Wirkungsvolle Lösungsansätze für einen störungsfreien IT-Betrieb - Michael Meixner, CISSP - IDC CEMA
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Wirkungsvolle Lösungsansätze für einen
störungsfreien IT-Betrieb
Michael Meixner, CISSP
Manager Security & Privacy Services
© 2008 Deloitte Touche TohmatsuAgenda Verlosung: Web-Applikation Audit, Client-Site Penetration Audit Fehleinschätzungen Lösungsansätze – technologieneutral, herstellerunabhängig Wieso IT-Security Deloitte – Wir zertifizieren keine Brandschutztüren 2 © 2009 Deloitte
Verlosung
Verlosung
Die Gewinner erhalten von Deloitte jeweils einen Gutschein für die Durchführung
eines Web-Applikation Audits bzw. eines Client-Site Penetration Audits
Web-Applikation Audit Client-Site Penetration Audit
• Cross Site Scripting (XSS), • Versuch kontrolliert von außen in Ihr
• SQL-Injection, Firmen LAN einzudringen
• PHP-File Inclusion,
• Cross Site Tracing (XST),
• OS Commanding vulnerabilities, Umfang des Audits:
• Cross Site Request Forgery (XSRF) • Vorort Durchführung des Audits
• Wissenstransfer über aktuelle
Umfang des Audits: Angriffsmuster und Methoden
• Vorbesprechung • Qualitätssicherung – Kurzbericht
• Koordinierte Durchführung
• Qualitätssicherung - Kurzbericht
• Abschlussbesprechung
Wert: EUR 1.400,-- Wert: EUR 2.800,--
4 © 2009 DeloitteFehleinschätzungen
Weit verbreitete Irrtümer
„..Ich setze eine Firewall und ich bin sicher“
„..Unser Unternehmen setzt auf VPN
Technologie und laut dem Hersteller
sind wir TOP geschützt..“
„…wir setzen nur
„Unser Virenscanner hat
komplexe Passwörter
bis heute noch jeden
ein, die mindestens 8
Virus gefunden…“
Zeichen lang sind!“
6 © 2009 DeloitteFirewall Design - Ruleset 7 © 2009 Deloitte
Lösungsansätze
• Wer darf Firewall Regeln ändern?
• Werden alle Firewall Regeln geloggt?
• Werden die FW-Logfiles auch einem Review unterzogen?
• Existieren sogenannte „any to any“ Verbindungen?
• Sind spezielle FW-Rule als Alert Rules hinterlegt?
• Hat Ihr Unternehmen eine VPN-Policy?
• Ist „Split-Tunnel“ aktiviert?
• Wie viele Passwort Datenbanken
hat Ihr Unternehmen?
• Würde ich es mitbekommen wenn • Wann wurde Ihre AV
die Datenbank geklaut werden Lösung das letzte mal
würde? getestet?
8 © 2009 DeloitteLösungsansätze
Weit verbreitete Irrtümer bei IT Sicherheit
„..wen interessiert schon mein Business?“
„..technische Lösungen alleine machen Sicher..“
„Sicherheit geht mich nichts an, ich habe alle
IT- Systeme outgesourced…“
10 © 2009 DeloitteMöglicher Lösungsansatz 11 © 2009 Deloitte
Sechs Schritte zu einem wirkungsvollen Lösungsansatz
• Risiken erkennen
‒ Was ist wichtig / wo sind die Chancen?
• Strategie erarbeiten
‒ Wohin will ich?
• Gesetzliche Rahmenbedingungen berücksichtigen
‒ Was betrifft mich / und in welchem Umfang?
