Information Security Management System as a Service (ISMaaS)

BMS Informatik GmbHFormware GmbH

l

Agenda.01.

Sicherheitslage02.

ISMS03.

ISMaaS

Gezielte Angriffe auf bestimmte Industrie-Zweige haben in 2013 um 91 Prozent zugenommen.

Was verbirgt sich hinter einem Informations-sicherheitsmanagement-system? (ISMS)

Make ISMS oder Buy ISMS by ISMaas

Wie finde ich den richtigen IT-Service-Provider und Cloud-Anwendungen?

Formware GmbH - Technologie und Innovation …

… für dokumentorientierte GeschäftsprozesseFormware-Kurzprofil• Gründung: 1988• Mitarbeiter: ca. 65• Sitz: Nußdorf am Inn• Niederlassung: Rosenheim/Ludwigsburg

IT-Services & Produkte im Bereich Kundenkommunikation

■ Consulting & Projektmanagement ■ Dokumenten & Output Management ■ Cloud Services■ Business Process Outsourcing (BPO)

IT-Service-Center

Managed Services

Software Produkte

• Gezielte Angriffe auf bestimmte Industrie-Zweige haben in 2013 um 91 Prozent zugenommen.Dazu gehörte vor allem die Automobil-Industrie, die 2013 das attraktivste Ziel für Hacker-Angriffein Deutschland war. Weltweit waren Behörden und Regierungsorganisationen am häufigsten imVisier der Angreifer.• Mittelständische Unternehmen mit einer Größe von 251 bis 500 Mitarbeitern sowie Firmen ab2.500 Mitarbeitern standen im Fokus von gezielten Angriffen. Kleine bis mittelständischeUnternehmen sind nach wie vor ein beliebtes Ziel, da sie oft weniger ausgefeilteSicherheitssysteme zum Schutz des Netzwerks einsetzen und oftmals als Dienstleister undZulieferer für größere Unternehmen fungieren. Mit sogenannten Waterhole Attacks * nutzen Hackersie als Einfallstor zu ihrem eigentlichen Ziel.• Im Jahr 2014 gab es allein in Deutschland bisher über 32.000 DDoS-Angriffe.Nahezu alle Branchen sind von DDoS-Angriffen betroffen.• Im Rahmen einer Umfrage der Allianz für Cyber-Sicherheit haben mehr als ein Drittel derbefragten Unternehmen angegeben, in den letzten drei Jahren Ziel eines DDoS-Angriffes auf ihreWebseiten gewesen zu sein. Ein Viertel der befragten Unternehmen war vonDDoS-Angriffen auf die Netzinfrastruktur betroffen..

* Infizierte Webseiten, die die Mitarbeiter des zu attackierenden Unternehmens sehr wahrscheinlich frequentieren.

Sicherheitslage.Quellen: BSI / Symantec

Anzahl Unternehmen (D).

Beliebte Ziele Im Fokus

ISMS.

Informationen gibt es in unterschiedlichen Formen

Die IT-Sicherheit ist eine Teilmenge der Informationssicherheit und nicht umgedreht

Informationssicherheit istgrundsätzlich eine Aufgabe des Managements. Die Einführung und der Betrieb eines ISMS ist Managementaufgabe

• Digital (IT-Sicherheit, Informatonssicherheit)

• Sprache (Informations-sicherheit)

• Papier (Informations-sicherheit)

• ISO 27000 Reihe• IT-Sicherheitsgesetz• Energiewirtschaftsgesetz• Verfügbarkeit, Integrität,

Vertraulichkeit, Authentizität

• Leitlinie zur Informations-sicherheit

• Aufgaben können deligiertwerden

• ISMS stellt die operative Umsetzung und Kontrolleder Leitlinie sicher.

MSIInformation(s) Sicherheit(s) Management

Das System sollte aufden PDCA-Zyklus (Plan, Do, Check, Act) basieren

• PlanErkennen von Verbesserungen

• DoTesten und praktischeOptimierung

• CheckUmsetzung auf breiterFront

• ActRegelm. Überprüfung

SSystem

ISMS by ISMaaS.Make (ISMS)

Hosting.

Sie müssen im eigenem RZ dafür sorgen, dass die ISMS Datenumgebung sicher ist vor dem Zugriff Dritter. Evtl erfordert dies zusätzliches Know How.

05Verwaltung.

Die operative Integrations und Pflege des ISMS erfolgt meist über unverschlüsselte Wege und Speichermedien. Dadurch wird man sehr leicht zur Zielscheibe für Häcker.

04Kosten.

Zu beginn können die Implementierungs-kosten niedriger sein, jedoch sind häufiger die Folgekosten (Zeit und Kosten) durch Implemetierungsfehler höher.

03Timeline.

Die Implementierung des ISMS in die Organisation und Prozesslandschaft erfordert viel Zeit, wenn die Vorgehensweise nicht erprobt ist.

02Know How.

Es besteht nach wie vor ein Fachkräfte-mangel im Informationssicherheitsbereich. Gute Leute sind teuer und schwer zu finden 01

Know How.

