Vom Bauchgefühl zum Wissen: Sichtbarkeit für Security-Anforderungen schaffen

Transcript

1. 1

2. 2 Welche Versicherungen haben Sie? SBA Research, © 2019

3. 3 Warum? SBA Research, © 2019 Haftpflicht Ableben Sonderklasse Bergung

   Kredit Zukunft Risiko Pflicht

4. 4 Warum? SBA Research, © 2019 Gesetz Risiko Strategisch Haftpflicht

   Bergung Ableben Sonderklasse

5. 5 Warum? SBA Research, © 2019 Gesetz Risiko Strategisch Haftpflicht

   Bergung Ableben Sonderklasse Es kommt darauf an!

6. 6 Worauf kommt es an? Beispiel Ablebensversicherung Habe ich keinen

   Kredit und werde ewig Single bleiben, dann sehe ich keine Situation, in der ich eine Ablebensversicherung bräuchte. SBA Research, © 2019

7. 7 Worauf kommt es an? Beispiel Sonderklasse Habe ich einen

   sehr guten (wachsenden) finanziellen Polster und auch gute Kontakte in die Gesundheitsbranche, dann werde ich nicht monatlich in einen nennenswerten Betrag strategisch investieren. SBA Research, © 2019

8. 8 Worauf kommt es an? Kniffligeres Beispiel In einem Webapp-Pentest

   wurde eine „mittlere“ Schwachstelle aufgedeckt. o Behebungskosten: € 20.000 Sofort beheben? SBA Research, © 2019

9. 9 Worauf kommt es an? Kniffligeres Beispiel IT (Security) möchte

   Schwachstellenmanagement verbessern und eine automatisierte Lösung etablieren. o Investitionsanfrage Schwachstellenmanagement Lösung für ca. 5.000 Hosts o Kosten bisher: € 4.000 / Jahr o Kosten neu: € 70.000 / Jahr Investitionsanfrage freigeben (17,5-fach)? SBA Research, © 2019

10. 10 Wo war der Unterschied? SBA Research, © 2019 Ableben

    Sonderklasse Mittlere Schwachstelle € 4.000 vs. € 70.000 (17,5-fach) Fehlende Entscheidungsgrundlage

11. 11 Hallo, mein Name ist Stefan… SBA Research, © 2019

12. 13 … und mein Problem ist: COOL vs UNCOOL new

    shit initiativ agil kreativ effizient motivierend old shit starr lähmend langweilig langsam überfordernd SBA Research, © 2019

13. 14 Evangelist in 1.000.000+ Themengebieten… SBA Research, © 2019

14. 16 Reaktion… old shit starr hinderlich lähmend langweilig old shit

    starr lähmend langweilig langsam HOT or NOT new shit initiativ agil kreativ effizient motivierend überfordernd SBA Research, © 2019

15. 17 „Totschlagargumente“ SBA Research, © 2019 • Wie stehen wir

    im Branchenvergleich? • Uns ist noch nie etwas passiert! • Meine Mailbox ist nicht vertraulich. • Das haben wir nicht budgetiert. • So kann ich nicht arbeiten!

16. 19 Irgendwann denk ich mir dann… SBA Research, © 2019

17. 21 Live of a CISO? SBA Research, © 2019 vs.

    C S O

18. 22 SBA Research, © 2019 Aber wir können das doch

    besser!!!

