Newsletter 01/2013 - Künzler Management Consulting GmbH
Transcrição
Newsletter 01/2013 - Künzler Management Consulting GmbH
Künzler Management Consulting Security News 1 / 2013 “Vivamus porta est sed est.” Consulting Services - IS Strategie Wie sollen Firmen Cyberrisiken begegnen – Chancen & Potentiale für ein ISMS? - IS Governance - Risiko Management - Notfall Management K ü nz l e r M a n ag e me n t C o n s ul t i ng Adelboden 1283B C H - 3 4 5 2 G r ü n e n ma t t S wi t z e r l a n d E - ma i l : i n fo @ s e c u r i t y - m a t t e r s . c h www.security-matters.ch © Künzler Management Consulting Künzler Management Consulting Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch Ist ein ISMS das richtige Mittel für Firmen bei der Umsetzung ihrer Cyberdefense Strategien? Wegen den unaufhaltsam stattfindenden technologischen Evolutionen, den geopolitischen Veränderungen ausgelöst durch den globalen Wirtschaftswettkampf, sowie unseren Ansprüchen jederzeit und von überall her auf Firmensysteme und -Daten mit privaten und firmeneigenen Geräten zugreifen zu müssen, müssen getroffene Entscheidungen zu Policies und Controls (Schutzmassnahmen) im Kampf gegen Cybergefahren laufend (!) gegenüber dem sich ändernden Risikobild überprüft und ggf. angepasst werden. Die Dynamik der Cybergefahren wird uns wohl auch in naher Zukunft erhalten bleiben da die Informationssicherheit mit den technologischen Fortschritten nicht wird Schritthalten können wie die letzten 20 Jahre gezeigt haben. Informationen über die aktuelle Cyberspace Sicherheitslage, sowie den aktuellen Sicherheitsstatus von firmeninternen Sicherheits-Frameworks (z.B. Effektivität von Controls) sollten jederzeit aktualisiert vorliegen damit Entscheidungsträger aller Hierarchiestufen abgestimmte und zeitnahe Korrekturen einleiten können. Damit obige Frage beantwortet werden kann müssen wir verstehen wie Cyberangriffe ablaufen, wie sich die aufdrängenden Massnahmen zur Minimierung von Cyberrisiken mit einem ISMS adressieren und verwalten lassen und was es braucht um ein ISMS erfolgreich aufzubauen und zu betreiben. Cyberangriffe nutzen immer Schwachstellen im Sicherheits-Framework einer Unternehmung aus. Wo setzt effektive Cyberdefense an? Im Artikel Cyber Defense der Schweiz i ist dargelegt dass für einen erfolgreichen Cyberangriff drei Voraussetzungen erfüllt sein müssen: Was ist ein ISMS? 1. Das eigene SysÄhnlich wie ein Qualitätsmanatem muss über eine oder gementsystem nach ISO 9001 ist ein ISMS ein Managementsystem mehrere Schwachstellen für Informationssicherheit. Es besteht aus Verfahren und Regeln verfügen, welche ausgeum Informationssicherheit zu nützt werden können, steuern. 2. Die Schwachstelle Zwei Standards sind massgebend: für das eigentliche Managementmuss erahnt oder bekannt system ISO/IEC 27001:2005 und sein und der Angreifer für die Sicherheitsthemengebiete ISO/IEC 27002:2005 - ein 135 muss über eine Methode Controls umfassender Katalog. der Ausnutzung verfügen, Ein ISMS lässt sich nach ISO/IEC 27001:2005 zertifizieren. 3. Es muss ein Beweggrund (Motiv) für eine Cyberattacke vorhanden sein. Während Firmen nur bedingt Einfluss auf das Motiv möglicher Angriffe nehmen können, sollten Sicherheitsverantwortliche den Fokus auf das Auffinden der Schwachstellen in der eigenen Infrastruktur und das entsprechende Schwachstellen Management legen. 