information risk management - gosecurity · 2016. 4. 12. · country manager switzerland rsa, the...
TRANSCRIPT
PolicyPolicy
Information Risk Management
Reto StirnimannGeschäftsführer
Digilan (Zürich) [email protected]
Daniel LamprechtCountry Manager Switzerland
RSA, The Security Division of [email protected]
Leistungsspektrum
Analyse, Beratung, Konzeption und Umsetzung
zur Steigerung der Wertschöpfung
bestehender und neuer IT-Landschaften.
Aufbau, Ausbau, Konsolidierung und Migration
bestehender Netzwerke. Markenneutrale
Beschaffung der notwendigen Mittel.
Portfolio
IP TelefonieServer
VirtualisierungDaten
ManagementSicherheitLAN/WANMigration und
Konsolidierung
Druckerlösungen
Betriebssystemlösungen
Zugriffslösungen
Physische Infrastrukturlösungen
Computer Computer sindsind grundsgrundsäätzlichtzlich wertloswertlos..
Es Es sindsind die die InformationenInformationen auf auf einemeinem
Computer und die Services die von Computer und die Services die von
einemeinem Computer Computer zurzur VerfVerfüügunggung
gestelltgestellt werdenwerden welchewelche eineneinen Wert Wert
darstellendarstellen der der zuzu schschüützentzen istist!!
Informationen
Informations-Wachstum…und stetig wachsende Komplexität der Infrastruktur
Grösseres RISIKO ???…Schutz vor Informationsverlust…garantierter, sicherer und kontrollierter Zugriff auf Werte…Kompatibel mit internen Vorgaben und externen Regulatorien
Effizienz…Kapital- und operationelle Kosten senken…Steigende Flexibilität und kürzere Antwortzeiten…Business verlangt von der IT immer bessere SLA’s
Neue Werte generieren…Umwandlung von “nackten” Informationen in “Werte”…IT-Infrastruktur fördert neue Geschäftsfelder
IT Information Management Challenges
Problem “Security” in Unternehmen
Information Security wird oft als
“Business Verhinderung”
gesehen und nicht als
“Business Treiber”
Es besteht also ein Bedarf die
“SICHERHETTS-ASPEKTE” den
“GESCHÄFTS-ANFORDERUNGEN”
anzupassen - dies auf eine effiziente - am besten unsichtbare - Art und Weise
IT SecurityIT Security
Business InitiativesBusiness Initiatives
Das Risiko bestimmt die Investitionenin die “Sicherheit”
Umsatz-Wachstum RegelungenKostenreduktion VerfügbarkeitKundenzufriedenheit
NetworkNetworkEndpointEndpoint App / DBApp / DB StorageStorageFS/CMSFS/CMS
RiskRisk
Sicherheits VorfälleSicherheits Vorfälle
Sensitive InformationenSensitive Informationen
WelcheInformationensind WICHTIG
für meinUnternehmen?
WAS könnte allespassieren mit meinen
Informationen?
WO gehen dieseInformationen überall
hin?
• WELCHES RISIKO kann ichakzeptieren?
• WELCHES sind die KRITISCHEN WERTE, die zu SCHÜTZEN sind?Sicher-
heitsLeitlinie
Sicher-heits
Leitlinie
Information Risk ManagementInformation Risk Management PolicyPolicy
RSA’sInformation Risk Management
IRM ist eine Strategie zum Schutzder WICHTIGSTEN und KRITISCHEN WERTE in IhremUnternehmen
IRM ist “Information-centric” und definiert die Verbindung zwichenden Informationen und Business Initiativen sowie den potentiellenRisiken
IRM ist “Risk-based” und setzt klareprioritäten für die Investitionenund Projekte
IRM ist “Wiederholbar”, basierendauf best practices und Standard frameworks
Endpoint Network Apps/DB FS/CMS Storage
RiskRiskSicher-heits
Leitlinie
Sicher-heits
Leitlinie
IRM definiert, WO sollinvestiert werden, WARUMsoll investiert werden und
WIE die Investitionen in Sicherheit mit den
Business-Anforderungenund Initiativen in Einklanggebracht werden können
Information Risk ManagementGanzheitlicher Prozess sichert den Erfolg
Informationsanalyse und Risiko-IdentifikationErfassen und Klassifizieren der Informationen nach deren Geschäftsrelevanz
Analyse bereits vorhandener Sicherheitsmaßnahmen und Identifikation von Sicherheitslücken
Ableiten und Bewerten vorhandener Risiken
Ebenenübergreifende Definition angemessener Sicherheitsmaßnahmen
Definition der SicherheitleitlinieDokumentation der Sicherheitsstrategie, der Sicherheits-prozesse der Sicherheitsorganisation und der zu ergreifenden Sicherheitsmaßnahmen auf allen Ebenen (Personal, Prozess, IT-Infrastruktur)
Umsetzen der SicherheitsmaßnahmenImplementierung, Test und Kontrolle erforderlicher Maßnahmen und Technologien
Überwachen und AuditierenAufrechterhaltung, Weiterentwicklung und Optimierung der implementierten Sicherheitsmaßnahmen
Überwachung der IT-Infrastruktur zur Sicherstellung und Dokumentation der Einhaltung der Sicherheitsrichtlinie
