Newsletter 01/2013 - Künzler Management Consulting GmbH

Künzler Management Consulting
Security News 1 / 2013
“Vivamus porta
est sed est.”
Consulting Services
- IS Strategie
Wie sollen Firmen Cyberrisiken begegnen – Chancen & Potentiale für ein
ISMS?
- IS Governance
- Risiko Management
- Notfall Management
K ü nz l e r M a n ag e me n t C o n s ul t i ng
Adelboden 1283B
C H - 3 4 5 2 G r ü n e n ma t t
S wi t z e r l a n d
E - ma i l : i n fo @ s e c u r i t y - m a t t e r s . c h
www.security-matters.ch
© Künzler Management Consulting
Künzler Management Consulting
Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch
Ist ein ISMS das richtige Mittel für Firmen bei der
Umsetzung ihrer Cyberdefense Strategien?
Wegen den unaufhaltsam stattfindenden technologischen Evolutionen, den geopolitischen Veränderungen
ausgelöst durch den globalen Wirtschaftswettkampf,
sowie unseren Ansprüchen jederzeit und von überall
her auf Firmensysteme und -Daten mit privaten und
firmeneigenen Geräten zugreifen zu müssen, müssen
getroffene Entscheidungen zu Policies und Controls
(Schutzmassnahmen) im Kampf gegen Cybergefahren
laufend (!) gegenüber dem sich ändernden Risikobild
überprüft und ggf. angepasst werden. Die Dynamik der
Cybergefahren wird uns wohl auch in naher Zukunft
erhalten bleiben da die Informationssicherheit mit den
technologischen Fortschritten nicht wird Schritthalten
können wie die letzten 20 Jahre gezeigt haben.
Informationen über die aktuelle Cyberspace Sicherheitslage, sowie den aktuellen Sicherheitsstatus von
firmeninternen Sicherheits-Frameworks (z.B. Effektivität von Controls) sollten jederzeit aktualisiert vorliegen
damit Entscheidungsträger aller Hierarchiestufen abgestimmte und zeitnahe Korrekturen einleiten können.
Damit obige Frage beantwortet werden kann müssen
wir verstehen wie Cyberangriffe ablaufen, wie sich die
aufdrängenden Massnahmen zur Minimierung von
Cyberrisiken mit einem ISMS adressieren und verwalten lassen und was es braucht um ein ISMS erfolgreich
aufzubauen und zu betreiben.
Cyberangriffe nutzen immer Schwachstellen im
Sicherheits-Framework einer Unternehmung aus.
Wo setzt effektive Cyberdefense an?
Im Artikel Cyber Defense der Schweiz i ist dargelegt
dass für einen erfolgreichen Cyberangriff drei Voraussetzungen erfüllt sein
müssen:
Was ist ein ISMS?
1.
Das eigene SysÄhnlich wie ein Qualitätsmanatem muss über eine oder
gementsystem nach ISO 9001 ist
ein ISMS ein Managementsystem
mehrere Schwachstellen
für Informationssicherheit. Es
besteht aus Verfahren und Regeln
verfügen, welche ausgeum Informationssicherheit zu
nützt werden können,
steuern.
2.
Die Schwachstelle
Zwei Standards sind massgebend:
für das eigentliche Managementmuss erahnt oder bekannt
system ISO/IEC 27001:2005 und
sein und der Angreifer
für die Sicherheitsthemengebiete
ISO/IEC 27002:2005 - ein 135
muss über eine Methode
Controls umfassender Katalog.
der Ausnutzung verfügen,
Ein ISMS lässt sich nach ISO/IEC
27001:2005 zertifizieren.
3.
Es muss ein Beweggrund (Motiv) für eine
Cyberattacke vorhanden sein.
Während Firmen nur bedingt Einfluss auf das Motiv
möglicher Angriffe nehmen können, sollten Sicherheitsverantwortliche den Fokus auf das Auffinden der
Schwachstellen in der eigenen Infrastruktur und das
entsprechende Schwachstellen Management legen.
2/7
Because security matters...
Jeder CIO und CISO sollte ein gutes Verständnis über
Angriffsablaufphasen sowie die aktuellen vom Cyberspace ausgehenden Bedrohungen haben, (Angriffsarten), sowie die möglichen Angriffsziele in der eigenen
Unternehmung kennen.
