presentation_itcompliance/presentation.tex

328 lines
11 KiB
TeX
Raw Normal View History

2016-11-01 11:11:12 +01:00
\documentclass{f4_beamer}
% Basic setup
\usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften)
\usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks)
\usepackage{amssymb} % Math. Symbole aus AmsTeX
\usepackage[utf8]{inputenc} % Umlaute
% Custom packages
\usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{}
\usepackage{textcomp} % Zusätzliches Package für °C
\usepackage{listings} % Codesnippets
\usepackage{scrhack} % Hack for lstlisting i suspect :-/
\usepackage{xcolor}
\usepackage{float}
\usepackage{soul}
\usepackage{verbatim} % für comment-environment
\usepackage{amsmath}
% Setup für Codeblocks
\lstset{
% Optionen
breaklines=true,
breakatwhitespace=true,
breakautoindent=true,
frame=single,
%framexleftmargin=19pt,
inputencoding=utf8,
%language=awk,
%numbers=left,
%numbersep=8pt,
showspaces=false,
showstringspaces=false,
tabsize=1,
%xleftmargin=19pt,
captionpos=b,
% Styling
basicstyle=\footnotesize\ttfamily,
commentstyle=\footnotesize,
keywordstyle=\footnotesize\ttfamily,
numberstyle=\footnotesize,
stringstyle=\footnotesize\ttfamily,
}
% Hack für Sonderzeichen in Codeblocks
\lstset{literate=%
{Ö}{{\"O}}1
{Ä}{{\"A}}1
{Ü}{{\"U}}1
{ß}{{\ss}}1
{ü}{{\"u}}1
{ä}{{\"a}}1
{ö}{{\"o}}1
{°}{{${^\circ}$}}1
}
% Broken citation needs broken command
\newcommand\mathplus{+}
% Actual beamer related document setup
2016-11-03 14:04:19 +01:00
\title{Cloud-Angebote und IT-Compliance}
2016-11-04 13:51:55 +01:00
%\subtitle{Umgehungsversuche und ISO 27001}
2016-11-01 11:11:12 +01:00
\author{Jan Philipp Timme}
\date{\today}
% Content below this line
\begin{document}
2016-11-04 13:51:55 +01:00
\section{Compliance und IT-Compliance}
2016-11-01 11:11:12 +01:00
2016-11-04 14:51:34 +01:00
\subsection{Begriff: Compliance}
2016-11-03 19:02:56 +01:00
\begin{frame}{Begriff: Compliance}
2016-11-01 11:11:12 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Begriff aus betriebswirtschaftlicher Fachsprache
2016-11-03 14:04:19 +01:00
\item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität
\item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen
2016-11-03 19:02:56 +01:00
\item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften}
2016-11-04 13:51:55 +01:00
\item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 14:51:34 +01:00
\subsection{Einstieg in Compliance}
2016-11-03 19:02:56 +01:00
\begin{frame}{Einstieg in Compliance}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Menge zu berücksichtigender Regeln von Unternehmen abhängig
\item Ab gewissem Umfang ist juristische Unterstützung notwendig
\item Mögliche Optionen:
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Juristische Beratung einkaufen
\item Mitarbeiter für juristische Fragen einstellen
\item Eine eigene Rechtsabteilung aufbauen
2016-11-03 14:04:19 +01:00
\end{itemize}
2016-11-03 19:02:56 +01:00
\item $\rightarrow$ Erste Kosten entstehen
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 14:51:34 +01:00
\subsection{Compliance sicherstellen}
\begin{frame}{Compliance sicherstellen}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-04 13:51:55 +01:00
\item Compliance Management System (CMS)
\item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität
\item $\rightarrow$ Integriert sich tief in das Unternehmen
2016-11-03 19:02:56 +01:00
\item Ziele:
\begin{itemize}
2016-11-04 13:51:55 +01:00
\item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern}
\item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist
2016-11-03 19:02:56 +01:00
\end{itemize}
2016-11-04 13:51:55 +01:00
\item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten
\item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung)
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 14:52:57 +01:00
\subsection{Begriff: IT-Compliance}
\begin{frame}{Begriff: IT-Compliance}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Compliance im IT-Bereich
\item $\rightarrow$ Betrifft IT-Systeme des Unternehmens
\item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden:
\begin{itemize}
\item Informationssicherheit
\item Verfügbarkeit
\item Datenaufbewahrung
\item Datenschutz
\end{itemize}
2016-11-04 13:51:55 +01:00
\item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen.
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 14:51:34 +01:00
\subsection{IT-Compliance: Nichts als teurer Unfug?}
2016-11-04 13:51:55 +01:00
\begin{frame}{IT-Compliance: Nichts als teurer Unfug?}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt
\item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift!