Sicher-heits
Leitlinie
Sicher-heits
Leitlinie
• Identifikation geschäftskritischer Informationen• Aufzeigen vorhandener Risiken• Aufbau einer fundierten
Entscheidungsgrundlage für Sicherheitsinvestitionen
Informationsanalyse & Risiko-IdentifikationVoraussetzung zur Definition der Sicherheitsleitlinie
Sicher-heits
Leitlinie
Sicher-heits
Leitlinie
Zie
leR
SA
Lö
sun
gen
• Information Risk Management ConsultingGanzheitlicher Beratungsansatz zur Vorbereitung der Implementierung einer Information Risk Management Strategie
• Executive Security Assessment (ESA)High-Level Analyse (Top-Down) der bestehenden Sicherheitsstruktur (Management- & Prozesssicht)
• RSA Risk Advisor AssessmentAutomatische Erfassung von sensitiven Informationen und Aufzeigen vorhandener Unternehmensrisiken (Bottom-Up, Infrastruktur- & Informationssicht)
• Identity Management AuditsReview bestehender Rollen-, Berechtigungs- und Freigabeprozesse (Nutzer- & Adminsicht)
• Schutz von kritischen Daten• Strukturiert und unstrukturiert• Unabhängig ihrer Herkunft• In Abhängigkeit der geschäftlichen Relevan
Schützen sensitiver InformationenSchutzmaßnahmen auf Datenebene
Sicher-heits
Leitlinie
Sicher-heits
Leitlinie
Zie
le
• Data Loss Prevention Suite– Inhaltsbasierte Informationssicherheit
im Netzwerk, im Datencenter und auf Endgeräten
• Encryption Suite– Datenverschlüsselung im Datencenter
und auf Anwendungsebene– Zentrales Key-Management
• Information Rights Management– Individuelle Rechtevergabe auf
Dokumentenebene– EMC Documentum, MS Office, Email,
RS
A L
ösu
ng
en
• Sicherung des Zugriffs auf Daten und Infrastruktur
• Sicherung von Transaktionen zwischen Mitarbeitern, Kunden und Partnern
Konzepte für den gesicherten DatenzugriffAusgereifte Technologien für jeden Sicherheitsbedarf
Sicher-heits
Leitlinie
Sicher-heits
Leitlinie
Zie
leR
SA
Lö
sun
gen
• Credential Management– Management & Verwaltung von
Berechtigungsnachweisen• Strong Authentication
– Zugriffstechnologien für jeden Sicherheitsbedarf
– RSA SecurID Token– RSA Certificate Solutions
• Contextual Authorization– Sicherheit im Web– Single-Sign-On für Web-Applikationen
• Intelligente Authorisierungsverfahren– Einbezug des Benutzerverhaltens– Verwendung von „Device Fingerprints“– Internationale RSA Betrugsdatenbank
• Erkennung von Sicherheitsangriffen und potentiellen Gefahren
• Nachweis der Einhaltung von rechtlichen und vertraglichen Vorgaben
• Überprüfung der Einhaltung der Sicherheitsrichtlinie
Transparenz als Basis für SicherheitskonzepteÜberwachen und Auditieren der Sicherheitsrichtlinie
RS
A L
ösu
ng
en
Sicher-heits
Leitlinie
Sicher-heits
Leitlinie
Zie
le
• Log Collection and Management– Effiziente Zusammenführung und
Speicherung von Log-Informationen von jedem IP-Device
• Compliance Reporting– Erstellen von zielgerichteten
Compliance Reports für den Nachweis der Einhaltung gesetzlicher Vorgaben und interner Richtlinien
• Security Event Management– Real-Time Erkennung von
Sicherheitsvorfällen durch die Zusammenführung aller sicherheits-relevanten Informationen der Infrastruktur
NetworksNetworksEndpointEndpoint App / DBApp / DB StorageStorageFS/CMSFS/CMS
Information Risk ManagementRSA bietet umfassendes und integriertes Portfolio
Schutz vom Zugriff auf Informationen
Schutz der Informationen
Schutz vom Zugriff auf Informationen
Schutz der Informationen
Informations- & Risiko-AnalyseInformations- & Risiko-Analyse
Überwachen und Auditieren der ITÜberwachen und Auditieren der IT
RevenueRevenue CostCostCustomerCustomer ContinuityContinuityComplianceCompliance
RisikoSicher-heits
Leitlinie
Sicher-heits
Leitlinie
Angelehnt an gültige Standards
Zusammenfassung IRM
Wichtig für die Geschäftsleitung• Sicherheit im Unternehmen darf kein „Business-Verhinderer“
sein und muss ein Mehrwert bieten. Ist das Risiko bekannt können die Investitionen gesteuert werden, Operative Kosten und gebundenes Kapital können gesenkt werden.
Wichtig für die IT - Abteilung• Projekte in Sicherheit und den Betrieb von
Sicherheitslösungen können begründet und priorisierteingesetzt werden, sind nachvollziehbar und bringen Resultate.
Wichtig für den Benutzer• Sicherheit muss intuitiv und so unsichtbar wie möglich sein.
Maximales Vertrauen in die Benutzung von IT-Systemen vermindert falsche oder unbewusste Aktionen.