Auf die Bedrohungen wird in diesem Artikel nicht weiter eingegangen. Dazu gibt es relativ gute und aktuell
gehaltene Quellen wie z.B. die Liste der Top 10 Bedrohungenii des Bundesamtes für Sicherheit in der Informationstechnik, BSI. Wir wollen uns vielmehr den
Schwachstellen und dem Angriffsablauf zuwenden um
zu verstehen wo wir mit Cyberdefense ansetzen können.
Schwachstellen sind Fehler in Softwareprogrammen
und erlauben einem Angreifer die Vertraulichkeit, Integrität oder Verfügbarkeit von Software, Businessapplikationen oder Geschäftsdaten zu kompromittieren.
Schwachstellen sind vorhanden in Operating Systems
(z.B. Windows, Apple IOS), Browsern, Applikationen
(aber auch in firmeninternen Prozessen). Schwachstellen können aber auch in Antiviren-, Malwareentfernungsprogrammen und Firmware / Treibern, etc. bestehen. Zu Bedenken gilt es ferner dass solche Sicherheitslücken nicht immer auf Fehler bei der Softwareerstellung zurückzuführen sein müssen, sondern auch mit
einer gewissen Absicht (z.B. krimineller
Einige Zahlen zu CybergeArt,
Staatsschutz)
fahren
eingebaut sein kön98%
aller
Data
Breaches durch
nen.
externe Agents verübt (+6 %
gegenüber 2011) verübt; in 69% war
Schwachstellen sind
Malware (+20%) involviert (Ref. 1).
allgegenwärtig
und
Jährlicher Schaden für Deutschland: €
häufig, wie sonst er4.2 Mia (46.8 % Hackerangriffe);
klärt man sich die
Attackierte Abteilungen: 1. Vertrieb,
vielen Patches welche
2. F&E, 3.M&A, 4. IT (Ref. 2).
Hersteller laufend zur
Grösste Bedrohungsfamilie im 1H12:
Win32/Keygen; Blacole der am
Verfügung stellen.
meisten detektierte Exploit eingefanDer
Lebenszyklus
gen durch 1. HTML / JavaScript, 2.
Java, 3. Documents, 4. Operating
einer Schwachstelle
Systems, 5. Shellcode. (Ref. 3).
spielt bei der AusnutSymantec’s AVs blockierte weltweit
zung eine wesentliche
5.5 Mia Malware Attacken in 2011;
iii
Rolle. Ein Exploit
403 Mio neue Varianten von Malware
kann eine Schwachin 2011 (Ref. 4).
stelle nur solange
Cyber Governance: Regelmässige
Board Reviews / Approval der Key
ausnutzen wie keine
Policies,
Sicherheitsrisiken
und
Updates seitens der
Budget für IT Sicherheit: < 40% (Ref.
Hersteller verfügbar
5).
sind
(Zero-DayExploit). Siehe dazu
Abbildung 1.
Auf einen Nenner gebracht sind Schwachstellen
schlicht und einfach ein Nebenprodukt unzureichend applizierter Qualitätsstandards im Bereich
der Informationssicherheit. Beispiele sind z.B. fehlende Sicherheitsstandards und Zertifikate bei der
Softwareerstellung, fehlendes / unzureichendes Austes-
Künzler Management Consulting
Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch
ten von neuer Software (inkl. Updates) auf mögliche
Schwachstellen und ineffektives Change Management.
Nicht zu vergessen sind in diesem Zusammenhang aber
auch fehlerhafte / ineffektive firmeninterne Prozesse
z.B. für Patching, Incident-Handling und -Auswertung,
Access Control, Logdatenauswertung.
Dieses Register ist eine Muss-Lektüre für alle CIOs
und CISOs und sollte zweifelsohne als Leitfaden für
die Überprüfung der Vollständigkeit und Aktualität von
firmeninternen Asset-Inventaren und für Cyberspezifische Risikoanalysen beigezogen werden. Das
Dokument liefert wertvolle Informationen zu Bedrohungen und Schwachstellen mit welchen firmeninterne
Schwachstellen- und Bedrohungskataloge erstellt, resp.
ergänzt werden können.
