presentation_itcompliance/presentation.tex

238 lines
7.4 KiB
TeX
Raw Normal View History

2016-11-01 11:11:12 +01:00
\documentclass{f4_beamer}
% Basic setup
\usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften)
\usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks)
\usepackage{amssymb} % Math. Symbole aus AmsTeX
\usepackage[utf8]{inputenc} % Umlaute
% Custom packages
\usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{}
\usepackage{textcomp} % Zusätzliches Package für °C
\usepackage{listings} % Codesnippets
\usepackage{scrhack} % Hack for lstlisting i suspect :-/
\usepackage{xcolor}
\usepackage{float}
\usepackage{soul}
\usepackage{verbatim} % für comment-environment
\usepackage{amsmath}
% Setup für Codeblocks
\lstset{
% Optionen
breaklines=true,
breakatwhitespace=true,
breakautoindent=true,
frame=single,
%framexleftmargin=19pt,
inputencoding=utf8,
%language=awk,
%numbers=left,
%numbersep=8pt,
showspaces=false,
showstringspaces=false,
tabsize=1,
%xleftmargin=19pt,
captionpos=b,
% Styling
basicstyle=\footnotesize\ttfamily,
commentstyle=\footnotesize,
keywordstyle=\footnotesize\ttfamily,
numberstyle=\footnotesize,
stringstyle=\footnotesize\ttfamily,
}
% Hack für Sonderzeichen in Codeblocks
\lstset{literate=%
{Ö}{{\"O}}1
{Ä}{{\"A}}1
{Ü}{{\"U}}1
{ß}{{\ss}}1
{ü}{{\"u}}1
{ä}{{\"a}}1
{ö}{{\"o}}1
{°}{{${^\circ}$}}1
}
% Broken citation needs broken command
\newcommand\mathplus{+}
% Actual beamer related document setup
2016-11-03 14:04:19 +01:00
\title{Cloud-Angebote und IT-Compliance}
2016-11-04 13:51:55 +01:00
%\subtitle{Umgehungsversuche und ISO 27001}
2016-11-01 11:11:12 +01:00
\author{Jan Philipp Timme}
\date{\today}
% Content below this line
\begin{document}
2016-11-04 13:51:55 +01:00
\section{Compliance und IT-Compliance}
2016-11-01 11:11:12 +01:00
2016-11-03 19:02:56 +01:00
\begin{frame}{Begriff: Compliance}
2016-11-01 11:11:12 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Begriff aus betriebswirtschaftlicher Fachsprache
2016-11-03 14:04:19 +01:00
\item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität
\item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen
2016-11-03 19:02:56 +01:00
\item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften}
2016-11-04 13:51:55 +01:00
\item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-03 19:02:56 +01:00
\begin{frame}{Einstieg in Compliance}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Menge zu berücksichtigender Regeln von Unternehmen abhängig
\item Ab gewissem Umfang ist juristische Unterstützung notwendig
\item Mögliche Optionen:
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Juristische Beratung einkaufen
\item Mitarbeiter für juristische Fragen einstellen
\item Eine eigene Rechtsabteilung aufbauen
2016-11-03 14:04:19 +01:00
\end{itemize}
2016-11-03 19:02:56 +01:00
\item $\rightarrow$ Erste Kosten entstehen
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-03 19:02:56 +01:00
\begin{frame}{Weiterführend: Compliance sicherstellen}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-04 13:51:55 +01:00
\item Compliance Management System (CMS)
\item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität
\item $\rightarrow$ Integriert sich tief in das Unternehmen
2016-11-03 19:02:56 +01:00
\item Ziele:
\begin{itemize}
2016-11-04 13:51:55 +01:00
\item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern}
\item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist
2016-11-03 19:02:56 +01:00
\end{itemize}
2016-11-04 13:51:55 +01:00
\item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten
\item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung)
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-03 19:02:56 +01:00
\begin{frame}{IT-Compliance}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Compliance im IT-Bereich
\item $\rightarrow$ Betrifft IT-Systeme des Unternehmens
\item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden:
\begin{itemize}
\item Informationssicherheit
\item Verfügbarkeit
\item Datenaufbewahrung
\item Datenschutz
\end{itemize}
2016-11-04 13:51:55 +01:00
\item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen.
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 13:51:55 +01:00
\begin{frame}{IT-Compliance: Nichts als teurer Unfug?}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt
\item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift!
