PolicyPolicy

Information Risk Management

Reto StirnimannGeschäftsführer

Digilan (Zürich) AGreto.stirnimann@digilan.ch

Daniel LamprechtCountry Manager Switzerland

RSA, The Security Division of EMCdaniel.lamprecht@rsa.com

Leistungsspektrum

Analyse, Beratung, Konzeption und Umsetzung

zur Steigerung der Wertschöpfung

bestehender und neuer IT-Landschaften.

Aufbau, Ausbau, Konsolidierung und Migration

bestehender Netzwerke. Markenneutrale

Beschaffung der notwendigen Mittel.

Portfolio

IP TelefonieServer

VirtualisierungDaten

ManagementSicherheitLAN/WANMigration und

Konsolidierung

Druckerlösungen

Betriebssystemlösungen

Zugriffslösungen

Physische Infrastrukturlösungen

Computer Computer sindsind grundsgrundsäätzlichtzlich wertloswertlos..

Es Es sindsind die die InformationenInformationen auf auf einemeinem

Computer und die Services die von Computer und die Services die von

einemeinem Computer Computer zurzur VerfVerfüügunggung

gestelltgestellt werdenwerden welchewelche eineneinen Wert Wert

darstellendarstellen der der zuzu schschüützentzen istist!!

Informationen

Informations-Wachstum…und stetig wachsende Komplexität der Infrastruktur

Grösseres RISIKO ???…Schutz vor Informationsverlust…garantierter, sicherer und kontrollierter Zugriff auf Werte…Kompatibel mit internen Vorgaben und externen Regulatorien

Effizienz…Kapital- und operationelle Kosten senken…Steigende Flexibilität und kürzere Antwortzeiten…Business verlangt von der IT immer bessere SLA’s

Neue Werte generieren…Umwandlung von “nackten” Informationen in “Werte”…IT-Infrastruktur fördert neue Geschäftsfelder

IT Information Management Challenges

Problem “Security” in Unternehmen

Information Security wird oft als

“Business Verhinderung”

gesehen und nicht als

“Business Treiber”

Es besteht also ein Bedarf die

“SICHERHETTS-ASPEKTE” den

“GESCHÄFTS-ANFORDERUNGEN”

anzupassen - dies auf eine effiziente - am besten unsichtbare - Art und Weise

IT SecurityIT Security

Business InitiativesBusiness Initiatives

Das Risiko bestimmt die Investitionenin die “Sicherheit”

Umsatz-Wachstum RegelungenKostenreduktion VerfügbarkeitKundenzufriedenheit

NetworkNetworkEndpointEndpoint App / DBApp / DB StorageStorageFS/CMSFS/CMS

RiskRisk

Sicherheits VorfälleSicherheits Vorfälle

Sensitive InformationenSensitive Informationen

WelcheInformationensind WICHTIG

für meinUnternehmen?

WAS könnte allespassieren mit meinen

Informationen?

WO gehen dieseInformationen überall

hin?

• WELCHES RISIKO kann ichakzeptieren?

• WELCHES sind die KRITISCHEN WERTE, die zu SCHÜTZEN sind?Sicher-

heitsLeitlinie

Sicher-heits

Leitlinie

Information Risk ManagementInformation Risk Management PolicyPolicy

RSA’sInformation Risk Management

IRM ist eine Strategie zum Schutzder WICHTIGSTEN und KRITISCHEN WERTE in IhremUnternehmen

IRM ist “Information-centric” und definiert die Verbindung zwichenden Informationen und Business Initiativen sowie den potentiellenRisiken

IRM ist “Risk-based” und setzt klareprioritäten für die Investitionenund Projekte

IRM ist “Wiederholbar”, basierendauf best practices und Standard frameworks

Endpoint Network Apps/DB FS/CMS Storage

RiskRiskSicher-heits

Leitlinie

Sicher-heits

Leitlinie

IRM definiert, WO sollinvestiert werden, WARUMsoll investiert werden und

WIE die Investitionen in Sicherheit mit den

Business-Anforderungenund Initiativen in Einklanggebracht werden können

Information Risk ManagementGanzheitlicher Prozess sichert den Erfolg

Informationsanalyse und Risiko-IdentifikationErfassen und Klassifizieren der Informationen nach deren Geschäftsrelevanz

Analyse bereits vorhandener Sicherheitsmaßnahmen und Identifikation von Sicherheitslücken

Ableiten und Bewerten vorhandener Risiken

Ebenenübergreifende Definition angemessener Sicherheitsmaßnahmen

Definition der SicherheitleitlinieDokumentation der Sicherheitsstrategie, der Sicherheits-prozesse der Sicherheitsorganisation und der zu ergreifenden Sicherheitsmaßnahmen auf allen Ebenen (Personal, Prozess, IT-Infrastruktur)

Umsetzen der SicherheitsmaßnahmenImplementierung, Test und Kontrolle erforderlicher Maßnahmen und Technologien

Überwachen und AuditierenAufrechterhaltung, Weiterentwicklung und Optimierung der implementierten Sicherheitsmaßnahmen

Überwachung der IT-Infrastruktur zur Sicherstellung und Dokumentation der Einhaltung der Sicherheitsrichtlinie

