TÜV Rheinland.

Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

Auf allen Kontinenten zuhause.

Kennzahlen 2015

Umsatz in Mio. € 1.881

Auslandsanteil (in %) 50,6

EBIT (in %) 5,4

Mitarbeiter (-innen) 19.630

Auslandsanteil 11.587

Standorte:

Über

500 in 69Ländern

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.2

Umsatz nach Geschäftsbereichen.

27%

24%24%

10%

8%7%

Industrie

Service

Produkte

Mobilität

Academy

& Life Care

ICT &

Business

Solutions

Systeme

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.3

Die Welt von ICT & Business Solutions.

Umsatz 2015:

Geschäftsfelder

IT-Services & Cyber Security

Telco Solutions & Consulting

Weltweite Standorte

133 Mio. €

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.4

TÜV Rheinland i-sec. Informations- und IT-Sicherheit.

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.5

Führender unabhängiger Dienstleister

für Informationssicherheit in Deutschland

Beratungs- und Lösungskompetenz in ganz-

heitlicher Informationssicherheit – von der

Steuerungsebene bis ins Rechenzentrum inkl.

betriebsunterstützender Leistungen

Exzellente Technologie-Expertise, umfassen-

des Branchen-Know-how, Partnerschaften mit

Marktführern

International zählen wir im Verbund mit

unserer Schwestergesellschaft OpenSky zu

den wichtigsten unabhängigen Anbietern

Zertifiziert nach ISO 27001 und ISO 9001

TÜV Rheinland i-sec GmbH. Fakten und Zahlen.

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.6

Finanzen

Automobil

Energiewirtschaft

Chemie/Pharma

Telekommunikation

Int. Mischkonzerne

Transport/Logistik

Öffentlicher Dienst

Handel

15 x Sales

20 x Security Engineering

60 x Management Beratung

45 x Professional Service und Betrieb

Standorte

Deutschland

Köln (HQ)

München

Gelnhausen

Saarbrücken

Fachliches

Kompetenz-

team

Kernbranchen und

Sitz unserer Kunden

Deutschland

Österreich

Schweiz

Projekteinsatz an 25.000 Tagen in 2015!

Lösungskompetenz. Informations- und IT-Sicherheit.

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.7

Zielsetzung

und Strategie

Steuerung

und Planung

Konzeption

und Implementierung

Betrieb Prüfung1 2 3 4 5

Businessanforderung

Strategie

Steuerungsprozesse

Management

der Informationssicherheit

Datenschutz und

Datensicherheit

IT Risikomanagement nach

ISO 31000 und 27005

ISMS, BCM und GRC

Toolauswahl/-einführung

Sichere Architekturen und

Prozesse für Netzwerke,

Rechenzentren, Mobil

Anwendungssicherheit

Sicherheit

im Betrieb

Betrieb (MSS) und Support

von IT Security Lösungen

APT – Computer Security

Incident Response Team

(CSIRT)

Sicherheitsaudits

Zertifizierung von

Prozessen und Diensten

Branchenlösungen, individuelle Konzepte, professionelle Beratung und stark in der Umsetzung!

Abkürzungsverzeichnis

ISMS = Information Security Management SystemBCM = Business Continuity ManagementGRC = Governance, Risk und ComplianceAPT = Advanced Persistent Threat – gezielte CyberangriffeMSS = Managed Security Services

It-sa 2016. Referent.

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.8

Funktion: Senior Consultant, Information Security

and Application Services, TÜV Rheinland

Fachgebiet: Security Incident Management

+49 163 4338440

Thomas Mörwald

Thomas.Moerwald@i-sec.tuv.com

Agenda

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.9

GRC / SOC

Aktuelle Situation

Ausblick

1

2

3

Steuerung

GRC – Governance, Risk and Compliance.

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.10

Vorgaben

GRC

ISMSRisiko-

Management

Compliance BCM

Anforderungen

SOC – Security Operation Center

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.11

Umsetzung/Betrieb

SOC

ISMSRisiko-

Management

Compliance BCM

Sicherheitsrelevante

Informationen

Log-Daten

Flow-Daten Sensorik

Threat

Intelligence

Threat Intelligence Quellen.

12 18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.

Nicht-Öffentliche Indikator-Quellen

Kommerzielle TI Anbieter

Malware Repositories

Öffentliche Indikator-Quellen

BSI

CVEs

Open Source Feeds

Organisationen

CERTS

SANS

Partner

Threat Intelligence Management

SIEM

Logquellen

intern

Firewall APT IPS ProxyClient AV Mailfilter

Asset Priorisierung.

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.13

IT Landschaft

Früher

Heute

Kritischer Geschäftsprozess

! !

SOCGRC

Zielgerichtete Angriffe auf sensible Daten

Threat Intelligence

vorhanden

InfoInfo

Threat Intelligence

nicht vorhanden

GRC & SOC & Threat Intelligence.

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.14

GRC:

Identifiziert priorisierte „CIs“, d.h.

welche CIs sind wichtig und

welche sind aktuell verletzbar?

Threat Intelligence

Stellt spezifisches Angriffswissen

zur Verfügung (z.B. was wird aktuell

angegriffen?)

SOC:

Korrelation beider

Innensicht Außensicht

Umsetzung/Betrieb

Security Intelligence – GRC & SOC.

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.15

SOC

ISMSRisiko-

Management

Compliance BCM

Sicherheitsrelevante

Informationen

Log-Daten

Flow-Daten Sensorik

Threat

Intelligence

Steuerung

Anforderungen

Reports

Kennzahlen

Trends

Vorgaben

Risiko Incident Management

Trend/Historie

Trend/Historie

Relevante

Abweichungen

Vorgaben

GRC

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.16

Kontakt.

Thomas Mörwald

Senior Consultant

TÜV Rheinland i-sec GmbH

Am Grauen Stein

51105 Köln

Tel: +49 811 9594 138

Mobil: +49 1634338440

Thomas.Moerwald@i-sec.tuv.com

www.tuv.com/grc

Regelmäßig aktuelle Informationen im

Newsletter und unter www.tuv.com/informationssicherheit

VIELEN DANK FÜR

IHRE AUFMERKSAMKEIT!

18.10.2016 TÜV Rheinland. Die Schlagkraft eines GRC nutzen.17