2/7 Because security matters... Jeder CIO und CISO sollte ein gutes Verständnis über Angriffsablaufphasen sowie die aktuellen vom Cyberspace ausgehenden Bedrohungen haben, (Angriffsarten), sowie die möglichen Angriffsziele in der eigenen Unternehmung kennen. Auf die Bedrohungen wird in diesem Artikel nicht weiter eingegangen. Dazu gibt es relativ gute und aktuell gehaltene Quellen wie z.B. die Liste der Top 10 Bedrohungenii des Bundesamtes für Sicherheit in der Informationstechnik, BSI. Wir wollen uns vielmehr den Schwachstellen und dem Angriffsablauf zuwenden um zu verstehen wo wir mit Cyberdefense ansetzen können. Schwachstellen sind Fehler in Softwareprogrammen und erlauben einem Angreifer die Vertraulichkeit, Integrität oder Verfügbarkeit von Software, Businessapplikationen oder Geschäftsdaten zu kompromittieren. Schwachstellen sind vorhanden in Operating Systems (z.B. Windows, Apple IOS), Browsern, Applikationen (aber auch in firmeninternen Prozessen). Schwachstellen können aber auch in Antiviren-, Malwareentfernungsprogrammen und Firmware / Treibern, etc. bestehen. Zu Bedenken gilt es ferner dass solche Sicherheitslücken nicht immer auf Fehler bei der Softwareerstellung zurückzuführen sein müssen, sondern auch mit einer gewissen Absicht (z.B. krimineller Einige Zahlen zu CybergeArt, Staatsschutz) fahren eingebaut sein kön98% aller Data Breaches durch nen. externe Agents verübt (+6 % gegenüber 2011) verübt; in 69% war Schwachstellen sind Malware (+20%) involviert (Ref. 1). allgegenwärtig und Jährlicher Schaden für Deutschland: € häufig, wie sonst er4.2 Mia (46.8 % Hackerangriffe); klärt man sich die Attackierte Abteilungen: 1. Vertrieb, vielen Patches welche 2. F&E, 3.M&A, 4. IT (Ref. 2). Hersteller laufend zur Grösste Bedrohungsfamilie im 1H12: Win32/Keygen; Blacole der am Verfügung stellen. meisten detektierte Exploit eingefanDer Lebenszyklus gen durch 1. HTML / JavaScript, 2. Java, 3. Documents, 4. Operating einer Schwachstelle Systems, 5. Shellcode. (Ref. 3). spielt bei der AusnutSymantec’s AVs blockierte weltweit zung eine wesentliche 5.5 Mia Malware Attacken in 2011; iii Rolle. Ein Exploit 403 Mio neue Varianten von Malware kann eine Schwachin 2011 (Ref. 4). stelle nur solange Cyber Governance: Regelmässige Board Reviews / Approval der Key ausnutzen wie keine Policies, Sicherheitsrisiken und Updates seitens der Budget für IT Sicherheit: < 40% (Ref. Hersteller verfügbar 5). sind (Zero-DayExploit). Siehe dazu Abbildung 1. Auf einen Nenner gebracht sind Schwachstellen schlicht und einfach ein Nebenprodukt unzureichend applizierter Qualitätsstandards im Bereich der Informationssicherheit. Beispiele sind z.B. fehlende Sicherheitsstandards und Zertifikate bei der Softwareerstellung, fehlendes / unzureichendes Austes- Künzler Management Consulting Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch ten von neuer Software (inkl. Updates) auf mögliche Schwachstellen und ineffektives Change Management. Nicht zu vergessen sind in diesem Zusammenhang aber auch fehlerhafte / ineffektive firmeninterne Prozesse z.B. für Patching, Incident-Handling und -Auswertung, Access Control, Logdatenauswertung. Dieses Register ist eine Muss-Lektüre für alle CIOs und CISOs und sollte zweifelsohne als Leitfaden für die Überprüfung der Vollständigkeit und Aktualität von firmeninternen Asset-Inventaren und für Cyberspezifische Risikoanalysen beigezogen werden. Das Dokument liefert wertvolle Informationen zu Bedrohungen und Schwachstellen mit welchen firmeninterne Schwachstellen- und Bedrohungskataloge erstellt, resp. ergänzt werden können. Gemäss dem Register sind durch Cyberangriffe vorranging die folgenden Firmen Assetgruppen bedroht: Abbildung 1 Typischer Verlauf der Gefährdung Weitergehende Informationen zu aktuellen Schwachstellen in