Informations-Sicherheitsmanagement bei Hubert Burda Mediaavedos/EY GRC Erfahrungsaustausches

Hubert Burda Media

Agenda

• Hubert Burda Media … eine Tech und Media Company

• Organisation der Informationssicherheit bei HBM… zentrale Steuerung versus dezentrale Verantwortung

• Nutzung von risk2value…ISM-Risikomanagement, ISM-Prozesse, Maßnahmenverfolgung

• Weitere Ausbaustufen…Cloud-Assessment, automatisierte Schnittstellen

zu anderen Kontrollsystemen

Hubert Burda Media

Hubert Burda Media

• Ein Familienunternehmen mit einer mehr als 100 jährigen Tradition.

• Führend im nationalen Zeitschriftenmarkt, im Dialogmarketing sowie im Tiefdruck-Markt hat Burda frühzeitig in digitaleGeschäftsmodelle investiert und seine Marktposition national und international weiter ausgebaut.

• Im Jahr 2015 hat Burda einenAußenumsatz von 2,21 Mrd. Euro erwirtschaftet und beschäftigt weltweitca.10.300 Mitarbeiter

Seite 4

Dr. Hubert BurdaEigentümer,

Verleger

Holger EcksteinFinanzen

& Services

PhilippWelte

Medienmarkennational

Dr. Paul-Bernhard KallenCEOStefan Winners

Digitalmarkennational

Andreas Rittstieg

Compliance & Recht

Vorstand

Hubert Burda MediaSeite 5

Burda wird weiterhin in wachstumsstarken Ländern expandieren, sowohl im Print- als auch im digitalen Markt

Deutschland • UK • Frankreich • Hong Kong • Indien • Kasachstan • Malaysia • Polen • Rumänien • Russland • Singapur • Taiwan • Thailand • Tschech. Republik • Türkei • Ukraine • USA • Brasilien • Spanien • Portugal

Hubert Burda Media

Marken – Portfolio

Seite 6

Fashion & Beauty Garten Urlaubsreise

News Beruf Unterhaltung

Consumer Tech

Food

Lifestyle Wohnen Gesundheit Service

Organisation der Informationssicherheit bei HBM

… zentrale Steuerung versus dezentraler Verantwortung

Seite 7

Hubert Burda Media

Aus der Unternehmensstrategie ergeben sich Implikationen für die IT/I-Sicherheit bei Hubert Burda Media

Hoheitliche Aufgaben

GeschäftsbereichsIT

StandardIT

DifferenzierendeIT

Hoheitliche Aufgaben• Ausgewählte IT-Aufgabenbereiche:

• IT Security, Datenschutz• IT Risk & Compliance• IT-Controlling

• zentral gesteuerte Aufgaben:• IT Standards und

Transformation• Enterprise Architecture• Lizenz Management• IT Asset Management

Standard IT• Bereitstellung u. Betrieb von Basis

Funktionalitäten:• Infrastruktur• Netzwerk • Arbeitsplatz-IT

• Hohe Qualität

Geschäftsbereichs IT• Auswahl differenzierender IT-

Lösungen• Geschwindigkeit und Innovation

stehen im Vordergrund• Eigene Kompetenz in den

Geschäftsbereichen

Differenzierende IT• IT-Lösungen mit unmittelbarem

Einfluss auf den Geschäftserfolg• Wahlweise Interne oder Externe IT-

Dienstleister• Steuerung durch Geschäftsbereich

Hubert Burda Media

Das Informationssicherheits Management basiert auf einer zentralen Steuerung und einer dezentralen Verantwortung in den Geschäftsbereichen

Seite 9

UmsetzungISO je Gesellschaft

ISO für eine oder mehrere Gesellschaften

- Umsetzung des ISM im Geschäftsbereich- Mitarbeit bei Richtlinien und Vorgaben- Dezentrale Steuerung ISM und Datenschutz- Erarbeiten von spezifischen Regelungen und

Vorgaben

Treffen der ISOs 2 x pro Jahr,

iSecurityCISO & Team- Beratung der Geschäftsbereiche

- Begleiten von Incidents, Projekten,…- Steuerung ISM- Erarbeiten von Richtlinien und Vorgaben- Schulung von Mitarbeitern…

Steuerung

Follow Up min.1 x pro Jahr 2 wöchige Abstimmungen

CIO/CTO

InterneIT-

Dienstleister

ExterneIT-

Dienstleister

CISO= Corporate Information Security Officer; ISO= Information Security Officer

Compliance & Recht

Audit

Enterprise Riskmgm.

ISM Controlboard

- Entscheidungen über IS-Strategie- Entscheidung zu IS-Projekten- Freigabe von Richtlinien und Vorgaben zur

Informationssicherheit

Mitglieder:Vorstände Digital, Recht & Compliance, Finanzen,CIO/CTOs,CISO, Audit & Riskmgm.

4 mal pro Jahr

Entscheidung

Hubert Burda Media

Das Ziel ist eine kontinuierliche, angemessene Sicherheit der Informationswerte

Seite 10

Priorisierender Maßnahmen

Steuern der

MaßnahmenImplement.

Bewertung des Reifegrads

der ISM/IT-Prozesse1

KontinuierlicheVerbesserung IS

Erarbeiten von

Maßnahmen

Abgleich mitSoll-Reifegrad

Kontroll-katalog 2

1) Management IS, Organisation IS, Compliance-Mgm., Notfall-Mgm., Incident-Mgm.