• Prozesse festlegen
‒ Abläufe / Verantwortlichkeiten
• Kontrollziele definieren
• Bezogen auf das Risiko und die Strategie
• Kontrollmaßnahmen erarbeiten Technik / Umsetzung
‒ Präventive Kontrollen ‒ Technologieauswahl
‒ Aufdeckende Kontrollen ‒ Herstellerauswahl
‒ Implementierung
12 © 2009 DeloitteChancen- und Risikomanagement ermöglicht.. • den Security Fokus auf die wirklich wichtigen Bereiche lenken ‒ das spart unnötige Sicherheitsaufwände • auch nicht-routinemäßige Abläufe abzudecken ‒ 50% Routinekontrollen / 30% wesentliche Kontrollen / 15% Produktion kritisch • im Fehlerfall die Ressourcen zielgerichtet einzusetzen ‒ Kein verzetteln in unwichtigen Details • eine bedarfsgerechte Darstellung der gesetzten Kontrollen ‒ Berichtswesen und Reporting konzentrieren sich auf die wesentlichen Punkte • Veränderungen schnell zu erkennen ‒ Auf geänderte Rahmenbedingungen kann schneller reagiert werden 13 © 2009 Deloitte
Deloitte Risk Intelligence Map
• Enthält umfangreiche Auflistung an Risikodefinitionen,
die für die meisten Unternehmen größte Relevanz haben
• Liefert eine einheitliche Sprache
der Risikodefinition
• Dient als Diskussionsgrundlage
zur Risiko-Identifikation und
Bewertung
• Zeigt die Querverbindungen und
Abhängigkeiten von RM Silos
• Pendant zur
Deloitte Value Map
14 © 2009 Deloitte Touche
© 2009
Tohmatsu
DeloitteWieso IT-Security?
Neues Gesetz in Deutschland ab 1. September 2009 DE: Neuer Bestandteil des Bundesdatenschutzgesetzes ist der Artikel 42a zur 'Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten'. Er betrifft Unternehmen und öffentliche Stellen, über deren Systeme sich ein Unbefugter Zugriff auf vertrauliche Daten verschafft. Die Daten, die das Gesetz meint, sind neben Bank- oder Kreditkarteninformationen auch personenbezogene Angaben wie ethnische Herkunft oder Gewerkschaftszugehörigkeit sowie Daten zur Gesundheit oder zu strafbaren Handlungen. Unternehmen oder öffentliche Stellen müssen demnach alle Betroffenen informieren, wenn ihre Daten von Unbefugten eingesehen wurden. Vorgesehen ist entweder eine direkte Benachrichtigung oder – wenn eine Benachrichtigung anders nicht möglich ist - durch halbseitige Anzeigen in zwei überregionalen Tageszeitungen. Die Gesetzesänderung ist Teil eines größeren Pakets an datenschutzrechtlichen Vorschriften, das der Bundestag kurz vor der Sommerpause verabschiedet hatte. 16 © 2009 Deloitte
US Security Spezialisten schätzen, dass nur ca. 40% der Unternehmen Sicherheitsvorfälle melden! 17 © 2009 Deloitte
Deloitte Wir zertifizieren keine Brandschutztüren…
Deloitte - Security & Privacy Services Highlights
• Mehr als 10.000 Security, Privacy und IT-Risk Management Professional
weltweit
• Über 1,000 Certified Information Systems Security Professionals (CISSP)
• Mehr als 2,000 Certified Information Systems Auditors (CISA) weltweit
/ Certified Information Security Managers (CISM) weltweit
• Mehr als 50 ISO 27000 series Qualified Lead Auditors and Implementation
Experten
• 30 verbundene Security Technology Centers (STCs) verteilt auf der ganzen
Welt
19 © 2009 DeloitteDeloitte ERS Dienstleistungen 20 © 2009 Deloitte
Herzlichen Dank für Ihre Aufmerksamkeit
Deloitte
Audit Wirtschaftsprüfungs GmbH
Martin Novak, CISSP Renngasse 1/Freyung
Namen und Kontaktadressen
Manager 1010 Wien, Österreich
ERS Security & Privacy Tel +43(0)1 537 00-3780
Fax +43(0)1 537 00-99 3780
mnovak@deloitte.at
www.deloitte.at
Member of Deloitte Touche Tohmatsu
Deloitte
Audit Wirtschaftsprüfungs GmbH
Michael Meixner, CISSP Renngasse 1/Freyung
Manager 1010 Wien, Österreich
ERS Security & Privacy Tel +43(0)1 537 00-3770
Fax +43(0)1 537 00-99 3770
mmeixner@deloitte.at
www.deloitte.at
Member of Deloitte Touche Tohmatsu
Deloitte
Audit Wirtschaftsprüfungs GmbH
Rudolf Mayer, CISSP Renngasse 1/Freyung
Senior 1010 Wien, Österreich
ERS Security & Privacy Tel +43(0)1 537 00-3773
Fax +43(0)1 537 00-99 3773
rumayer@deloitte.at
www.deloitte.at
Member of Deloitte Touche TohmatsuSie können auch lesen
