Herzlich willkommen!

it.ba.de

Herzlich willkommen!

Herzlich willkommen!

19.9. Bad Homburg

21.9. Düsseldorf

26.9. München


IT-Auditierung/ ~Zertifizierung

- Sinnvoll oder lästiges Übel? -

• Ausblick – Was passiert gerade am Markt?

• Worin bestehen die eigentlichen Anforderungen?

• Darlegung der Prozesse

• IT-Security-Check als Einstieg?

• Welche Methode ist „die Beste“?

• Anforderungen an die Dokumentation

• Der kurze Schritt zum Audit / zur Zertifizierung

• Fazit

• Fragen und Anworten


Ausblick

• Sensibilisierung ist weiter fortgeschritten als manche glauben!

• Bereits viele „Betroffene“ im Positiven als auch Negativen


Ausblick

• Sensibilisierung ist weiter fortgeschritten als manche glauben!

• Bereits viele „Betroffene“ im Positiven als auch Negativen

• „Dritte“ etablieren sich zunehmend als Treiber für IT-Sicherheit

Banken

(Bankengespräche

, Basel II, Ratings)

Wirtschaftsprüfer (mit neuem

Prüfungsstandard seit diesem Jahr)

LKA, BKA, Staatsanwaltschaft

(Pornographie, Rechtsextremismus,..)

Datenschutz

(Bestellung DSB und Verfahrensverzeichnisse)

Softwarehersteller

(Lizenzen und

Urheberrecht)


Wie ist der aktuelle Stand des IT-Betriebes?

Technik

• IT wird im Mittelstand „technisch“ betrieben:

• selten „sehr schlecht“ (


Wie ist der aktuelle Stand des IT-Betriebes?

Organisation

• IT wird im Mittelstand „organisatorisch“ betrieben:

• häufig „sehr schlecht“ (40%)

• oft nach bestem Wissen und Gewissen (~25%)

• oft gute Ansätze, aber nur partielle Durchdringung (~25%)

• wenig Top-Organisationsgrade (~10%)

• Quelle: Eigene Statistik der PRW Consulting GmbH aus ca. 500 mittelständischen Betrieben


Wie ist der aktuelle Stand des IT-Betriebes?

Recht

• IT wird im Mittelstand „rechtlich abgesichert“ betrieben:

• Sehr häufig „sehr schlecht“ (70%)

• In Teilbereichen gut bis sehr gut (~20%-25%)

• wenig rechtlich abgesicherte Betriebe (


Wo ist jetzt das Problem?

• Die vorhin genannten „Dritten“ sind an Produkten,

technischen Merkmalen und Funktionalitäten selten

bis überhaupt nicht interessiert.

• Die IT-Prozesse stehen im Vordergrund und sind der

hauptsächliche Gegenstand ihrer Betrachtung.


Fragen über Fragen

• Was sind „gute“ Prozesse?

• Wie lege ich meine Prozesse dar? – Erzählen?

• Was wollen „die“ überhaupt sehen?

Methode + Papier


Weitere Fragen und klare Antworten!

• Was sind „gute“ Prozesse?

• Wie lege ich meine Prozesse dar? – Erzählen?

• Was wollen „die“ überhaupt sehen?

• KnowHow+Methode+Transfereffizienz = erzeugt Einsicht

• Ist das notwendig?

• Können wir das selbst?

• Das kostet wohl viel Geld?

• Ja

• Meist nicht

• Ja


Wie beginnen wir in der Akquisephase?

• Eine erste Überprüfung bietet sich an

• IT Security Check

• EDV Sicherheits-Überprüfung

• IT-SEC-Benchmark

ca. 4.000 – 7.500

• IT-Sicherheits-Audit

• Überprüfung der IT-Kernrisiken

• + optional wichtiges Thema für den Kunden

Aber bitte immer mit Methode!!!


Methodischer Ansatz der ISO/IEC 17799

Sicherstellung des

kontinuierlichen

Geschäftsbetriebes

Rechtliche Konformität

Sicherheitspolitik

Sicherheitsorganisation

Kontrolle der Werte

Incident Handling

Personen-Sicherheit

Systementwicklung /Wartung

Physische Sicherheit

Zugangskontrolle

Management der Betriebsmittel


Methode vs. Budget

• Trotz Einsicht ist das Budget sehr oft die natürliche Grenze

• Deshalb Überprüfung der IT-Kernrisiken sinnvoll?

• Analysebericht mit Aufzeigen der akuten Erfordernisse

• Erste Angebote und Beauftragungen zur Umsetzung

Vorteil:

Methodische Schritt-für-Schritt Vorgehensweise schont

das Budget und ist planbar…


Ein nächstes Problem?

• Die logische Konsequenz aus dem Fehlen einer

guten Dokumentation des IT-Betriebs ist die Abgabe

eines entsprechenden Leistungsangebotes durch

das Systemhaus zur Erstellung/Unterstützung.

• Hier fehlt den Systemhäusern sehr oft (ca. 70%) das

KnowHow, u.a. deswegen wird das Thema gerne

verschwiegen, bzw. man weiß nicht was, zu welchem

Preis angeboten werden sollte.


Strukturen aus der Norm ableiten

…..

…..

…..

…..

…..


Details aus der Struktur ableiten


Der kurze Schritt zum Audit

Ist-Konzept

Soll-Konzept

Check

Verbesserung

Verbesserung

Wer ist für was verantwortlich und macht was bis wann?

• IT-Sicherheit organisieren

• IT-Sicherheit weiter entwickeln

• IT-Sicherheit überprüfen / kontrollieren

• IT-Sicherheit auditieren / zertifizieren


Der kurze Schritt zum Audit


Der kurze Schritt zum Audit


Fazit

• IT-Sicherheit bleibt beherrschendes Thema

• Professionalität bei Produkten, Organisation und Recht

• IT-Sicherheit im Sinne eines Prozessmanagements

• Über IT-Security-Check zwingt sich Dokumentation auf

• Entscheidung für Methode/Norm

• Über Dokumentation zum Audit / zur Zertifizierung


Vielen Dank für Ihre Aufmerksamkeit!

Fragen?

Weitere Magazine dieses Users
Ähnliche Magazine