2) Kontrollkatalog auf Basis ISO 27001

3) Eigener Risikokatalog auf Basis ISO27005

Schutzbedarfs-feststellung

Informationswerten=BIA

Zuordnung vonIT-Systemen

zu Informationswert

RisikoAnalyse

AbgleichIST-Schutzniveau

zuSoll-Reifegrad

Risikomanagement

Erarbeitenvon Maßnahmen

Soll-Reifegrad

Gefährdungs-katalog 3

Kontroll-katalog 2

Nutzung von risk2value

… ISM-Risikomanagement, ISM-Prozesse, Maßnahmenverfolgung

Seite 11

Hubert Burda Media

Das komplette IS-Risikomanagement wird in risk2value abgebildet

Seite 12

Gesellschaft nTomorrow Focus AGComputer-

unvierseCyberport

HBM

Digital

Business Unit n

Burda Direkt Services

Gesellschaft 1

Burda Forward

Client

Applika-tionen

Daten-verwaltung

Server

Infra-struktur-kompo-nenten

Informations-werte

Informations-werte

Informations-werte

Informations-werte

1

23

SOLL - IST

IST-Reifegrad

Aktivitäten (Maßnahmen)Aktivitäten

(Maßnahmen)Aktivitäten (Maßnahmen)

SOLL-Reifegrad

Risikowert

Schu

tzbe

darf

Hubert Burda Media

Die Bewertung der ISM-Prozesse erfolgt ebenfalls in risk2value

Seite 13

Gesellschaft nTomorrow Focus AGComputer-

unvierseCyberport

HBM

Digital

Business Unit n

Burda Direkt Services

Gesellschaft 1

Burda Forward

IS-Manage

ment

IS-Organi-sation

Comp-lianceMgm.

IncidentMgm.

NotfallMgm.

3SOLL - IST

IST-Reifegrad

SOLL-Reifegrad

ManuelleVorgabe

Aktivitäten (Maßnahmen)Aktivitäten

(Maßnahmen)Aktivitäten

(Maßnahmen)

Hubert Burda Media

Für die einzelnen Controls werden je Betrachtungsbereich unterschiedliche Schwerpunkte gesetzt

Seite 14

Hubert Burda Media

Ziel ist es wesentliche Risiken zu erfassen und geeignete Maßnahmen zu ergreifen

Seite 15

Die Top 5 IT-Risiken je Bereich werden an das Enterprise Risikomanagement weitergeleitet

Hubert Burda Media

Der ISO kann seine vereinbarten Maßnahmen ebenfalls in risk2value steuern

Seite 16

Weitere Ausbaustufen

…Cloud-Assessment, automatisierte Schnittstellen zu anderen Kontrollsystemen

Seite 17

Hubert Burda MediaD: Spezifika Dienstleister

A: Compliance-Vorgaben: Gesetzliche & regulatorische Anforderungen

C: Schutzbedarf der Daten

B: Art der Cloud

Die Risikobewertung hinsichtlich Informationssicherheit und Datenschutz findet auf Basis von vier Faktoren statt

Seite 18

Private Cloud Hybrid Cloud Public Cloud

Schutzbedarf der Daten nach

Vertraulichkeit, Verfügbarkeit und

Integrität

Datenschutz-anforderungen

ISO 27018

Grundsätze ordnungsgemäßer

Buchführung im Outsourcing

IDW ERS FAIT 5

SaaS

PaaS

IaaS

Risiko-Kataloge

Beim Dienstleister vorhandene Kontrollen, Sicherheitsmaßnahmen,

Zertifikate, Ort der Datenspeicherung, Verschlüsselung,

Schnittstellensicherung, Backup, …

Risiko-Bewertung Empfehlung IS/DS

Quelle: J. Kempter; 2016

Hubert Burda Media

Verschiedene Kontrollkataloge können verknüpft werden.Somit müssen gleichlautende Fragestellungen nur einmal beantwortet werden

Seite 19

Nr. Thema Frage

A Management der Informationssicherheit

A.1 Scope und ZieleA.2 Rollen und Verantwortlichkeiten A.3 Risiko ManagementA.4 Überwachen, Überprüfen und

Verbessern A.5 Management von Dokumenten

und Aufzeichnungen B Organisatorische MaßnahmenB.1 Informationssicherheitsrichtlinien

und VorgabenB.2 Third Party ManagementB.3 PersonalsicherheitB.4 Informationsklassifizierung und -

handhabung B.5 Management von Vorfällen

(Incident Management)B.6 Business Continuity ManagementC Technische Maßnahmen

ISO 27001 Checkliste technisch-organisatorische Maßnahmen

gemäß §9 BDSGNr. Frage

1.1.1 Existiert eine übergeordnete Richtlinie/Policy zum Datenschutz?

1.1.2 Ist die Richtlinie/Policy zum Datenschutz den Mitarbeitern bekannt?

1.1.3 Gibt es im Unternehmen etablierte Prozesse und Verfahren zur Einhaltung von Datenschutz und Datensicherheit?

1.1.4 Gibt es im Unternehmen etablierte Prozesse und Verfahren zur Einhaltung von Datenschutz und Datensicherheit?

1.1.5 Zertifizierte Prozesse (z.B. gemäß ISO 27001,BSI) ?

1.1.6

Beschreibung: