SlideShare uma empresa Scribd logo

FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch

Verein FM Konferenz
Verein FM Konferenz

Bei Informationssicherheit denken viele FileMaker Entwickler in erster Linie an Passwörter, Zugriffsberechtigungen und erweiterte Zugriffsrechte. Informationssicherheit ist aber viel mehr, mehr als nur IT-Sicherheit In diesem Vortrag erfahren Sie um was es wirklich geht. Das CIA Modell IT-Grundschutz Risikoanalyse Notallmanagement (BCM) In diesen Vortrag geht es nicht um technische Massnahmen wie SSL, VPN oder Verschlüsselung, sondern um begleitende Massnahmen

Tecnologia
1 de 23
Baixar para ler offline
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Informationssicherheit & Risikomanagement In diesem Vortrag geht es nicht um technische Massnahmen wie SSL, VPN, Verschlüsselung etc.
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Über mich… • Patrick Risch, 47
 • FileMaker Entwickler seit Version 2 • Zertifizierter FileMaker Entwickler seit Version 8-13 und bald14 • CAS Informationssicherheit & Risikomanagement (CompTIA security+ und bald CISSP, BSI-Sicherheitsbeauftragter*) • CAS Lebensmittelrecht Schweiz / EU • FileMaker Lösung für die Produktkennzeichnung nach der Lebensmittelverordnung (EU Richtlinie 1169/2012) • Co-Organisator der FileMaker Konferenz * bis Dezember 2015
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Warum Informationssicherheit… * bis Dezember 2015 Informations-Einbrüchen betreffen zu 90% KMUs! Die Durchschnittskosten eines Informations-Einbruchs betragen 36.000 $. 31% der Kunden wechseln zu einem anderen Anbieter, wenn der Informations-Einbruch Kundendaten betrifft. 43% der Unternehmen wurden schon mal Ziel eines Angriffes
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Wer möchte Schutz? Mein UnternehmenKunden Gesetzgeber Geschäftspartner Mit- arbeiter Datenschutzgesetz, Strafgesetz, Urheberrecht, etc. interne und externe Vorgaben
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Was gilt es zu Schützen? Informationen elektronisch Papier Gesprochen Ziel aller Schutzmassnahmen ist es Schadensereignisse in Häufigkeit und Auswirkung angemessen zu reduzieren. Personen (Hacker, Mitarbeiter) Schadsoftware (Viren, Malware, etc) Organisation (Systeme, BYOD, Gefahren von Aussen
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com CIA Vertraulichkeit (Confidentiality) Integrität (Integrity) Verfügbarkeit (Availability) Informations- Sicherheit
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Grundregel 1 Bildquelle: https://de.wikipedia.org/wiki/Demingkreis Informationssicherheit ist ein laufender Prozess Plan: Planen und Konzeption Do: Umsetzung Check: Erfolgskontrolle Act: Optimierung
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Grundregel 2 Bildquelle: https://de.wikipedia.org/wiki/Demingkreis Informationssicherheit ist Chefsache! Management muss dahinter stehen Ressourcen müssen vorhanden sein Mitarbeiter müssen regelmässig geschult werden
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Grundregel 3 100% Sicherheit gibt es nicht 0 25 50 75 100 Grundschutz erhöht maximal Grundschutz: Minimieren von Risiken durch grundlegende Schutzmassnahmen Erhöhter Schutz: Spezielle Massnahmen für ein bestimmtes Risiko Maximal: Wenn Kosten-Nutzen von Massnahmen nicht mehr gegeben, Notfallmassnahmen setzen
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Top 10 Massnahmen 1. Datensicherung 2. Nutzungs- und Überwachungsreglement erstellen 3. Alle Mitarbeiter in Informationssicherheit schulen 4. Keine Administratorenrechte beim Arbeiten an Computern 5. Passwörter mindestens 12 Zeichen lang (und komplex) 6. Raschen und regelmässige Updates aller Software und Hardware 7. Virenschutzlösung mit proaktiven Schutzelementen 8. Professionell eingerichtete Firewalls verwenden 9. Computeranlagen auf physisch schützen 10. Vertrauliche Daten verschlüsseln (vor allem bei mobilen Geräten)
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Gefahren für die IT verändern sich teilgezielte Angriffe Gezielte Angriffe ungezielte Angriffe Advanced Persistent Threads Anti- virus Firewall IPS KostenfürSchutzmassnahmen IT- Grund- schutz erhöhte Mass- nahmen Notfall
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen nach BSI Standardisiertes Vorgehensmodell „Best Practice“ Basiert auf Grundschutz-Katalogen Bausteine Gefährdungskataloge Massnahmenkataloge
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Standards • ISO 27001 / 27002 Definiert ein Informations-Sicherheits- Management-System ISMS. Kernstück ist der kontinuierliche Verbesserungs- prozess und die 134 Kontrollpunkte zur Steuerung der Informationssicherheit. Eher für grössere Betriebe, welche eine Zertifizierung benötigen. • BSI Grundschutz Good Practices der IT- und Informationssicherheit, die im Bereich der Cyber- Security sinnvoll eingesetzt werden können. • 10 Punkte Programm Insurance Minimaler Schutz für KMUs bei vertretbaren Aufwand
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Prozesse analysieren Rezeptur Reinigung Herstellungsprozess Lieferung Rezeptdaten Reinigungs- daten Liefer & Kunden- daten Herstellung Produktions- daten
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Kategorisieren der Daten Rezeptdaten Produktions- daten Reinigungs- daten Liefer & Kunden- daten Öffent- lich Öffent- lich GeheimGeheim Rezeptdaten sind zum Teil ein Betriebsgeheimn is und somit vertraulich. Die Integrität von Produktsiondate n muss gegeben sein. Die Verfügbarkeit und Integrität muss gegeben sein. Die Offenlegung von Kundendaten könnte einen Vertrauensverlus t zur Folge haben.
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen 1. Schutzbedarf für Daten festlegen normal erhöht hoch Anwendung Rezeptdaten X FileMaker Reinigungsd. X Office Personald. X FileMaker normal erhöht hoch IT-System FileMaker x X FileMaker Server Office X File Server 2. Schutzbedarf für Anwendungen festlegen
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen (Fortsetzung) 3. Schutzbedarf IT Systeme festlegen normal erhöht hoch Raum FileMaker Server X X Serverraum Datei Server X Serverraum normal erhöht hoch Serverraum X X 4. Schutzbedarf für Räume festlegen 5. Schutzbedarf für Kommunikationsverbindungen festlegen
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen IT-Grundschutz Für Schutzobjekte mit dem Gefährdungspotential ‚normal‘ reichen Grundschutzmassnahmen. Die entsprechende(n) Massnahme(n) im BSI-Grundschutzkatalog suchen und umsetzen. zum Beispiel (eine Auswahl): Sicherer Serverraum: Link Ein Dienst pro Server: Link Bildschirmsperre: Link Passwörter löschen: Link
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen Risikoanalyse Wenn etwas einen Schutzbedarf höher als ‚Normal‘ aufweist, müssen spezielle Sicherheitsmassnahmen getroffen werden. Risikoanalyse erstellen und Massnahmen abwägen: Wahrscheinlichkeit des Risikos x Höhe des Schadens = angemessene Risiko-Abfangkosten Risiko Kosten Risikobewertung Rezeptdaten nicht verfügbar / Produktion steht still 2h Löhne / Umsatzausfall / evt. Kundenverlust 1 x in 5 Jahren für 2h 10 MA x 20€ = 200€ 2000€ Umsatzausfall Risiko X Kosten 0,2 € 2200 € 440 Nicht bewertet ist das Risiko des möglichen Kundenverlustes!
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Massnahmen Risikoabsicherung Abwägung ob die Kosten der Risikominderung / -verminderung im Verhältnis zum Risiko liegen. Gesamtkosten Pro Jahr (bei 3 Jahre) FileMaker Server € 1200 Server Hardware € 1000 Energiekosten € 100 € 2300 € 767 Massnahme kostet 767€ pro Jahr, die ermittelten Risikokosten sind 440€. Wird der mögliche Kundenverlust in Betracht gezogen, könnte die Massnahme berechtigt sein.
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Wenn alle Stricke reissen Für Risiken welche nicht in einem vertretbaren Rahmen mit Massnahmen abgedeckt werden können, müssen Notfallpläne bestehen. Geschäftsführung entscheidet ob bei einem Risiko auf Massnahmen verzichtet wird Was machen, wenn: - Das Gebäude der Firma nicht erreichbar ist / zur Verfügung steht - Grossteil der Mitarbeiter ausfällt / nicht zur Verfügung steht - Infrastruktur längerfristig ausfällt CEO bestimmt, ab wann wir uns tot stellen. Notfallpläne müssen erprobt sein und auch in einem Notfall verfügbar sein!
Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Links • 10 Punkte Programm für KMUs: Link • Bundesamt für Sicherheit und Informationstechnik (BSI): Link • Melani (Melde und Analysestelle): Link • Heise Security: Link • Schwachstellenampel: Link • Sicherheitstacho: Link • Schwachstellen CVE Bulletin: Link
Patrick Risch, standpunkte.li Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vielen Dank unseren Sponsoren Danke für das Bewerten dieses Vortrages

