Sicherheitsprobleme mit privaten Geräten im Firmenumfeld | 9.5.2012Security – ONE KongressMesse ZürichReto Zbinden, Rechts...
Warum BYOD (Bring Your Own Device)? Reduzieren von IT-Hardware-Kosten Erhöhung der Mitarbeiterzufriedenheit (spez. im  M...
Entwicklung privater Geräte im Geschäftsumfeld             2010                                                           ...
Erfahrungen zu BYOD Verbot mobiler privater Geräte ist nicht effizient Gefahr der Schatten IT Management hat sowohl Zug...
BYOD – einige Anforderungen… Erwartung der Mitarbeitenden  Mitarbeitende wollen Gadgets/Apps auf dem mobilen Gerät  integ...
Problemfelder / ProblemstellungProblemfelder / Widerstände Sicherheitsbedenken     Keine Kontrolle über Endgerät     Si...
Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer Arbeitgeber                                          Arbeitne...
SicherheitsfragenLösung? Keine unverschlüsselte Speicherung geschäftlicher Daten auf nicht  geschäftlich geschützten Syst...
InformationssicherheitWas ist Informationssicherheit?Definition laut ISO 27001:Angemessene Gewährleistung der      Vertra...
Sicherheitsfragen Welche Geräte haben überhaupt Zugang zu den  Geschäftsdaten? Sind diese Geräte im Besitz der Mitarbeit...
SicherheitsanforderungenSchutzDer angestrebte Grundschutz auf dem jeweiligen mobilen Endgerätumfasst folgende Punkte: Sic...
VORGEHEN09.05.2012 Security - ONE Kongress   12
Einführung BYODPhase 1 «Commitment zu BYOD»Kernfragen Was soll mit dem BYOD Einsatz erreicht werden? Welche Gefahren erg...
Einführung BYOD Gefahren: Recht & Compliance                          Gefahren: Organisation  Zugriff auf Bewegungsprofil...
Einführung BYOD Gefahren: Mitarbeitende                            Gefahren: Technik  Fehlende Awareness im Umgang       ...
Company Readiness für BYODPhase 2 «Das Unternehmen vorbereiten»Kernfragen Was muss aus Sicht Legal & Compliance  berücksi...
Company Readiness für BYOD Readiness: Organisation                            Readiness: Recht & Compliance Integration in...
Company Readiness für BYOD Readiness: Mitarbeitende                               Readiness: Technik  Anforderungen an Us...
Company Readiness für BYODReadiness: Evaluationskriterien Security Portability Enrollment (Gerät und Software) User Ac...
Deployment von BYODPhase 3 «Produktive Einführung»Kernfragen Wie sollen die neuen Weisungen bekannt gemacht  werden? Wie...
Deployment von BYODStep by step: Einführung & SchulungenSchrittweises Einführen Organisatorisch z.B. Bereich oder Stufe ...
Exkurs Datenschutz: Anforderungen seitens Arbeitgeber Systemprotokollierung     Wer hat was wann wo gemacht?     Schutz...
Exkurs Datenschutz: Anforderungen (ohne «Deal») Privatsphäre des Arbeitnehmers Wahrung des Briefgeheimnisses Achtung per...
Exkurs Datenschutz: Zulässige Protokollierung durch Arbeitgeber (ohne «Deal») Rechtfertigungsgründe    Nur zum Schutz und...
Exkurs DatenschutzPersönlichkeitsschutz des Arbeitnehmers versus Weisungskompetenz desArbeitgebers      Weisungskompetenz ...
Schaffen Sie eine Win-Win-Situation! Schaffen Sie Transparenz und SicherheitBenutzungsweisung BYOD, IT Mittel, unter Einsc...
Exkurs Datenschutz: Inhalt Acceptable Use Policy Information, dass Auswertungen stattfinden Information, dass personenbe...
Exkurs Datenschutz: Inhalt Acceptable Use PolicyMitarbeitende müssen schriftlich Ihr Einverständnis geben    Beweiszeck ...
Exkurs Datenschutz: Inhalt Acceptable Use Policy Privatsphäre der Mitarbeiter ist geschützt Unternehmensinteressen bleib...