Software können nebst Websites von Software-Herstellern und Antivirusprodukten z.B. von folgenden Informationsquellen bezogen werden: Schwachstellenampel des BSI iv oder im aktuellen Microsoft Security Intelligence Reportv. Damit eine effektive Abwehrstrategie (Cyberdefense) für Cybergefahren erstellt werden kann, ist es unumgänglich dass man die Phasen von Cyberangriffen kennt. Diese sind in Abbildung 2 dargestellt. Dazu hat das BSI ein nützliches Register aktueller CyberGefährdungen und –Angriffsformen vi bereitgestellt, welches als PDF Dokument heruntergeladen werden kann. Abbildung 2 - Phasen eines Cyberangriffes - © BSI Das Register enthält umfangreiche Informationen zu den Themen: Anhang A – Angreifer, Anhang B – Angriffsinitiierung, Anhang C – Angriffsvorbereitung, Anhang D – Angriffsdurchführung. 3/7 Because security matters... Informationen, IT-Dienste, IT-Systeme. Damit Cyberangriffen wirksam entgegengewirkt werden kann, müssen Firmen mögliche Schwachstellen ihrer kritischen Assets kennen und mögliche Bedrohungen und Bedrohungsszenarien als Teil der Risikoanalyse evaluieren. Asset-Inventare sollten jederzeit aktuell gehalten werden. Gefordert ist u.a. dass alle autorisierte und unautorisierte Software, sowie alle aktiven IP-Geräte im Netzwerk (inklusive aller Clients und Servers) registriert und überwacht sein müssen. Die aufgeführten Massnahmen für Asset- und Risikomanagement können mit einem ISMS problemlos gehandhabt werden da die entsprechenden Verfahren, Register und Kataloge Teil eines ISMS sind. Welche Änderungen sind in naher Zukunft im Bereich Cybersecurity zu erwarten und wie beeinflussen sie allf. ein ISMS? Es darf erwartet werden das neue Standards zur sicheren Softwareentwicklung und für Sicherheitsarchitekturen entstehen werden. Zudem sind neue Sicherheitsstandards etc. seit längerem in Diskussion. Es dürfte aber noch einige Jahre dauern bis neue Standards zur Verfügung stehen, ihre Wirksamkeit bewiesen ist und zu guter Letzt marktreife erzielen und von den Computerkommunen akzeptiert werden. Allenfalls muss davon ausgegangen werden, dass in naher Zukunft neue Vorschriften erlassen werden, welche ggf. vorsehen dass zumindest börsennotierte Firmen ihre Cyberrisiken und erfolgten –Attacken melden müssen. Entsprechende Diskussionen finden derzeit beidseits des Atlantiks statt. Die Situation im Bereich Cybergefahren wird sich in naher Zukunft nicht entspannen und es werden keine Lösungen bereitgestellt werden welche von Firmen als „Allerheilmittel“ adoptiert werden können. Jede Firma muss ihre Hausaufgaben machen welche für den sicheren Betrieb ihrer kritischen IT Systeme und den umfassenden Schutz ihrer Informations-Assets notwendig sind. Dazu zählen insbesondere auch die Erstellung und Aktualisierung von Notfallszenarien und –Plänen, so- Künzler Management Consulting Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch wie die Überprüfung von Backup- und RestoreKonzepten. Künftige Compliance-Anforderungen und neue Sicherheitsstandards können relativ einfach in ein bestehendes ISMS (Mapping auf bestehende oder neue Controls) integriert werden. Dazu zählt auch die Integration von Notfallszenarien und -Plänen. Welche Schritte sollen Firmen im Kampf gegen Cybergefahren einleiten? Als Erstes sollte sich die Unternehmensführung Gedanken machen über ihre „Kronjuwelen“. Wenn diese aus rechtlichen und/oder wirtschaftlichen Gründen (z.B. Spionage) schützenswert sind und kein Inventar, resp. keine aktuelle und vollständige Risikoanalyse vorliegt, dann wäre es empfehlenswert zuerst das Asset-Inventar