presentation_itcompliance/document.tex

350 lines
12 KiB
TeX
Raw Normal View History

2016-11-01 11:11:12 +01:00
\documentclass{llncs}
% Basic setup
\usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften)
\usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks)
\usepackage{amssymb} % Math. Symbole aus AmsTeX
\usepackage[utf8]{inputenc} % Umlaute
% Custom packages
\usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{}
\usepackage{textcomp} % Zusätzliches Package für °C
\usepackage{listings} % Codesnippets
\usepackage{scrhack} % Hack for lstlisting i suspect :-/
\usepackage{xcolor}
\usepackage{float}
\usepackage{soul}
\usepackage{verbatim} % für comment-environment
\usepackage{amsmath}
% Setup für Codeblocks
\lstset{
% Optionen
breaklines=true,
breakatwhitespace=true,
breakautoindent=true,
frame=single,
%framexleftmargin=19pt,
inputencoding=utf8,
%language=awk,
%numbers=left,
%numbersep=8pt,
showspaces=false,
showstringspaces=false,
tabsize=1,
%xleftmargin=19pt,
captionpos=b,
% Styling
basicstyle=\footnotesize\ttfamily,
commentstyle=\footnotesize,
keywordstyle=\footnotesize\ttfamily,
numberstyle=\footnotesize,
stringstyle=\footnotesize\ttfamily,
}
% Hack für Sonderzeichen in Codeblocks
\lstset{literate=%
{Ö}{{\"O}}1
{Ä}{{\"A}}1
{Ü}{{\"U}}1
{ß}{{\ss}}1
{ü}{{\"u}}1
{ä}{{\"a}}1
{ö}{{\"o}}1
{°}{{${^\circ}$}}1
}
% Broken citation needs broken command
\newcommand\mathplus{+}
% Content below this line
\begin{document}
% Inhaltsverzeichnis
2016-11-01 11:38:13 +01:00
%\tableofcontents
2016-11-01 11:11:12 +01:00
% Keine Ahnung
2016-11-01 11:38:13 +01:00
%\mainmatter
2016-11-01 11:11:12 +01:00
2016-11-01 11:38:13 +01:00
\title{IT-Compliance in der Cloud und ISO 27001}
2016-11-01 11:11:12 +01:00
% Kurzer Titel (for running head) also used for the TOC unless \toctitle is used
\titlerunning{Studenten rasten aus \dots}
\author{Jan Philipp Timme}
% Oder so, wenn es mehrere sind, mit den \inst{x} kann dann Zugehörigkeit zu Instituten dargestellt werden.
% \author{Jan Philipp Timme\inst{1} \and Roger Temam\inst{2} Jeffrey Dean}
% abbreviated author list (for running head)
% \authorrunning{Ich nochmal.}
\institute{Hochschule Hannover, Hannover, Deutschland,\\
\email{jan-philipp.timme@stud.hs-hannover.de},\\
Website: \texttt{http://www.hs-hannover.de}
}
\maketitle
\begin{abstract}
2016-11-04 17:46:55 +01:00
Ein Text über IT-Compliance, die ISO 27001 und den Rest \dots
2016-11-01 11:38:13 +01:00
\keywords{IT-Compliance, ISO 27001, Cloud}
2016-11-01 11:11:12 +01:00
\end{abstract}
% Ab hier geht es wirklich richtig los! Keine Chapters hier!
2016-11-04 17:46:55 +01:00
\section{Compliance und IT-Compliance}
2016-11-01 11:11:12 +01:00
2016-11-04 17:46:55 +01:00
\subsection{Begriff: Compliance}
\begin{itemize}
\item Begriff aus betriebswirtschaftlicher Fachsprache
\item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität
\item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen
\item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften}
\item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots
\end{itemize}
\subsection{Einstieg in Compliance}
\begin{itemize}
\item Menge zu berücksichtigender Regeln von Unternehmen abhängig
\item Ab gewissem Umfang ist juristische Unterstützung notwendig
\item Mögliche Optionen:
\begin{itemize}
\item Juristische Beratung einkaufen
\item Mitarbeiter für juristische Fragen einstellen
\item Eine eigene Rechtsabteilung aufbauen
\end{itemize}
\item $\rightarrow$ Erste Kosten entstehen
\end{itemize}
\subsection{Compliance sicherstellen}
\begin{itemize}
\item Compliance Management System (CMS)
\item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität
\item $\rightarrow$ Integriert sich tief in das Unternehmen
\item Ziele:
\begin{itemize}
\item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern}
\item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist
\end{itemize}
\item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten
\item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung)
\end{itemize}
\subsection{Begriff: IT-Compliance}
\begin{itemize}
\item Compliance im IT-Bereich
\item $\rightarrow$ Betrifft IT-Systeme des Unternehmens
\item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden:
\begin{itemize}
\item Informationssicherheit
\item Verfügbarkeit
\item Datenaufbewahrung
\item Datenschutz
\end{itemize}
\item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen.
