TÜV Rheinland.
Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016
Auf allen Kontinenten zuhause.
Kennzahlen 2015
Umsatz in Mio. € 1.881
Auslandsanteil (in %) 50,6
EBIT (in %) 5,4
Mitarbeiter (-innen) 19.630
Auslandsanteil 11.587
Standorte:
Über
500 in 69Ländern
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.2
Umsatz nach Geschäftsbereichen.
27%
24%24%
10%
8%7%
Industrie
Service
Produkte
Mobilität
Academy
& Life Care
ICT &
Business
Solutions
Systeme
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.3
Die Welt von ICT & Business Solutions.
Umsatz 2015:
Geschäftsfelder
IT-Services & Cyber Security
Telco Solutions & Consulting
Weltweite Standorte
133 Mio. €
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.4
TÜV Rheinland i-sec. Informations- und IT-Sicherheit.
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.5
Führender unabhängiger Dienstleister
für Informationssicherheit in Deutschland
Beratungs- und Lösungskompetenz in ganz-
heitlicher Informationssicherheit – von der
Steuerungsebene bis ins Rechenzentrum inkl.
betriebsunterstützender Leistungen
Exzellente Technologie-Expertise, umfassen-
des Branchen-Know-how, Partnerschaften mit
Marktführern
International zählen wir im Verbund mit
unserer Schwestergesellschaft OpenSky zu
den wichtigsten unabhängigen Anbietern
Zertifiziert nach ISO 27001 und ISO 9001
TÜV Rheinland i-sec GmbH. Fakten und Zahlen.
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.6
Finanzen
Automobil
Energiewirtschaft
Chemie/Pharma
Telekommunikation
Int. Mischkonzerne
Transport/Logistik
Öffentlicher Dienst
Handel
15 x Sales
20 x Security Engineering
60 x Management Beratung
45 x Professional Service und Betrieb
Standorte
Deutschland
Köln (HQ)
München
Gelnhausen
Saarbrücken
Fachliches
Kompetenz-
team
Kernbranchen und
Sitz unserer Kunden
Deutschland
Österreich
Schweiz
Projekteinsatz an 25.000 Tagen in 2015!
Lösungskompetenz. Informations- und IT-Sicherheit.
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.7
Zielsetzung
und Strategie
Steuerung
und Planung
Konzeption
und Implementierung
Betrieb Prüfung1 2 3 4 5
Businessanforderung
Strategie
Steuerungsprozesse
Management
der Informationssicherheit
Datenschutz und
Datensicherheit
IT Risikomanagement nach
ISO 31000 und 27005
ISMS, BCM und GRC
Toolauswahl/-einführung
Sichere Architekturen und
Prozesse für Netzwerke,
Rechenzentren, Mobil
Anwendungssicherheit
Sicherheit
im Betrieb
Betrieb (MSS) und Support
von IT Security Lösungen
APT – Computer Security
Incident Response Team
(CSIRT)
Sicherheitsaudits
Zertifizierung von
Prozessen und Diensten
Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung!
Abkürzungsverzeichnis
ISMS = Information Security Management SystemBCM = Business Continuity ManagementGRC = Governance, Risk und ComplianceAPT = Advanced Persistent Threat – gezielte CyberangriffeMSS = Managed Security Services
It-sa 2016. Referent.
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.8
Funktion: Senior Consultant, Information Security
and Application Services, TÜV Rheinland
Fachgebiet: Security Incident Management
+49 163 4338440
Thomas Mörwald
Agenda
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.9
GRC / SOC
Aktuelle Situation
Ausblick
1
2
3
Steuerung
GRC – Governance, Risk and Compliance.
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.10
Vorgaben
GRC
ISMSRisiko-
Management
Compliance BCM
Anforderungen
SOC – Security Operation Center
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.11
Umsetzung/Betrieb
SOC
ISMSRisiko-
Management
Compliance BCM
Sicherheitsrelevante
Informationen
Log-Daten
Flow-Daten Sensorik
Threat
Intelligence
Threat Intelligence Quellen.
12 18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.
Nicht-Öffentliche Indikator-Quellen
Kommerzielle TI Anbieter
Malware Repositories
Öffentliche Indikator-Quellen
BSI
CVEs
Open Source Feeds
Organisationen
CERTS
SANS
Partner
Threat Intelligence Management
SIEM
Logquellen
intern
Firewall APT IPS ProxyClient AV Mailfilter
Asset Priorisierung.
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.13
IT Landschaft
Früher
Heute
Kritischer Geschäftsprozess
! !
SOCGRC
Zielgerichtete Angriffe auf sensible Daten
Threat Intelligence
vorhanden
InfoInfo
Threat Intelligence
nicht vorhanden
GRC & SOC & Threat Intelligence.
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.14
GRC:
Identifiziert priorisierte „CIs“, d.h.
welche CIs sind wichtig und
welche sind aktuell verletzbar?
Threat Intelligence
Stellt spezifisches Angriffswissen
zur Verfügung (z.B. was wird aktuell
angegriffen?)
SOC:
Korrelation beider
Innensicht Außensicht
Umsetzung/Betrieb
Security Intelligence – GRC & SOC.
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.15
SOC
ISMSRisiko-
Management
Compliance BCM
Sicherheitsrelevante
Informationen
Log-Daten
Flow-Daten Sensorik
Threat
Intelligence
Steuerung
Anforderungen
Reports
Kennzahlen
Trends
Vorgaben
Risiko Incident Management
Trend/Historie
Trend/Historie
Relevante
Abweichungen
Vorgaben
GRC
18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.16
Kontakt.
Thomas Mörwald
Senior Consultant
TÜV Rheinland i-sec GmbH
Am Grauen Stein
51105 Köln
Tel: +49 811 9594 138
Mobil: +49 1634338440
www.tuv.com/grc