Post on 09-Dec-2021
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
Informationssicherheits-ManagementSymposium on Privacy andSecurity 2007
Syngenta International AGJosef Zehnder
AGENDA
Wer ist SyngentaWie wir es angehen
– Unser Informationssicherheits-Ansatz– Organisation / Aufgabenteilung– Baselines– Integrierte Risiko Beurteilung / Sicherheitsplan– Mensch Awareness
Verallgemeinerung/Antworten (?)
2
Verallgemeinerung/Antworten (?)
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
SYNGENTA
1758 Gründung Geigy1876 Gründung Sandoz1884 G ü d Cib1884 Gründung Ciba1970 FUSION Ciba und Geigy Ciba-Geigy1996 FUSION Ciba-Geigy + Sandoz Novartis 2000 Abspaltung Novartis Agro +
FUSION mit Zeneca Agro
3
~20'000 Mitarbeiter in> 100 Ländern
PFLANZENSCHUTZMITTEL Mia USDSelektive Herbizide 1.8Nicht-selektive Herbizide 0 7Nicht-selektive Herbizide 0.7Fungizide 1.7Insektizide 1.0Professional Products 1.0 6.2
SAMEN
4
Mais und Soya 0.8Diverse Feldsaaten 0.3Gemüse und Blumen 0.7 1.8 8.0
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
Information Security Ansatz
Information in jeder Form und an jedem OrtAuf Papier, Folien etc.G h (K ti M ti S ll t lk)Gesprochen (Konversationen, Meetings, Small-talk)In den Köpfen der MitarbeiterIn Pflanzen-, Boden-, SubstanzprobenSaatgut in EntwicklungAuf elektronischen Medien (Bä d CD HDD USB Sti k
5
(Bänder, CDs, HDD, USB-Sticks,Laptops, PDAs, mobile Telefone,Voice mail boxes etc.)
zunehmende Mobilität/Komplexität
COO CP / COO SE
J. ZehnderGLO
BA
L Head CorporateSecurity
Head Archi-tecture and IS Security
*
GroupGeneral Counsel*
**
Head Global IS Services
* RSM = Regional Security ManagerRRM = Record Retention ManagerDPO = Data Protection OfficerISECO = Information Security Officer
Head GlobalOperations
CIO *
1 FTE2 FTE
RE
GIO
N
RSM
Assistent
IS Security
RegionalHead
ISECO Information Security OfficerCSM = Country Security ManagerSSM = Site Security ManagerSSeM = Site Service Manager (IT)
* = Member of InformationSecurity Steering Committee
6
"LO
CA
L"R
CSMCSMCSMCSM/SSMCSMCSMCSMISECO
CSMCSMCSMDPOCSMCSMCSMRRM
CSMCSMCSMSSeM
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
Tasks distribution
Risk ManagementOverall ISEC risk portfolioTools/methods evaluation
Corp Sec ISECIS ISECRisk Management
BIA,development security plans
RegulationsISEC PoliciesNon-IS Standards (dev, r-o, sur)
AwarenessManagement, End-users
ReviewsInvestigations
RegulationsIS Standards (dev, r-o, survey)
AwarenessIS Site Service Managers
Tech. Security Architecture
7
gMaintain ISECO organization
DP/RR
Security projects
Regulation Framework
8
www.securityforum.org
ca 50 Dokumente
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
BusinessImpact
Analysis
Wic
htig
e B
A
9
Keine Aktion,Baselines genügen
Vertiefte Analyse inden identifizierten
Bereichen
DetaillierteRisikoanalyse
Business Impact per year
Duration of Outage(for service outages and disasters)
Explanations/Remarks/Assumptions
Confiden-tiality Integrity 1 hour 1 day 2-3
days 1 week 1 month
D D E D C A A Confidentiality:Integrity:Availability:
C E E E E E E Confidentiality:Integrity:Availability:
E E E E E E E Confidentiality:Integrity:Availability:
C E E E E E E Confidentiality:Integrity:Availability:
D E E E E E E Confidentiality:Integrity:Availability:
A Geschäft bedroht, Beachtung durchExecutive Committee, Millionen
10
D E E E E E E Confidentiality:Integrity:Availability:
E E E E E E E Confidentiality:Integrity:Availability:
C D E D C A A --> Find summary and directions on worksheet 'Project Details'
B Beträchtlicher Schaden; 100'000eC Bedeutender Schaden; 10'000eD Kleine AuswirkungE Vernachlässigbar
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
11
Technologie Menschen
Prozesse
12
Nur wenn alle 3 Teile aufeinander abgestimmt sind und fehlerfrei zusammenarbeiten haben wir eine funktionierende Sicherheitslösung.
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
Mensch im Mittelpunkt
TRAINING- Awareness- Handhabung
13
14
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
KONTROLLE
ÜBERWACHUNGzentral
- Surveys- Reviews
dezentral- Log Reviews- ....
15
UNTERSUCHUNGEN
KOMPLEXITÄT
Zunehmende Komplexität Abnehmende Sicherheit
W it C t b it t h t f h d di Di itWer mit Computern arbeitet, hat erfahren, dass die Dinge mit der Zeit automatisch besser werden – Graphische Auflösung, Rendering, DTP, Rechnerleistung .... Aber Sicherheit wird schlechter.Effektiv wird Sicherheit besser, da aber die Komplexität überproportional zunimmt, verliert Sicherheit an Boden
dh d Th i d ( ) i hti !
16
dh. das Thema wird (ge)wichtiger!
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
FRAGEN
Wie können grosse oder kleine Organisationen aus der Privatwirtschaft oder der öffentlichen Verwaltung Informationssicherheit in die Prozesse bringen?gWie wird erreicht, dass nicht bloss Konzepte existieren, sondern dass Informationssicherheit tatsächlich und wirksam umgesetzt wird?Welche Strukturen und Funktionen braucht es ?
17
ANTWORTEN
Wille der GeschäftsleitungSicherheitsbeauftragter mit Budget
W d di !!!!!!!– Wanderprediger !!!!!!!– Awareness– Definition umsetzbarer Standards– Kontrolle und Reporting (Ereignisauswertung, Reviews..)
Programm«Unfälle und Verbrechen»
18
«Unfälle und Verbrechen»Smart Security Konzept
Rüschlikon, 6. November 2007www.privacy-security.ch
© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit
ANTWORTEN
Smart Security bedeutet Risiko Managementd.h. diejenige Implementation zu finden, die das
Geschäft am profitabelsten macht –Geschäft am profitabelsten macht nicht die sicherste oder die billigste.
Die wichtige Frage ist:Was kostet mich das und was spart es mir; d.h. ist es seinGeld wert nicht: Ist dieses «Security Ding» gut.
Sowohl zu viel wie auch zu wenig Sicherheit
19
Sowohl zu viel wie auch zu wenig Sicherheit ist nicht gut, weil zu teuer
Individuelle Lösungen, basiere auf Standards,Lernen/Zusammenarbeiten mit «Gleichartigen» ausser ...
FRAGEN / KOMMENTARE
20