Gemäss dem Register sind durch Cyberangriffe vorranging die folgenden Firmen Assetgruppen bedroht:



Abbildung 1 Typischer Verlauf der Gefährdung
Weitergehende Informationen zu aktuellen Schwachstellen in Software können nebst Websites von Software-Herstellern und Antivirusprodukten z.B. von folgenden Informationsquellen bezogen werden:
Schwachstellenampel des BSI iv oder im aktuellen
Microsoft Security Intelligence Reportv.
Damit eine effektive Abwehrstrategie (Cyberdefense)
für Cybergefahren erstellt werden kann, ist es unumgänglich dass man die Phasen von Cyberangriffen
kennt. Diese sind in Abbildung 2 dargestellt. Dazu hat
das BSI ein nützliches Register aktueller CyberGefährdungen und –Angriffsformen vi bereitgestellt,
welches als PDF Dokument heruntergeladen werden
kann.
Abbildung 2 - Phasen eines Cyberangriffes - © BSI
Das Register enthält umfangreiche Informationen zu
den Themen:




Anhang A – Angreifer,
Anhang B – Angriffsinitiierung,
Anhang C – Angriffsvorbereitung,
Anhang D – Angriffsdurchführung.
3/7
Because security matters...
Informationen,
IT-Dienste,
IT-Systeme.
Damit Cyberangriffen wirksam entgegengewirkt werden kann, müssen Firmen mögliche Schwachstellen
ihrer kritischen Assets kennen und mögliche Bedrohungen und Bedrohungsszenarien als Teil der Risikoanalyse evaluieren. Asset-Inventare sollten jederzeit
aktuell gehalten werden. Gefordert ist u.a. dass alle
autorisierte und unautorisierte Software, sowie alle
aktiven IP-Geräte im Netzwerk (inklusive aller Clients
und Servers) registriert und überwacht sein müssen.
Die aufgeführten Massnahmen für Asset- und Risikomanagement können mit einem ISMS problemlos gehandhabt werden da die entsprechenden Verfahren,
Register und Kataloge Teil eines ISMS sind.
Welche Änderungen sind in naher Zukunft im Bereich Cybersecurity zu erwarten und wie beeinflussen sie allf. ein ISMS?
Es darf erwartet werden das neue Standards zur sicheren Softwareentwicklung und für Sicherheitsarchitekturen entstehen werden. Zudem sind neue Sicherheitsstandards etc. seit längerem in Diskussion. Es dürfte
aber noch einige Jahre dauern bis neue Standards zur
Verfügung stehen, ihre Wirksamkeit bewiesen ist und
zu guter Letzt marktreife erzielen und von den Computerkommunen akzeptiert werden.
Allenfalls muss davon ausgegangen werden, dass in
naher Zukunft neue Vorschriften erlassen werden, welche ggf. vorsehen dass zumindest börsennotierte Firmen ihre Cyberrisiken und erfolgten –Attacken melden
müssen. Entsprechende Diskussionen finden derzeit
beidseits des Atlantiks statt.
Die Situation im Bereich Cybergefahren wird sich in
naher Zukunft nicht entspannen und es werden keine
Lösungen bereitgestellt werden welche von Firmen als
„Allerheilmittel“ adoptiert werden können. Jede Firma
muss ihre Hausaufgaben machen welche für den sicheren Betrieb ihrer kritischen IT Systeme und den umfassenden Schutz ihrer Informations-Assets notwendig
sind. Dazu zählen insbesondere auch die Erstellung und
Aktualisierung von Notfallszenarien und –Plänen, so-
Künzler Management Consulting
Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch
wie die Überprüfung von Backup- und RestoreKonzepten.
Künftige Compliance-Anforderungen und neue Sicherheitsstandards können relativ einfach in ein bestehendes ISMS (Mapping auf bestehende oder neue Controls) integriert werden. Dazu zählt auch die Integration
von Notfallszenarien und -Plänen.
Welche Schritte sollen Firmen im Kampf gegen Cybergefahren einleiten?
