gov ref1 konferenz rotkreuz vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq...
TRANSCRIPT
![Page 1: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/1.jpg)
Das Management im Spannungsfeld zwischen IT und DSDS
Information Security in Healthcare Conference 2019 l Jana Papritz & Marcel Schmid l 06. Juni 2019
![Page 2: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/2.jpg)
APP in Kürze
• Seit der Gründung im Jahr 1977 stets
unabhängig und neutral
• Standorte in Bern, Zürich, Basel und Luzern
• Über 70 hochqualifizierte Berater/innen, methodisch versiert
und praxisnah
• Ehrliche «hemdsärmelige» Beratung, in der Schnittstelle
zwischen IT und Fach
• Wissen, verteilt auf vielen Schultern mit spezifischer
Expertise für spezifische Projekte
www.app.ch/health
Folie 2
Breit abgestützt, mit schlagkräftigem eHealth Team
![Page 3: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/3.jpg)
APP in Kürze
08. März 2019
© APP Unternehmensberatung AG 3
Vielfältige Beratungsschwerpunkte mit über 40ig-jähriger Erfahrung aus verschiedensten Branchen
Ausschreibung und Evaluation Projektmanagement Strategieberatung
Prozess- und Organisationsoptimierung
Business Analyse und Requirements Engineering (RE)
Schulung und Training
![Page 4: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/4.jpg)
Wer wir sind
5. Juni 2019
© APP Unternehmensberatung AG
T +41 58 320 30 62M [email protected]
Folie 3
Marcel Schmid
BSc in Wirtschaftsinformatik
Cand. BSc in Psychologie
Consultant, bei APP seit 2017, Schwerpunkte:
• Informationssicherheit im Gesundheitswesen
• Human Ressource Management
• Projektmanagement
T +41 58 320 30 38M [email protected]
Jana PapritzDipl.Inf.UniBE
Consultant, bei APP seit 2007; Schwerpunkte:
• Informationssicherheit und Datenschutz
• Projektmanagement
• IT Service Management
![Page 5: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/5.jpg)
Veranstaltungsziele
Sie wissen …
• warum es ein zielgruppenorientiertes Sensibilisierungsprogramm braucht.
• wie ein Sensibilisierungsprogramm aufgebaut sein könnte.
Sie kennen …
• die wichtigsten Inhalte eines Sensibilisierungsprogrammes.
• die wichtigsten Erfolgsfaktoren zur Verbesserung der Sicherheit in ihrer Organisation.
5. Juni 2019
© APP Unternehmensberatung AG Folie 5
![Page 6: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/6.jpg)
Das Management im Spannungsfeld IT und DSDSSecurity Awareness im Management
![Page 7: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/7.jpg)
Das Universum der Begriffe
• DSDS vs. ISDSOb Cybersicherheit, Informationssicherheit und Datenschutz oder Datensicherheit und Datenschutz – die Schutzziele sind dieselben. DSDS wird als gängige Abkürzung weiterverwendet.
• DS vs. DSPrimärziele von Datensicherheit ist der Schutz der Daten vor Zerstörung, Missbrauch und Verlust während Datenschutz auf den Schutz der informationellen Selbstbestimmung zielt. Dies kann zu Widersprüchen führen (Beispiel Cloud).
• ISMSEin Informationssicherheitsmanagementsystem ist keine Anwendung im klassischen Sinn – die Gestaltung des Sicherheitsprozesses steht im Vordergrund.
• GRCGovernance, Risk and Compliance dient einer vorgaben- und gesetzeskonformen Unternehmensführung aufgrund von risikobasierten Entscheiden.