Stolpersteine bei BYODMögliche Stolpersteine Versuch das Problem nur technisch zu lösen Akzeptanz der BYOD-Lösung Einsc...
AusblickWie geht es weiter? Rückgang der Business Workplace Computer Konsolidierung der Geschäftsapplikationen auf die n...
AusblickWas bedeutet dies? Höhere Anforderungen an die Identifikation und Authentizität  (SuisseID?) des Mitarbeiters, wi...
Zusammenfassung BYOD Einsatzstrategie unter Einschluss Risiken und  Chancen Informationssicherheit und Datenschutz umfas...
VIELEN DANKIhre Lösung beginnt mit einem Kontakt bei uns:+41 (0)41 984 12 12, infosec@infosec.chreto.zbinden@infosec.ch | ...
INTEGRALE SICHERHEITÜber unsSeit mehr als 20 Jahren befassen wir uns professionellmit allem rund um die Sicherheit von Inf...
Swiss Infosec AGCONSULTING & TRAINING                            Aktuelle Consulting-ProjekteWir sind Ihr kompetenter Part...
Integrale Sicherheit3709.05.2012             Security - ONE Kongress
Sicherheitsprobleme mit privaten Geräten im FirmenumfeldBest Practice Strategie     Benutzergruppen, Geräte, Prozesse P...
Unterschiedliche Bedürfnisse intern / extern (1/2)                   Confidentiality              Integrity              A...
Unterschiedliche Bedürfnisse intern / extern (2/2)                  Confidentiality               Integrity              A...
Upcoming SlideShare
Loading in …5
×

Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

1,409 views
1,213 views

Published on

Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,409
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
10
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Reto Zbinden zu Sicherheitsprobleme mit privaten Geräten im Firmenumfeld

  1. 1. Sicherheitsprobleme mit privaten Geräten im Firmenumfeld | 9.5.2012Security – ONE KongressMesse ZürichReto Zbinden, Rechtsanwalt, CEO, Swiss Infosec AG
  2. 2. Warum BYOD (Bring Your Own Device)? Reduzieren von IT-Hardware-Kosten Erhöhung der Mitarbeiterzufriedenheit (spez. im Management) Attraktivität des Arbeitgebers Ein Gerät an Stelle von zwei (Geschäft/Privat) Erhöhung der Produktivität und Flexibilität Anpassung des Arbeitsgerätes an die Mobilität des Mitarbeitenden Erlösung der Unternehmens-IT vom ständigen Technologiewandel bei Endgeräten Erreichbarkeit des Kunden über neue Medien «The Killing Application» nur auf mobiler Lösung verfügbar09.05.2012 Security - ONE Kongress 2
  3. 3. Entwicklung privater Geräte im Geschäftsumfeld 2010 2011  Personally-ownedQuelle: http://idc.cycloneinteractive.net/unisys-iview-2011/en  Company-owned09.05.2012 Security - ONE Kongress 3
  4. 4. Erfahrungen zu BYOD Verbot mobiler privater Geräte ist nicht effizient Gefahr der Schatten IT Management hat sowohl Zugriff auf die höchst klassifizierten Daten und ist zugleich die treibende Kraft hinter BYOD «Die Frage ist daher nicht, ob BYOD im Unternehmen eingeführt werden soll, sondern wie es aus Sicht Informationssicherheitsmanagement bestmöglich begleitet werden kann.»09.05.2012 Security - ONE Kongress 4
  5. 5. BYOD – einige Anforderungen… Erwartung der Mitarbeitenden Mitarbeitende wollen Gadgets/Apps auf dem mobilen Gerät integrieren können Time-to-Market neuer Geräte BYOD = RYOS Run your own Service – Kein, wenig oder full Support? Mobile Sicherheit Benutzung der mobilen Geräte ist standort- und zeitungebunden Gefahr des Diebstahls oder des unberechtigten Zugriffes Netzwerksicherheit Anforderungen an die Zugriffssicherheit des Unternehmensnetz steigen Private Nutzung Die mobilen Geräte werden geschäftlich UND privat verwendet oder befinden sich in privatem Besitz des Mitarbeitenden: Rollenkonflikte!09.05.2012 Security - ONE Kongress 5
