Freitag, Dezember 19, 2008

Marcus Dahlen: ISO 27001 - Security ist mehr als Virenschutz und Firewalls

Hej igen!

In meinem letzten Blog habe ich über ein Projekt im Bereich „Security Risk Management“ erzählt, wo wir gezeigt haben, wie sicherheitsrelevante Probleme (keine übergreifende Koordination der Sicherheitsthemen, kein IT-Risikomanagement, etc.) durch ein ISMS (Informationssicherheitsmanagementsystem) mit ISO 27001 und IT-Grundschutz vom BSI (Bundesamt für Sicherheit in der Informationstechnik) bewältigt werden können.

Andere häufig vorkommende Sicherheitsprobleme, die viele Unternehmen betroffen sind u.a. „ineffektive“ Sicherheitsorganisationen, kein verbreitetes Verständnis für Informationssicherheit (Security Awareness) und keine standardisierten, bekannten und „gelebten“ Sicherheitsrichtlinien (Security Policies, Guidelines, Standards, etc) innerhalb des Unternehmens.

ISO 27001 ist mit anderen ISO Normen, wie ISO 14001 für Umweltmanagement und ISO 9001 für Qualitätsmanagement, verwandt und von der Vorgehensweise sehr ähnlich aufgebaut. Alle drei Normen bauen auf dem PDCA-Zyklus nach William Deming. (PDCA steht für Plan, Do, Check und Act). ISO 27001 (von 2005) beschreibt (hauptsächlich) Prozesse zur Einführung (Plan), Umsetzung (Do), Betrieb und Überwachung (Check) eines ISMS sowie deren kontinuierliche Verbesserung (Act). Eine Grundidee bei ISO27001 ist ein Framework zu bieten mit dem Prozesse, für das Management von Informationssicherheit, etabliert und gelebt werden können. Andere Schwerpunkte sind die Verantwortung für Informationssicherheit bei der Führungsebene in einer Organisation zu verankern und ein IT-Risikomanagementsystem zu etablieren.

Die Norm beinhaltet Themen wie Security Organization, IT Risk Management, Security Awareness, Security Policy, etc. Zu der ISO-Familie ISO 2700x gehört auch ISO 27002 (Code of Practice). In dieser Norm sind zehn Kapitel mit Maßnahmen, so genannte „Security Controls“, definiert. Das sind high-level Maßnahmen wie z.B. Erstellung und Review von Sicherheitsrichtlinien, Information Back-Up und Security of Network Services.

Wo IT-Grundschutz von BSI einen basisschutzorientierten Bottom-Up-Ansatz mit IT-Sicherheitsfokus hat, bietet ISO 27001 eher einen prozessorientierten, risikobasierten Top-Down-Ansatz für Informationssicherheit. Die IT-Grundschutz-Methodik vom BSI wurde 2005 in Deutschland weiterentwickelt, um ISO 27001-konform zu sein. In diesem Zusammenhang wurden die BSI-Standards (ISMS, IT-Grundschutz-Vorgehensweise, etc.) veröffentlicht, die zusammen mit den Gefährdungs- und Maßnahmen-Katalogen umfangreiche Informationen zur IT-Sicherheit beinhalten. Ein Unternehmen hat heute daher die Möglichkeit ein ISMS nach ISO 27001 auf Basis von IT-Grundschutz einzuführen.

Genau wie für ISO 9001 und ISO 14001 kann man ein komplettes Unternehmen oder ein Teil des Unternehmens (z.B. kritische Geschäftsprozesse) auch zertifizieren lassen. Ein Zertifikat kann z.B. einen Wettbewerbsvorteil bieten oder ein Maßstab für die Umsetzung von Sicherheitsmaßnahmen für das Unternehmen sein. Eine Zertifizierung ist eigentlich eine Momentaufnahme, aber weil ISO 27001 prozessorientiert ausgerichtet ist, wird bei der Zertifizierung geprüft, ob Prozesse etabliert sind, die auf Vorfälle geeignet reagieren kann und ob das Sicherheitsmanagement gelebt wird.