5. Juni 2019
© APP Unternehmensberatung AG Folie 7
![Page 8: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/8.jpg)
Wozu IT-Sicherheit
5. Juni 2019
© APP Unternehmensberatung AG Folie 8
DSGDSGDSG
Bedrohungslage und Risiken
![Page 9: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/9.jpg)
Faktor Mitarbeiter
5. Juni 2019
© APP Unternehmensberatung AG Folie 9
vom wandelnden Risiko zum sicherheitsbewussten Mitarbeiter
Risiko ist…• Mitarbeiter und das Management, welche den Fokus auf alles andere als
auf die Sicherheit haben.• die Verantwortung auf die Schultern eines einzelnen «Polizisten» zu legen
(DSDS-Verantwortlicher).
Besser wäre…• eine gesunde/angemessene Sicherheitskultur in den Arbeitsalltag zu
integrieren. • jeder Einzelne hat das Wissen im eigenen Umfeld «sicher» zu arbeiten.
![Page 10: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/10.jpg)
Mitarbeiter befähigen
5. Juni 2019
© APP Unternehmensberatung AG Folie 10
Mitarbeiter werden befähigt und ändern ihr Verhalten, wenn….
• die Visionen und Strategien im Unternehmen von allenmitgetragen werden.
• eine gesunde Sicherheitskultur etabliert wird; also ein angemessenes Risikobewusstsein vorhanden ist.
• Sensibilisierung und Wissensaufbau zielgruppenorientiert erfolgt.
![Page 11: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/11.jpg)
Management im Spannungsfeld IT und DSDS
5. Juni 2019
© APP Unternehmensberatung AG Folie 11
Unternehmensziele, Strategie, BCM
Vorgaben (Gesetze, Verträge)
Risiken Anforderungen
Massnahmen
DGDSG
Risiko-management
![Page 12: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/12.jpg)
Die Rolle des Managements
Das Management übernimmt
• die Steuerung und die Kontrolle des Sicherheitsprozesses.
• die Gesamtverantwortung über Risiken in der Organisation.
• die Rolle eines Vorbildes.
Das Management ist verpflichtet
• einen klaren Auftrag zum Sicherheitsmanagement (ISMS) zu formulieren.
• genügend Ressourcen zur Verfügung zu stellen.
• Sensibilisierungsmassnahmen für alle Zielgruppen (Mitarbeiter) zu etablieren.
5. Juni 2019
© APP Unternehmensberatung AG Folie 12
![Page 13: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/13.jpg)
• Verbesserungsmassnahmen überprüfen und umsetzen
• Dokumentation sicherstellen
• Reviews und Audits durch-führen
• Massahmen prüfen• Lieferanten und Dienstleister
auditieren
• Leitlinien formulieren• Schutzbedarf feststellen• Anforderungen, Risiken und
Massnahmen ableiten
• IT-Sicherheitsprozess planen• Strukturanalyse durchführen
(Unternehmensarchitektur, Inventar)
PDCA + A - Methodik
Act Plan
DoCheck
5. Juni 2019
© APP Unternehmensberatung AG Folie 13
Aware-ness
![Page 14: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/14.jpg)
Plan
Das Management etabliert den Sicherheitsprozess mit den notwendigen Rollen:
• Der Sicherheitsbeauftragte der Organisation erhält eine leitende Funktion.
• Der Sicherheitsbeauftragte kennt die Organisation und Prozesse und ist im Bereich der IT-Sicherheit auf dem neusten Stand.
Das Management leitet eine Strukturanalyse der Organisation ein:
• Prozesse & Organisation, Anwendungen & Daten sowie Systeme sind Bestandteil der Analyse.
• Empfehlenswert ist der Aufbau einer Unternehmensarchitektur.
• Die Strukturanalyse gibt Auskunft über die potentiellen Schutzobjekte. 5. Juni 2019
© APP Unternehmensberatung AG Folie 14
![Page 15: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/15.jpg)
Do
Anforderungen:
• Der Sicherheitsbeauftragte kann - von der Strategie, denUnternehmenszielen und den Vorgaben an die Organisation sowie Standards abgeleitet – einen Anforderungskatalog erstellen.
Risiken:
• Pro Schutzobjekte muss eine Risikoanalyse auf Basis der Anforderungen durchgeführt werden.