zu erstellen, resp. auf Vollständigkeit hin zu überprüfen. Alle Assets innerhalb der kritischen Businessprozesse sollten identifiziert, erfasst, klassifiziert (inkl. Dateneigner zugewiesen) und aktuell gehalten sein. Dieses Inventar sollte die Basis für eine Risikoanalyse sein (inkl. Evaluation möglicher Schwachstellen und Bedrohungen). Anschliessend gilt es die identifizierten Risiken anhand von geänderten / zusätzlichen Controls auf eine für die Firma akzeptables Niveau zu bringen. Wenn die kritischen Controls für effektive Cyberabwehr einmal identifiziert sind, gilt es die Wirksamkeit dieser Controls regelmässig(!) (z.B. durch Assessments, PEN-Testing, etc.) zu überprüfen. Für jedes dieser Controls muss vorgängig definiert werden was es bezweckt, wie es implementiert (und ggf. automatisiert) sein sollte, welche Prozeduren und Tools für eine effektive Implementierung notwendig sind und wie die Effektivität gemessen werden kann. Eine Priorisierung der Controls (anhand des Risikopotentiales) ist zwingend notwendig um sicherzustellen, dass vorhandene Ressourcen (Geld & Zeit) da eingesetzt werden wo der grösste Benefit (Risikominimierung /-Eliminierung) besteht – z.B. Quick Wins. Eine grossartige Hilfe (Guideline) in diesem Vorhaben ist nicht nur das oben beschriebene Register aktueller Cyber-Gefährdungen und –Angriffsformen sondern auch die vom CSIS (Center for Strategic & International Studies) definierten 20 Critical Controls for Effective Cyber Defense vii . Den Controls liegt eine einheitliche Methodik (Raster) für die Implementierung, die Messung der Effektivität, die Metriken und den Test zugrunde und kann von Firmen als Methodik für die Evaluation von Controls einfach angewendet werden. Alle Controls sind zudem mit einer Referenz zu den Anforderungen aus dem NIST Security Standard versehen. Diese 20 Controls sollten von Firmen als Basiskatalog für Risikoevaluationen beigezogen werden. Im Weiteren ist es erforderlich dass sich die Unternehmensführungen regelmässig einen aktuellen Status 4/7 Because security matters... (Metriken) über den Umsetzungsstand und die Effektivität derjenigen kritischen Controls geben lassen, welche für das Unternehmen, resp. für die Absicherung der kritischen Systeme und Unternehmensdaten essentiell und relevant sind. Teil dieses Reports sollte immer auch eine Übersicht der aktuellen Informationssicherheitsvorfälle, sowie der daraus resultierenden Verbesserungsmassnahmen sein. Damit ein veritables Reporting basierend auf aktuellen und verlässlichen Metriken effektiv und nachhaltend aufgebaut werden kann sollte sich die Unternehmensführung ausserdem mit dem Thema Informationssicherheits-Managementsystem (Sicherheits-Framework) befassen. Sicherheitsrelevante Aktivitäten, Rollen und Verantwortlichkeiten, Incident-Auswertungen, ad hoc Assessments, Internal Audits, Risiko Management, Verbesserungs-Massnahmen, Mitarbeitersensibilisierungen und Dokumenten Management sind ohne entsprechendes Management System mit Workflowintegration kaum handhabbar und es besteht die Gefahr von nicht dokumentierten und isolierten ad-hoc Aktivitäten, welche implementierte Metriken verfälschen können. Der grosse Vorteil eines ISMS ist, dass alle sicherheitsrelevanten Aktivitäten zentral erfasst sind, ein Audit Trail besteht und Prozesse für die kontinuierliche Verbesserung, lernen von Incidents, etc. bestehen. Zur Vereinfachung des operativen Betriebes eines ISMS sollte ein gut zu betreibendes und auf Standardsbasierendes Tool bereitgestellt werden. Gibt es für ISMS Vorhaben ein return-on-invest? Ein ISMS