\end{itemize}
\subsection{IT-Compliance: Nichts als teurer Unfug?}
\begin{itemize}
\item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt
\item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift!
\begin{itemize}
\item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn
\item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots
\end{itemize}
\item Und: Zusätzliche Kosten durch Folgeschäden:
\begin{itemize}
\item Verfahrenskosten
\item Schadenersatzansprüche
\item Rückabwicklungen
\item Imageverlust / Vertrauensverlust, \dots
\end{itemize}
\item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel
\end{itemize}
\subsection{Vorteile von IT-Compliance}
\begin{itemize}
\item Unternehmensintern:
\begin{itemize}
\item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots
\item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug}
\item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen
\end{itemize}
\item Extern:
\begin{itemize}
\item Schafft Vertrauen, demonstriert Stabilität und Robustheit
\item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit
\item Erfüllt Anforderungen von Kunden und Vertragspartnern
\end{itemize}
\item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?}
\end{itemize}
\section{Cloud-Angebote}
2016-11-01 11:11:12 +01:00
2016-11-04 17:46:55 +01:00
\subsection{Begriff: Cloud-Angebote}
2016-11-01 11:11:12 +01:00
\begin{itemize}
2016-11-04 17:46:55 +01:00
\item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand}
\item Dynamisch anpassbare Dienstleistungen, dynamische Tarife
\item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit
\item $\rightarrow$ Global vernetzte Infrastruktur
\item $\rightarrow$ Daten werden oft weltweit verteilt gespeichert
\item Je nach Standort andere Rechtslage
2016-11-01 11:11:12 +01:00
\end{itemize}
2016-11-04 17:46:55 +01:00
\subsection{Cloud-Angebote aus Sicht der Kunden}
\begin{itemize}
\item Eigene IT kostet zu viel, es soll gespart werden
\item $\rightarrow$ Outsourcen mit speziellen Anforderungen an Datensicherheit
\item Beispiel: Deutsche Versicherung möchte Kundendaten in die Cloud verschieben
\begin{itemize}
\item Bundesdatenschutzgesetz muss eingehalten werden
\item Kundendaten sind vertraulich $\rightarrow$ müssen vertraulich bleiben!
\item Die Daten sollen jederzeit verfügbar sein
\item Die Daten sollen Deutschland nicht verlassen
\end{itemize}
\item Kunde sucht international günstigen Anbieter, der diese Anforderungen belegbar erfüllen kann
\end{itemize}
\subsection{Cloud-Angebote aus Sicht der Anbieter}
\begin{itemize}
\item Pro Standort unterschiedliche Gesetze und Vorschriften zu erfüllen
\item Je mehr Standorte in unterschiedlichen Ländern, desto mehr Gesetze finden Anwendung
\item $\rightarrow$ (IT-)Compliance sichert eigene Existenz
\item Kunden haben je nach Land unterschiedliche Rechte
\item $\rightarrow$ Angebote müssen entsprechend konform gehen
\item Kunden haben Anforderungen an die Datensicherheit
\item $\rightarrow$ Anbieter muss Einhaltung dieser Bedingungen belegen können
\item Und: Der Anbieter will dazu \textbf{weltweit} in der Lage sein
\end{itemize}
\section{ISO 27001}
\subsection{Steckbrief: ISO 27001}
\begin{itemize}
\item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013)
\item Gehört zur Familie der ISO 2700X
\item Anforderungen an ein Information Security Management System (ISMS)
\begin{itemize}
\item Ähnlicher Ansatz zu Compliance Management System
\item Fokus auf Datensicherheit
\item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten
\item Anwendung von Risikomanagementprozessen
\end{itemize}
\item Struktur und Aufbau abhängig von Unternehmensstruktur und Bedarf
\item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen!
\end{itemize}
\subsection{Inhalte und Ziele der ISO 27001}
\begin{itemize}
\item Enthält Anforderungen an ein ISMS + passende Kontrollen
\item Top-Down Ansatz (\enquote{Top management shall ensure that \dots})
\item Anwendungsgebiete: (Auszug)
\begin{itemize}
\item Managen von \textbf{Sicherheitsrisiken}
\item Sicherstellung der Einhaltung von Gesetzen und Vorschriften
\item Definition von Managementprozessen zum Managen von Informationssicherheit
\item Nutzung durch Auditoren als \enquote{Checkliste}
\end{itemize}
\item Erzeugung und kontinuierliche Pflege einer Datensicherheitsrichtlinie
\end{itemize}
\subsection{Auswirkungen der ISO 27001}
\begin{itemize}
\item Entwurf neuer Prozesse, Informationssysteme oder Kontrollen berücksichtigt Datensicherheit von Beginn an
\item Verursachte Kosten:
\begin{itemize}
\item Interne Kosten verursacht durch ISMS und zugehöriger Dokumentation
\item Externe Kosten durch Beauftragung von Beratungsunternehmen
\item Audit Kosten durch Zertifizierungsunternehmen
\end{itemize}
\item Konformität nach ISO 27001 zeigen?