Recomendados

Informationssicherheit
InformationssicherheitInformationssicherheit
Informationssicherheit
Andreas Lezgus
 
Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002
pgpmikey
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt München
Stanislav Milanovic
 
ISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptxISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptx
Mukesh Pant
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Raising information security awareness
Raising information security awarenessRaising information security awareness
Raising information security awareness
Terranovatraining
 
Cyber Security For Organization Proposal PowerPoint Presentation Slides
Cyber Security For Organization Proposal PowerPoint Presentation SlidesCyber Security For Organization Proposal PowerPoint Presentation Slides
Cyber Security For Organization Proposal PowerPoint Presentation Slides
SlideTeam
 

Recomendados

Informationssicherheit
InformationssicherheitInformationssicherheit
Informationssicherheit
Andreas Lezgus
 
Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002Implementing a Security Framework based on ISO/IEC 27002
Implementing a Security Framework based on ISO/IEC 27002
pgpmikey
 
Cybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdfCybersecurity Frameworks for DMZCON23 230905.pdf
Cybersecurity Frameworks for DMZCON23 230905.pdf
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Strategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt MünchenStrategische IT-Sicherheit für die Landeshauptstadt München
Strategische IT-Sicherheit für die Landeshauptstadt München
Stanislav Milanovic
 
ISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptxISMS User_Awareness Training.pptx
ISMS User_Awareness Training.pptx
Mukesh Pant
 
La sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internesLa sécurité de l’information et les auditeurs internes
La sécurité de l’information et les auditeurs internes
ISACA Chapitre de Québec
 
Raising information security awareness
Raising information security awarenessRaising information security awareness
Raising information security awareness
Terranovatraining
 
Cyber Security For Organization Proposal PowerPoint Presentation Slides
Cyber Security For Organization Proposal PowerPoint Presentation SlidesCyber Security For Organization Proposal PowerPoint Presentation Slides
Cyber Security For Organization Proposal PowerPoint Presentation Slides
SlideTeam
 
ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
Muhammad Faisal Naqvi, CISSP, CISA, AMBCI, ITIL, ISMS LA n Master
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
Intellectus services and consulting
 
20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM
LeClubQualiteLogicielle
 
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
PECB
 
cyber-security-reference-architecture
cyber-security-reference-architecturecyber-security-reference-architecture
cyber-security-reference-architecture
Birendra Negi ☁️
 
Cyber Security roadmap.pptx
Cyber Security roadmap.pptxCyber Security roadmap.pptx
Cyber Security roadmap.pptx
SandeepK707540
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation Guide
NA Putra
 
Compare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesCompare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework Types
LearningwithRayYT
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
PECB
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
Bachir Benyammi
 
CompTIA Security+ Guide
CompTIA Security+ GuideCompTIA Security+ Guide
CompTIA Security+ Guide
Smithjulia33
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
Krist Davood - Principal - CIO
 
Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHS
John Gilligan
 
OT Security - h-c0n 2020
OT Security - h-c0n 2020OT Security - h-c0n 2020
OT Security - h-c0n 2020
Jose Palanco
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
PECB
 
Cybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation SlidesCybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation Slides
SlideTeam
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
khushboo
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
ControlCase
 
CyberSecurity Best Practices for the IIoT
CyberSecurity Best Practices for the IIoTCyberSecurity Best Practices for the IIoT
CyberSecurity Best Practices for the IIoT
Creekside Marketing Group, LLC
 
Sensibilisation personnel a la protection des informations sensibles
Sensibilisation personnel a la protection des informations sensiblesSensibilisation personnel a la protection des informations sensibles
Sensibilisation personnel a la protection des informations sensibles
vendeers
 
Eine kleine praktische Philosophie über das Requirements Engineering
Eine kleine praktische Philosophie über das Requirements EngineeringEine kleine praktische Philosophie über das Requirements Engineering
Eine kleine praktische Philosophie über das Requirements Engineering
adesso AG
 
Einladung Forum Service & Instandhaltung 2012
Einladung Forum Service & Instandhaltung 2012Einladung Forum Service & Instandhaltung 2012
Einladung Forum Service & Instandhaltung 2012
dankl+partner consulting gmbh
 

Mais conteúdo relacionado

Mais procurados

Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
PECB
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
Krist Davood - Principal - CIO
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
PECB
 
Cybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation SlidesCybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation Slides
SlideTeam
 
CyberSecurity Best Practices for the IIoT
CyberSecurity Best Practices for the IIoTCyberSecurity Best Practices for the IIoT
CyberSecurity Best Practices for the IIoT
Creekside Marketing Group, LLC
 

Mais procurados (20)

ISO 27001 - Information Security Management System
ISO 27001 - Information Security Management SystemISO 27001 - Information Security Management System
ISO 27001 - Information Security Management System
 
Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001Implémenter et gérer un projet iso 27001
Implémenter et gérer un projet iso 27001
 
20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM20120612 04 - Les différentes facettes de la securité. La vision IBM
20120612 04 - Les différentes facettes de la securité. La vision IBM
 
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
Implementing of a Cyber Security Program Framework from ISO 27032 to ISO 55001
 
cyber-security-reference-architecture
cyber-security-reference-architecturecyber-security-reference-architecture
cyber-security-reference-architecture
 
Cyber Security roadmap.pptx
Cyber Security roadmap.pptxCyber Security roadmap.pptx
Cyber Security roadmap.pptx
 
NQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation GuideNQA - ISO 27001 Implementation Guide
NQA - ISO 27001 Implementation Guide
 
Compare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework TypesCompare and Contrast Security Controls and Framework Types
Compare and Contrast Security Controls and Framework Types
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013Déclaration d'applicabilité (DdA) - ISO27002:2013
Déclaration d'applicabilité (DdA) - ISO27002:2013
 
CompTIA Security+ Guide
CompTIA Security+ GuideCompTIA Security+ Guide
CompTIA Security+ Guide
 
Cybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for ExecutivesCybersecurity Roadmap Development for Executives
Cybersecurity Roadmap Development for Executives
 
Cybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHSCybersecurity Priorities and Roadmap: Recommendations to DHS
Cybersecurity Priorities and Roadmap: Recommendations to DHS
 
OT Security - h-c0n 2020
OT Security - h-c0n 2020OT Security - h-c0n 2020
OT Security - h-c0n 2020
 
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
ISO/IEC 27701, GDPR, and ePrivacy: How Do They Map?
 
Cybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation SlidesCybersecurity Incident Management Powerpoint Presentation Slides
Cybersecurity Incident Management Powerpoint Presentation Slides
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
 
French PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdfFrench PCI DSS v4.0 Webinaire.pdf
French PCI DSS v4.0 Webinaire.pdf
 
CyberSecurity Best Practices for the IIoT
CyberSecurity Best Practices for the IIoTCyberSecurity Best Practices for the IIoT
CyberSecurity Best Practices for the IIoT
 
Sensibilisation personnel a la protection des informations sensibles
Sensibilisation personnel a la protection des informations sensiblesSensibilisation personnel a la protection des informations sensibles
Sensibilisation personnel a la protection des informations sensibles
 

Destaque

QS von IT-Consulting bis Software Development
QS von IT-Consulting bis Software DevelopmentQS von IT-Consulting bis Software Development
QS von IT-Consulting bis Software Development
adesso AG
 
Die Geschichte des Schreibens
Die Geschichte des SchreibensDie Geschichte des Schreibens
Die Geschichte des Schreibens
habasch
 
Final Presentation Interieur 2012
Final Presentation Interieur 2012Final Presentation Interieur 2012
Final Presentation Interieur 2012
wbossier
 
ma_sy Additional Info
ma_sy Additional Infoma_sy Additional Info
ma_sy Additional Info
ma_sy
 
Social Media Primer
Social Media PrimerSocial Media Primer
Social Media Primer
pellegrinit
 

Destaque (20)

Eine kleine praktische Philosophie über das Requirements Engineering
Eine kleine praktische Philosophie über das Requirements EngineeringEine kleine praktische Philosophie über das Requirements Engineering
Eine kleine praktische Philosophie über das Requirements Engineering
 
Einladung Forum Service & Instandhaltung 2012
Einladung Forum Service & Instandhaltung 2012Einladung Forum Service & Instandhaltung 2012
Einladung Forum Service & Instandhaltung 2012
 
QS von IT-Consulting bis Software Development
QS von IT-Consulting bis Software DevelopmentQS von IT-Consulting bis Software Development
QS von IT-Consulting bis Software Development
 
Laenderprofil bolivien
Laenderprofil bolivienLaenderprofil bolivien
Laenderprofil bolivien
 
Professionelle Telefonservices und Sekretariatsservices von eco-call
Professionelle Telefonservices und Sekretariatsservices von eco-callProfessionelle Telefonservices und Sekretariatsservices von eco-call
Professionelle Telefonservices und Sekretariatsservices von eco-call
 
Insectissima - Leuchtkäfer Blume
Insectissima - Leuchtkäfer BlumeInsectissima - Leuchtkäfer Blume
Insectissima - Leuchtkäfer Blume
 
Final-Präsentation GERMAN RACING Concept Challenge - 4. Platz: "PAUL Excellen...
Final-Präsentation GERMAN RACING Concept Challenge - 4. Platz: "PAUL Excellen...Final-Präsentation GERMAN RACING Concept Challenge - 4. Platz: "PAUL Excellen...
Final-Präsentation GERMAN RACING Concept Challenge - 4. Platz: "PAUL Excellen...
 
Die Geschichte des Schreibens
Die Geschichte des SchreibensDie Geschichte des Schreibens
Die Geschichte des Schreibens
 
Tools4 agile teams
Tools4 agile teamsTools4 agile teams
Tools4 agile teams
 
Final Presentation Interieur 2012
Final Presentation Interieur 2012Final Presentation Interieur 2012
Final Presentation Interieur 2012
 
Bez tytułu 1
Bez tytułu 1Bez tytułu 1
Bez tytułu 1
 
ma_sy Additional Info
ma_sy Additional Infoma_sy Additional Info
ma_sy Additional Info
 
Hompage-Planung für Verbände am Beispiel von Pro Mobilität
Hompage-Planung für Verbände am Beispiel von Pro MobilitätHompage-Planung für Verbände am Beispiel von Pro Mobilität
Hompage-Planung für Verbände am Beispiel von Pro Mobilität
 
TPM Ausbildungskonzept 2013
TPM Ausbildungskonzept 2013TPM Ausbildungskonzept 2013
TPM Ausbildungskonzept 2013
 
Food 2
Food 2Food 2
Food 2
 
Social Media Primer
Social Media PrimerSocial Media Primer
Social Media Primer
 
El alfabeto
El alfabetoEl alfabeto
El alfabeto
 
Pitch deck
Pitch deckPitch deck
Pitch deck
 
Og presentation german- 2011
Og presentation german- 2011Og presentation german- 2011
Og presentation german- 2011
 