  6. 6. Problemfelder / ProblemstellungProblemfelder / Widerstände Sicherheitsbedenken  Keine Kontrolle über Endgerät  Sichere Ablage auf dem Endgerät  Geschäftliche Daten auf privatem Gerät  Private Daten im Geschäft Sicherheitsperimeter «in den Händen» des Gerätenutzers Fehlende Business Cases Fehlende Unternehmens- und Sicherheitspolitik Fehlende Supportorganisation und Know-how Gefahr der Ablenkung durch das Private Gefahr dass die Arbeit noch stärker das Privatleben durchdringt09.05.2012 Security - ONE Kongress 6
  7. 7. Bereich Datenschutz: Interessen Arbeitgeber und Arbeitnehmer Arbeitgeber Arbeitnehmer  Zugriff auf  Private Nutzung von E-Mail und  geschäftliche Informationen im Mail- Internet System  Schutz der Privatsphäre  in persönlichen Laufwerken  Schutz der Ressourcen vor übermassiger  Keine Verhaltensüberwachung Belastung durch private Tätigkeiten  Transparenz  Kontrolle / Auditing / Durchsetzung  Archivierung  Admins: Schutz vor unberechtigten Forderungen und Vorwürfen  Transparenz  Reputation  Beweiszweck09.05.2012 Security - ONE Kongress 7
  8. 8. SicherheitsfragenLösung? Keine unverschlüsselte Speicherung geschäftlicher Daten auf nicht geschäftlich geschützten Systemen! Zugriff auf Daten nur über virtuelle, mobile oder webbasierte Anwendungen auf zentral gespeicherte Daten in einem sicheren Netzwerk? Gerät wird zum Interface degradiert! Ziel also so häufig verfehlt… Genügen aktuelle Sicherheitsmassnahmen/OnBoard Mittel? Exchange-Server-Leitlinien, Token-basierte Zwei-Faktor- Authentifizierung, VPN-Protokolle und SSL/TLS, "Remote Wipe", Netzwerk-Zonen-Konzept, zuverlässiges Identitätsmanagement, Port-Security, NAC? Vielleicht!  Traditionelle Sicherheitskonzepte haben ausgedient.  Anpassung der Vorgaben auf vielen Ebenen notwendig: Informationssicherheit, IT-Sicherheit, Lizenzen, Datenschutz, usw. 8
  9. 9. InformationssicherheitWas ist Informationssicherheit?Definition laut ISO 27001:Angemessene Gewährleistung der  Vertraulichkeit: Lesender Zugriff nur für autorisierte Benutzer  Integrität: Nur berechtigte Veränderungen, Schutz vor unberechtigter Veränderung der Informationen und der Verarbeitungsmethoden  Verfügbarkeit: Zugriff für autorisierte Benutzer auf Informationen und Services im vereinbarten Rahmen.Zentrale Aufgabe der Organisation ist die laufendeÜberprüfung der Angemessenheit(Gesetz/Vertrag/interne Anforderungen).09.05.2012 Security - ONE Kongress 9
  10. 10. Sicherheitsfragen Welche Geräte haben überhaupt Zugang zu den Geschäftsdaten? Sind diese Geräte im Besitz der Mitarbeiter oder des Unternehmens? Verfügen die Geräte über angemessene Sicherheitsfeatures? Kann das Unternehmen verlorene Geräte vor unbefugten Zugriff auf Daten sperren? Können die Daten auf den Geräten verschlüsselt werden? Gibt es einen Mechanismus für das Management und die Authentifizierung aller Geräte im Unternehmen? Völliger Verzicht auf Support? Support bis zur Virtualisierungsschicht? Ersatzlösung für unbrauchbare oder verschwundene Geräte?09.05.2012 Security - ONE Kongress 10