• Der Sicherheitsbeauftragte unterstützt die Verantwortlichen bei dieser Arbeit.
Massnahmen:
• Massnahmen dienen dazu den Risikograd abhängig von der Risikobereitschaft der Organisation für Schutzobjekte zu minimieren.
5. Juni 2019
© APP Unternehmensberatung AG Folie 15
![Page 16: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/16.jpg)
Check
Die Kontrolle im Sicherheitsprozess ist bedeutsam – um feststellen zu können, ob ein realer Sicherheitsgewinn erreicht werden kann:
• Eine periodische Überprüfung der Massnahmenumsetzung dient zur Einschätzung dieser Zielerreichung.
• Reviews und Audits sind – vorzugsweise durch externe Stellen – durchzuführen.
• Vertragsaudits mit Fokus Sicherheit von Lieferanten und Dienstleister dürfen nicht vergessen werden.
5. Juni 2019
© APP Unternehmensberatung AG Folie 16
![Page 17: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/17.jpg)
Act
Verbesserungen können zum Beispiel durch erlangen von Zertifikatenoder Ausbildungsmassnahmen erreicht werden: • Anerkannte Zertifikate im Bereich der Sicherheit sind zum Beispiel
– ISO 27001 Informationssicherheits-Managementsystem (ISMS)– ISO 9001 Qualitäts- und Risikomanagementsystem– ISO 20000 IT Service Management (ITSM)
• Anerkannte Qualifikationen können erworben werden – wie zum Beispiel – Lehrgänge CAS/MAS Information Security an Fachhochschulen in der Schweiz– Certified Information Systems Security Professional (CISSP)– ISACA Certified Information System Auditor (CISA), Certified Information Security Manager
(CISM)
• Planen von Sensibilisierungskampagnen.
5. Juni 2019
© APP Unternehmensberatung AG Folie 17
![Page 18: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/18.jpg)
Awareness / Sensibilisierung - Psychologische Aspekte
5. Juni 2019
© APP Unternehmensberatung AG Folie 18
Verhalten verankern – Zukunft sichern
Risikobewusstes Verhalten
Massnahmen auf Risiken abgestimmt
Risiken werden regelmässig kommuniziert und überprüft
Methodisches Vorgehen soll verfestigt werden
Mitarbeiter im Boot
Management gibt Wissen regelmässig an Mitarbeitende weiter
Mitarbeiter werden zu Selbstständigkeit ermächtigt
Realistische Erwartungen
Langfristiges Denken soll im Vordergrund stehen
Angemessene Massnahmen sollen vermittelt werden
Persönliche Verpflichtung
Sinn und Zweck der Informationssicherheit werden aufgezeigt
Dem Management wird Verantwortung übertragen
![Page 19: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/19.jpg)
![Page 20: Gov Ref1 Konferenz Rotkreuz Vorabversand · 0pdufho vfkplg#dss fk)rolh 0dufho 6fkplg %6flq :luwvfkdiwvlqirupdwln &dqg %6flq 3v\fkrorjlh &rqvxowdqw ehl $33 vhlw 6fkzhusxqnwh ,qirupdwlrqvvlfkhukhlw](https://reader036.vdokument.com/reader036/viewer/2022081606/5d1c09b388c993dc468e1fc5/html5/thumbnails/20.jpg)
Besten Dank
5. Juni 2019
© APP Unternehmensberatung AG Folie 20
Für Fragen stehen wir Ihnen auch beim Mittagessen gerne Red und Antwort.
BernAPP Unternehmensberatung AGMonbijoustrasse 10PostfachCH-3001 Bern
ZürichAPP Unternehmensberatung AGLöwenstrasse 40CH-8001 Zürich
BaselAPP Unternehmensberatung AGGartenstrasse 95CH-4052 Basel
LuzernAPP Unternehmensberatung AGWerftestrasse 4CH-6005 Luzern
Jana [email protected]
Marcel [email protected]