19. 23 Business Impact Analyse

20. 24 Business Impact Analyse • Beispiel 1: „Quick“ • Beispiel

    2: „Medium-Large“ • Beispiel 3: „Applikationslandkarte“ SBA Research, © 2019

21. 25 Business Impact Analyse • Beispiel 1: „Quick“ • Beispiel

    2: „Medium-Large“ • Beispiel 3: „Applikationslandkarte“ SBA Research, © 2019

22. 26 Business Impact Analyse „Quick“ SBA Research, © 2019 …

    Hoch Kritisch Finanziell Ab € 450.000 Ab € 1.350.000 Ab x% des Gewinns Ruf Essentielle Kunden drohen mit Abwanderung; Kompensation erforderlich Abwanderung essentieller Kunden; Keine Neukunden Compliance Verletzung der Sorgfaltspflicht; Schwere Missachtung von Gesetzen Vorsätzliches, mutwilliges oder kriminelles Verhalten …

23. 27 Business Impact Analyse „Quick“ GESCHÄFTSSICHT • Ursachenforschung starten o

    Wie kann es zu hohem finanziellen Schaden kommen? o Wie kann es zu kritischem Rufschaden kommen? • Was soll und was darf nicht eintreten? o Leitfaden für die Auswahl von org. & tech. Maßnahmen o Akzeptable „Unbequemlichkeiten“ und Kosten INFOSEC SICHT (nachgelagert) • Ursachenforschung auf Grundlage der Geschäftssicht starten o Wie kann dies durch Informationsverlust geschehen? o Wie kann dies durch nicht Verfügbarkeit geschehen? o … SBA Research, © 2019

24. 29 Business Impact Analyse • Beispiel 1: „Quick“ • Beispiel

    2: „Medium-Large“ • Beispiel 3: „Applikationslandkarte“ SBA Research, © 2019

25. 30 Business Impact Analyse „Medium“ • Bedarf zur strukturierten Erhebung

    im Unternehmen erkannt o Es steht ein Budget für Interviews von 2-4 Stunden pro Bereich zur Verfügung • Fokus auf Fragestellungen: o Verfügbarkeit von Services o Schutzbedarf von Informationen SBA Research, © 2019

26. 31 Business Impact Analyse „Medium“ • Definition der Bewertungsgrundlagen erfolgt

    durch die Geschäftsführung o Gewährleistet Analyse aus Unternehmensperspektive o BIA Projektteam erarbeitet Vorschlag o Inkl. Zeitachse für Bewertung Systemausfall: 2 Std, 4 Std, … SBA Research, © 2019

27. 32 Business Impact Analyse „Medium“ SBA Research, © 2019

28. 33 Business Impact Analyse „Medium“ SBA Research, © 2019 Kritisch

    wegen Einmeldung schlechter Chargen

29. 34 Business Impact Analyse „Medium“ SBA Research, © 2019 Preisunterschied

    je Lieferant >> Cent Unterschiede haben X Mio. Auswirkung

30. 35 Business Impact Analyse „Large“ • Ausgehend von Prozessen •

    Ausgehend von Produkten • Ausgehend von Services • Ausgehend von Applikationen • … ➢ Bis zur Modellierung zur Verkabelung, Abhängigkeiten, Redundanzen, etc. SBA Research, © 2019

31. 36 Business Impact Analyse „Applikationen“ SBA Research, © 2019

32. 37 Business Impact Analyse „Applikationen“ SBA Research, © 2019

33. 38 Business Impact Analyse „Applikationen“ SBA Research, © 2019

34. 39 Business Impact Analyse „Applikationen“ • Ableitungen auf Basis der

    Geschäftssicht o Mindestsicherheitsanforderungen je Schutzklasse – Bspw. extern Erreichbar: Schutz mit MFA o Reifegradanforderung an den sicheren Entwicklungsprozess o Häufigkeit und Art der Qualitätssicherung o Auditplanung o … SBA Research, © 2019

35. 40 Business Impact Analyse – Ableitungen ✓ Positiven Kontakt mit

    Bereichen gehabt! • Erforderliches Sicherheitsniveau aus Geschäftssicht bestimmen • Priorisierung von Maßnahmen (mit Link zur Geschäftsrisiken) o … brauchen eine BIA bei der Auswahl der „Klasse der Maßnahme“ (Lada vs. Ferrarri) • Regelwerke / Vorgaben ableiten o Definition von Regelwerken brauchen „wenn es drauf ankommt“ eine BIA Betrachtung • SLAs ausgestalten • Bewertung von Vorfällen • Internes Kontrollsystem (IKS) ausgestalten (Qualitätssicherung) • Gesamtes Risikomanagement basiert auf dem Business Impact • … ➢ Ohne BIA oft Bauchgefühl und mangelnde Sichtbarkeit bzw. Verständnis! SBA Research, © 2019