  11. 11. SicherheitsanforderungenSchutzDer angestrebte Grundschutz auf dem jeweiligen mobilen Endgerätumfasst folgende Punkte: Sicheren / Verschlüsselten Transfer der Geschäftsdaten „Data in transit“ Verschlüsselung der Geschäftsdaten auf dem Endgerät „Data in rest“ Löschen der Geschäftsdaten aus der Ferne „selective remote wipe“ Lokaler Zugriffsschutz auf die Geschäftsdaten „Data separation“ Wie werden die Geräte in das Unternehmensnetzwerk eingebunden, ohne die Privatsphäre des Nutzers zu verletzen, ihn zu stark zureglementieren und aber gleichzeitig, die Sicherheit der geschäftlichen Daten angemessen zu gewährleisten? 11
  12. 12. VORGEHEN09.05.2012 Security - ONE Kongress 12
  13. 13. Einführung BYODPhase 1 «Commitment zu BYOD»Kernfragen Was soll mit dem BYOD Einsatz erreicht werden? Welche Gefahren ergeben sich daraus?Resultate Risikoanalyse BYOD Strategie Integraler Massnahmenkatalog09.05.2012 Security - ONE Kongress 13
  14. 14. Einführung BYOD Gefahren: Recht & Compliance Gefahren: Organisation  Zugriff auf Bewegungsprofile des  Unberechtigter Zugriff auf klassifizierte Mitarbeitenden Daten  Durchmischung von Privat- und  Unsicheres Verfahren: Austritt Geschäftsdaten Mitarbeitende  Zugriffe aus dem Ausland (BaG)  Unsichere Reparatur und Wechsel der  Wer trägt die Gerätekosten und Risiken? Mobile Devices  Abgeltung an Mitarbeitende, da  Zugelassene Devices Arbeitsgerät  Aktive Accounts  Angemessener Schutz lokal abgelegter Daten  Urheberechtsverletzungen  Fehlende Nachvollziehbarkeit09.05.2012 Security - ONE Kongress 14
  15. 15. Einführung BYOD Gefahren: Mitarbeitende Gefahren: Technik  Fehlende Awareness im Umgang  Abhören der Übertragung  Zu tiefe Akzeptanz gegenüber den  Hacking des Devices (Jailbreak / Rooting) Security Massnahmen  Hacking des Passwortes  Verkauf / Verlust des Gerätes  Fehlende System- & Security-Updates  Mutwillige Beschädigung  Unsichere Datenablage auf dem Gerät  Unberechtigter Zugriff aus dem privaten  Kein Management der Devices Umfeld auf geschäftliche Daten  Funktionsumfang des Gerätes09.05.2012 Security - ONE Kongress 15
  16. 16. Company Readiness für BYODPhase 2 «Das Unternehmen vorbereiten»Kernfragen Was muss aus Sicht Legal & Compliance berücksichtigt werden? Welche Prozesse und Weisungen sind anzupassen? Welche technischen Hürden gilt es zu überwinden? Wie werden die jeweiligen Benutzer- und Interessensgruppen adressiert?Resultate Abklärung durch Legal- und Compliance-Abteilung Ergänzung des ISMS um die BYOD-Thematik Anforderungskatalog für technische Management- Lösung Forderungen aus Business- und Endanwender Sicht09.05.2012 Security - ONE Kongress 16
  17. 17. Company Readiness für BYOD Readiness: Organisation Readiness: Recht & Compliance Integration in bestehende ISMS-Weisungen Input für: und Konzepte z.B:  Klassifizierungskonzept  BYOD-Erweiterungen im ISMS  Zugriffskonzept  Evaluation der Mobile Device  Datenschutzkonzept Management-Lösung  Weisung im Umgang mit mobilen  Awareness-Schulung zu BYOD Geräten  Company Access Management  Kontrollen/Controls bei Ein- und Austritt von Mitarbeitenden  Usability-Anforderungen von Business- Seite09.05.2012 Security - ONE Kongress 17
  18. 18. Company Readiness für BYOD Readiness: Mitarbeitende Readiness: Technik  Anforderungen an Usability  Logische Trennung von privaten und  User Interface; Customization; geschäftlichen Daten: Authentisierung  Sandbox (z.B. DME, SafeZone, Good for Enterprise)  Gewünschte Applikationen  Device Virtualisierung (VMWare MVP) –  PIM (Mail, Kalender, Kontakte); (nahe) Zukunft Intranet; SAP Reports; Remote  Desktop Virtualisierung (z.B. Citrix Desktop; etc. Receiver)  Vorbereitung Mitarbeiterschulungen  Kriterienkatalog zur Evaluation einer  Awareness Mobile Device Management-Lösung inkl. PoC  Prozesse und Weisungen  Outsourcing in die Cloud?  Company Access Management  Verfügbarkeitsanforderungen09.05.2012 Security - ONE Kongress 18
