\documentclass{f4_beamer} % Basic setup \usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften) \usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks) \usepackage{amssymb} % Math. Symbole aus AmsTeX \usepackage[utf8]{inputenc} % Umlaute % Custom packages \usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{} \usepackage{textcomp} % Zusätzliches Package für °C \usepackage{listings} % Codesnippets \usepackage{scrhack} % Hack for lstlisting i suspect :-/ \usepackage{xcolor} \usepackage{float} \usepackage{soul} \usepackage{verbatim} % für comment-environment \usepackage{amsmath} % Setup für Codeblocks \lstset{ % Optionen breaklines=true, breakatwhitespace=true, breakautoindent=true, frame=single, %framexleftmargin=19pt, inputencoding=utf8, %language=awk, %numbers=left, %numbersep=8pt, showspaces=false, showstringspaces=false, tabsize=1, %xleftmargin=19pt, captionpos=b, % Styling basicstyle=\footnotesize\ttfamily, commentstyle=\footnotesize, keywordstyle=\footnotesize\ttfamily, numberstyle=\footnotesize, stringstyle=\footnotesize\ttfamily, } % Hack für Sonderzeichen in Codeblocks \lstset{literate=% {Ö}{{\"O}}1 {Ä}{{\"A}}1 {Ü}{{\"U}}1 {ß}{{\ss}}1 {ü}{{\"u}}1 {ä}{{\"a}}1 {ö}{{\"o}}1 {°}{{${^\circ}$}}1 } % Broken citation needs broken command \newcommand\mathplus{+} % Actual beamer related document setup \title{Cloud-Angebote und IT-Compliance} %\subtitle{Umgehungsversuche und ISO 27001} \author{Jan Philipp Timme} \date{\today} % Content below this line \begin{document} \section{Compliance und IT-Compliance} \begin{frame}{Begriff: Compliance} \begin{itemize} \item Begriff aus betriebswirtschaftlicher Fachsprache \item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität \item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen \item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften} \item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots \end{itemize} \end{frame} \begin{frame}{Einstieg in Compliance} \begin{itemize} \item Menge zu berücksichtigender Regeln von Unternehmen abhängig \item Ab gewissem Umfang ist juristische Unterstützung notwendig \item Mögliche Optionen: \begin{itemize} \item Juristische Beratung einkaufen \item Mitarbeiter für juristische Fragen einstellen \item Eine eigene Rechtsabteilung aufbauen \end{itemize} \item $\rightarrow$ Erste Kosten entstehen \end{itemize} \end{frame} \begin{frame}{Weiterführend: Compliance sicherstellen} \begin{itemize} \item Compliance Management System (CMS) \item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität \item $\rightarrow$ Integriert sich tief in das Unternehmen \item Ziele: \begin{itemize} \item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern} \item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist \end{itemize} \item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten \item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung) \end{itemize} \end{frame} \begin{frame}{IT-Compliance} \begin{itemize} \item Compliance im IT-Bereich \item $\rightarrow$ Betrifft IT-Systeme des Unternehmens \item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden: \begin{itemize} \item Informationssicherheit \item Verfügbarkeit \item Datenaufbewahrung \item Datenschutz \end{itemize} \item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen. \end{itemize} \end{frame} \begin{frame}{IT-Compliance: Nichts als teurer Unfug?} \begin{itemize} \item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt \item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift! \begin{itemize} \item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn \item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots \end{itemize} \item Und: Zusätzliche Kosten durch Folgeschäden: \begin{itemize} \item Verfahrenskosten \item Schadenersatzansprüche \item Rückabwicklungen \item Imageverlust / Vertrauensverlust, \dots \end{itemize} \item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel \end{itemize} \end{frame} \begin{frame}{Vorteile von IT-Compliance} \begin{itemize} \item Unternehmensintern: \begin{itemize} \item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots \item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug} \item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen \end{itemize} \item Extern: \begin{itemize} \item Schafft Vertrauen, demonstriert Stabilität und Robustheit \item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit \item Erfüllt Anforderungen von Kunden und Vertragspartnern \end{itemize} \item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?} \end{itemize} \end{frame} \section{Cloud-Angebote} \begin{frame}{Begriff: Cloud-Angebote} \begin{itemize} \item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand} \item Dynamisch anpassbare Dienstleistungen \item Analog dazu: dynamische Tarif- und Abrechnungsmodelle \item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit \item $\rightarrow$ Global vernetzte Infrastruktur \item $\rightarrow$ Je nach Standort andere Rechtslage \item Anbieter hat Vielzahl von Gesetzen und Vorschriften zu erfüllen! \end{itemize} \end{frame} \begin{frame}{Cloud-Angebote aus Sicht der Kunden} \begin{itemize} \item Bedarf an einem bestimmten Service \item Bestimmte Anforderungen bezüglich Datensicherheit und Datenschutz \item Beispiel: Deutsche Versicherung möchte Kundendaten in der Cloud speichern \begin{itemize} \item Bundesdatenschutzgesetz muss eingehalten werden \item Kundendaten sind vertraulich $\rightarrow$ und sollen vertraulich bleiben! \item Die Daten sollen jederzeit verfügbar sein \item Die Daten sollen Deutschland nicht verlassen (Garantie der Versicherung) \end{itemize} \item Problem: Cloud-Anbieter muss die Einhaltung dieser Bedingungen garantieren können, sonst kein Zuschlag für den Auftrag! \end{itemize} \end{frame} \section{ISO 27001} \begin{frame}{ISO 27001} \begin{itemize} \item Aufbau eines Information Security Management System (ISMS) \item Spricht Aufbau, Wartung und durchgehende Verbesserung des ISMS an \item Ziel ist Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten \item Dafür werden Risikomanagementprozesse angewandt \item Stakeholdern wird Vertrauen vermittelt \end{itemize} \end{frame} \begin{frame}{} \begin{itemize} \item \item \end{itemize} \end{frame} \section{Fazit} \begin{frame}{Fazit} \begin{itemize} \item Compliance lohnt sich \item Bietet Sicherheit \item Risikomanagement ist wichtig \item Kunden wollen sich absichern \item Lieber vorher investieren als hinterher die Zeche zahlen! \end{itemize} \end{frame} % Probably not used, not sure yet. \begin{comment} \begin{frame}{Literaturverzeichnis} % Literaturverzeichnis % Schlüssel als Buchstaben \bibliographystyle{alpha} \bibliography{Literaturverweise} % Und JETZT zum Inhaltsverzeichnis hinzufügen. Geil! \addcontentsline{toc}{chapter}{Literaturverweise} \end{frame} \end{comment} \end{document} % No more content below this line