Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vom Bauchgefühl zum Wissen: Sichtbarkeit für Security-Anforderungen schaffen

Vom Bauchgefühl zum Wissen: Sichtbarkeit für Security-Anforderungen schaffen

Verantwortliche Umsetzer im IT-Betrieb genauso wie in der Softwareentwicklung beklagen oft fehlendes Wissen über detaillierte Geschäftsanforderungen, um diese bestmöglich unterstützen zu können. Dies trifft vor allem zu, wenn es sich aus Sicht der Umsetzer um dringend erforderliche Sicherheitsmaßnahmen handelt, für die weder Verständnis besteht noch Ressourcen (Zeit & Geld) zur Verfügung gestellt werden.

Es ist unmöglich und unvernünftig, bei jedem System und jeder Applikation das höchstmögliche Sicherheitsniveau zu fordern und das für selbstverständlich zu halten. Das wäre Zeitverschwendung, und niemand könnte sich das leisten. Daher sollten wir uns die Frage stellen: Wie kritisch sind denn eigentlich die verarbeiteten Daten? Was würde tatsächlich passieren, wenn ein bestimmtes System einen Tag lang ausfällt? Wie setzen wir in Anbetracht dessen unsere begrenzten Ressourcen am effizientesten ein?

Eine Möglichkeit, hier systematisch Sichtbarkeit zu schaffen und vom Bauchgefühl hin zu dokumentiertem Wissen zu kommen, ist eine „Business Impact Analyse“. Schauen wir uns anhand einfacher Beispiele an, wie so eine Analyse ablaufen kann und welche Ergebnisse dadurch möglich sind!

Speaker: Stefan Jakoubi, SBA Research
Sprache: Deutsch

30c94b96aa264994559fc0556b207bd8?s=128

Thomas Konrad

April 24, 2019
Tweet

Transcript

  1. 1

  2. 2 Welche Versicherungen haben Sie? SBA Research, © 2019

  3. 3 Warum? SBA Research, © 2019 Haftpflicht Ableben Sonderklasse Bergung

    Kredit Zukunft Risiko Pflicht
  4. 4 Warum? SBA Research, © 2019 Gesetz Risiko Strategisch Haftpflicht

    Bergung Ableben Sonderklasse
  5. 5 Warum? SBA Research, © 2019 Gesetz Risiko Strategisch Haftpflicht

    Bergung Ableben Sonderklasse Es kommt darauf an!
  6. 6 Worauf kommt es an? Beispiel Ablebensversicherung Habe ich keinen

    Kredit und werde ewig Single bleiben, dann sehe ich keine Situation, in der ich eine Ablebensversicherung bräuchte. SBA Research, © 2019
  7. 7 Worauf kommt es an? Beispiel Sonderklasse Habe ich einen

    sehr guten (wachsenden) finanziellen Polster und auch gute Kontakte in die Gesundheitsbranche, dann werde ich nicht monatlich in einen nennenswerten Betrag strategisch investieren. SBA Research, © 2019
  8. 8 Worauf kommt es an? Kniffligeres Beispiel In einem Webapp-Pentest

    wurde eine „mittlere“ Schwachstelle aufgedeckt. o Behebungskosten: € 20.000 Sofort beheben? SBA Research, © 2019
  9. 9 Worauf kommt es an? Kniffligeres Beispiel IT (Security) möchte

    Schwachstellenmanagement verbessern und eine automatisierte Lösung etablieren. o Investitionsanfrage Schwachstellenmanagement Lösung für ca. 5.000 Hosts o Kosten bisher: € 4.000 / Jahr o Kosten neu: € 70.000 / Jahr Investitionsanfrage freigeben (17,5-fach)? SBA Research, © 2019
  10. 10 Wo war der Unterschied? SBA Research, © 2019 Ableben

    Sonderklasse Mittlere Schwachstelle € 4.000 vs. € 70.000 (17,5-fach) Fehlende Entscheidungsgrundlage
  11. 11 Hallo, mein Name ist Stefan… SBA Research, © 2019

  12. 13 … und mein Problem ist: COOL vs UNCOOL new

    shit initiativ agil kreativ effizient motivierend old shit starr lähmend langweilig langsam überfordernd SBA Research, © 2019
  13. 14 Evangelist in 1.000.000+ Themengebieten… SBA Research, © 2019

  14. 16 Reaktion… old shit starr hinderlich lähmend langweilig old shit

    starr lähmend langweilig langsam HOT or NOT new shit initiativ agil kreativ effizient motivierend überfordernd SBA Research, © 2019
  15. 17 „Totschlagargumente“ SBA Research, © 2019 • Wie stehen wir

    im Branchenvergleich? • Uns ist noch nie etwas passiert! • Meine Mailbox ist nicht vertraulich. • Das haben wir nicht budgetiert. • So kann ich nicht arbeiten!
  16. 19 Irgendwann denk ich mir dann… SBA Research, © 2019

  17. 21 Live of a CISO? SBA Research, © 2019 vs.

