presentation_itcompliance/presentation.tex
2016-11-04 14:52:57 +01:00

262 lines
8.1 KiB
TeX

\documentclass{f4_beamer}
% Basic setup
\usepackage[german]{babel} % Sprachpaket für Deutsch (Umlaute, Trennung,deutsche Überschriften)
\usepackage{graphicx,hyperref} % Graphikeinbindung, Hyperref (alles klickbar, Bookmarks)
\usepackage{amssymb} % Math. Symbole aus AmsTeX
\usepackage[utf8]{inputenc} % Umlaute
% Custom packages
\usepackage[autostyle=true,german=quotes]{csquotes} % Anführungszeichen mit \enquote{}
\usepackage{textcomp} % Zusätzliches Package für °C
\usepackage{listings} % Codesnippets
\usepackage{scrhack} % Hack for lstlisting i suspect :-/
\usepackage{xcolor}
\usepackage{float}
\usepackage{soul}
\usepackage{verbatim} % für comment-environment
\usepackage{amsmath}
% Setup für Codeblocks
\lstset{
% Optionen
breaklines=true,
breakatwhitespace=true,
breakautoindent=true,
frame=single,
%framexleftmargin=19pt,
inputencoding=utf8,
%language=awk,
%numbers=left,
%numbersep=8pt,
showspaces=false,
showstringspaces=false,
tabsize=1,
%xleftmargin=19pt,
captionpos=b,
% Styling
basicstyle=\footnotesize\ttfamily,
commentstyle=\footnotesize,
keywordstyle=\footnotesize\ttfamily,
numberstyle=\footnotesize,
stringstyle=\footnotesize\ttfamily,
}
% Hack für Sonderzeichen in Codeblocks
\lstset{literate=%
{Ö}{{\"O}}1
{Ä}{{\"A}}1
{Ü}{{\"U}}1
{ß}{{\ss}}1
{ü}{{\"u}}1
{ä}{{\"a}}1
{ö}{{\"o}}1
{°}{{${^\circ}$}}1
}
% Broken citation needs broken command
\newcommand\mathplus{+}
% Actual beamer related document setup
\title{Cloud-Angebote und IT-Compliance}
%\subtitle{Umgehungsversuche und ISO 27001}
\author{Jan Philipp Timme}
\date{\today}
% Content below this line
\begin{document}
\section{Compliance und IT-Compliance}
\subsection{Begriff: Compliance}
\begin{frame}{Begriff: Compliance}
\begin{itemize}
\item Begriff aus betriebswirtschaftlicher Fachsprache
\item engl.: \enquote{Compliance} $\rightarrow$ dt.: Einhaltung, Befolgung, Regelkonformität
\item Siehe auch \enquote{to comply} $\rightarrow$ einwilligen, nachgeben, den Auflagen entsprechen
\item $\rightarrow$ \textbf{Einhaltung von Gesetzen und Vorschriften}
\item z.B.: BGB, HGB, AO, GmbHG, JArbSchG, BDSG, Normen, EU-Richtlinien, internationale Konventionen, \dots
\end{itemize}
\end{frame}
\subsection{Einstieg in Compliance}
\begin{frame}{Einstieg in Compliance}
\begin{itemize}
\item Menge zu berücksichtigender Regeln von Unternehmen abhängig
\item Ab gewissem Umfang ist juristische Unterstützung notwendig
\item Mögliche Optionen:
\begin{itemize}
\item Juristische Beratung einkaufen
\item Mitarbeiter für juristische Fragen einstellen
\item Eine eigene Rechtsabteilung aufbauen
\end{itemize}
\item $\rightarrow$ Erste Kosten entstehen
\end{itemize}
\end{frame}
\subsection{Compliance sicherstellen}
\begin{frame}{Compliance sicherstellen}
\begin{itemize}
\item Compliance Management System (CMS)
\item Beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität
\item $\rightarrow$ Integriert sich tief in das Unternehmen
\item Ziele:
\begin{itemize}
\item \textbf{Risiken} für Regelverstöße rechtzeitig \textbf{erkennen, analysieren und verhindern}
\item Angemessene Reaktionen, falls Regelverstoß dennoch eingetreten ist
\end{itemize}
\item Zusätzlicher Aufwand $\rightarrow$ mehr Mitarbeiter $\rightarrow$ mehr Kosten
\item Aber: Vermeidet langfristig Kosten! (wie eine Versicherung)
\end{itemize}
\end{frame}
\subsection{Begriff: IT-Compliance}
\begin{frame}{Begriff: IT-Compliance}
\begin{itemize}
\item Compliance im IT-Bereich
\item $\rightarrow$ Betrifft IT-Systeme des Unternehmens
\item Kern-Anforderungen der IT-Compliance sollen gewährleistet werden:
\begin{itemize}
\item Informationssicherheit
\item Verfügbarkeit
\item Datenaufbewahrung
\item Datenschutz
\end{itemize}
\item Laut einer Studie von CSC fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen.
