2010-06-11 - IT-Governance, Risk & Compliance Management

Ort und Zeit

am Freitag, 11. Juni 2010

von 10:15-17:00 Uhr

in Frankfurt-Niederrad bei DB Systel GmbH
60528 Frankfurt am Main, Hahnstr. 40
Tel.: +49 (0)69-265-50500 Fax: 069-265-20950
http://www.bahn.de  

auf Einladung von Herrn Dr. Damm von DB Systel GmbH

Die Themen

Geplant sind diesmal folgende Themen:

  1. GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt
  2. Compliance in Clouds - Möglichkeiten zur Überprüfung von Sicherheitszielen im Cloud Computing
  3. Malware-Erkennung "in the Cloud"?
  4. IT-Sicherheitskennzahlen bei der Deutschen Bahn AG
  5. Information Security Risk Assessment at Citi

Details zu den Vorträgen

Bernhard C. Witt,  it.sec GmbH & Co. KG:
Überblick über die Fachgruppe SECMGT

Zur Einleitung des Workshops ein kurzer Überblick über die GI-Fachgruppe SECMGT durch den Sprecher, Bernhard C. Witt.

[Download als PDF]

Holger Heimann, it.sec GmbH & Co. KG:
GRC Erfahrungen mit dem Tool Risk Vision an einem Bankprojekt

Holger Heimann, CEO der it.sec GmbH & Co. KG, stellt die Möglichkeiten des IT-GRC Tools RiskVision von Agiliance vor und erläutert anschließend anhand eines Projekts in einer international agierenden Bankengruppe, dass die zu lösenden Herausforderungen hierbei durchaus nicht nur technischer Natur sind.

So bestehen beispielsweise Diskrepanzen bei der Sichtweise auf Basisdaten, wie etwa von Asset-Kritikalitäten oder darüber, was Assets überhaupt sind. Auch muss erst Klarheit über die (erreichbaren) Ziele und das Vorgehen bestehen, um eine Implementierung im Sinne eines konsistenten Risikomess- und -steuerungssystems erreichen zu können.

Bei international verteilten Konzernen sind die hierbei zu berücksichtigenden regulatorischen Anforderungen groß und die jeweiligen Interessen intern zu harmonisieren, bevor ein entsprechendes Tool eingesetzt werden kann. Das vorgestellte Tool bietet jedoch bereits grundlegende Funktionen für ein Cross-Control-Mapping zwischen verschiedenen Anforderungen (Gesetze, Standards, eigene Policies) an und weist zahlreiche Schnittstellen zu technischen Scannern etc. auf, so dass eine ganzheitliche Sicht möglich ist, sobald die anfänglichen und durchaus zeitaufwändigen Hürden überwunden wurden.

[Download als PDF]

 Martin Hirsch, Fraunhofer ISST:
Compliance in Clouds - Möglichkeiten zur Überprüfung von Sicherheitszielen im Cloud Computing

[Update: Der Vortrag musste leider kurzfristig entfallen, wird jedoch in einem der nächsten Workshops nachgeholt.]

Die IT-Sicherheit der Daten, Prozesse und Anwendungen stellt eines der wichtigsten Probleme im Bereich Cloud Computing dar. Nutzer der Cloud haben nur wenige Möglichkeiten ihre gewünschten Sicherheitsziele in der Cloud durchzusetzen und zu überprüfen.

 Wir erläutern in diesem Vortrag die existierenden Sicherheitszertifizierungen und geben einen Überblick über die Unterstützung durch die Cloud-Anbieter am Markt. Zum Abschluss geben wir einen Einblick in unsere aktuellen Forschungsvorhaben zur automatisierten Compliance-Überprüfung. 

 Matthias Jänichen, percomp Verlag GmbH:
Malware-Erkennung "in the Cloud"?

Probleme und Trends bei Einsatz und Qualitätssicherung.

 Thematische Einführung und Überblick. Zur Mess-/Beurteilbarkeit sowohl aus
Herstellersicht als auch aus Kundensicht. 

[Download als PDF]

 Nikola Perkovic, DB Mobility Logistics AG:
IT-Sicherheitskennzahlen bei der Deutschen Bahn AG

Um eine transparente Darstellung der IT Landschaft und der IT-Risiken unterstützter Geschäftsprozesse zu erhalten, bedarf es einer Vielzahl von Messungen. Dabei sind gemessene IT-Kennzahlen für den sicheren Betrieb von IT-Anwendungen und -Infrastrukturen unerlässlich. Indirekt erhofft man sich aber auch einen aussagekräftigen Hinweis zur Wirksamkeit getätigter Investitionen zur Risikominderung.

 Ich möchte Ihnen in einem kurzen Vortrag über die Erfahrungen beim Aufbau eines konzernweiten IT-Sicherheitsberichts berichten. Dabei wird sowohl ein aktueller Überblick der gemessenen Kennzahlen als auch ein Ausblick über weitere Kennzahlen gegeben. 

[Download als PDF]

 Claus Stark, Citigroup AG:
Information Security Risk Assessment at Citi

In this day and age, information is key to the success of a financial institution. According to the Federal Financial Institutions Examination Council (FFIEC) Information Security Booklet, "information is one of a financial institution's most important assets." Protection of information has become a fundamental component of doing business in the financial services industry, where trust is paramount in the interaction between financial institutions and their customers. A strong business reputation is dependent upon sound information security. Regulatory compliance, protecting one's reputation and brand, and establishing and maintaining trust between a financial institution and its customers have been and are leading drivers for information security at Citi.

 Risk assessment is covered by the Citi Information Security Policy and Standards, and the Citi Information Risk Assessment System (CIRAS) provides all Citi businesses with an automated solution to meet information security risk assessment requirements. It takes the form of a corporate standard Information Security Risk Assessment (ISRA) at the level of individual business entities.

 ISRA specifies the level of security required to protect information, ensures that sufficient controls are in place to achieve the specified level based upon the business risk assessment and classification of information, and analyses the impact to the business caused by information security lapses. 

 Link to FFIEC Information Technology Examination Handbook: [Link]

http://www.ffiec.gov/ffiecinfobase/index.html