36. 42 SBA Research, © 2019 Fazit: 2019 sollte doch InfoSec

    Usus sein… IT-Sicherheit Informationssicherheit Informationssicherheits- Management ISMS Fokus auf technische Sicherheitsmaßnahmen Fokus auf organisatorische & technische Anforderungen des Gesamtunternehmens – Fokus auf Daten und Informationen Informationssicherheit ist als Managementdomäne etabliert, Informationssicherheits- risikomanagement ist wesentlicher Bestandteil Nachvollziehbare Steuerung, QS und laufende Verbesserung IT-Sicherheitsmanagement IT Risikomanagement ist wesentlicher Bestandteil

37. 43 SBA Research, © 2019 Fazit: 2019 sind wir weit

    entfernt! IT-Sicherheit Informationssicherheit Informationssicherheits- Management ISMS Fokus auf technische Sicherheitsmaßnahmen Fokus auf organisatorische & technische Anforderungen des Gesamtunternehmens – Fokus auf Daten und Informationen Informationssicherheit ist als Managementdomäne etabliert, Informationssicherheits- risikomanagement ist wesentlicher Bestandteil Nachvollziehbare Steuerung, QS und laufende Verbesserung IT-Sicherheitsmanagement IT Risikomanagement ist wesentlicher Bestandteil

38. 45 Ich wünsche mir … meine Top 10 an den

    Osterhasen SBA Research, © 2019

39. 46 Meine 5 Empfehlungen Verantwortung – machen Sie (Info-, IT-,

    Cyber-) Security zum Top Management Thema 1 Auswirkung – planen Sie Security Agenden auf Basis der Geschäftsauswirkungen 2 Information – folgen Sie Informationen bis über die Unternehmensgrenzen 3 Sichtbarkeit – kennen Sie umfassend das Spektrum Ihrer Schwächen 4 Reaktion – bereiten Sie sich vor, denn Vorfälle werden geschehen 5 SBA Research, © 2019

40. 47 Meine 5 Must-Haves Schwachstellenmanagement – ein Angreifer braucht eine

    Schwachstelle….. 1 Netzwerksegmentierung – technische „Brandabschnitte“ sind essentiell 2 2-Faktor-Auth – zumindest für alle aus dem Internet erreichbaren Anwendungen 3 Sichere Softwareentwicklung – signifikante Know-How Lücken vorhanden 4 Security Awareness – MitarbeiterInnen sind die first line of defense 5 SBA Research, © 2019

41. 48 … zusammengefasst in 2 Bildern SBA Research, © 2019

    Hausverstand Sichtbarkeit

42. 49 Stefan Jakoubi Geschäftsleiter Professional Services SBA Research gGmbH Favoritenstraße

    16, 1040 Wien +43 660 5 10 20 40 [email protected]

43. 50 Bildnachweise Folie 13: “Elegant man with a laptop”; Adeolu

    Eletu; https://unsplash.com/; Folie 16: “Cool Man”; Free to use; www.pexels.com Folie 16: „Nicht so den Sand in den Kopf stecken“; Maik Meid; Lizenz: (CC BY 2.0); https://creativecommons.org/licenses/by/2.0/ Folie 19: „Bury your head in the sand... “; Sander van der Wel; Lizenz: (CC BY-SA 2.0); https://creativecommons.org/licenses/by/2.0/ Folie 22: „Beppo“; Joscha Sauer; Nichtlustig; Carlsen (2003) Folie 48: „Streetlight Effect“ & „Schrankenanlage“; Internet SBA Research, © 2019

44. 51