  19. 19. Company Readiness für BYODReadiness: Evaluationskriterien Security Portability Enrollment (Gerät und Software) User Acceptance Application Usage Environment Support Availability Legal & Compliance (Privacy, Intellectual Property)09.05.2012 Security - ONE Kongress 19
  20. 20. Deployment von BYODPhase 3 «Produktive Einführung»Kernfragen Wie sollen die neuen Weisungen bekannt gemacht werden? Wie kann die korrekte Anwendung sichergestellt werden? Was muss bezüglich Awareness getan werden?Resultate Weisungsschulung Anwendungsschulung Awareness-Schulung09.05.2012 Security - ONE Kongress 20
  21. 21. Deployment von BYODStep by step: Einführung & SchulungenSchrittweises Einführen Organisatorisch z.B. Bereich oder Stufe StandortStufengerechte Schulungen Management Entwickler IT Anwender09.05.2012 Security - ONE Kongress 21
  22. 22. Exkurs Datenschutz: Anforderungen seitens Arbeitgeber Systemprotokollierung  Wer hat was wann wo gemacht?  Schutz der Systeme und der Reputation  Legalisierung bereits bestehender Überwachungsmechanismen und Verdachtsmomente Archivierung Zugriff im Notfall  Zugriff im Notfall (Krankheit, Ferien etc.) auf E-Mails des Arbeitnehmenden falls keine Stellvertreter-Regelung besteht  Private Laufwerk des Arbeitnehmenden09.05.2012 Security - ONE Kongress 22
  23. 23. Exkurs Datenschutz: Anforderungen (ohne «Deal») Privatsphäre des Arbeitnehmers Wahrung des Briefgeheimnisses Achtung persönlicher Sachen Keine systematische Leistungskontrolle Kein Zugriff auf private E-Mails und keine personenbezogene Auswertung des „Surfens“ Personenbezogene Protokollierung nur zulässig basierend auf Überwachungsreglement und „Vorwarnung“ Schutz der Privatsphäre Protokollierung der privaten Kommunikation ist i.d.R. unzulässig Protokollierung der geschäftlichen Kommunikation ist bei Vorliegen eines Rechtfertigungsgrundes zulässig (Art. 13 DSG)09.05.2012 Security - ONE Kongress 23
  24. 24. Exkurs Datenschutz: Zulässige Protokollierung durch Arbeitgeber (ohne «Deal») Rechtfertigungsgründe Nur zum Schutz und Leistungskontrolle der Mitarbeiter, sofern vorherige Zustimmung und Eingriff verhältnismässig. Keine Verhaltenskontrolle (Art. 26 V 3 ARG)! Zeitlich beschränkt. Keine Beurteilung einzig gestützt auf die Kontrolle. Einblick in private Daten durch Arbeitgeber: unzulässig Sofern nicht zwischen geschäftlicher und privater Kommunikation unterschieden wird, ist der höhere Schutzstandard zu beachten! Archivierung der privaten Mails während 10 Jahren ist unverhältnismässig Nichteinhaltung der gesetzlichen Vorgaben und Regelungen kann als widerrechtliche Persönlichkeitsverletzung (Art. 15 und 25 DSG) gerichtlich beurteilt werden Aus Missbrauch resultierende Sanktionen sind ebenfalls anfechtbar (z.B. missbräuchliche Kündigung nach Art. 336 OR09.05.2012 Security - ONE Kongress 24
  25. 25. Exkurs DatenschutzPersönlichkeitsschutz des Arbeitnehmers versus Weisungskompetenz desArbeitgebers Weisungskompetenz Privatsphäre Mitarbeitende09.05.2012 Security - ONE Kongress 25
