Disclaimer - avedos business solutions GmbH · Disclaimer Die in dieser Präsentation gezeigten Inhalte dienen ausschließlich zur Information. Alle Inhalte wurden mit Sorgfalt und

DisclaimerDie in dieser Präsentation gezeigten Inhalte dienen ausschließlich zur Information. Alle Inhalte wurden mit Sorgfalt und nach bestem Gewissen erstellt. Eine Gewähr für die Aktualität, Vollständigkeitund Richtigkeit sämtlicher Seiten kann jedoch nicht übernommen werden. In die Zukunft gerichtete Informationen sind Annahmen und stellen keine Zusicherung dar. Die in diesem Dokumentveröffentlichten Inhalte und Bilder unterliegen dem Urheberrecht. Jede Art der Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtsbedarf der vorherigen Zustimmung des jeweiligen Urhebers bzw. Autors.

11.10.2016, LSZ Security

Informationssicherheitsmanagement beim Universitätsspital Zürich - Die Basis für integrierte IT-Governance

4© 2016 avedos business solutions gmbh

Agenda• State of the Art des ISMS beim Universitätsspital Zürich

• Anforderungen• Implementierung• Lessons learned

• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung

der IT-GRC Silos• Technischer Überblick, Architektur• Fragen & Antworten

© 2016 avedos business solutions gmbh 5

GRC ist unsere Leidenschaft

Seit 2005 100% Fokus auf Enterprise GRC

Führender europäischer Anbieter

In privater Hand

Über 70 Mitarbeiter

Branchenführende Kundenzufriedenheit

Partner & GRC-Communities


Wir unterstützen unsere Kunden bei der Harmonisierung der unterschiedlichen GRC Prozesse in ein einheitliches, kollaboratives, risiko- und wertorientiertes Enterprise Management System zur Verbesserung von Transparenz, Nachhaltigkeit und Umsetzung.

Samuel Brandstätter, CEO

Unsere Kunden







Universitätsspital Zürich• eines der fünf grossen Universitätsspitäler der Schweiz• seit 2007 eine selbständige öffentlich-rechtliche Anstalt• besteht aus über 42 Kliniken und Instituten

• 900 Betten• 8.000 Mitarbeiter• 38.000 Stationäre Patienten pro Jahr• 270.000 Pflegetage• 542.000 Ambulante Besuche

Daten 2014


Universitätsspital Zürich• Herausforderungen

• Hohe Anforderung an die Verfügbarkeit• Anforderung der Patientensicherheit• Aufzeichnung und Dokumentation

• Komplexe Systemlandschaft• Medizin Technik am Spitalnetz• Spital und Forschung

• Trends• Mobility• eHealth (ePD)• Internet of Things


Universitätsspital Zürich• Anforderungen

• Anwendung von unterschiedlichen Kontrollkatalogen

• Bedrohung und Schwachstellen nach ISO 27005

• Durchführung von Business Impact Analysen• Asset, Controls und Aktionen einem Owner

zuweis- und verwaltbar• Unterstützung von Reportingfunktionen• Bestimmung des Maturitätslevel• Hinzufügen von Evidence (bspw. Dokumente)• Notifikationsfunktion via Email• …


Universitätsspital Zürich• ISMS Prozess

Business Impact Analyse Risiko Analyse Risiko Beurteilung Risiko

Handhabung







iE2 Konzern

IT Services

Control & Compliance Management

GP2GP1

Asset Questionnaire

Risk-Management & -Assessments

Risiken

… nach HIPAA

… nach ISO 27001:2013,

ISO 80001-2-2:2012Maßnahmen

Schwachstellen

Audit Findings Audits

BIA

Information Security Management System1. Scoping2. Business Impact Analyse3. Risk Management4. Control Self Assessments5. Nachverfolgung und Dokumentation

Ausnahmen

USZ

Medizin System


Universitätsspital Zürich• Business Impact Analyse

• Durchführung durch Business Owner• Einstufung der Kritikalität

• Vertraulichkeit• Integrität• Verfügbarkeit

• Annahme des entsprechenden Worst-Case-Szenarios

1


Reputation (C_Rep)

Auflagen (C_Auf)

0...3

0...4

Öffentlichkeit (C_Oef)0...3

Abhängige Institution (C_Abh)

Leben (C_Leb)

0...3

0...4

Finanzen: Budget (C_F1)0...4

Finanzen: Klage (C_F2)

Finanzen: Unterbruchskosten (C_F3)

0...4

0...4

Untersuchungs-kosten (C_Unt)0...4

SUM BIAC Gesamtwert

0...33

RANGE: < 15 ="Tief"

15 – 27 ="Mittel"> 27 ="Hoch"

BIAC Schutzziel

1...3

BIA


Universitätsspital Zürich• Risk Assessment

• Zuweisung von Bedrohungen und Schwachstellen • Bewertung der Bedrohungen

• Beschreibung der Szenarien• Eintrittswahrscheinlichkeit• Gefährdung (Kompromittierungsfaktor) der

