Regelkonformit¤t durch neue Architekturen

download Regelkonformit¤t durch neue Architekturen

of 28

  • date post

    11-Nov-2014
  • Category

    Documents

  • view

    1.243
  • download

    0

Embed Size (px)

description

Veränderungen der IT Architekturen werden eingesetzt um Regelkonformität wirtschaftlich zu erzielen. Dies wird in der Theorie, Praxis und an konkreten Produkten und Diensten gezeigt. Präsentation für Wave Systems anlässlich des IIR Bankenkongress Wien im März 2013

Transcript of Regelkonformit¤t durch neue Architekturen

  • 1. 2013 Wave Systems Corp. Confidential. All Rights Reserved.IT-ComplianceAnforderungen an den Finanzsektor mitneuen Sicherheitstechnologien einfacherund kostengnstiger bewltigenAlexander W. KhlerDiplom-MathematikerCertified Information Systems Security Professional (CISSP)Certified Cloud Security Expert (CCSK)8. IIR-Bankenkongress, 19.-20.3.2013, Wien
  • 2. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Agenda Zeit: 30 Minuten Ausgangslage: Fokus und gemeinsames Verstndnis, Motivationen Gegebenheiten: Finanzen, Technik, Nutzer Vorgehensweise, Optionen Problemlsung Vergleichende Kennzahlen Security-by-Design, Trust-by-Design, Compliance-by-Design,Privacy-by-Design Fallbeispiel 1: PCI DSS Fallbeispiel 2: Daten auf Mobilen Endgerten Fallbeispiel 3: Daten auf weiteren Endgerten (Tablets) Sichere Infrastrukturen (SecaaS; Soziale Netze) Wave Systems, das Unternehmen Konsequenzen und Zusammenfassung2
  • 3. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Die Ausgangslage 2013Informationssicherheit Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu Mgliche Angriffsziele: Wolke, Server, Clients, Endgerte jeglicher Art Anzahl steigt Vernetzung wchst weiter Endgerte befinden sich berwiegendauerhalb des Firewall-Perimeters(Maginot-Linie, Perimeter Defense) Die Grenze zwischen privaten und geschftlichgenutzten Endgerten verwischt zunehmend(Consumerization, ByoD) Die Anforderungen an Regelkonformitt steigen in Umfang und Qualitt Gesetze und Vorschriften Bankenintern (Richtlinien, Eigenverantwortung)3Maginot-Linie
  • 4. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Die Ausgangslage 2013 - MotivationenDas Warum und die Antworten Bedrohungen, die sich gegen IT- und TK-Systeme richten, nehmen zu:Es lohnt sich Mgliche Angriffsziele: Wolke, Server, Clients, Endgerte jeglicher Art Anzahl nimmt zu: Die Benutzer/innen wollen es so Vernetzung wchst weiter: Technologie bereit -> Medienbrche abbauen Endgerte befinden sich berwiegend auerhalb des Firewall-Perimeters(Maginot-Linie, Perimeter Defense): Trend: Mobilitt Die Grenze zwischen privaten und geschftlich genutzten Endgertenverwischt zunehmend: Die Benutzer/innen wollen es so Die Anforderungen an Regelkonformitt steigen in Umfang und Qualitt Gesetze und Vorschriften Vorflle > Die Politik muss reagieren Bankenintern (Richtlinien) Verantwortung des ordentlichen Kaufmanns4
  • 5. 2013 Wave Systems Corp. Confidential. All Rights Reserved.InformationssicherheitGegebenheiten Hoher Schutz = hohe Kosten Hoher Schutz = hohe Investitionssicherheit Hoher Schutz = Beeintrchtigung der Arbeitsumgebung des Benutzers Hoher Schutz = hoher Administrationsaufwand Aufwndigere Kontrollmechanismen = bessere Regelkonformitt Aufwand: Anschaffung, Betrieb, Entsorgung; HelpDesk Aufwndiger: mehr SW-Produkte, mehr Lines of Code,mehr Appliances, etc.50246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw (neg.)Regelkonform
  • 6. 2013 Wave Systems Corp. Confidential. All Rights Reserved.InformationssicherheitVon der Gegebenheit zum Ideal60246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw (neg.)Regelkonform0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw (neg.)Regelkonform
  • 7. 2013 Wave Systems Corp. Confidential. All Rights Reserved.VorgehensweiseOptionen Weitere technische Manahmen (Produkte; Controls) hinzufgen Inkrementelle Verbesserungen; ad hoc ggf. notwendig; Folgeaufwand hoch Verlangt nach weiteren, inkrementellen Verbesserungen usw., usw., Keine nderungen an den Randbedingungen (IT-Umfeld)7 nderungen der Randbedingungen Architektur Trusted Computing (Trusted Computing Group) Security-by-Design
  • 8. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Problemlsung8 nderungen der Randbedingungen Architektur Trusted Computing (Trusted Computing Group) Security-by-Design0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw(neg.)Regelkonform0246810InvestSichKosten (neg.)SchutzArbeitsUmgBeein(neg.)AdminAufw(neg.)Regelkonformaus ... wird:
  • 9. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Problemlsung, messbar mit Vergleichenden Kennzahlen9 Andere Methode um den Nutzen von technischen Sicherheitsmanahmen zubewerten: RoSI: Return on Security Investment Grundlage: Bewertung der bedrohten Unternehmenswerte (Assets) RoCI: Return on (Security Controls) for Compliance InvestmentDas RoCI ist hier deutlich geringer als . hier 0510InvestSichKosten(neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw(neg.)Regelkonform0510InvestSichKosten (neg.)SchutzArbeitsUmgBeein (neg.)AdminAufw(neg.)Regelkonform
  • 10. 2013 Wave Systems Corp. Confidential. All Rights Reserved.1Security by DesignSecurity by Design
  • 11. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)(SSD) Self Encrypting Drive(SED)OPAL&FIPSSecurity by DesignTrusted Software Stack (TSS)Trusted Network Connect (TNC)
  • 12. 2013 Wave Systems Corp. Confidential. All Rights Reserved.2Trust by DesignSingle Sign-onVPNetcNACTrusted PlatformModule (TPM))Self EncryptingDrive (SED)Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)Self Encrypting Drive (SED)OPAL&FIPSTrust by Design600,000,000 TPMs
  • 13. 2013 Wave Systems Corp. Confidential. All Rights Reserved.600,000,000 TPMsEncryption3Compliance byDesignAudit & ComplianceInspector DataLoss PreventionProtector RemovableMedia, Port Control,Wi-Fi, Bridging2Trust by DesignSingle Sign-onVPNetcNACTrusted PlatformModule (TPM)Self EncryptingDrive (SED)Security by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)Self Encrypting Drive (SED)OPAL&FIPSPrivacy by Design
  • 14. 2013 Wave Systems Corp. Confidential. All Rights Reserved.600,000,000 TPMs4Privacy by DesignSW Encryption3Compliance byDesignProof of ComplianceInspector DataLoss PreventionProtector RemovableMedia, Port Control,Wi-Fi, Bridging2Trust by DesignDirect AccessSeamless IntegrationNext generation VPNVirtual Smart CardKey Storage ProviderPre-Boot AuthenticationSingle Sign On /Windows password syncSecurity by DesignOPENINDUSTRYSTANDARDSTrusted Platform Module(TPM)Self Encrypting Drive (SED)OPAL&FIPSUser Plug-inFree for lifeEnterpriseGroup ManagementDLPReportingFile EncryptionPKI Key ManagementPrivacy by Design Files-in-cloud, Data & Social Media SecurityBIOS IntegrityToken integrationNACZero touchAudit, Reporting& ComplianceMS Bitlocker mngtMS XP-Win 7-8OS support
  • 15. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Praxis: Produkt zur Umsetzung von PCI DSS RegelkonformittPCI DSSWave Systems Protection Suite Daten klassifizieren, lokalisieren Datenfluss kontrollieren Verbindungen: LAN, WiFi, G3/LTE; USB, BT Inhalte: Dateien, eMails, Web, FTP Gerte: Flash Drives, Externe HDDs,Smartphones, Kameras, Drucker, Brenner Automatisierte Verschlsselung Berichtswesen zur Bewertung von Regelkonformitt Granulare Kontrolle Richtlinienbasiert15
  • 16. 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Wave Systems Protection Suite16Fr PCI DSS relevante Schutzmechanismen Verhindert Network Bridging Zugelassene/nicht zugelassene WiFi-Verbindungen Zugelassene/nicht zugelassene, angeschlossene Gerte Initialeinstellungen auf abgeschaltete Ports Lokalisieren von zu schtzenden Daten auf dem Endgert Folgeaktionen aus Analyse: automatische Verschlsselungder Lokalitt Verhindert Extrahieren von schtzenswerten Daten mittels beweglichenMedien Tagged CDs/DVD Erzwingt Verschlsselung des Datentransfers Erkennen, Blockierung von Ausfhrbarem Code auf Wechseldatentrgern
  • 17. 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Protection Suite17
  • 18. 2013 Wave Systems Corp. Confidential. All Rights Reserved.PCI DSS und Protection Suite18
  • 19. 2013 Wave Systems Corp. Confidential. All Rights Reserved.Regelkonformitt: Daten auf Mobilen EndgertenDaten auf Notebooks, Tablets, etc. Regeln (D) vorgegeben durch Bundesdatenschutzgesetz, KonTraG, AktG Empfehlung zur Umsetzung durch BSI, Bonn Verschlsselung (power-off Schutz) TPM (power-on Schutz) Hinweis: Daten schliesst Berechtigungsnachweise (Credentials) mit ein19 Anerkannte Methode power-off Schutz: Festplattenvollverschlsselung* Vorteile: bekannt Nachteile: Alle Produkte im Markt: proprietre Lsungen Hohe Kosten ber den Lebenszyklus Mit mittlerem Aufwand umge