  26. 26. Schaffen Sie eine Win-Win-Situation! Schaffen Sie Transparenz und SicherheitBenutzungsweisung BYOD, IT Mittel, unter Einschluss Internet und E-Mail Erfüllung der gesetzlichen Vorgaben Wahrnehmung der Sorgfalt seitens Management zum Schutz der unternehmenseigenen Informationen Vereinbarung der Zugriffsrechte im Notfall und Verfahren Schutz der Administratoren durch Festlegung der Rechte und Pflichten der IT-Abteilung und Administratoren Klare Festlegung der Verfahren: Wer entscheidet auf wessen Antrag über welche Zugriffe und Datenempfänger Darlegung sämtlicher Protokollierungen Darlegung der Archivierungsregeln Einverständniserklärung des Mitarbeitenden notwendig ‚Jeder weiss, was Sache ist.‘09.05.2012 Security - ONE Kongress 26
  27. 27. Exkurs Datenschutz: Inhalt Acceptable Use Policy Information, dass Auswertungen stattfinden Information, dass personenbezogene, teilweise automatisierte Auswertungen stattfinden.  Somit werden auch intensivere Inhouse Ermittlungen ermöglicht und legalisiert Information bezüglich «General Wipe» oder «Selective Wipe» Verantwortlichkeiten, Regelungen zu Wartung, Ersatz und Leihgeräte und Bestimmungen zum finanziellen "Zuschuss" Datenschutzrecht: Einsicht, Nutzungs- und Zugriffsrechte des Arbeitgebers auf die privaten Geräte explizit regeln unter Beachtung der zwingenden Regeln Einverständnis des Mitarbeitenden09.05.2012 Security - ONE Kongress 27
  28. 28. Exkurs Datenschutz: Inhalt Acceptable Use PolicyMitarbeitende müssen schriftlich Ihr Einverständnis geben Beweiszeck Achtung: Einverständniserklärung könnte widerrufen werdenMitarbeitende können Löschung privater Daten verlangen Sofern für die Abwicklung des Arbeitsvertrages nicht benötigt E Mail Archivierung! Sollten private oder als privat markierte E-Mails der Mitarbeitenden archiviert worden sein, haben die MA das Recht, diese löschen zu lassen (selbst einzelne E-Mails) Mitarbeitende nehmen «Deal» sehr positiv auf, sofern spürbar, dass Management seinerseits hinter den definierten Regeln steht, diese vorlebt und selber auch einhält09.05.2012 Security - ONE Kongress 28
  29. 29. Exkurs Datenschutz: Inhalt Acceptable Use Policy Privatsphäre der Mitarbeiter ist geschützt Unternehmensinteressen bleiben gewahrt Handelnde Personen kennen ihre Rechte und Pflichten und verstossen nicht gegen Gesetze oder die Rechte der Betroffenen Die Rechte und Pflichten aller Mitarbeitenden bezüglich Umgang mit IT Mitteln sind klar definiert.09.05.2012 Security - ONE Kongress 29
  30. 30. Stolpersteine bei BYODMögliche Stolpersteine Versuch das Problem nur technisch zu lösen Akzeptanz der BYOD-Lösung Einschränkungen durch Gesetze «Me to»-Strategie bei Lösungsevaluation Fehlende Supportorganisation Integration von 3rd Parties Fehlende Schulung und Awareness Keine vorbereiteten Prozesse und Weisungen Fehlende Berücksichtigung Verfügbarkeit und BCM09.05.2012 Security - ONE Kongress 30
  31. 31. AusblickWie geht es weiter? Rückgang der Business Workplace Computer Konsolidierung der Geschäftsapplikationen auf die neue Gerätelandschaft und Vertriebswege Kein Device-Zugriff auf das Unternehmensnetzwerk, sondern in die (Private-) Cloud des Unternehmens09.05.2012 Security - ONE Kongress 31
  32. 32. AusblickWas bedeutet dies? Höhere Anforderungen an die Identifikation und Authentizität (SuisseID?) des Mitarbeiters, wie auch die des Kunden Neue Ansätze im Access-Management Stärkere Verschmelzung von Privat und Geschäft Verstärkte Anforderungen an die Privacy in heterogenen Daten Verstärkung des Schutzes gegen Data-Mining Neue Angriffsvektoren09.05.2012 Security - ONE Kongress 32
  33. 33. Zusammenfassung BYOD Einsatzstrategie unter Einschluss Risiken und Chancen Informationssicherheit und Datenschutz umfassend berücksichtigen Ableiten der Requirements und Evaluation Ergänzung der technischen Infrastruktur BYOD taugliche Mobile Security Policy Anpassung der Benutzer-, Administrations- und Betriebsweisungen Ausbildungs- und Awareness Programm für die Mitarbeiterbeitenden09.05.2012 Security - ONE Kongress 33