• Vertraulichkeit• Integrität• Verfügbarkeit

• Zuweisung von Controls• Controls aus «Grundschutz» werden automatisch zugewiesen

1


BIA Vertraulichkeit(BIAC)

BIA Verfügbarkeit(BIAA)

BIA Integrität(BIAI)

Gefährdung der Vertraulichkeit

(COC)

Gefährdung der Verfügbarkeit

(COA)

Gefährdung der Integrität

(COI)

Eintritts-wahrscheinlichkeit

(FRQ)

Bedrohungsgrad - Vertraulichkeit

(TLC)

Bedrohungsgrad - Verfügbarkeit

(TLA)

Bedrohungsgrad - Integrität

(TLI)

1...4

1...4

1...4

1...4

1...3

1...3

1...3

1...5

1...5

1...5

Risiko - Vertraulichkeit

(RC)

Risiko - Verfügbarkeit

(RA)

1...5

1...5

Risiko - Integrität(RI)

1...5

Risiko(R)

1...5

MAX

Risk Assessment


Universitätsspital Zürich• Control Assessment

• Controls aus «Grundschutz» wurden automatisch zugewiesen• Bewertung der Controls

• Beschreibung der Control• Status USZ• IST- und SOLL-Reifegrad• Status Implementierung• Exception - Ausnahmeregelung• Dokumentation

• Bestimmung von Aktivitäten (Tasks) zur Umsetzung des Controls• Beschreibung, Status• Verantwortlicher• Start /End-Datum• Audit Kommentar

• Versenden von Email-Notifikation

1


Risiko(R)

1...5Soll-Reifegrad

(RM)

1...5

Ist-Reifegrad(AM)

RM – AM(IF (EXC, 0, RM-AM))

Differenz(GAP)

-4...5

0...5

Control Assessment







Universitätsspital Zürich• risk2value ISMS Solution - Lessons learned

• Steigert den Grad an Nachvollziehbarkeit und Dokumentation• Ersetzt nicht die Management Attention aber fördert diese• Schonung von Ressourcen durch Automatisierung• Erhält schnell und einfach einen Überblick und zeigt das

Gesamtbild• Kein reines Compliance-Check Tool• Steigerung der Tool-Akzeptanz durch Integration von weiteren

Modulen

2







GRC in Unternehmen: Aktuelle Situation

Isoliert Teilweise Integriert Komplett Integriert

GRCIntegration

27%

59%

14%Organisationsübergreifendeintegrierte Prozesse und Technologien

Teilweise übergreifende Prozesse, aber keinepassenden Technologien verfügbar

Prozesse sind großteils voneinander isoliert

Quelle: OCEG 2016 GRC Technology Strategy SurveyÜbersetzt durch avedos.









Flexible Konfiguration (Self-Service Modelling)

Flexibles Reporting (Self-Service Reporting)

Skalierbar und kollaborativ

„State of the Art“ IT Architektur

„End-to-End“ GRC-Lösung

Mehrwert auf einen Blick




• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung der IT-GRC

Silos• Technischer Überblick, Architektur• Fragen & Antworten


Technischer Überblick risk2valuerisk2value - Technik• Offene 3-Tier Architektur

(Microsoft Technologie Stack)• Microsoft® .net Webapplikation

Quelle: Gartner Magic Quadrant 2015 for Operational Database Management


Technischer Überblick risk2valuerisk2value - Technik• Offene 3-Tier Architektur

(Microsoft Technologie Stack)• Microsoft® .net Webapplikation• Reporting & Analytics auf Basis MS-BI Stack

(risk2value.analytics – Excel, Web, Mobil, SharePoint)

• LDAP Integrierte Authentifizierung• On-Premise und Cloudrisk2value - Integration• XML, Excel, CSV zum Import/Export von Daten• Integration andere führende BI Plattformen

(e.g.: SAP BO, Qlik, Tableau, MicroStrategy, …)Quelle: Gartner Magic Quadrant 2016 for BI and Analytics Platform


risk2value Architektur

Service & Infrastructure Layer

Security Layer

OLAP risk2value Database

risk2value Application

r2vProd.

DB

r2vBerichts

DB

risk2value Anwendung

DWH ERP BPMSource Systems

Laden risk2value (XML, CSV, Excel)

Transformation MS SQL Server Integration Services (SSIS)

Extraktion MS SSIS (CSV, OLEDB, ODBC, ADO, CASHE, FTP, HTTP, SMTP, SAP BI, etc.).

ETL Process, Staging

risk2value Load




• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung der IT-GRC

Silos• Technischer Überblick, Architektur• Fragen & Antworten

avedos business solutions gmbhFranz Klein Gasse 5 1190 Vienna, Austria

T: +43 1 3670876-0 [email protected]: +43 1 3670876-999 www.avedos.com

Documents

Disclaimer - avedos business solutions GmbH · Disclaimer Die in dieser Präsentation gezeigten Inhalte dienen ausschließlich zur Information. Alle Inhalte wurden mit Sorgfalt und