richtig aufgesetzt und angewandt ist ein Garant dafür dass die Informationssicherheit innerhalb einer Unternehmung (des Anwendungsbereiches) managed d.h. formell aufgesetzt ist und kontinuierlich verbessert wird, was einer kontinuierlichen Steigerung der Maturität im Bereich der Informationssicherheit des Unternehmens bedeutet. Weitere Vorzüge eines ISMS sind ausserdem: Auditier- und Nachvollziehbarkeit (Audit Trail) aller Aktivitäten im Bereich der Informationssicherheit (revisionsfähig), Gute Integration in andere bereits vorhandene Managementsysteme (inkl. internen Kontrollsystemen), Kontinuierlichen Verbesserung (Prozess Maturität und Wirksamkeit von Controls), Internationale Anerkennung, Förderung einer einheitlichen Sprache, Standards und Verständnisses für Informationssicherheit, resp. Cybersecurity (risikobasierter) Kontrollkatalog, Einfache Ergänzung mit weiteren verfügbaren (oder künftigen) Standards und gesetzlichen / regulatorischen Anforderungen (COBIT, HIPAA, GxP, DSG, etc.), Prozessbasierter Aufbau & risikobasierte Vorgehensweise, Effektivität- & Effizienznachweis durch Selektion geeigneter Metriken (KPIs), Management von Katalogen (Schwachstellen, Bedrohungen, Controls). Künzler Management Consulting Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch Gute Integration in bestehende Prozesse (IT-Prozesse, Dokumentenmanagement, Enterprise Risiko Management, Compliance, etc.), Pragmatische und flexible Vorgehensweise, Zertifizierung kein Präjudiz für Effektivität eines ISMS (!), Etc. Kritiker des ISMS werden wahrscheinlich anfügen wollen, dass sich das ISMS in Westeuropa wo aktuell weniger als 1% der Firmen über ein zertifiziertes ISMS verfügen nicht durchgesetzt hat. Wenn man die Anzahl der zertifizierten Systeme betrachtet stimmt dies natürlich, wobei es zu berücksichtigen gilt das nur wenige Firmen eine Zertifizierung für ihr Was ist die aktuelle ISMS anstreben. In der ISMS Penetration? Regel sind dies diejeEine verlässliche Quelle zu den nigen welchen eine aktuell zertifizierten ISMS Systemen Zertifizierung auferlegt nach ISO 27001 gibt es nicht. worden ist (e.g. 3rd Eine ungefähre Übersicht liefert das Party Service ProviInternationale Register von ISMS ders) oder aber eine Zertifikaten. Danach gibt es weltweit ca. 8‘000 zertifizierte Systeme Zertifizierung als (Stand August 2012) (Ref. 6). Markt-vorteil sehen. Wovon auf Deutschland, die Schweiz und Österreich ca. 300 ISMSs aufgesetzt nach abfallen dürften. ISO 27001 sind industDie verlässlichste Quelle für die rietauglich und können Schweiz liefert das Staatssekretariafür alle Branchen (inkl. 1 tes (Seco) : 46 zertifizierte Systeme Banken) unabhängig (Stand 14.12.2012). der Firmengrösse in Betracht gezogen werden. Nachfolgend einige Punkte welche wahrscheinlich dazu beigetragen haben warum sich der Appetit bei Firmen für ISMS Projekte in der Vergangenheit in Grenzen gehalten hat: Fehlende gesetzliche Anforderung für die Etablierung eines ISMS (im Gegensatz zu IKS und Datenschutz), CISO getriebene / gebundene Projekte, CISO verfügt nicht über notwendiges Budget, Nachweisbarkeit der Effizienz und Effektivität (aus Mangel an aussagekräftigen, messbaren Metriken), Informationssicherheit ist nicht auf Agenda des Top Managements, Falsche Erwartungshaltungen oder Versprechen – der initiale Aufwand ist ressourcenbindend, Komplexer nicht selbsterklärender Standard (ISO 2700x Familie), Implementierung erfordert Involvierung verschiedener non-IT Skills (Legal, Compliance, Risikomanagement, Dokumentenmanagement, BCM, Entscheidungsträger, etc.), Bottom-up Approach (Technik richtet es schon), Consultant getrieben (Unerfahrenheit, fehlendes Verständnis für die Organisation), Falsche Toolwahl (falsche / fehlende Evaluationskriterien) Rasche Zertifizierung angestrebt, Fehlender / mangelhafter Businesscase bei Projektstart, Fehlende Überzeugung / Einbindung von Stakeholders, Etc. Welche Faktoren gilt es für eine erfolgreiche Umsetzung eines ISMS Projektes zu berücksichtigen? 