Als Erstes sollte sich die Unternehmensführung Gedanken machen über ihre „Kronjuwelen“. Wenn diese
aus rechtlichen und/oder wirtschaftlichen Gründen
(z.B. Spionage) schützenswert sind und kein Inventar,
resp. keine aktuelle und vollständige Risikoanalyse
vorliegt, dann wäre es empfehlenswert zuerst das Asset-Inventar zu erstellen, resp. auf Vollständigkeit hin
zu überprüfen. Alle Assets innerhalb der kritischen
Businessprozesse sollten identifiziert, erfasst, klassifiziert (inkl. Dateneigner zugewiesen) und aktuell gehalten sein. Dieses Inventar sollte die Basis für eine Risikoanalyse sein (inkl. Evaluation möglicher Schwachstellen und Bedrohungen). Anschliessend gilt es die
identifizierten Risiken anhand von geänderten / zusätzlichen Controls auf eine für die Firma akzeptables Niveau zu bringen.
Wenn die kritischen Controls für effektive Cyberabwehr einmal identifiziert sind, gilt es die Wirksamkeit
dieser Controls regelmässig(!) (z.B. durch Assessments, PEN-Testing, etc.) zu überprüfen. Für jedes
dieser Controls muss vorgängig definiert werden was es
bezweckt, wie es implementiert (und ggf. automatisiert)
sein sollte, welche Prozeduren und Tools für eine effektive Implementierung notwendig sind und wie die Effektivität gemessen werden kann. Eine Priorisierung
der Controls (anhand des Risikopotentiales) ist zwingend notwendig um sicherzustellen, dass vorhandene
Ressourcen (Geld & Zeit) da eingesetzt werden wo der
grösste Benefit (Risikominimierung /-Eliminierung)
besteht – z.B. Quick Wins. Eine grossartige Hilfe (Guideline) in diesem Vorhaben ist nicht nur das oben beschriebene Register aktueller Cyber-Gefährdungen und
–Angriffsformen sondern auch die vom CSIS (Center
for Strategic & International Studies) definierten 20
Critical Controls for Effective Cyber Defense vii . Den
Controls liegt eine einheitliche Methodik (Raster) für
die Implementierung, die Messung der Effektivität, die
Metriken und den Test zugrunde und kann von Firmen
als Methodik für die Evaluation von Controls einfach
angewendet werden. Alle Controls sind zudem mit
einer Referenz zu den Anforderungen aus dem NIST
Security Standard versehen. Diese 20 Controls sollten
von Firmen als Basiskatalog für Risikoevaluationen
beigezogen werden.
Im Weiteren ist es erforderlich dass sich die Unternehmensführungen regelmässig einen aktuellen Status
4/7
Because security matters...
(Metriken) über den Umsetzungsstand und die Effektivität derjenigen kritischen Controls geben lassen, welche für das Unternehmen, resp. für die Absicherung der
kritischen Systeme und Unternehmensdaten essentiell
und relevant sind. Teil dieses Reports sollte immer
auch eine Übersicht der aktuellen Informationssicherheitsvorfälle, sowie der daraus resultierenden Verbesserungsmassnahmen sein.
Damit ein veritables Reporting basierend auf aktuellen
und verlässlichen Metriken effektiv und nachhaltend
aufgebaut werden kann sollte sich die Unternehmensführung ausserdem mit dem Thema Informationssicherheits-Managementsystem
(Sicherheits-Framework)
befassen. Sicherheitsrelevante Aktivitäten, Rollen und
Verantwortlichkeiten, Incident-Auswertungen, ad hoc
Assessments, Internal Audits, Risiko Management,
Verbesserungs-Massnahmen,
Mitarbeitersensibilisierungen und Dokumenten Management sind ohne entsprechendes Management System mit Workflowintegration kaum handhabbar und es besteht die Gefahr
von nicht dokumentierten und isolierten ad-hoc Aktivitäten, welche implementierte Metriken verfälschen
können. Der grosse Vorteil eines ISMS ist, dass alle
sicherheitsrelevanten Aktivitäten zentral erfasst sind,
ein Audit Trail besteht und Prozesse für die kontinuierliche Verbesserung, lernen von Incidents, etc. bestehen.