\begin{itemize}
\item Selbst Konformität verkünden
\item Kunden/Vertragspartner bitten, die Konformität zu bestätigen
\item Verifikation der Konformität durch externen Auditor ($\rightarrow$ Zertifizierung)
\end{itemize}
\end{itemize}
\subsection{Nutzen der ISO 27001}
\begin{itemize}
\item Langfristige Kostensenkung durch strukturierte Prozesse
\item Risikominimierung
\begin{itemize}
\item $\rightarrow$ Geringere Haftungs- und Geschäftsrisiken
\item $\rightarrow$ Geringere Versicherungsbeiträge
\item $\rightarrow$ Verbesserte Kreditwürdigkeit bei Banken/Investoren
\end{itemize}
\item Höhere Wettbewerbsfähigkeit durch belegbare Datensicherheit
\item $\rightarrow$ Imageverbesserung
\end{itemize}
\subsection{Relevanz der ISO 27001 für Cloud-Angebote}
\begin{itemize}
\item Internationaler Standard, weltweit anerkannt
\item $\rightarrow$ Cloud-Anbieter können Konformität belegen
\item Starker Fokus auf Datensicherheit und Datenvertraulichkeit
\item $\rightarrow$ Mehr Vertrauen bei den Kunden, Anforderungen werden erfüllt
\item Zertifizierung und regelmäßige Audits stellen Konformität sicher
\item $\rightarrow$ Erhöhte Transparenz; Kunden können Daten ohne Sorgen bei Anbieter ablegen
\end{itemize}
\section{Umsetzung von Compliance}
\subsection{Einführung von Compliance}
\begin{itemize}
\item Management führt Compliance mit CMS (Compliance Management System) ein
\item Prozesse werden komplexer, mehr Kontrollmechanismen, \dots
\item Mitarbeiter akzeptieren Compliance und tragen ihren Teil dazu bei
\item $\rightarrow$ Soweit alles gut \dots
\end{itemize}
\subsection{Fall 1\: Umgehung von Compliance}
\begin{itemize}
\item IT-Compliance bzw. Compliance allgemein sind für Unternehmen überlebenswichtig
\item Warum also sollte man versuchen wollen, Compliance zu umgehen?
\item $\rightarrow$ Management fordert höhere Produktivität
\item \textbf{Interessenkonflikt}: Compliance gegen Produktivität
\item $\rightarrow$ Compliance wird zu Gunsten von Produktivität umgangen
\end{itemize}
\subsection{Fall 2: Lähmung durch Compliance}
\begin{itemize}
\item Ausgangssituation: Compliance ist im Unternehmen etabliert
\item Mitarbeiter verstößt ungewollt gegen Compliance-Vorgaben
\begin{itemize}
\item Reaktion: Management führt Genehmigungsprozesse ein
\item Konsequenz: Produktivität geht runter, Mitarbeiter werden verunsichert und schlimmstenfalls durch Angst \enquote{gelähmt}
\end{itemize}
\item Sinnvoller Umgang mit Verstößen gegen Compliance notwendig
\item $\rightarrow$ Mitarbeiter \enquote{abholen} anstatt Kontrolle!
\item $\rightarrow$ Kommunikation vom Management ist wichtig!
\end{itemize}
\section{Fazit}
\subsection{Abschließendes Fazit}
\begin{itemize}
\item Kunden wollen stabile und reife Unternehmen als Vertragspartner
\item (IT-)Compliance minimiert Risiken, bringt Robustheit und Stabilität
\item ISO 27001 schafft Transparenz und Vertrauen durch belegbare Datensicherheit
\item $\rightarrow$ Unternehmen steht besser dar (Image, Kredite, Wettbewerb)
\item Compliance ist überlebenswichtige Versicherung für Unternehmen
\item Compliance muss vom Management richtig kommuniziert werden
\end{itemize}
2016-11-01 11:11:12 +01:00
\section{Literaturverzeichnis}
% Literaturverzeichnis
% Schlüssel als Buchstaben
\bibliographystyle{alpha}
\bibliography{references}
% Und JETZT zum Inhaltsverzeichnis hinzufügen.
\addcontentsline{toc}{chapter}{Literaturverweise}
\end{document}
% No more content below this line