  34. 34. VIELEN DANKIhre Lösung beginnt mit einem Kontakt bei uns:+41 (0)41 984 12 12, infosec@infosec.chreto.zbinden@infosec.ch | +41 (0)79 446 83 00
  35. 35. INTEGRALE SICHERHEITÜber unsSeit mehr als 20 Jahren befassen wir uns professionellmit allem rund um die Sicherheit von Informationen.Wir beraten und unterstützen Sie bei derIdentifizierung und der Erreichung angemessenerSicherheitsziele und bilden Ihre Mitarbeitenden aus.Die Swiss Infosec AG bietet Ihnen Beratung undAusbildung aus einer Hand: kompetent durchErfahrung, glaubwürdig durch Unabhängigkeit,praxisorientiert durch Kundennähe!Mit der Swiss Infosec AG sind Sie sicher, dass IhreInformationen so sicher sind wie nötig. Reto C. Zbinden Rechtsanwalt, CEO09.05.2012 Security - ONE Kongress 35
  36. 36. Swiss Infosec AGCONSULTING & TRAINING Aktuelle Consulting-ProjekteWir sind Ihr kompetenter Partner,  Coaching ISO 27001 Zertifizierungwenn es um folgende Themen geht:  Firmenweite Awareness-Kampagnen unter Einschluss E Learning Informationssicherheit  Business Impact Analyse und BCM IT-Sicherheit Strategie Datenschutz  Krisenmanagement Krisenmanagement  Risikoanalysen/Risiko-Workshops  Security Check-ups/Sicherheitsaudits Business Impact Analysen / BCM  Gutachten Datenschutz/Archivierung Elektronische Archivierung  Zertifizierungsbegleitung ISO 27001/27002/ISMS  Social Engineering Audits Social Engineering  Audits, PoC’s, Elektronische Archivierung Sicherheitsaudits aller Art  Audits von Firewalls, Applikationen09.05.2012 Security - ONE Kongress 36
  37. 37. Integrale Sicherheit3709.05.2012 Security - ONE Kongress
  38. 38. Sicherheitsprobleme mit privaten Geräten im FirmenumfeldBest Practice Strategie  Benutzergruppen, Geräte, Prozesse Policy  AUP, Monitoring, erlaubte Geräte und Apps NAC  Erkennung unbekannter Geräte und Verhinderung von deren Zugriff auf Firmennetzwerk Secure Access Gateway  Applikationen, Mail, ERP etc. Network Protection  IDS, DLP etc. (Cloud) Geräte-Management  Konfigurierung, Kontrolle, Verschlüsselung etc. Apps-Sicherung  Verschlüsselung, Patch Management, Datenschutz09.05.2012 Security - ONE Kongress 38
  39. 39. Unterschiedliche Bedürfnisse intern / extern (1/2) Confidentiality Integrity Availability Management Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von (klassifizierte) der Daten unabhängig überall unabhängig Informationen vom Endgerät vom Endgerät Fachabteilungen Zugriff auf Kunden- Korrekte Bearbeitung - und Geschäftsdaten der Daten unabhängig vom Endgerät Marketing & Zugriff auf Korrekte Bearbeitung Jederzeit Zugriff von Sales Kundendaten der Daten unabhängig überall unabhängig vom Endgerät vom Endgerät HR / Recruitment Zugriff auf Korrekte Bearbeitung - Personaldaten der Daten unabhängig vom Endgerät09.05.2012 Security - ONE Kongress 39
  40. 40. Unterschiedliche Bedürfnisse intern / extern (2/2) Confidentiality Integrity Availability IT-Abteilung • Sicherstellen Anbieten von Backups • Anbieten von Schutz der und Rollbacks Support Unternehmens- • Betrieb der daten auf BYOD/MDM- privatem Gerät; Lösung • Sicherstellen der • Integration der Zugriffsrechte Devices Kunde Daten Korrekte Bearbeitung Jederzeit Zugriff von • In Rest (lokal) der Daten unabhängig überall unabhängig • In Transit vom Endgerät vom Endgerät09.05.2012 Security - ONE Kongress 40

×