Lernzielkontrolle kugel
Lernzielkontrolle kugelLernzielkontrolle kugel
Lernzielkontrolle kugel
 

Semelhante a FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch

FMK2015: FileMaker Server 14 by Volker Krambrich
FMK2015: FileMaker Server 14 by Volker KrambrichFMK2015: FileMaker Server 14 by Volker Krambrich
FMK2015: FileMaker Server 14 by Volker Krambrich
Verein FM Konferenz
 
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis GehrtFMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
Verein FM Konferenz
 
Industrial Security Entmystifiziert
Industrial Security EntmystifiziertIndustrial Security Entmystifiziert
Industrial Security Entmystifiziert
team-WIBU
 
FMK2018 Mein erster FileMaker Server Was ist das? Was kann der Server? Brauch...
FMK2018 Mein erster FileMaker Server Was ist das? Was kann der Server? Brauch...FMK2018 Mein erster FileMaker Server Was ist das? Was kann der Server? Brauch...
FMK2018 Mein erster FileMaker Server Was ist das? Was kann der Server? Brauch...
Verein FM Konferenz
 
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
IBsolution GmbH
 
Der schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützenDer schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützen
team-WIBU
 

Semelhante a FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch (20)

FMK2015: FileMaker Server 14 by Volker Krambrich
FMK2015: FileMaker Server 14 by Volker KrambrichFMK2015: FileMaker Server 14 by Volker Krambrich
FMK2015: FileMaker Server 14 by Volker Krambrich
 
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-MaßnahmePräsentation: Systemhärtung als präventive IT-Security-Maßnahme
Präsentation: Systemhärtung als präventive IT-Security-Maßnahme
 
FMK2014: Verband der FileMaker Entwickler by Holger Darjus
FMK2014: Verband der FileMaker Entwickler by Holger DarjusFMK2014: Verband der FileMaker Entwickler by Holger Darjus
FMK2014: Verband der FileMaker Entwickler by Holger Darjus
 
ScriptRunner - Eine Einführung
ScriptRunner - Eine EinführungScriptRunner - Eine Einführung
ScriptRunner - Eine Einführung
 
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis GehrtFMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
FMK2015: FileMaker Sicherheit Sicherheit Sicherheit by Alexis Gehrt
 
FMK2018- Anforderungen einer Standardsoftware Karsten Risseeuw
FMK2018- Anforderungen einer Standardsoftware Karsten RisseeuwFMK2018- Anforderungen einer Standardsoftware Karsten Risseeuw
FMK2018- Anforderungen einer Standardsoftware Karsten Risseeuw
 
Industrial Security Entmystifiziert
Industrial Security EntmystifiziertIndustrial Security Entmystifiziert
Industrial Security Entmystifiziert
 
FMK2018 Mein erster FileMaker Server Was ist das? Was kann der Server? Brauch...
FMK2018 Mein erster FileMaker Server Was ist das? Was kann der Server? Brauch...FMK2018 Mein erster FileMaker Server Was ist das? Was kann der Server? Brauch...
FMK2018 Mein erster FileMaker Server Was ist das? Was kann der Server? Brauch...
 
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
Workshop: Mit Sicherheit Datenschutz in der Gesetzlichen Unfallversicherung ...
 
FMK2019 FileMaker Anbindung an Online Systeme by Michael Heider
FMK2019 FileMaker Anbindung an Online Systeme by Michael HeiderFMK2019 FileMaker Anbindung an Online Systeme by Michael Heider
FMK2019 FileMaker Anbindung an Online Systeme by Michael Heider
 
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT SicherheitSecurity Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
Security Smoke Test - Eine bewußte Entscheidung für die IT Sicherheit
 
FMK2015 FileMaker Server Netzwerk & Perfomance by Bernhard Schulz
FMK2015 FileMaker Server Netzwerk & Perfomance by Bernhard SchulzFMK2015 FileMaker Server Netzwerk & Perfomance by Bernhard Schulz
FMK2015 FileMaker Server Netzwerk & Perfomance by Bernhard Schulz
 
End-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal SoszynskiEnd-to-End Hochverfügbarkeit by Michal Soszynski
End-to-End Hochverfügbarkeit by Michal Soszynski
 
abtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Managementabtis erhält Advanced Specialization für Identity and Access Management
abtis erhält Advanced Specialization für Identity and Access Management
 
Lean Collaboration
Lean CollaborationLean Collaboration
Lean Collaboration
 
Fmk2019 Produktentwicklung mit FileMaker by Harald Mair
Fmk2019 Produktentwicklung mit FileMaker by Harald MairFmk2019 Produktentwicklung mit FileMaker by Harald Mair
Fmk2019 Produktentwicklung mit FileMaker by Harald Mair
 
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
SAP Bedrohungserkennung als Cloud Lösung - SAP ETD
 
Der schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützenDer schnellste Weg, ihr Wissen zu schützen
Der schnellste Weg, ihr Wissen zu schützen
 
NICE Recording Solutions
NICE Recording SolutionsNICE Recording Solutions
NICE Recording Solutions
 
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
Andreas Gabriel: IT-Sicherheit als hemmender Faktor für E-Learning?
 