5/7 Because security matters... Auf das Thema der Umsetzungsmethodik und Vorgehensweisen für ein ISMS Projekt soll in diesem Artikel nicht eingegangen werden. Dafür gibt es genügend Literatur zum Thema. Beispiele hierfür sind: Der ISO Standard ISO/IEC 27003:2010 Information Technology - Security techniques - Information security management system implementation guidance viii ,der ISACA Artikel Planning for and Implementing ISO 27001ix oder aber auch der Praxis Leitfaden für Managerx von Teletrust. Die folgenden Voraussetzungen sollten jedoch erfüllt sein, resp. berücksichtigt werden, damit ein ISMS nicht nur erfolgreich als Projekt sondern auch mit nachhaltender Wirkung aufgesetzt und betrieben werden kann: Aktuelle / vollständige Risikobetrachtung / Gap Analyse (Festlegung des Startpunktes) Definierte und durch die Unternehmensführung abgezeichnete Informationssicherheitsstrategie und -Policy Business Case mit klarem Scope und Roadmap Kompetenter und erfahrener Sicherheitsberater (strategischer GRC Consultant) welcher Vorhaben methodisch d.h. topdown begleitet / steuert und ein gutes Business Acumen hat Aufbau übergreifender Sicherheitsorganisation Management buy-in Toolevaluierung basierend auf eigenen Anforderungen, Standards und Referenzinstallationen Der Punkt der Toolunterstützung ist wesentlich für die effiziente und effektive Handhabung eines ISMS. Leider zeigen immer noch viele Toolimplementierungen in ISMS Projekten eine ernüchternde Bilanz. Die Gründe dafür liegen grösstenteils in fehlenden Evaluationskriterien und unrealistischen Use Cases, teilweise aber auch an unausgereifter Software oder Software welche schlicht über ein Überfluss an Funktionalität verfügt und so zu Scope Creep (Verzettelung) und zusätzlicher Komplexität verleitet. Dabei gibt es heute bereits sehr nützliche und benutzerfreundliche Software im ISMS-Markt, wie z.B. die QSEC Softwarelösung der WMC GmbH." Das Produkt basiert gänzlich auf marktüblichen Standards und lässt sich einfach mit vorhandenen Business Applikationen wie z.B. AD, Incident Management, Asset Management, oder SharePoint integrieren (siehe dazu Abbildung 3). Nebst den vielen ready-to-use Templates für Reports, Katalogen, Policies und Metriken besticht die Software ausserdem durch einen einfachen Aufbau und Bedienstruktur. Sie erlaubt dem Benutzer ein ISMS rasch und sicher (d.h. methodisch richtig) aufzusetzen. Die Stammdaten, inkl. der Abbildung der Organisation, der Rollen und Verantwortlichkeiten sowie den Zugriffsberechtigungen, etc. können in wenigen Stunden populiert werden. Die QSEC Software ist ein Beispiel dafür, dass es ein großer Vorteil in der Lösungsentwicklung ist, wenn der Hersteller selber jahrelang erfolgreich im Security Consulting tätig ist und die gemachten Erfahrungen sich in der Software niederschla- Künzler Management Consulting Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch gen. Die WMC GmbH und mit ihr die QSEC Software ist seit über 10 Jahren erfolgreich im Markt tätig. Weitere Informationen zu QSEC finden Sie unter: www.grc-qsec.com. Abbildung 3 - QSEC Tool CISOs sollten sich nicht hinreissen lassen ein ISMS über 12-15 