Assessor
 Kursinhalt
 Zielpublikum
 Durchführung eines Assessment
 IT Service Manager
Programms mit Hilfe des Assessor-Guides
 IT Security Management
 Anwendung Prozess Assessment Model
 Governance Verantwortliche
von COBIT 5 und ISO/IEC 15504
 Prozess-Owner
 Bewertungsmodel für
 Voraussetzungen
Prozessbefähigungsmessung
— COBIT 5 Foundation
 Capability Dimensionen
— Erfahrungen im Bereich IT Management
 Rollen im Assessment Programm
 Prüfung
 7 Stufen Assessment Prozess
— Englisch – 4 Fragenblöcke à 20 Punkte in
2.5 Stunden
— 50% (40 Punkte) für Zertifikat
— Komplexe, Szenario basierte Fragen
 Dauer
— Drei Tage
 Zertifikat
— COBIT 5 Assessor
 Zertifizierungsstelle
— ISACA International / APMG
© Glenfis AG | glenfis.ch
Cloud & Cyber Security Programm - 62
Simulationen:
Lernen mit Spass und Praxis hautnah erleben
Oceans99™ – eine Cyber Resilience / Information Security Simulation
•
•
•
© Glenfis AG | glenfis.ch
Schwerpunkt:
•
Risiko Management
•
Bedrohungen
•
Schwachstellen
•
Engagement mit
Mitarbeitern
(Einstellung,
Verhalten, Kultur)
Ziel
•
Erhöhung des
Verständnisses für
Cyber Security &
Cyber Resilience
•
Verstehen der
Wichtigkeit des
eigenen Verhaltens
•
Erfahrung von Cyber
Security Prozessen
1 Tagesvariante oder
kombiniert mit RESILIA Cyber
Resilience Foundation
Cloud & Cyber Security Programm - 63
Trainings-Philosophie der Glenfis AG
 Trainer-Qualifikation:
 Alle Trainer sind Praxis-Experten: Was wir schulen, das machen wir, was wir machen, das
schulen wir
 Hoher Praxisbezug:
 Erste Priorität ist Anwendbarkeit. Praxis-Übungen anhand eigener Fallstudie Colibri
 Berücksichtigung Kultur als kritischer Erfolgsfaktor:
 Integration ABC (Attitude, Behavior und
Culture) in allen Foundation Trainings
 Erarbeiten der Themen:
 Keine langweiligen Slideshows
 Workbook-basiertes Erarbeiten am Flipchart
 Modulare Lernmethoden:
 Flexibilität in der Lernmethodik mit: eLearning,
Blended Learning, Simulation und
Klassentraining
 eLearning Vorbereitung bei Public Kursen
 Erlebnisfaktor:
 Training muss Spass machen. Rundum
Betreuung von der Anmeldung bis zur
Nachbetreuung
 Hochwertige Unterlagen:
 Glenfis-Ordner mit Skript, Glossar sowie USB-Stick mit Probeprüfungen und Templates
© Glenfis AG | glenfis.ch
Cloud & Cyber Security Programm - 64
Glenfis AG
Badenerstrasse 623
8048 Zürich
Schweiz
+41 (0)848 88 90 89
+41 (0)848 88 92 89
glenfis.ch
shop.glenfis.ch
blog.itil.org