Mais de Verein FM Konferenz

Mais de Verein FM Konferenz (20)

FMK2022 Excel und FileMaker Schittko.pdf
FMK2022 Excel und FileMaker Schittko.pdfFMK2022 Excel und FileMaker Schittko.pdf
FMK2022 Excel und FileMaker Schittko.pdf
 
FMK2022 Drucken über Dateigrenzen hinweg von Philipp Puls
FMK2022 Drucken über Dateigrenzen hinweg von Philipp PulsFMK2022 Drucken über Dateigrenzen hinweg von Philipp Puls
FMK2022 Drucken über Dateigrenzen hinweg von Philipp Puls
 
FMK2022 Custom Functions von Philipp Puls
FMK2022 Custom Functions von Philipp PulsFMK2022 Custom Functions von Philipp Puls
FMK2022 Custom Functions von Philipp Puls
 
FMK2022 FileMaker Fehler von Martin Schwarz
FMK2022 FileMaker Fehler von Martin SchwarzFMK2022 FileMaker Fehler von Martin Schwarz
FMK2022 FileMaker Fehler von Martin Schwarz
 
FMK2022 FileMaker Server unter Linux Workshop von Bernhard Schulz
FMK2022 FileMaker Server unter Linux Workshop von Bernhard SchulzFMK2022 FileMaker Server unter Linux Workshop von Bernhard Schulz
FMK2022 FileMaker Server unter Linux Workshop von Bernhard Schulz
 
FMK2022 FileMaker DataAPI und Java von Bernhard Schulz
FMK2022 FileMaker DataAPI und Java von Bernhard SchulzFMK2022 FileMaker DataAPI und Java von Bernhard Schulz
FMK2022 FileMaker DataAPI und Java von Bernhard Schulz
 
FMK2022 Neue Programmiertechniken von Adam Augusting
FMK2022 Neue Programmiertechniken von Adam AugustingFMK2022 Neue Programmiertechniken von Adam Augusting
FMK2022 Neue Programmiertechniken von Adam Augusting
 
FMK2022 FileMaker und Javascript von Adam Augustin
FMK2022 FileMaker und Javascript von Adam AugustinFMK2022 FileMaker und Javascript von Adam Augustin
FMK2022 FileMaker und Javascript von Adam Augustin
 
FMK2022 Arbeiten mit SVG in FileMaker - Robert Kaiser
FMK2022 Arbeiten mit SVG in FileMaker - Robert KaiserFMK2022 Arbeiten mit SVG in FileMaker - Robert Kaiser
FMK2022 Arbeiten mit SVG in FileMaker - Robert Kaiser
 
FMK2022 Dokumentation - Thomas Hirt
FMK2022 Dokumentation - Thomas HirtFMK2022 Dokumentation - Thomas Hirt
FMK2022 Dokumentation - Thomas Hirt
 
FMK2022 CustomFunctions Fuer Einsteiger - Thomas Hirt
FMK2022 CustomFunctions Fuer Einsteiger - Thomas HirtFMK2022 CustomFunctions Fuer Einsteiger - Thomas Hirt
FMK2022 CustomFunctions Fuer Einsteiger - Thomas Hirt
 
FMK2022 FileMaker Integrated Development Environment - Russell Watson
FMK2022 FileMaker Integrated Development Environment - Russell WatsonFMK2022 FileMaker Integrated Development Environment - Russell Watson
FMK2022 FileMaker Integrated Development Environment - Russell Watson
 
FMK2022 Datenschutz DSGVO Christoph Kluss
FMK2022 Datenschutz DSGVO Christoph KlussFMK2022 Datenschutz DSGVO Christoph Kluss
FMK2022 Datenschutz DSGVO Christoph Kluss
 
FMK2022 Rechnungen Inkasso - Christoph Kluss
FMK2022 Rechnungen Inkasso - Christoph KlussFMK2022 Rechnungen Inkasso - Christoph Kluss
FMK2022 Rechnungen Inkasso - Christoph Kluss
 
FMK2022 Die Zukunft von FileMaker - Marcel Moré.pdf
FMK2022 Die Zukunft von FileMaker - Marcel Moré.pdfFMK2022 Die Zukunft von FileMaker - Marcel Moré.pdf
FMK2022 Die Zukunft von FileMaker - Marcel Moré.pdf
 
FMK2019 bug off lightning talk by Russell Watson
FMK2019 bug off lightning talk by Russell WatsonFMK2019 bug off lightning talk by Russell Watson
FMK2019 bug off lightning talk by Russell Watson
 
FMK2019 being an optimist in a pessimistic world by vincenzo menanno
FMK2019 being an optimist in a pessimistic world by vincenzo menannoFMK2019 being an optimist in a pessimistic world by vincenzo menanno
FMK2019 being an optimist in a pessimistic world by vincenzo menanno
 