Zur Vereinfachung des operativen Betriebes eines
ISMS sollte ein gut zu betreibendes und auf Standardsbasierendes Tool bereitgestellt werden.
Gibt es für ISMS Vorhaben ein return-on-invest?
Ein ISMS richtig aufgesetzt und angewandt ist ein Garant dafür dass die Informationssicherheit innerhalb
einer Unternehmung (des Anwendungsbereiches) managed d.h. formell aufgesetzt ist und kontinuierlich
verbessert wird, was einer kontinuierlichen Steigerung
der Maturität im Bereich der Informationssicherheit des
Unternehmens bedeutet. Weitere Vorzüge eines ISMS
sind ausserdem:










Auditier- und Nachvollziehbarkeit (Audit Trail) aller Aktivitäten im Bereich der Informationssicherheit (revisionsfähig),
Gute Integration in andere bereits vorhandene Managementsysteme (inkl. internen Kontrollsystemen),
Kontinuierlichen Verbesserung (Prozess Maturität und Wirksamkeit von Controls),
Internationale Anerkennung,
Förderung einer einheitlichen Sprache, Standards und Verständnisses für Informationssicherheit, resp. Cybersecurity
(risikobasierter) Kontrollkatalog,
Einfache Ergänzung mit weiteren verfügbaren (oder künftigen) Standards und gesetzlichen / regulatorischen Anforderungen (COBIT, HIPAA, GxP, DSG, etc.),
Prozessbasierter Aufbau & risikobasierte Vorgehensweise,
Effektivität- & Effizienznachweis durch Selektion geeigneter
Metriken (KPIs),
Management von Katalogen (Schwachstellen, Bedrohungen,
Controls).
Künzler Management Consulting
Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch




Gute Integration in bestehende Prozesse (IT-Prozesse, Dokumentenmanagement, Enterprise Risiko Management, Compliance, etc.),
Pragmatische und flexible Vorgehensweise,
Zertifizierung  kein Präjudiz für Effektivität eines ISMS (!),
Etc.
Kritiker des ISMS werden wahrscheinlich anfügen
wollen, dass sich das ISMS in Westeuropa wo aktuell
weniger als 1% der Firmen über ein zertifiziertes
ISMS verfügen nicht durchgesetzt hat. Wenn man die
Anzahl der zertifizierten Systeme betrachtet stimmt
dies natürlich, wobei es zu berücksichtigen gilt das nur
wenige Firmen eine
Zertifizierung für ihr
Was ist die aktuelle
ISMS anstreben. In der
ISMS Penetration?
Regel sind dies diejeEine verlässliche Quelle zu den
nigen welchen eine
aktuell zertifizierten ISMS Systemen
Zertifizierung auferlegt
nach ISO 27001 gibt es nicht.
worden ist (e.g. 3rd
Eine ungefähre Übersicht liefert das
Party Service ProviInternationale Register von ISMS
ders) oder aber eine
Zertifikaten. Danach gibt es weltweit
ca. 8‘000 zertifizierte Systeme
Zertifizierung
als
(Stand August 2012) (Ref. 6).
Markt-vorteil
sehen.
Wovon auf Deutschland, die
Schweiz und Österreich ca. 300
ISMSs aufgesetzt nach
abfallen dürften.
ISO 27001 sind industDie verlässlichste Quelle für die
rietauglich und können
Schweiz liefert das Staatssekretariafür alle Branchen (inkl.
1
tes (Seco) : 46 zertifizierte Systeme
Banken)
unabhängig
(Stand 14.12.2012).
der Firmengrösse in
Betracht gezogen werden.