Hej då och God Jul! (Frohe Weihnachten!)

Marcus

Dienstag, Dezember 09, 2008

Marcus Dahlen: Informationssicherheit@Accenture

Hej allesammans!

Ich heiße Marcus Dahlén und komme aus Mjölby, einer sehr kleinen Stadt auf dem Land nicht weit vom Vätternsee und ca. 2 Stunden südlich von Stockholm in Schweden. Ich bin seit etwa 5 Jahren in Deutschland und seit ca. 3 Jahren bei Accenture in der Technologieberatung, spezialisiert auf Security. Mein Weg zu Accenture hier in Deutschland ging über einen Erasmusaustausch an der RWTH Aachen, wo ich im Austauschjahr und danach in meiner Diplomarbeit den Schwerpunkt IT-Sicherheit hatte. Für mich war es daher ziemlich naheliegend bei Accenture im Bereich IT-Sicherheit einzusteigen.

Was macht Accenture im Bereich Security? Accenture bietet “Security Services“ hauptsächlich in fünf verschiedenen Bereichen:

1. Security Risk Management - Assessing and managing security risks and vulnerabilities

2. Infrastructure Security - Securing the technology and network infrastructure

3. Business Continuity Management - Providing business continuity and disaster recovery

4. Enterprise Application Security - Securing enterprise applications

5. Identity & Access Management - Managing identity and access

Ich wollte kurz ein Projekt im Bereich „Security Risk Management“ vorstellen, das ich letztes Jahr gemacht habe.

Auf dem Projekt ging es um Sicherheitsmanagement bei einem großen Automobilhersteller. Der Kunde hatte einen guten Sicherheitstand; viele Sicherheitspolicies (Information Security Policy, E-Mail Policy, etc.) waren vorhanden und viele IT-Sicherheitsmaßnahmen (Netzwerksicherheit, etc) implementiert.

In der Organisation fehlte aber ein einheitlicher Informationssicherheitsansatz. Sicherheit hat sich in den letzten Jahren von einer auf IT fokussierten IT-Sicherheit zu einer übergreifenden Informationssicherheit verändert. Informationssicherheit betrifft nicht nur die IT-Abteilung und berücksichtigt nicht nur die IT-Aspekte, sondern beschäftigt sich mit der Vertraulichkeit, Integrität und Verfügbarkeit von allen Informationen – egal ob elektronisch, magnetisch oder analog.

In der Organisation gab es keine übergreifende Koordination von Informationssicherheit, Datenschutz und physischer Sicherheit. Weiterhin gab es kein umfassendes IT-Risikomanagement. Eine Fragestellung für den Kunden war auch wie viel Sicherheit er eigentlich braucht bzw. wie viel Geld er in Sicherheitsmaßnahmen investieren muss.

Wir haben zwei Maßnahmen vorgeschlagen:

1) Sicherheitsorganisation: Es sollte eine dedizierte Sicherheitsorganisation etabliert werden, die sich um Risiken, Sicherheitsmaßnahmen, Qualitätskontrolle, etc. kümmert. Wir haben die Rollen “Information Security Officer” (ISO), “Data Protection Officer” (DPO), “Physical Security Officer” (PSO) und “Chief Security Officer” (CSO) etabliert. Dazu kam auch ein „Security Forum“, das sich übergreifend um Sicherheit kümmert und das von dem CSO geleitet wird.

2) Informationssicherheitsmanagementsystem (ISMS): Es sollte ein ISMS eingeführt werden, das Prozesse etabliert, um kontinuierlich Risiken zu identifizieren, zu bewerten und hieraus Maßnahmen umzusetzen. Weiterhin müssen die Risikoanalysen regelmäßig durchgeführt werden, um auch dadurch sicherzustellen, dass schon implementierte Maßnahmen erfolgreich sind. Ein ISMS ist deswegen eher ein kontinuierlicher Prozess als eine einmalige Implementierung. Das ISMS wird von der Sicherheitsorganisation mit Unterstützung von der Organisation durchgeführt. Wir haben hier ISO 27001 (Information Security Management System) und ISO 27002 (Code of Practice for ISMS) und auch BSI-Grundschutz-Kataloge und BSI-Standards (Bundesamt für Sicherheit in der Informationstechnik) verwendet. Ich werde in meinem nächsten Blog mehr über ISO 27001 und wie man die verwendet schreiben.