    C S O
  18. 22 SBA Research, © 2019 Aber wir können das doch

    besser!!!
  19. 23 Business Impact Analyse

  20. 24 Business Impact Analyse • Beispiel 1: „Quick“ • Beispiel

    2: „Medium-Large“ • Beispiel 3: „Applikationslandkarte“ SBA Research, © 2019
  21. 25 Business Impact Analyse • Beispiel 1: „Quick“ • Beispiel

    2: „Medium-Large“ • Beispiel 3: „Applikationslandkarte“ SBA Research, © 2019
  22. 26 Business Impact Analyse „Quick“ SBA Research, © 2019 …

    Hoch Kritisch Finanziell Ab € 450.000 Ab € 1.350.000 Ab x% des Gewinns Ruf Essentielle Kunden drohen mit Abwanderung; Kompensation erforderlich Abwanderung essentieller Kunden; Keine Neukunden Compliance Verletzung der Sorgfaltspflicht; Schwere Missachtung von Gesetzen Vorsätzliches, mutwilliges oder kriminelles Verhalten …
  23. 27 Business Impact Analyse „Quick“ GESCHÄFTSSICHT • Ursachenforschung starten o

    Wie kann es zu hohem finanziellen Schaden kommen? o Wie kann es zu kritischem Rufschaden kommen? • Was soll und was darf nicht eintreten? o Leitfaden für die Auswahl von org. & tech. Maßnahmen o Akzeptable „Unbequemlichkeiten“ und Kosten INFOSEC SICHT (nachgelagert) • Ursachenforschung auf Grundlage der Geschäftssicht starten o Wie kann dies durch Informationsverlust geschehen? o Wie kann dies durch nicht Verfügbarkeit geschehen? o … SBA Research, © 2019
  24. 29 Business Impact Analyse • Beispiel 1: „Quick“ • Beispiel

    2: „Medium-Large“ • Beispiel 3: „Applikationslandkarte“ SBA Research, © 2019
  25. 30 Business Impact Analyse „Medium“ • Bedarf zur strukturierten Erhebung

    im Unternehmen erkannt o Es steht ein Budget für Interviews von 2-4 Stunden pro Bereich zur Verfügung • Fokus auf Fragestellungen: o Verfügbarkeit von Services o Schutzbedarf von Informationen SBA Research, © 2019
  26. 31 Business Impact Analyse „Medium“ • Definition der Bewertungsgrundlagen erfolgt

    durch die Geschäftsführung o Gewährleistet Analyse aus Unternehmensperspektive o BIA Projektteam erarbeitet Vorschlag o Inkl. Zeitachse für Bewertung Systemausfall: 2 Std, 4 Std, … SBA Research, © 2019
  27. 32 Business Impact Analyse „Medium“ SBA Research, © 2019

  28. 33 Business Impact Analyse „Medium“ SBA Research, © 2019 Kritisch

    wegen Einmeldung schlechter Chargen
  29. 34 Business Impact Analyse „Medium“ SBA Research, © 2019 Preisunterschied

    je Lieferant >> Cent Unterschiede haben X Mio. Auswirkung
  30. 35 Business Impact Analyse „Large“ • Ausgehend von Prozessen •

    Ausgehend von Produkten • Ausgehend von Services • Ausgehend von Applikationen • … ➢ Bis zur Modellierung zur Verkabelung, Abhängigkeiten, Redundanzen, etc. SBA Research, © 2019
  31. 36 Business Impact Analyse „Applikationen“ SBA Research, © 2019

  32. 37 Business Impact Analyse „Applikationen“ SBA Research, © 2019

  33. 38 Business Impact Analyse „Applikationen“ SBA Research, © 2019

  34. 39 Business Impact Analyse „Applikationen“ • Ableitungen auf Basis der

    Geschäftssicht o Mindestsicherheitsanforderungen je Schutzklasse – Bspw. extern Erreichbar: Schutz mit MFA o Reifegradanforderung an den sicheren Entwicklungsprozess o Häufigkeit und Art der Qualitätssicherung o Auditplanung o … SBA Research, © 2019
  35. 40 Business Impact Analyse – Ableitungen ✓ Positiven Kontakt mit