Monate (typische Projektzeiten) hinweg in einer „Papierversion“ (unzählige Papierdokumente und Excel Sheets) zu implementieren, welches danach mühsam und mit sehr grossem Aufwand in ein Tool verpflanzt wird. Das Tool sollte zu Projektstart evaluiert und speditiv implementiert werden so dass nutzbare Resultate schnell und speditiv (quick Wins) zur Verfügung gestellt werden können. Die Vorteile eines ISMS Tools (wie der QSEC Lösung) sind unter anderem: Firmenweites Massnahmen Management & Tracking, Verfügbare (und erweiterbare) Kataloge, Ready-to-use Templates für Metriken, Reporte, Risikoanalyse, Rollen- und -Berechtigungen, Policies, etc. Berechtigungskonzept – User hat nur Zugriff auf Daten welche er sehen / bearbeiten darf, Organisationsabbildung (inkl. allfälliger Legal Entities), Rollen und Verantwortlichkeiten, Interfaces mit Active Directory, Incident Management System, Asset-Inventar / Risiko Registers, Konfiguration- und Administrations-Tool, Mehrsprachenfähigkeit, Strukturiertes Dokumentenmanagement und –Ablage, Etc. Fazit Das ISMS ist ein bewährtes System mit welchem nebst den normalen Informations- und IT-Security Risiken auch Cyberrisiken allumfassend gehandhabt werden können. Ein ISMS basiert zudem auf der Verwendung von Metriken (KPIs) als eine der Voraussetzungen für die kontinuierliche Verbesserung der Sicherheit und als Basis für das Reporting. Unternehmen welche sich mit ihren kritischen Unternehmensdaten Cyberrisiken ausgesetzt sehen, sollten Vorkehrungen treffen dass diese Risiken regelmässig bewertet und das Unternehmensrisikoregister und entsprechende Notfallpläne aktuell gehalten werden. CISOs sollten sich Gedanken machen, mit welcher Vorgehensweise (Methodik) sie Risiken identifizieren, eliminieren oder minimieren wollen, wie sie Controls zur Absicherung von Cybergefahren auswählen, effektiv halten und wie sie diese in das bestehende unternehmensweite Sicherheitsdispositiv und -Framework integrieren können und (zentral) betreiben wollen. Es sollte ausserdem ihre Pflicht sein, alles zu tun um wahrgenommene (und von Usern gemeldete) Risiken und Problemstellungen im Bereich der Informationssicherheit ganzheitlich zu evaluieren und wo angezeigt der Geschäftsführung in einem monatlichen Bericht aufzuzeigen. Geschäftsleitungen müssen ihr Engagement und ihr Commitment zu Informationssicherheit im Allgemeinen und zu Cybergefahren im Speziellen stärker zum Ausdruck bringen und Leadership zeigen. Dies zum Beispiel mit der Etablierung einer übergreifenden Sicherheitsorganisation, der Etablierung von geeigneten KPIs(*), sowie der aktiven Mithilfe bei der Zusammenführung von Daten und Prozessen, welche sicherheitsrelevant sind. Ein erster aber wichtiger Schritt dazu ist das Thema Informationssicherheit auf die Agenda von Board Meetings zu bringen. Obwohl das Vorhandensein eines Sicherheitsmanagementsystem bis dato nicht im Gesetz verankert ist, sollten sich Firmen freiwillig für dessen Implementierung entschliessen. Denn ohne dieses Zugeständnis wird es nicht möglich sein ihre Sorgfaltspflichten welche der Unternehmensführung, auch im Falle von Informationssicherheit obliegen, wahrzunehmen. Januar 2013 Markus Kuenzler (*) Beispiele von KPIs zur Nachweisbarkeit der Effizienz / Effektivität eines ISMS, können vom Autor bezogen werden. Der Autor arbeitet seit über 12 Jahren im Bereich GRC (Governance, Risk und Compliance) und hat viele Firmen im in- und Ausland im Aufbau von ganzheitlichen Informationssicherheits-Frameworks beraten. Er ist ein starker Verfechter der Top-Down Vorgehensweise zu