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn
\item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots
2016-11-04 13:51:55 +01:00
\end{itemize}
2016-11-04 14:15:03 +01:00
\item Und: Zusätzliche Kosten durch Folgeschäden:
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Verfahrenskosten
\item Schadenersatzansprüche
\item Rückabwicklungen
2016-11-04 14:15:03 +01:00
\item Imageverlust / Vertrauensverlust, \dots
2016-11-03 19:02:56 +01:00
\end{itemize}
2016-11-04 13:51:55 +01:00
\item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 14:51:34 +01:00
\subsection{Vorteile von IT-Compliance}
2016-11-04 13:51:55 +01:00
\begin{frame}{Vorteile von IT-Compliance}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-04 13:51:55 +01:00
\item Unternehmensintern:
\begin{itemize}
\item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots
\item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug}
\item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen
\end{itemize}
\item Extern:
\begin{itemize}
\item Schafft Vertrauen, demonstriert Stabilität und Robustheit
\item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit
\item Erfüllt Anforderungen von Kunden und Vertragspartnern
\end{itemize}
\item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?}
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-03 19:02:56 +01:00
\section{Cloud-Angebote}
2016-11-04 14:51:34 +01:00
\subsection{Begriff: Cloud-Angebote}
2016-11-04 14:15:03 +01:00
\begin{frame}{Begriff: Cloud-Angebote}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-04 14:15:03 +01:00
\item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand}
2016-11-04 14:43:15 +01:00
\item Dynamisch anpassbare Dienstleistungen, dynamische Tarife
2016-11-04 14:15:03 +01:00
\item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit
\item $\rightarrow$ Global vernetzte Infrastruktur
2016-11-04 14:43:15 +01:00
\item $\rightarrow$ Daten werden oft weltweit verteilt gespeichert
\item Je nach Standort andere Rechtslage
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 14:51:34 +01:00
\subsection{Cloud-Angebote aus Sicht der Kunden}
2016-11-04 14:15:03 +01:00
\begin{frame}{Cloud-Angebote aus Sicht der Kunden}
\begin{itemize}
2016-11-04 16:35:40 +01:00
\item Eigene IT kostet zu viel, es soll gespart werden
\item $\rightarrow$ Outsourcen mit speziellen Anforderungen an Datensicherheit
\item Beispiel: Deutsche Versicherung möchte Kundendaten in die Cloud verschieben
2016-11-04 14:15:03 +01:00
\begin{itemize}
2016-11-04 14:24:02 +01:00
\item Bundesdatenschutzgesetz muss eingehalten werden
2016-11-04 14:27:25 +01:00
\item Kundendaten sind vertraulich $\rightarrow$ müssen vertraulich bleiben!
2016-11-04 14:24:02 +01:00
\item Die Daten sollen jederzeit verfügbar sein
\item Die Daten sollen Deutschland nicht verlassen (Garantie der Versicherung)
2016-11-04 14:15:03 +01:00
\end{itemize}
2016-11-04 16:35:40 +01:00
\item Kunde sucht Anbieter, der diese Anforderungen erfüllen kann
\end{itemize}
\end{frame}
\subsection{Cloud-Angebote aus Sicht der Anbieter}
\begin{frame}{Cloud-Angebote aus Sicht der Anbieter}
\begin{itemize}
\item Pro Standort unterschiedliche Gesetze und Vorschriften zu erfüllen
\item Je mehr Standorte in unterschiedlichen Ländern, desto mehr Gesetze finden Anwendung
\item $\rightarrow$ (IT-)Compliance dringend notwendig
\item Kunden haben je nach Land unterschiedliche Rechte
\item $\rightarrow$ Angebote müssen entsprechend konform gehen
\item Kunden haben Anforderungen an die Datensicherheit
2016-11-04 14:43:15 +01:00
\item $\rightarrow$ Anbieter muss Einhaltung dieser Bedingungen belegen können
\item Und: Der Anbieter will dazu \textbf{weltweit} in der Lage sein
2016-11-04 14:15:03 +01:00
\end{itemize}
\end{frame}
2016-11-03 19:02:56 +01:00
2016-11-03 14:04:19 +01:00
\section{ISO 27001}
2016-11-04 14:51:34 +01:00
\subsection{Steckbrief: ISO 27001}
\begin{frame}{Steckbrief: ISO 27001}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-04 14:43:15 +01:00
\item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013)
2016-11-04 15:56:32 +01:00
\item Gehört zur Familie der ISO 2700X
2016-11-04 14:43:15 +01:00
\item Anforderungen an ein Information Security Management System (ISMS)
\begin{itemize}
\item Ähnlicher Ansatz zu Compliance Management System
\item Fokus auf Datensicherheit
2016-11-04 14:51:34 +01:00
\item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten
2016-11-04 14:43:15 +01:00
\item Anwendung von Risikomanagementprozessen
\end{itemize}
2016-11-04 16:16:55 +01:00
\item Struktur und Aufbau abhängig von Unternehmensstruktur und Bedarf
2016-11-04 14:43:15 +01:00
\item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen!
