Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
DisclaimerDie in dieser Präsentation gezeigten Inhalte dienen ausschließlich zur Information. Alle Inhalte wurden mit Sorgfalt und nach bestem Gewissen erstellt. Eine Gewähr für die Aktualität, Vollständigkeitund Richtigkeit sämtlicher Seiten kann jedoch nicht übernommen werden. In die Zukunft gerichtete Informationen sind Annahmen und stellen keine Zusicherung dar. Die in diesem Dokumentveröffentlichten Inhalte und Bilder unterliegen dem Urheberrecht. Jede Art der Vervielfältigung, Bearbeitung, Verbreitung und jede Art der Verwertung außerhalb der Grenzen des Urheberrechtsbedarf der vorherigen Zustimmung des jeweiligen Urhebers bzw. Autors.
11.10.2016, LSZ Security
Informationssicherheitsmanagement beim Universitätsspital Zürich - Die Basis für integrierte IT-Governance
4© 2016 avedos business solutions gmbh
Agenda• State of the Art des ISMS beim Universitätsspital Zürich
• Anforderungen• Implementierung• Lessons learned
• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung
der IT-GRC Silos• Technischer Überblick, Architektur• Fragen & Antworten
© 2016 avedos business solutions gmbh 5
GRC ist unsere Leidenschaft
Seit 2005 100% Fokus auf Enterprise GRC
Führender europäischer Anbieter
In privater Hand
Über 70 Mitarbeiter
Branchenführende Kundenzufriedenheit
Partner & GRC-Communities
© 2016 avedos business solutions gmbh 6
Wir unterstützen unsere Kunden bei der Harmonisierung der unterschiedlichen GRC Prozesse in ein einheitliches, kollaboratives, risiko- und wertorientiertes Enterprise Management System zur Verbesserung von Transparenz, Nachhaltigkeit und Umsetzung.
Samuel Brandstätter, CEO
Unsere Kunden
7© 2016 avedos business solutions gmbh
Agenda• State of the Art des ISMS beim Universitätsspital Zürich
• Anforderungen• Implementierung• Lessons learned
• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung
der IT-GRC Silos• Technischer Überblick, Architektur• Fragen & Antworten
8© 2016 avedos business solutions gmbh
Universitätsspital Zürich• eines der fünf grossen Universitätsspitäler der Schweiz• seit 2007 eine selbständige öffentlich-rechtliche Anstalt• besteht aus über 42 Kliniken und Instituten
• 900 Betten• 8.000 Mitarbeiter• 38.000 Stationäre Patienten pro Jahr• 270.000 Pflegetage• 542.000 Ambulante Besuche
Daten 2014
9© 2016 avedos business solutions gmbh
Universitätsspital Zürich• Herausforderungen
• Hohe Anforderung an die Verfügbarkeit• Anforderung der Patientensicherheit• Aufzeichnung und Dokumentation
• Komplexe Systemlandschaft• Medizin Technik am Spitalnetz• Spital und Forschung
• Trends• Mobility• eHealth (ePD)• Internet of Things
10© 2016 avedos business solutions gmbh
Universitätsspital Zürich• Anforderungen
• Anwendung von unterschiedlichen Kontrollkatalogen
• Bedrohung und Schwachstellen nach ISO 27005
• Durchführung von Business Impact Analysen• Asset, Controls und Aktionen einem Owner
zuweis- und verwaltbar• Unterstützung von Reportingfunktionen• Bestimmung des Maturitätslevel• Hinzufügen von Evidence (bspw. Dokumente)• Notifikationsfunktion via Email• …
11© 2016 avedos business solutions gmbh
Universitätsspital Zürich• ISMS Prozess
Business Impact Analyse Risiko Analyse Risiko Beurteilung Risiko
Handhabung
12© 2016 avedos business solutions gmbh
Agenda• State of the Art des ISMS beim Universitätsspital Zürich
• Anforderungen• Implementierung• Lessons learned
• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung
der IT-GRC Silos• Technischer Überblick, Architektur• Fragen & Antworten
© 2016 avedos business solutions gmbh 13
iE2 Konzern
IT Services
Control & Compliance Management
GP2GP1
Asset Questionnaire
Risk-Management & -Assessments
Risiken
… nach HIPAA
… nach ISO 27001:2013,
ISO 80001-2-2:2012Maßnahmen
Schwachstellen
Audit Findings Audits
BIA