Unterstützt durch eine sichere Software-lösung für das Betreiben des ISMS wäre ein Betrieb sogar durch Ihren IT-Dienstleister möglich.

01Timeline.

Eine erprobte Softwarelösung für das Betreiben des ISMS kann die Timeline wesentlich verkürzen.02

Kosten.

In der Implemetierungsphase kann es zu höhren Kosten kommen bezüglich der Anschaffung der Software, jedoch verringert sich meistens der interne Aufwand für die Pflege des ISMS (Zeit, Kosten).

03Verwaltung.

Ein Softwarelösung für die verschlüsselte, zentrale Speicherung und Pflege aller ISMS Unterlagen hilft Ihnen den Überblick zu behalten, über ihre kritischen ISMS Dokumente.

04Hosting.

Ein sichere Cloudumgebung in Deutschland, von einem zertifizierten Provider, sorgt für einen sicheren Betrieb.05

Buy (ISMaaS)or

Buy ISMS by ISMaaS ? Analysephase (auszugsweise)

Fragestellungen zur Ermittlung des Ist-Standes und Erstellung einer Entscheidungs-grundlage zur Anbieter-, Software-, Cloudtyp-Auswahl01

• Wieviel Sicherheit benötigt mein Unternehmen bzw. meine Daten? Durchführen einer Risikoanalyse/Schutzbedarfsanalyse Handelt es sich um Auftragsdatenverarbeitung (ADV) gemäß BDSG §11?

• Welche Maßnahmen / Zertifizierungen sind notwendig bzw. zu empfehlen? Je nach Ergebnis Risikoanalyse/Schutzbedarfsanalyse -> ISO 27001 / BSI

Grundschutz / Datenschutztestate, etc. Datenschutz-/Sicherheitskonzept auf Basis TOMs §9 BDSG ….

• Wie finde ich den „richtigen“ IT-Service-Provider bzw. Cloud-Applikation? Vertragliche Gestaltung (Compliance) Zertifizierungen/Gütesiegel/Normen und Standards/etc. SLA-Vereinbarungen, flankierende Regelungen bezüglich Haftung, Kündigung, .. Welchen Cloud-Typ sollte man wählen? -> Public Cloud / Private Cloud / Hybrid

Cloud? Wie stellt der IT-SP die Datenintegrität/Vertraulichkeit der sensiblen Daten sicher?

…..

• Welche Vorteile liegen bei der Nutzung der Services bei der Einführung und im Rahmen des KVP – Prozess?

Reduzierung der Aufwände und Kosten für Einführung und KVP-Prozess (intern/extern)

Immer aktuelle Anwendung bezüglich datenschutzrechtlicher / gesetzlicher Änderungen/Erweiterungen garantiert (Rückgriff auf Spezialisten - Know How)

Vollständige Transparenz bzw. auch Zusammenspiel der relevanten ISMS–Bereiche

Framework zur Anbieterauswahl

Quelle: Cloud Computing Framework zur Anbieterauswahl (Jonas Repschläger 2013)

IT-Sicherheit & Compliance & Datenschutz.

Ist einer der wesentlichsten Entscheidungskriterien. Die Daten und Anwendungen müssen sicher verarbeitet, gespeichert und zugreifbar sein. 01

Flexibilität. & Skalierbarkeit & Standardisierung

Cloud-Services, -Plattformen und -Anwendungen müssen auf Basis von Standardtechnologien und offenen Kommunikationsschnittstellen einfach, flexibel und skalierbar aufschaltbar und nutzbar sein. 02

Kosten.

Eines der wichtigsten Ziele besteht in der Reduzierung der Kosten durch Auslagerung von IT-technischen Geschäftsprozessen, IT-Infrastrukturen und Anwendungen.03

Referenzmodell zur Auswahl

Quelle: Cloud Computing Framework zur Anbieterauswahl (Jonas Repschläger 2013)

Top Level Anforderunungen .

Sicherheit, Vertrauenswürdigkeit, Zuverlässigkeit, Preis-, Abrechnungsmodell, Interoperabilität, Portabilität, Dynamik&Skalierbarkeit, Leistungsumfang, Performance, Service- und Transformations Management, ……..

02

Bewertungskriterium

Anbieter-Reputation, -Zertifizierungen, Qualität, SLA, IT-Sicherheitsarchitektur, Dienste-Elastizität, Anbindungskapazitäten, Ausfallsicherheit, BCM-Management, Support, Monitoring, Transparenz, …..03

Anbieter- & Dienstkriterium.

Funktionalität, Benutzerfreundlichkeit, Preis-Transparenz, Kostenmodelle z.B. abhängig vom Nutzungsgrad, standardisierte Schnittstellen, Portabilität von Daten und Anwend., einfaches Aufschalten, Vertragsverlängerung,-kündigung, Serviceorientierung, ….

04

Erfolgskritische Faktoren - Übersicht

Referent.

Fragen?

Formware GmbHStangenreiterstraße 283131 Nußdorf am Inn

Peter SchindeckerGeschäftsführer

Phone: +49 8034 9038-0Fax: +49 8034 9038-6338Mobil: +49 176 19038220E-Mail: peter.schindecker@formware.deWeb: www.formware.de