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 15:44:59 +01:00
\subsection{Inhalte und Ziele der ISO 27001}
\begin{frame}{Inhalte der Ziele ISO 27001}
2016-11-04 14:43:15 +01:00
\begin{itemize}
2016-11-04 16:16:55 +01:00
\item Enthält Anforderungen an ein ISMS + passende Kontrollen
2016-11-04 14:51:34 +01:00
\item Top-Down Ansatz (\enquote{Top management shall ensure that \dots})
2016-11-04 15:44:59 +01:00
\item Anwendungsgebiete: (Auszug)
\begin{itemize}
\item Managen von \textbf{Sicherheitsrisiken}
\item Sicherstellung der Einhaltung von Gesetzen und Vorschriften
\item Definition von Managementprozessen zum Managen von Informationssicherheit
\item Nutzung durch Auditoren als \enquote{Checkliste}
\end{itemize}
2016-11-04 16:16:55 +01:00
\item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie
2016-11-04 14:43:15 +01:00
\end{itemize}
\end{frame}
2016-11-03 14:04:19 +01:00
2016-11-04 15:44:59 +01:00
\subsection{Auswirkungen der ISO 27001}
\begin{frame}{Auswirkungen der ISO 27001}
\begin{itemize}
2016-11-04 16:10:38 +01:00
\item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an
2016-11-04 15:44:59 +01:00
\item Verursachte Kosten:
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-04 15:44:59 +01:00
\item Interne Kosten verursacht durch ISMS und zugehöriger Dokumentation
\item Externe Kosten durch Beauftragung von Beratungsunternehmen
\item Audit Kosten durch Zertifizierungsunternehmen
\end{itemize}
\item Konformität nach ISO 27001 zeigen?
\begin{itemize}
\item Selbst Konformität verkünden
\item Kunden/Vertragspartner bitten, die Konformität zu bestätigen
\item Verifikation der Konformität durch externen Auditor ($\rightarrow$ Zertifizierung)
\end{itemize}
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 15:56:32 +01:00
\subsection{Nutzen der ISO 27001}
\begin{frame}{Nutzen der ISO 27001}
\begin{itemize}
\item Langfristige Kostensenkung durch strukturierte Prozesse
\item Risikominimierung
\begin{itemize}
\item $\rightarrow$ Geringere Haftungs- und Geschäftsrisiken
\item $\rightarrow$ Geringere Versicherungsbeiträge
2016-11-04 16:00:30 +01:00
\item $\rightarrow$ Verbesserte Kreditwürdigkeit bei Banken/Investoren
2016-11-04 15:56:32 +01:00
\end{itemize}
\item Höhere Wettbewerbsfähigkeit durch belegbare Datensicherheit
\item $\rightarrow$ Imageverbesserung
\end{itemize}
\end{frame}
\subsection{Relevanz der ISO 27001 für Cloud-Angebote}
\begin{frame}{Relevanz der ISO 27001 für Cloud-Angebote}
\begin{itemize}
\item Internationaler Standard, weltweit anerkannt
2016-11-04 16:06:21 +01:00
\item $\rightarrow$ Cloud-Anbieter können Konformität belegen
2016-11-04 16:24:39 +01:00
\item Starker Fokus auf Datensicherheit und Datenvertraulichkeit
2016-11-04 16:06:21 +01:00
\item $\rightarrow$ Mehr Vertrauen bei den Kunden, Anforderungen werden erfüllt
2016-11-04 15:56:32 +01:00
\item Zertifizierung und regelmäßige Audits stellen Konformität sicher
2016-11-04 16:24:39 +01:00
\item $\rightarrow$ Erhöhte Transparenz; Kunden können Daten ohne Sorgen bei Anbieter ablegen
2016-11-04 15:56:32 +01:00
\end{itemize}
\end{frame}
\subsection{}
\begin{frame}{}
\begin{itemize}
\item
\end{itemize}
\end{frame}
2016-11-03 14:04:19 +01:00
\section{Fazit}
2016-11-04 14:53:22 +01:00
\subsection{Abschließendes Fazit}
\begin{frame}{Abschließendes Fazit}
2016-11-03 14:04:19 +01:00
\begin{itemize}
\item Compliance lohnt sich
\item Bietet Sicherheit
\item Risikomanagement ist wichtig
\item Kunden wollen sich absichern
\item Lieber vorher investieren als hinterher die Zeche zahlen!
2016-11-01 11:11:12 +01:00
\end{itemize}
\end{frame}
% Probably not used, not sure yet.
\begin{comment}
\begin{frame}{Literaturverzeichnis}
% Literaturverzeichnis
% Schlüssel als Buchstaben
\bibliographystyle{alpha}
\bibliography{Literaturverweise}
% Und JETZT zum Inhaltsverzeichnis hinzufügen. Geil!
\addcontentsline{toc}{chapter}{Literaturverweise}
\end{frame}
\end{comment}
\end{document}
% No more content below this line