Information Security Management System1. Scoping2. Business Impact Analyse3. Risk Management4. Control Self Assessments5. Nachverfolgung und Dokumentation
Ausnahmen
USZ
Medizin System
14© 2016 avedos business solutions gmbh
Universitätsspital Zürich• Business Impact Analyse
• Durchführung durch Business Owner• Einstufung der Kritikalität
• Vertraulichkeit• Integrität• Verfügbarkeit
• Annahme des entsprechenden Worst-Case-Szenarios
1
15© 2016 avedos business solutions gmbh
Reputation (C_Rep)
Auflagen (C_Auf)
0...3
0...4
Öffentlichkeit (C_Oef)0...3
Abhängige Institution (C_Abh)
Leben (C_Leb)
0...3
0...4
Finanzen: Budget (C_F1)0...4
Finanzen: Klage (C_F2)
Finanzen: Unterbruchskosten (C_F3)
0...4
0...4
Untersuchungs-kosten (C_Unt)0...4
SUM BIAC Gesamtwert
0...33
RANGE: < 15 ="Tief"
15 – 27 ="Mittel"> 27 ="Hoch"
BIAC Schutzziel
1...3
BIA
16© 2016 avedos business solutions gmbh
Universitätsspital Zürich• Risk Assessment
• Zuweisung von Bedrohungen und Schwachstellen • Bewertung der Bedrohungen
• Beschreibung der Szenarien• Eintrittswahrscheinlichkeit• Gefährdung (Kompromittierungsfaktor) der
• Vertraulichkeit• Integrität• Verfügbarkeit
• Zuweisung von Controls• Controls aus «Grundschutz» werden automatisch zugewiesen
1
17© 2016 avedos business solutions gmbh
BIA Vertraulichkeit(BIAC)
BIA Verfügbarkeit(BIAA)
BIA Integrität(BIAI)
Gefährdung der Vertraulichkeit
(COC)
Gefährdung der Verfügbarkeit
(COA)
Gefährdung der Integrität
(COI)
Eintritts-wahrscheinlichkeit
(FRQ)
Bedrohungsgrad - Vertraulichkeit
(TLC)
Bedrohungsgrad - Verfügbarkeit
(TLA)
Bedrohungsgrad - Integrität
(TLI)
1...4
1...4
1...4
1...4
1...3
1...3
1...3
1...5
1...5
1...5
Risiko - Vertraulichkeit
(RC)
Risiko - Verfügbarkeit
(RA)
1...5
1...5
Risiko - Integrität(RI)
1...5
Risiko(R)
1...5
MAX
Risk Assessment
18© 2016 avedos business solutions gmbh
Universitätsspital Zürich• Control Assessment
• Controls aus «Grundschutz» wurden automatisch zugewiesen• Bewertung der Controls
• Beschreibung der Control• Status USZ• IST- und SOLL-Reifegrad• Status Implementierung• Exception - Ausnahmeregelung• Dokumentation
• Bestimmung von Aktivitäten (Tasks) zur Umsetzung des Controls• Beschreibung, Status• Verantwortlicher• Start /End-Datum• Audit Kommentar
• Versenden von Email-Notifikation
1
19© 2016 avedos business solutions gmbh
Risiko(R)
1...5Soll-Reifegrad
(RM)
1...5
Ist-Reifegrad(AM)
RM – AM(IF (EXC, 0, RM-AM))
Differenz(GAP)
-4...5
0...5
Control Assessment
20© 2016 avedos business solutions gmbh
Agenda• State of the Art des ISMS beim Universitätsspital Zürich
• Anforderungen• Implementierung• Lessons learned
• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung
der IT-GRC Silos• Technischer Überblick, Architektur• Fragen & Antworten
22© 2016 avedos business solutions gmbh
Universitätsspital Zürich• risk2value ISMS Solution - Lessons learned
• Steigert den Grad an Nachvollziehbarkeit und Dokumentation• Ersetzt nicht die Management Attention aber fördert diese• Schonung von Ressourcen durch Automatisierung• Erhält schnell und einfach einen Überblick und zeigt das
Gesamtbild• Kein reines Compliance-Check Tool• Steigerung der Tool-Akzeptanz durch Integration von weiteren
Modulen
2
23© 2016 avedos business solutions gmbh
Agenda• State of the Art des ISMS beim Universitätsspital Zürich
• Anforderungen• Implementierung• Lessons learned
• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung
der IT-GRC Silos• Technischer Überblick, Architektur• Fragen & Antworten
© 2016 avedos business solutions gmbh 24
GRC in Unternehmen: Aktuelle Situation
Isoliert Teilweise Integriert Komplett Integriert
GRCIntegration
27%
59%
14%Organisationsübergreifendeintegrierte Prozesse und Technologien
Teilweise übergreifende Prozesse, aber keinepassenden Technologien verfügbar
Prozesse sind großteils voneinander isoliert
Quelle: OCEG 2016 GRC Technology Strategy SurveyÜbersetzt durch avedos.
25© 2016 avedos business solutions gmbh
26© 2016 avedos business solutions gmbh
27© 2016 avedos business solutions gmbh
28© 2016 avedos business solutions gmbh
29© 2016 avedos business solutions gmbh
30© 2016 avedos business solutions gmbh
31© 2016 avedos business solutions gmbh
© 2016 avedos business solutions gmbh 32
Flexible Konfiguration (Self-Service Modelling)
Flexibles Reporting (Self-Service Reporting)
Skalierbar und kollaborativ
„State of the Art“ IT Architektur
„End-to-End“ GRC-Lösung
Mehrwert auf einen Blick
33© 2016 avedos business solutions gmbh
Agenda• State of the Art des ISMS beim Universitätsspital Zürich
• Anforderungen• Implementierung• Lessons learned
• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung der IT-GRC
Silos• Technischer Überblick, Architektur• Fragen & Antworten
34© 2016 avedos business solutions gmbh
Technischer Überblick risk2valuerisk2value - Technik• Offene 3-Tier Architektur
(Microsoft Technologie Stack)• Microsoft® .net Webapplikation
Quelle: Gartner Magic Quadrant 2015 for Operational Database Management
35© 2016 avedos business solutions gmbh
Technischer Überblick risk2valuerisk2value - Technik• Offene 3-Tier Architektur
(Microsoft Technologie Stack)• Microsoft® .net Webapplikation• Reporting & Analytics auf Basis MS-BI Stack
(risk2value.analytics – Excel, Web, Mobil, SharePoint)
• LDAP Integrierte Authentifizierung• On-Premise und Cloudrisk2value - Integration• XML, Excel, CSV zum Import/Export von Daten• Integration andere führende BI Plattformen
(e.g.: SAP BO, Qlik, Tableau, MicroStrategy, …)Quelle: Gartner Magic Quadrant 2016 for BI and Analytics Platform
© 2016 avedos business solutions gmbh 36
risk2value Architektur
Service & Infrastructure Layer
Security Layer
OLAP risk2value Database
risk2value Application
r2vProd.
DB
r2vBerichts
DB
risk2value Anwendung
DWH ERP BPMSource Systems
Laden risk2value (XML, CSV, Excel)
Transformation MS SQL Server Integration Services (SSIS)
Extraktion MS SSIS (CSV, OLEDB, ODBC, ADO, CASHE, FTP, HTTP, SMTP, SAP BI, etc.).
ETL Process, Staging
risk2value Load
37© 2016 avedos business solutions gmbh
Agenda• State of the Art des ISMS beim Universitätsspital Zürich
• Anforderungen• Implementierung• Lessons learned
• GRC in Unternehmen• Mögliche Konzepte und Synergien zur Überwindung der IT-GRC
Silos• Technischer Überblick, Architektur• Fragen & Antworten
avedos business solutions gmbhFranz Klein Gasse 5 1190 Vienna, Austria
T: +43 1 3670876-0 [email protected]: +43 1 3670876-999 www.avedos.com