Nachfolgend einige Punkte welche wahrscheinlich dazu
beigetragen haben warum sich der Appetit bei Firmen
für ISMS Projekte in der Vergangenheit in Grenzen
gehalten hat:















Fehlende gesetzliche Anforderung für die Etablierung eines
ISMS (im Gegensatz zu IKS und Datenschutz),
CISO getriebene / gebundene Projekte,
CISO verfügt nicht über notwendiges Budget,
Nachweisbarkeit der Effizienz und Effektivität (aus Mangel
an aussagekräftigen, messbaren Metriken),
Informationssicherheit ist nicht auf Agenda des Top Managements,
Falsche Erwartungshaltungen oder Versprechen – der initiale
Aufwand ist ressourcenbindend,
Komplexer nicht selbsterklärender Standard (ISO 2700x Familie),
Implementierung erfordert Involvierung verschiedener non-IT
Skills (Legal, Compliance, Risikomanagement, Dokumentenmanagement, BCM, Entscheidungsträger, etc.),
Bottom-up Approach (Technik richtet es schon),
Consultant getrieben (Unerfahrenheit, fehlendes Verständnis
für die Organisation),
Falsche Toolwahl (falsche / fehlende Evaluationskriterien)
Rasche Zertifizierung angestrebt,
Fehlender / mangelhafter Businesscase bei Projektstart,
Fehlende Überzeugung / Einbindung von Stakeholders,
Etc.
Welche Faktoren gilt es für eine erfolgreiche Umsetzung eines ISMS Projektes zu berücksichtigen?
5/7
Because security matters...
Auf das Thema der Umsetzungsmethodik und Vorgehensweisen für ein ISMS Projekt soll in diesem Artikel
nicht eingegangen werden. Dafür gibt es genügend
Literatur zum Thema. Beispiele hierfür sind: Der ISO
Standard ISO/IEC 27003:2010 Information Technology - Security techniques - Information security management system implementation guidance viii ,der
ISACA Artikel Planning for and Implementing ISO
27001ix oder aber auch der Praxis Leitfaden für Managerx von Teletrust.
Die folgenden Voraussetzungen sollten jedoch erfüllt
sein, resp. berücksichtigt werden, damit ein ISMS nicht
nur erfolgreich als Projekt sondern auch mit nachhaltender Wirkung aufgesetzt und betrieben werden kann:







Aktuelle / vollständige Risikobetrachtung / Gap Analyse
(Festlegung des Startpunktes)
Definierte und durch die Unternehmensführung abgezeichnete
Informationssicherheitsstrategie und -Policy
Business Case mit klarem Scope und Roadmap
Kompetenter und erfahrener Sicherheitsberater (strategischer
GRC Consultant) welcher Vorhaben methodisch d.h. topdown begleitet / steuert und ein gutes Business Acumen hat
Aufbau übergreifender Sicherheitsorganisation
Management buy-in
Toolevaluierung basierend auf eigenen Anforderungen, Standards und Referenzinstallationen
Der Punkt der Toolunterstützung ist wesentlich für die
effiziente und effektive Handhabung eines ISMS. Leider zeigen immer noch viele Toolimplementierungen in
ISMS Projekten eine ernüchternde Bilanz. Die Gründe
dafür liegen grösstenteils in fehlenden Evaluationskriterien und unrealistischen Use Cases, teilweise aber auch
an unausgereifter Software oder Software welche
schlicht über ein Überfluss an Funktionalität verfügt
und so zu Scope Creep (Verzettelung) und zusätzlicher
Komplexität verleitet.
Dabei gibt es heute bereits sehr nützliche und benutzerfreundliche Software im ISMS-Markt, wie z.B. die
QSEC Softwarelösung der WMC GmbH." Das Produkt
basiert gänzlich auf marktüblichen Standards und lässt
sich einfach mit vorhandenen Business Applikationen
wie z.B. AD, Incident Management, Asset Management, oder SharePoint integrieren (siehe dazu Abbildung 3). Nebst den vielen ready-to-use Templates für
Reports, Katalogen, Policies und Metriken besticht die
Software ausserdem durch einen einfachen Aufbau und
Bedienstruktur. Sie erlaubt dem Benutzer ein ISMS
rasch und sicher (d.h. methodisch richtig) aufzusetzen.
Die Stammdaten, inkl. der Abbildung der Organisation,
der Rollen und Verantwortlichkeiten sowie den Zugriffsberechtigungen, etc. können in wenigen Stunden
populiert werden. Die QSEC Software ist ein Beispiel
dafür, dass es ein großer Vorteil in der Lösungsentwicklung ist, wenn der Hersteller selber jahrelang erfolgreich im Security Consulting tätig ist und die gemachten Erfahrungen sich in der Software niederschla-
Künzler Management Consulting
Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch
gen. Die WMC GmbH und mit ihr die QSEC Software
ist seit über 10 Jahren erfolgreich im Markt tätig. Weitere Informationen zu QSEC finden Sie unter:
www.grc-qsec.com.