Informationssicherheit, sowie von IT Investment in Übereinstimmung mit dem unternehmensweiten Risikoregister. Folge dessen sollten technische Massnahmen im Bereich der Informationssicherheit immer im Gesamtkontext eines umfassenden Risikomanagements evaluiert werden. Markus Künzler ist der Besitzer der Künzler Management Consulting. Der vorliegende Artikel soll dazu beitragen die Awareness für Cybergefahren zu erhöhen sowie Entscheidungsträgern und Informationsverantwortlichen Anregungen für den Umgang mit Cybergefahren zu geben und ist keinesfalls als vollumfänglicher Leitfaden für Cybersecurity zu verstehen. 6/7 Because security matters... Künzler Management Consulting Adelboden 1283B,CH-3452 Grünenmatt - +41 34 431 28 00 / +41 79 655 08 67 - [email protected] - www.security-matters.ch Referenzen: Ref. 1: 2012 Data Breach Investigations Report, Verizon http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012-press_en_xg.pdf Ref. 2: Industriespionage 2012, Aktuelle Risiken für die deutsche Wirtschaft durch Cyberwar, Computer Trust http://corporate-trust.de/studie/studie-2012.html Ref. 3: Microsoft Security Intelligence Report (Volume 13, January through to June 2012) http://www.microsoft.com/security/sir/default.aspx Ref. 4. Symantec Internet Security Threat Report 2011 Trends, Volume 17, April 2012: http://www.symantec.com/content/en/us/enterprise/other_resources/b-istr_main_report_2011_21239364.en-us.pdf Ref. 5: Governance of Enterprise Security: CyLab 2012 Report, RSA http://www.rsa.com/innovation/docs/11656_CMU_-_GOVERNANCE_2012_RSA_Key_Findings_v2_(2).pdf Ref. 6: International Register of ISMS Certificates http://www.iso27001certificates.com Endnoten i MILITARY POWER REVUE der Schweizer Armee – Nr. 1 / 2011 http://www.vtg.admin.ch/internet/vtg/en/home/dokumentation/publik_zeitrschr/military_power_revue.parsys.79525.downloadList.38598.Do wnloadFile.tmp/mpr1111052011.pdf ii Industrial Control System Security – Top 10 Bedrohungen, Bundesamt für Sicherheit in der Informationstechnik https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/BSI-A-CS_004.pdf?__blob=publicationFile iii Schreckxikon – Computer – und Datensicherheit von A bis Z, Sophos Ltd http://www.sophos.com/de-de/security-news-trends/security-trends/threatsaurus.aspx iv Schwachstellenampel des Bundesamt für Sicherheit in der Informationstechnik https://www.cert-bund.de/schwachstellenampel v See Ref. 3 oben vi Register aktueller Cyber-Gefährdungen und – Angriffsfor-men, Bundesamt für Sicherheit in der Informationstechnik https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Cyber-Sicherheit/BSI-A-CS_001.pdf?__blob=publicationFile vii CSIS: 20 Critical Security Controls Version 4.0 , verfügbar über das SANS Institute http://www.sans.org/critical-security-controls/cag4.pdf viii ISO7IEC 27003:2010 Information Technology: -- Security techniques -- Information security management system implementation guidance (gebührenpflichtig) http://www.iso.org/iso/catalogue_detail?csnumber=42105 ix Planning for and Implementing ISO 27001, ISACA Journal Volume4, 2011 http://www.isaca.org/Journal/Past-Issues/2011/Volume-4/Documents/jpdf11v4-Planning-for-and.pdf x Informationssicherheitsmanagement – Praxisleitfaden für Manager http://www.teletrust.de/publikationen/broschueren/is-management/ Zusätzliche Informationsressourcen 1. Nationale Strategie zum Schutz der Schweiz vor Cyber-Risiken http://www.isb.admin.ch/themen/strategien/01583/index.html?lang=de 2. Melde- und Analysestelle Informationssicherung MELANI http://www.melani.admin.ch/ 7/7 Because security matters...