    Bereichen gehabt! • Erforderliches Sicherheitsniveau aus Geschäftssicht bestimmen • Priorisierung von Maßnahmen (mit Link zur Geschäftsrisiken) o … brauchen eine BIA bei der Auswahl der „Klasse der Maßnahme“ (Lada vs. Ferrarri) • Regelwerke / Vorgaben ableiten o Definition von Regelwerken brauchen „wenn es drauf ankommt“ eine BIA Betrachtung • SLAs ausgestalten • Bewertung von Vorfällen • Internes Kontrollsystem (IKS) ausgestalten (Qualitätssicherung) • Gesamtes Risikomanagement basiert auf dem Business Impact • … ➢ Ohne BIA oft Bauchgefühl und mangelnde Sichtbarkeit bzw. Verständnis! SBA Research, © 2019
  36. 42 SBA Research, © 2019 Fazit: 2019 sollte doch InfoSec

    Usus sein… IT-Sicherheit Informationssicherheit Informationssicherheits- Management ISMS Fokus auf technische Sicherheitsmaßnahmen Fokus auf organisatorische & technische Anforderungen des Gesamtunternehmens – Fokus auf Daten und Informationen Informationssicherheit ist als Managementdomäne etabliert, Informationssicherheits- risikomanagement ist wesentlicher Bestandteil Nachvollziehbare Steuerung, QS und laufende Verbesserung IT-Sicherheitsmanagement IT Risikomanagement ist wesentlicher Bestandteil
  37. 43 SBA Research, © 2019 Fazit: 2019 sind wir weit

    entfernt! IT-Sicherheit Informationssicherheit Informationssicherheits- Management ISMS Fokus auf technische Sicherheitsmaßnahmen Fokus auf organisatorische & technische Anforderungen des Gesamtunternehmens – Fokus auf Daten und Informationen Informationssicherheit ist als Managementdomäne etabliert, Informationssicherheits- risikomanagement ist wesentlicher Bestandteil Nachvollziehbare Steuerung, QS und laufende Verbesserung IT-Sicherheitsmanagement IT Risikomanagement ist wesentlicher Bestandteil
  38. 45 Ich wünsche mir … meine Top 10 an den

    Osterhasen SBA Research, © 2019
  39. 46 Meine 5 Empfehlungen Verantwortung – machen Sie (Info-, IT-,

    Cyber-) Security zum Top Management Thema 1 Auswirkung – planen Sie Security Agenden auf Basis der Geschäftsauswirkungen 2 Information – folgen Sie Informationen bis über die Unternehmensgrenzen 3 Sichtbarkeit – kennen Sie umfassend das Spektrum Ihrer Schwächen 4 Reaktion – bereiten Sie sich vor, denn Vorfälle werden geschehen 5 SBA Research, © 2019
  40. 47 Meine 5 Must-Haves Schwachstellenmanagement – ein Angreifer braucht eine

    Schwachstelle….. 1 Netzwerksegmentierung – technische „Brandabschnitte“ sind essentiell 2 2-Faktor-Auth – zumindest für alle aus dem Internet erreichbaren Anwendungen 3 Sichere Softwareentwicklung – signifikante Know-How Lücken vorhanden 4 Security Awareness – MitarbeiterInnen sind die first line of defense 5 SBA Research, © 2019
  41. 48 … zusammengefasst in 2 Bildern SBA Research, © 2019

    Hausverstand Sichtbarkeit
  42. 49 Stefan Jakoubi Geschäftsleiter Professional Services SBA Research gGmbH Favoritenstraße

    16, 1040 Wien +43 660 5 10 20 40 sjakoubi@sba-research.org
  43. 50 Bildnachweise Folie 13: “Elegant man with a laptop”; Adeolu

    Eletu; https://unsplash.com/; Folie 16: “Cool Man”; Free to use; www.pexels.com Folie 16: „Nicht so den Sand in den Kopf stecken“; Maik Meid; Lizenz: (CC BY 2.0); https://creativecommons.org/licenses/by/2.0/ Folie 19: „Bury your head in the sand... “; Sander van der Wel; Lizenz: (CC BY-SA 2.0); https://creativecommons.org/licenses/by/2.0/ Folie 22: „Beppo“; Joscha Sauer; Nichtlustig; Carlsen (2003) Folie 48: „Streetlight Effect“ & „Schrankenanlage“; Internet SBA Research, © 2019
  44. 51