FMK2019 FileMaker Performance Update 2019 by HOnza Koudelka
FMK2019 FileMaker Performance Update 2019 by HOnza KoudelkaFMK2019 FileMaker Performance Update 2019 by HOnza Koudelka
FMK2019 FileMaker Performance Update 2019 by HOnza Koudelka
 
FMK2019 Hardware Integrated by HOnza Koudelka
FMK2019 Hardware Integrated by HOnza KoudelkaFMK2019 Hardware Integrated by HOnza Koudelka
FMK2019 Hardware Integrated by HOnza Koudelka
 
FMK2019 FileMaker Data API mit Node.js nutzen by Adam Augustin
FMK2019 FileMaker Data API mit Node.js nutzen by Adam AugustinFMK2019 FileMaker Data API mit Node.js nutzen by Adam Augustin
FMK2019 FileMaker Data API mit Node.js nutzen by Adam Augustin
 

FMK2015: Informationssicherheit und Risikomanagement by Patrick Risch

  • 1. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Informationssicherheit & Risikomanagement In diesem Vortrag geht es nicht um technische Massnahmen wie SSL, VPN, Verschlüsselung etc.
  • 2. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Über mich… • Patrick Risch, 47
 • FileMaker Entwickler seit Version 2 • Zertifizierter FileMaker Entwickler seit Version 8-13 und bald14 • CAS Informationssicherheit & Risikomanagement (CompTIA security+ und bald CISSP, BSI-Sicherheitsbeauftragter*) • CAS Lebensmittelrecht Schweiz / EU • FileMaker Lösung für die Produktkennzeichnung nach der Lebensmittelverordnung (EU Richtlinie 1169/2012) • Co-Organisator der FileMaker Konferenz * bis Dezember 2015
  • 3. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Warum Informationssicherheit… * bis Dezember 2015 Informations-Einbrüchen betreffen zu 90% KMUs! Die Durchschnittskosten eines Informations-Einbruchs betragen 36.000 $. 31% der Kunden wechseln zu einem anderen Anbieter, wenn der Informations-Einbruch Kundendaten betrifft. 43% der Unternehmen wurden schon mal Ziel eines Angriffes
  • 4. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Wer möchte Schutz? Mein UnternehmenKunden Gesetzgeber Geschäftspartner Mit- arbeiter Datenschutzgesetz, Strafgesetz, Urheberrecht, etc. interne und externe Vorgaben
  • 5. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Was gilt es zu Schützen? Informationen elektronisch Papier Gesprochen Ziel aller Schutzmassnahmen ist es Schadensereignisse in Häufigkeit und Auswirkung angemessen zu reduzieren. Personen (Hacker, Mitarbeiter) Schadsoftware (Viren, Malware, etc) Organisation (Systeme, BYOD, Gefahren von Aussen
  • 6. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com CIA Vertraulichkeit (Confidentiality) Integrität (Integrity) Verfügbarkeit (Availability) Informations- Sicherheit
  • 7. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Grundregel 1 Bildquelle: https://de.wikipedia.org/wiki/Demingkreis Informationssicherheit ist ein laufender Prozess Plan: Planen und Konzeption Do: Umsetzung Check: Erfolgskontrolle Act: Optimierung
  • 8. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Grundregel 2 Bildquelle: https://de.wikipedia.org/wiki/Demingkreis Informationssicherheit ist Chefsache! Management muss dahinter stehen Ressourcen müssen vorhanden sein Mitarbeiter müssen regelmässig geschult werden
  • 9. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Grundregel 3 100% Sicherheit gibt es nicht 0 25 50 75 100 Grundschutz erhöht maximal Grundschutz: Minimieren von Risiken durch grundlegende Schutzmassnahmen Erhöhter Schutz: Spezielle Massnahmen für ein bestimmtes Risiko Maximal: Wenn Kosten-Nutzen von Massnahmen nicht mehr gegeben, Notfallmassnahmen setzen
  • 10. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Top 10 Massnahmen 1. Datensicherung 2. Nutzungs- und Überwachungsreglement erstellen 3. Alle Mitarbeiter in Informationssicherheit schulen 4. Keine Administratorenrechte beim Arbeiten an Computern 5. Passwörter mindestens 12 Zeichen lang (und komplex) 6. Raschen und regelmässige Updates aller Software und Hardware 7. Virenschutzlösung mit proaktiven Schutzelementen 8. Professionell eingerichtete Firewalls verwenden 9. Computeranlagen auf physisch schützen 10. Vertrauliche Daten verschlüsseln (vor allem bei mobilen Geräten)
  • 11. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Gefahren für die IT verändern sich teilgezielte Angriffe Gezielte Angriffe ungezielte Angriffe Advanced Persistent Threads Anti- virus Firewall IPS KostenfürSchutzmassnahmen IT- Grund- schutz erhöhte Mass- nahmen Notfall
  • 12. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen nach BSI Standardisiertes Vorgehensmodell „Best Practice“ Basiert auf Grundschutz-Katalogen Bausteine Gefährdungskataloge Massnahmenkataloge