\end{itemize}
\end{frame}
\subsection{IT-Compliance: Nichts als teurer Unfug?}
\begin{frame}{IT-Compliance: Nichts als teurer Unfug?}
\begin{itemize}
\item Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt
\item Aber: Strafen bei Verstoß gegen Gesetz oder Vorschrift!
\begin{itemize}
\item Bußgelder, Gewinnabschöpfung, Verfall von Gewinn
\item \textbf{Haftstrafen} für Vorstand einer AG, Geschäftsführer einer GmbH, \dots
\end{itemize}
\item Und: Zusätzliche Kosten durch Folgeschäden:
\begin{itemize}
\item Verfahrenskosten
\item Schadenersatzansprüche
\item Rückabwicklungen
\item Imageverlust / Vertrauensverlust, \dots
\end{itemize}
\item $\rightarrow$ (IT-)Compliance ist grundlegendes Unternehmensziel
\end{itemize}
\end{frame}
\subsection{Vorteile von IT-Compliance}
\begin{frame}{Vorteile von IT-Compliance}
\begin{itemize}
\item Unternehmensintern:
\begin{itemize}
\item Frühzeitige Betrachtung von relevanten Gesetzen, Risiken, \dots
\item \enquote{Volles Risikobewusstsein} anstatt \enquote{Blindflug}
\item $\rightarrow$ (Daten-)Sicherheit durch strukturiertes Vorgehen
\end{itemize}
\item Extern:
\begin{itemize}
\item Schafft Vertrauen, demonstriert Stabilität und Robustheit
\item Ermöglicht Aussprechen von Garantien bezüglich (Daten-)Sicherheit
\item Erfüllt Anforderungen von Kunden und Vertragspartnern
\end{itemize}
\item \enquote{\dots aber wie kann ich jemandem meine (IT-)Compliance nachweisen?}
\end{itemize}
\end{frame}
\section{Cloud-Angebote}
\subsection{Begriff: Cloud-Angebote}
\begin{frame}{Begriff: Cloud-Angebote}
\begin{itemize}
\item Virtuelle Maschinen, Speicher, Anwendungen und Plattformen \enquote{on demand}
\item Dynamisch anpassbare Dienstleistungen, dynamische Tarife
\item Infrastruktur auf Rechenzentren in mehreren Ländern weltweit
\item $\rightarrow$ Global vernetzte Infrastruktur
\item $\rightarrow$ Daten werden oft weltweit verteilt gespeichert
\item Je nach Standort andere Rechtslage
\item $\rightarrow$ Anbieter hat Vielzahl von Gesetzen und Vorschriften zu erfüllen!
\end{itemize}
\end{frame}
\subsection{Cloud-Angebote aus Sicht der Kunden}
\begin{frame}{Cloud-Angebote aus Sicht der Kunden}
\begin{itemize}
\item Bedarf an einem Service mit festen Anforderungen
\item Beispiel: Deutsche Versicherung möchte Kundendaten in der Cloud speichern
\begin{itemize}
\item Bundesdatenschutzgesetz muss eingehalten werden
\item Kundendaten sind vertraulich $\rightarrow$ müssen vertraulich bleiben!
\item Die Daten sollen jederzeit verfügbar sein
\item Die Daten sollen Deutschland nicht verlassen (Garantie der Versicherung)
\end{itemize}
\item $\rightarrow$ Anbieter muss Einhaltung dieser Bedingungen belegen können
\item Und: Der Anbieter will dazu \textbf{weltweit} in der Lage sein
\end{itemize}
\end{frame}
\section{ISO 27001}
\subsection{Steckbrief: ISO 27001}
\begin{frame}{Steckbrief: ISO 27001}
\begin{itemize}
\item \textbf{Internationaler Standard} aus dem Jahr 2005 (überholt in 2013)
\item Gehört zur Familie der ISO 27000-27009
\item Anforderungen an ein Information Security Management System (ISMS)
\begin{itemize}
\item Ähnlicher Ansatz zu Compliance Management System
\item Fokus auf Datensicherheit
\item $\rightarrow$ Bewahren der Vertraulichkeit, Integrität und Verfügbarkeit von Daten
\item Anwendung von Risikomanagementprozessen
\end{itemize}
\item Bonus: Man kann sich nach ISO 27001 zertifizieren lassen!
\end{itemize}
\end{frame}
\subsection{Inhalte der ISO 27001}
\begin{frame}{Inhalte der ISO 27001}
\begin{itemize}
\item Top-Down Ansatz (\enquote{Top management shall ensure that \dots})
\item
\item
\end{itemize}
\end{frame}
\subsection{}
\begin{frame}{}
\begin{itemize}
\item
\item
\end{itemize}
\end{frame}
\section{Fazit}
\begin{frame}{Fazit}
\begin{itemize}
\item Compliance lohnt sich
\item Bietet Sicherheit
\item Risikomanagement ist wichtig
\item Kunden wollen sich absichern
\item Lieber vorher investieren als hinterher die Zeche zahlen!
\end{itemize}
\end{frame}
% Probably not used, not sure yet.
\begin{comment}
\begin{frame}{Literaturverzeichnis}
% Literaturverzeichnis
% Schlüssel als Buchstaben
\bibliographystyle{alpha}
\bibliography{Literaturverweise}
% Und JETZT zum Inhaltsverzeichnis hinzufügen. Geil!
\addcontentsline{toc}{chapter}{Literaturverweise}
\end{frame}
\end{comment}
\end{document}
% No more content below this line