Sicher-heits

Leitlinie

Sicher-heits

Leitlinie

• Identifikation geschäftskritischer Informationen• Aufzeigen vorhandener Risiken• Aufbau einer fundierten

Entscheidungsgrundlage für Sicherheitsinvestitionen

Informationsanalyse & Risiko-IdentifikationVoraussetzung zur Definition der Sicherheitsleitlinie

Sicher-heits

Leitlinie

Sicher-heits

Leitlinie

Zie

leR

SA

Lö

sun

gen

• Information Risk Management ConsultingGanzheitlicher Beratungsansatz zur Vorbereitung der Implementierung einer Information Risk Management Strategie

• Executive Security Assessment (ESA)High-Level Analyse (Top-Down) der bestehenden Sicherheitsstruktur (Management- & Prozesssicht)

• RSA Risk Advisor AssessmentAutomatische Erfassung von sensitiven Informationen und Aufzeigen vorhandener Unternehmensrisiken (Bottom-Up, Infrastruktur- & Informationssicht)

• Identity Management AuditsReview bestehender Rollen-, Berechtigungs- und Freigabeprozesse (Nutzer- & Adminsicht)

• Schutz von kritischen Daten• Strukturiert und unstrukturiert• Unabhängig ihrer Herkunft• In Abhängigkeit der geschäftlichen Relevan

Schützen sensitiver InformationenSchutzmaßnahmen auf Datenebene

Sicher-heits

Leitlinie

Sicher-heits

Leitlinie

Zie

le

• Data Loss Prevention Suite– Inhaltsbasierte Informationssicherheit

im Netzwerk, im Datencenter und auf Endgeräten

• Encryption Suite– Datenverschlüsselung im Datencenter

und auf Anwendungsebene– Zentrales Key-Management

• Information Rights Management– Individuelle Rechtevergabe auf

Dokumentenebene– EMC Documentum, MS Office, Email,

PDF

RS

A L

ösu

ng

en

• Sicherung des Zugriffs auf Daten und Infrastruktur

• Sicherung von Transaktionen zwischen Mitarbeitern, Kunden und Partnern

Konzepte für den gesicherten DatenzugriffAusgereifte Technologien für jeden Sicherheitsbedarf

Sicher-heits

Leitlinie

Sicher-heits

Leitlinie

Zie

leR

SA

Lö

sun

gen

• Credential Management– Management & Verwaltung von

Berechtigungsnachweisen• Strong Authentication

– Zugriffstechnologien für jeden Sicherheitsbedarf

– RSA SecurID Token– RSA Certificate Solutions

• Contextual Authorization– Sicherheit im Web– Single-Sign-On für Web-Applikationen

• Intelligente Authorisierungsverfahren– Einbezug des Benutzerverhaltens– Verwendung von „Device Fingerprints“– Internationale RSA Betrugsdatenbank

• Erkennung von Sicherheitsangriffen und potentiellen Gefahren

• Nachweis der Einhaltung von rechtlichen und vertraglichen Vorgaben

• Überprüfung der Einhaltung der Sicherheitsrichtlinie

Transparenz als Basis für SicherheitskonzepteÜberwachen und Auditieren der Sicherheitsrichtlinie

RS

A L

ösu

ng

en

Sicher-heits

Leitlinie

Sicher-heits

Leitlinie

Zie

le

• Log Collection and Management– Effiziente Zusammenführung und

Speicherung von Log-Informationen von jedem IP-Device

• Compliance Reporting– Erstellen von zielgerichteten

Compliance Reports für den Nachweis der Einhaltung gesetzlicher Vorgaben und interner Richtlinien

• Security Event Management– Real-Time Erkennung von

Sicherheitsvorfällen durch die Zusammenführung aller sicherheits-relevanten Informationen der Infrastruktur

NetworksNetworksEndpointEndpoint App / DBApp / DB StorageStorageFS/CMSFS/CMS

Information Risk ManagementRSA bietet umfassendes und integriertes Portfolio

Schutz vom Zugriff auf Informationen

Schutz der Informationen

Schutz vom Zugriff auf Informationen

Schutz der Informationen

Informations- & Risiko-AnalyseInformations- & Risiko-Analyse

Überwachen und Auditieren der ITÜberwachen und Auditieren der IT

RevenueRevenue CostCostCustomerCustomer ContinuityContinuityComplianceCompliance

RisikoSicher-heits

Leitlinie

Sicher-heits

Leitlinie

Angelehnt an gültige Standards

Zusammenfassung IRM

Wichtig für die Geschäftsleitung• Sicherheit im Unternehmen darf kein „Business-Verhinderer“

sein und muss ein Mehrwert bieten. Ist das Risiko bekannt können die Investitionen gesteuert werden, Operative Kosten und gebundenes Kapital können gesenkt werden.

Wichtig für die IT - Abteilung• Projekte in Sicherheit und den Betrieb von

Sicherheitslösungen können begründet und priorisierteingesetzt werden, sind nachvollziehbar und bringen Resultate.

Wichtig für den Benutzer• Sicherheit muss intuitiv und so unsichtbar wie möglich sein.

Maximales Vertrauen in die Benutzung von IT-Systemen vermindert falsche oder unbewusste Aktionen.