  • 13. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Standards • ISO 27001 / 27002 Definiert ein Informations-Sicherheits- Management-System ISMS. Kernstück ist der kontinuierliche Verbesserungs- prozess und die 134 Kontrollpunkte zur Steuerung der Informationssicherheit. Eher für grössere Betriebe, welche eine Zertifizierung benötigen. • BSI Grundschutz Good Practices der IT- und Informationssicherheit, die im Bereich der Cyber- Security sinnvoll eingesetzt werden können. • 10 Punkte Programm Insurance Minimaler Schutz für KMUs bei vertretbaren Aufwand
  • 14. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Prozesse analysieren Rezeptur Reinigung Herstellungsprozess Lieferung Rezeptdaten Reinigungs- daten Liefer & Kunden- daten Herstellung Produktions- daten
  • 15. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Kategorisieren der Daten Rezeptdaten Produktions- daten Reinigungs- daten Liefer & Kunden- daten Öffent- lich Öffent- lich GeheimGeheim Rezeptdaten sind zum Teil ein Betriebsgeheimn is und somit vertraulich. Die Integrität von Produktsiondate n muss gegeben sein. Die Verfügbarkeit und Integrität muss gegeben sein. Die Offenlegung von Kundendaten könnte einen Vertrauensverlus t zur Folge haben.
  • 16. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen 1. Schutzbedarf für Daten festlegen normal erhöht hoch Anwendung Rezeptdaten X FileMaker Reinigungsd. X Office Personald. X FileMaker normal erhöht hoch IT-System FileMaker x X FileMaker Server Office X File Server 2. Schutzbedarf für Anwendungen festlegen
  • 17. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen (Fortsetzung) 3. Schutzbedarf IT Systeme festlegen normal erhöht hoch Raum FileMaker Server X X Serverraum Datei Server X Serverraum normal erhöht hoch Serverraum X X 4. Schutzbedarf für Räume festlegen 5. Schutzbedarf für Kommunikationsverbindungen festlegen
  • 18. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen IT-Grundschutz Für Schutzobjekte mit dem Gefährdungspotential ‚normal‘ reichen Grundschutzmassnahmen. Die entsprechende(n) Massnahme(n) im BSI-Grundschutzkatalog suchen und umsetzen. zum Beispiel (eine Auswahl): Sicherer Serverraum: Link Ein Dienst pro Server: Link Bildschirmsperre: Link Passwörter löschen: Link
  • 19. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vorgehen Risikoanalyse Wenn etwas einen Schutzbedarf höher als ‚Normal‘ aufweist, müssen spezielle Sicherheitsmassnahmen getroffen werden. Risikoanalyse erstellen und Massnahmen abwägen: Wahrscheinlichkeit des Risikos x Höhe des Schadens = angemessene Risiko-Abfangkosten Risiko Kosten Risikobewertung Rezeptdaten nicht verfügbar / Produktion steht still 2h Löhne / Umsatzausfall / evt. Kundenverlust 1 x in 5 Jahren für 2h 10 MA x 20€ = 200€ 2000€ Umsatzausfall Risiko X Kosten 0,2 € 2200 € 440 Nicht bewertet ist das Risiko des möglichen Kundenverlustes!
  • 20. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Massnahmen Risikoabsicherung Abwägung ob die Kosten der Risikominderung / -verminderung im Verhältnis zum Risiko liegen. Gesamtkosten Pro Jahr (bei 3 Jahre) FileMaker Server € 1200 Server Hardware € 1000 Energiekosten € 100 € 2300 € 767 Massnahme kostet 767€ pro Jahr, die ermittelten Risikokosten sind 440€. Wird der mögliche Kundenverlust in Betracht gezogen, könnte die Massnahme berechtigt sein.
  • 21. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Wenn alle Stricke reissen Für Risiken welche nicht in einem vertretbaren Rahmen mit Massnahmen abgedeckt werden können, müssen Notfallpläne bestehen. Geschäftsführung entscheidet ob bei einem Risiko auf Massnahmen verzichtet wird Was machen, wenn: - Das Gebäude der Firma nicht erreichbar ist / zur Verfügung steht - Grossteil der Mitarbeiter ausfällt / nicht zur Verfügung steht - Infrastruktur längerfristig ausfällt CEO bestimmt, ab wann wir uns tot stellen. Notfallpläne müssen erprobt sein und auch in einem Notfall verfügbar sein!
  • 22. Patrick Risch, zertifizierter FileMaker Entwickler Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Links • 10 Punkte Programm für KMUs: Link • Bundesamt für Sicherheit und Informationstechnik (BSI): Link • Melani (Melde und Analysestelle): Link • Heise Security: Link • Schwachstellenampel: Link • Sicherheitstacho: Link • Schwachstellen CVE Bulletin: Link
  • 23. Patrick Risch, standpunkte.li Informationssicherheit & Risikomanagement FileMaker Konferenz 2015 Hamburg www.filemaker-konferenz.com Vielen Dank unseren Sponsoren Danke für das Bewerten dieses Vortrages