Abbildung 3 - QSEC Tool
CISOs sollten sich nicht hinreissen lassen ein ISMS
über 12-15 Monate (typische Projektzeiten) hinweg in
einer „Papierversion“ (unzählige Papierdokumente und
Excel Sheets) zu implementieren, welches danach mühsam und mit sehr grossem Aufwand in ein Tool verpflanzt wird. Das Tool sollte zu Projektstart evaluiert
und speditiv implementiert werden so dass nutzbare
Resultate schnell und speditiv (quick Wins) zur Verfügung gestellt werden können.
Die Vorteile eines ISMS Tools (wie der QSEC Lösung)
sind unter anderem:











Firmenweites Massnahmen Management & Tracking,
Verfügbare (und erweiterbare) Kataloge,
Ready-to-use Templates für Metriken, Reporte, Risikoanalyse, Rollen- und -Berechtigungen, Policies, etc.
Berechtigungskonzept – User hat nur Zugriff auf Daten welche er sehen / bearbeiten darf,
Organisationsabbildung (inkl. allfälliger Legal Entities),
Rollen und Verantwortlichkeiten,
Interfaces mit Active Directory, Incident Management System, Asset-Inventar / Risiko Registers,
Konfiguration- und Administrations-Tool,
Mehrsprachenfähigkeit,
Strukturiertes Dokumentenmanagement und –Ablage,
Etc.
Fazit
Das ISMS ist ein bewährtes System mit welchem nebst
den normalen Informations- und IT-Security Risiken
auch Cyberrisiken allumfassend gehandhabt werden
können. Ein ISMS basiert zudem auf der Verwendung
von Metriken (KPIs) als eine der Voraussetzungen für
die kontinuierliche Verbesserung der Sicherheit und als
Basis für das Reporting.
Unternehmen welche sich mit ihren kritischen Unternehmensdaten Cyberrisiken ausgesetzt sehen, sollten
Vorkehrungen treffen dass diese Risiken regelmässig
bewertet und das Unternehmensrisikoregister und entsprechende Notfallpläne aktuell gehalten werden.
CISOs sollten sich Gedanken machen, mit welcher
Vorgehensweise (Methodik) sie Risiken identifizieren,
eliminieren oder minimieren wollen, wie sie Controls
zur Absicherung von Cybergefahren auswählen, effektiv halten und wie sie diese in das bestehende unternehmensweite Sicherheitsdispositiv und -Framework
integrieren können und (zentral) betreiben wollen. Es
sollte ausserdem ihre Pflicht sein, alles zu tun um
wahrgenommene (und von Usern gemeldete) Risiken
und Problemstellungen im Bereich der Informationssicherheit ganzheitlich zu evaluieren und wo angezeigt
der Geschäftsführung in einem monatlichen Bericht
aufzuzeigen.
Geschäftsleitungen müssen ihr Engagement und ihr
Commitment zu Informationssicherheit im Allgemeinen und zu Cybergefahren im Speziellen stärker
zum Ausdruck bringen und Leadership zeigen. Dies
zum Beispiel mit der Etablierung einer übergreifenden
Sicherheitsorganisation, der Etablierung von geeigneten
KPIs(*), sowie der aktiven Mithilfe bei der Zusammenführung von Daten und Prozessen, welche sicherheitsrelevant sind. Ein erster aber wichtiger Schritt dazu ist
das Thema Informationssicherheit auf die Agenda von
Board Meetings zu bringen.
Obwohl das Vorhandensein eines Sicherheitsmanagementsystem bis dato nicht im Gesetz verankert ist, sollten sich Firmen freiwillig für dessen Implementierung
entschliessen. Denn ohne dieses Zugeständnis wird es
nicht möglich sein ihre Sorgfaltspflichten welche der
Unternehmensführung, auch im Falle von Informationssicherheit obliegen, wahrzunehmen.