Durch strukturierte und regelmäßige Risikoanalysen und Planung von Sicherheitsmaßnahmen nach den ISO- und BSI-Standards ist es möglich Investitionssicherheit zu erreichen. Das heißt, dass man nicht zu wenig oder zu viel Geld für Sicherheitsmaßnahmen ausgibt. Mit einer funktionierenden Sicherheitsorganisation und einem ISMS ist eine Organisation in der Lage ihre Risiken kontinuierlich unter ökonomischen Aspekten zu steuern.

Wenn ihr irgendwelche Fragen zu IT-Sicherheit bei Accenture oder Camping und Kanu fahren in Schweden habt, stehe ich gerne zur Verfügung.

Euer Marcus Dahlén

Freitag, Dezember 05, 2008

Anja Schulenburg: Der erste richtige Tag – los geht’s

Mein letzter Beitrag liegt doch schon eine Weile zurück. Das liegt schlichtweg daran, dass mich der Projektalltag gefunden hat und oft kaum Zeit bleibt, zusätzliche Dinge zu erledigen. Aber nichtsdestotrotz macht es Spaß!

Beim letzten Mal war ich am Ende der Orientation Days angekommen, dann kommt jetzt also mein erster richtiger Tag J Ich hatte einige Fragen… Soll ich ins Büro fahren, kann ich Trainings machen, was gibt es noch für Optionen? All das sollte mir mein Counselor sagen können, den ich auch als Erstes anrief. Er schlug mir vor, zunächst ein paar Trainings zu machen. Ob ich die zu Hause oder im Büro machen wolle, blieb mir selbst überlassen.

Da ich das Münchener Büro noch nicht gesehen hatte bis dahin, entschied ich mich fürs Büro und buchte mir einen Platz. Einen Platz buchen? Richtig gelesen! Da wir die meiste Zeit auf Projekten unterwegs und beim Kunden vor Ort sind, sind die Accenture Offices keine klassischen Büros, wo jeder seinen Schreibtisch hat. Sollte man also im Office arbeiten wollen, bucht man sich vorher einfach einen Platz. Ich sammelte also meine sieben Sachen zusammen und fuhr voller Neugier Richtung Maximilianstraße.

Dort blieb ich dann auch den ganzen Tag und absolvierte die ersten Onlinetrainings. Davon gibt es jede Menge. Ein paar davon gehören zum Pflichtprogramm, die jeder entsprechend seines Levels bzw. seiner Zugehörigkeit absolvieren muss. Zusätzlich kann man weitere Trainings machen. Dafür steht jedem auch ein gewisses Zeitkontingent zur Verfügung…

Außer dem Training gab es noch einige organisatorische Dinge zu erledigen – Telefon und Visitenkarten bestellen, den internen Projekt-„Lebenslauf“ schreiben usw. Der Tag verging so schnell…

Sehr nett fand ich, dass die Kollegen, mit denen ich meine Interviews geführt hatte, sich erkundigten, wie es mir geht. Gut natürlich :-)

Da ich von der Projektseite noch nichts hörte, fuhr ich auch die nächsten Tage ins Büro und beschäftigte mich mit Trainings. Nach zwei Tagen bekam ich Verstärkung. Die ersten Kollegen, mit denen ich auf den Orientation Days in Kronberg war, kamen auch endlich nach München. Das tat gut, jemanden zu haben, mit dem man die ersten Erlebnisse teilen konnte. Und es war irgendwie lustig zu sehen, dass alle die gleichen Startschwierigkeiten hatten ;-)

So vergingen die ersten Tage bis ich den lang erwarteten Anruf erhielt: „Hallo Anja, ich hätte da ein interessantes Projekt für dich“

Davon beim nächsten Mal mehr…

Viele Grüße


Anja