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn
\item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots
2016-11-04 13:51:55 +01:00
\end{itemize}
2016-11-04 14:15:03 +01:00
\item Und: Zusätzliche Kosten durch Folgeschäden:
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-03 19:02:56 +01:00
\item Verfahrenskosten
\item Schadenersatzansprüche
\item Rückabwicklungen
2016-11-04 14:15:03 +01:00
\item Imageverlust / Vertrauensverlust, \dots
2016-11-03 19:02:56 +01:00
\end{itemize}
2016-11-04 13:51:55 +01:00
\item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 13:51:55 +01:00
\begin{frame}{Vorteile von IT-Compliance}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-04 13:51:55 +01:00
\item Unternehmensintern:
\begin{itemize}
\item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots
\item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug}
\item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen
\end{itemize}
\item Extern:
\begin{itemize}
\item Schafft Vertrauen, demonstriert Stabilität und Robustheit
\item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit
\item Erfüllt Anforderungen von Kunden und Vertragspartnern
\end{itemize}
\item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?}
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-03 19:02:56 +01:00
\section{Cloud-Angebote}
2016-11-04 14:15:03 +01:00
\begin{frame}{Begriff: Cloud-Angebote}
2016-11-03 14:04:19 +01:00
\begin{itemize}
2016-11-04 14:15:03 +01:00
\item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand}
\item Dynamisch anpassbare Dienstleistungen
\item Analog dazu: dynamische Tarif- und Abrechnungsmodelle
\item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit
\item $\rightarrow$ Global vernetzte Infrastruktur
\item $\rightarrow$ Je nach Standort andere Rechtslage
2016-11-04 14:24:02 +01:00
\item Anbieter hat Vielzahl von Gesetzen und Vorschriften zu erfüllen!
2016-11-03 14:04:19 +01:00
\end{itemize}
\end{frame}
2016-11-04 14:15:03 +01:00
\begin{frame}{Cloud-Angebote aus Sicht der Kunden}
\begin{itemize}
\item Bedarf an einem bestimmten Service
\item Bestimmte Anforderungen bezüglich Datensicherheit und Datenschutz
2016-11-04 14:24:02 +01:00
\item Beispiel: Deutsche Versicherung möchte Kundendaten in der Cloud speichern
2016-11-04 14:15:03 +01:00
\begin{itemize}
2016-11-04 14:24:02 +01:00
\item Bundesdatenschutzgesetz muss eingehalten werden
2016-11-04 14:15:03 +01:00
\item Kundendaten sind vertraulich $\rightarrow$ und sollen vertraulich bleiben!
2016-11-04 14:24:02 +01:00
\item Die Daten sollen jederzeit verfügbar sein
\item Die Daten sollen Deutschland nicht verlassen (Garantie der Versicherung)
2016-11-04 14:15:03 +01:00
\end{itemize}
2016-11-04 14:24:02 +01:00
\item Problem: Cloud-Anbieter muss die Einhaltung dieser Bedingungen garantieren können, sonst kein Zuschlag für den Auftrag!
2016-11-04 14:15:03 +01:00
\end{itemize}
\end{frame}
2016-11-03 19:02:56 +01:00
2016-11-03 14:04:19 +01:00
\section{ISO 27001}
\begin{frame}{ISO 27001}
\begin{itemize}
\item Aufbau eines Information Security Management System (ISMS)
\item Spricht Aufbau, Wartung und durchgehende Verbesserung des ISMS an
\item Ziel ist Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten
\item Dafür werden Risikomanagementprozesse angewandt
\item Stakeholdern wird Vertrauen vermittelt
\end{itemize}
\end{frame}
\begin{frame}{}
\begin{itemize}
\item
\item
\end{itemize}
\end{frame}
\section{Fazit}
\begin{frame}{Fazit}
\begin{itemize}
\item Compliance lohnt sich
\item Bietet Sicherheit
\item Risikomanagement ist wichtig
\item Kunden wollen sich absichern
\item Lieber vorher investieren als hinterher die Zeche zahlen!
2016-11-01 11:11:12 +01:00
\end{itemize}
\end{frame}
% Probably not used, not sure yet.
\begin{comment}
\begin{frame}{Literaturverzeichnis}
% Literaturverzeichnis
% Schlüssel als Buchstaben
\bibliographystyle{alpha}
\bibliography{Literaturverweise}
% Und JETZT zum Inhaltsverzeichnis hinzufügen. Geil!
\addcontentsline{toc}{chapter}{Literaturverweise}
\end{frame}
\end{comment}
\end{document}
% No more content below this line