Januar 2013
Markus Kuenzler
(*) Beispiele von KPIs zur Nachweisbarkeit der Effizienz / Effektivität eines ISMS, können vom Autor bezogen werden.
Der Autor arbeitet seit über 12 Jahren im Bereich GRC (Governance, Risk und Compliance) und hat viele Firmen im in- und Ausland im Aufbau von
ganzheitlichen Informationssicherheits-Frameworks beraten. Er ist ein starker Verfechter der Top-Down Vorgehensweise zu Informationssicherheit, sowie von
IT Investment in Übereinstimmung mit dem unternehmensweiten Risikoregister. Folge dessen sollten technische Massnahmen im Bereich der Informationssicherheit immer im Gesamtkontext eines umfassenden Risikomanagements evaluiert werden. Markus Künzler ist der Besitzer der Künzler Management
Consulting.
Der vorliegende Artikel soll dazu beitragen die Awareness für Cybergefahren zu erhöhen sowie Entscheidungsträgern und Informationsverantwortlichen
Anregungen für den Umgang mit Cybergefahren zu geben und ist keinesfalls als vollumfänglicher Leitfaden für Cybersecurity zu verstehen.
6/7
Because security matters...
Künzler Management Consulting
Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch
Referenzen:
Ref. 1: 2012 Data Breach Investigations Report, Verizon
http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012-press_en_xg.pdf
Ref. 2: Industriespionage 2012, Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar, Computer Trust
http://corporate-trust.de/studie/studie-2012.html
Ref. 3: Microsoft Security Intelligence Report (Volume 13, January through to June 2012)
http://www.microsoft.com/security/sir/default.aspx
Ref. 4. Symantec Internet Security Threat Report 2011 Trends, Volume 17, April 2012:
http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_2011_21239364.en-us.pdf
Ref. 5: Governance of Enterprise Security: CyLab 2012 Report, RSA
http://www.rsa.com/innovation/docs/11656_CMU_-_GOVERNANCE_2012_RSA_Key_Findings_v2_(2).pdf
Ref. 6: International Register of ISMS Certificates
http://www.iso27001certificates.com
Endnoten
i
MILITARY POWER REVUE der Schweizer Armee – Nr. 1 / 2011
http://www.vtg.admin.ch/internet/vtg/en/home/dokumentation/publik_zeitrschr/military_power_revue.parsys.79525.downloadList.38598.Do
wnloadFile.tmp/mpr1111052011.pdf
ii
Industrial Control System Security – Top 10 Bedrohungen, Bundesamt für Sicherheit in der Informationstechnik
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/BSI-A-CS_004.pdf?__blob=publicationFile
iii
Schreckxikon – Computer – und Datensicherheit von A bis Z, Sophos Ltd
http://www.sophos.com/de-de/security-news-trends/security-trends/threatsaurus.aspx
iv
Schwachstellenampel des Bundesamt für Sicherheit in der Informationstechnik
https://www.cert-bund.de/schwachstellenampel
v
See Ref. 3 oben
vi
Register aktueller Cyber-Gefährdungen und – Angriffsfor-men, Bundesamt für Sicherheit in der Informationstechnik
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/BSI-A-CS_001.pdf?__blob=publicationFile
vii
CSIS: 20 Critical Security Controls Version 4.0 , verfügbar über das SANS Institute
http://www.sans.org/critical-security-controls/cag4.pdf
viii
ISO7IEC 27003:2010 Information Technology: -- Security techniques -- Information security management system implementation
guidance (gebührenpflichtig)
http://www.iso.org/iso/catalogue_detail?csnumber=42105
ix
Planning for and Implementing ISO 27001, ISACA Journal Volume4, 2011
http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Documents/jpdf11v4-Planning-for-and.pdf
x
Informationssicherheitsmanagement – Praxisleitfaden für Manager
http://www.teletrust.de/publikationen/broschueren/is-management/
Zusätzliche Informationsressourcen
1. Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken
http://www.isb.admin.ch/themen/strategien/01583/index.html?lang=de
2. Melde- und Analysestelle Informationssicherung MELANI
http://www.melani.admin.ch/
7/7
Because security matters...