Informations-Sicherheitsmanagement bei Hubert Burda Mediaavedos/EY GRC Erfahrungsaustausches
Hubert Burda Media
Agenda
• Hubert Burda Media … eine Tech und Media Company
• Organisation der Informationssicherheit bei HBM… zentrale Steuerung versus dezentrale Verantwortung
• Nutzung von risk2value…ISM-Risikomanagement, ISM-Prozesse, Maßnahmenverfolgung
• Weitere Ausbaustufen…Cloud-Assessment, automatisierte Schnittstellen
zu anderen Kontrollsystemen
Hubert Burda Media
Hubert Burda Media
• Ein Familienunternehmen mit einer mehr als 100 jährigen Tradition.
• Führend im nationalen Zeitschriftenmarkt, im Dialogmarketing sowie im Tiefdruck-Markt hat Burda frühzeitig in digitaleGeschäftsmodelle investiert und seine Marktposition national und international weiter ausgebaut.
• Im Jahr 2015 hat Burda einenAußenumsatz von 2,21 Mrd. Euro erwirtschaftet und beschäftigt weltweitca.10.300 Mitarbeiter
Seite 4
Dr. Hubert BurdaEigentümer,
Verleger
Holger EcksteinFinanzen
& Services
PhilippWelte
Medienmarkennational
Dr. Paul-Bernhard KallenCEOStefan Winners
Digitalmarkennational
Andreas Rittstieg
Compliance & Recht
Vorstand
Hubert Burda MediaSeite 5
Burda wird weiterhin in wachstumsstarken Ländern expandieren, sowohl im Print- als auch im digitalen Markt
Deutschland • UK • Frankreich • Hong Kong • Indien • Kasachstan • Malaysia • Polen • Rumänien • Russland • Singapur • Taiwan • Thailand • Tschech. Republik • Türkei • Ukraine • USA • Brasilien • Spanien • Portugal
Hubert Burda Media
Marken – Portfolio
Seite 6
Fashion & Beauty Garten Urlaubsreise
News Beruf Unterhaltung
Consumer Tech
Food
Lifestyle Wohnen Gesundheit Service
Organisation der Informationssicherheit bei HBM
… zentrale Steuerung versus dezentraler Verantwortung
Seite 7
Hubert Burda Media
Aus der Unternehmensstrategie ergeben sich Implikationen für die IT/I-Sicherheit bei Hubert Burda Media
Hoheitliche Aufgaben
GeschäftsbereichsIT
StandardIT
DifferenzierendeIT
Hoheitliche Aufgaben• Ausgewählte IT-Aufgabenbereiche:
• IT Security, Datenschutz• IT Risk & Compliance• IT-Controlling
• zentral gesteuerte Aufgaben:• IT Standards und
Transformation• Enterprise Architecture• Lizenz Management• IT Asset Management
Standard IT• Bereitstellung u. Betrieb von Basis
Funktionalitäten:• Infrastruktur• Netzwerk • Arbeitsplatz-IT
• Hohe Qualität
Geschäftsbereichs IT• Auswahl differenzierender IT-
Lösungen• Geschwindigkeit und Innovation
stehen im Vordergrund• Eigene Kompetenz in den
Geschäftsbereichen
Differenzierende IT• IT-Lösungen mit unmittelbarem
Einfluss auf den Geschäftserfolg• Wahlweise Interne oder Externe IT-
Dienstleister• Steuerung durch Geschäftsbereich
Hubert Burda Media
Das Informationssicherheits Management basiert auf einer zentralen Steuerung und einer dezentralen Verantwortung in den Geschäftsbereichen
Seite 9
UmsetzungISO je Gesellschaft
ISO für eine oder mehrere Gesellschaften
- Umsetzung des ISM im Geschäftsbereich- Mitarbeit bei Richtlinien und Vorgaben- Dezentrale Steuerung ISM und Datenschutz- Erarbeiten von spezifischen Regelungen und
Vorgaben
Treffen der ISOs 2 x pro Jahr,
iSecurityCISO & Team- Beratung der Geschäftsbereiche
- Begleiten von Incidents, Projekten,…- Steuerung ISM- Erarbeiten von Richtlinien und Vorgaben- Schulung von Mitarbeitern…
Steuerung
Follow Up min.1 x pro Jahr 2 wöchige Abstimmungen
CIO/CTO
InterneIT-
Dienstleister
ExterneIT-
Dienstleister
CISO= Corporate Information Security Officer; ISO= Information Security Officer
Compliance & Recht
Audit
Enterprise Riskmgm.
ISM Controlboard
- Entscheidungen über IS-Strategie- Entscheidung zu IS-Projekten- Freigabe von Richtlinien und Vorgaben zur
Informationssicherheit
Mitglieder:Vorstände Digital, Recht & Compliance, Finanzen,CIO/CTOs,CISO, Audit & Riskmgm.
4 mal pro Jahr
Entscheidung
Hubert Burda Media
Das Ziel ist eine kontinuierliche, angemessene Sicherheit der Informationswerte
Seite 10
Priorisierender Maßnahmen
Steuern der
MaßnahmenImplement.
Bewertung des Reifegrads
der ISM/IT-Prozesse1
KontinuierlicheVerbesserung IS
Erarbeiten von
Maßnahmen
Abgleich mitSoll-Reifegrad
Kontroll-katalog 2
1) Management IS, Organisation IS, Compliance-Mgm., Notfall-Mgm., Incident-Mgm.
2) Kontrollkatalog auf Basis ISO 27001
3) Eigener Risikokatalog auf Basis ISO27005
Schutzbedarfs-feststellung
Informationswerten=BIA
Zuordnung vonIT-Systemen
zu Informationswert
RisikoAnalyse
AbgleichIST-Schutzniveau
zuSoll-Reifegrad
Risikomanagement
Erarbeitenvon Maßnahmen
Soll-Reifegrad
Gefährdungs-katalog 3
Kontroll-katalog 2
Nutzung von risk2value
… ISM-Risikomanagement, ISM-Prozesse, Maßnahmenverfolgung
Seite 11
Hubert Burda Media
Das komplette IS-Risikomanagement wird in risk2value abgebildet
Seite 12
Gesellschaft nTomorrow Focus AGComputer-
unvierseCyberport
HBM
Digital
Business Unit n
Burda Direkt Services
Gesellschaft 1
Burda Forward
Client
Applika-tionen
Daten-verwaltung
Server
Infra-struktur-kompo-nenten
Informations-werte
Informations-werte
Informations-werte
Informations-werte
1
23
SOLL - IST
IST-Reifegrad
Aktivitäten (Maßnahmen)Aktivitäten
(Maßnahmen)Aktivitäten (Maßnahmen)
SOLL-Reifegrad
Risikowert
Schu
tzbe
darf
Hubert Burda Media
Die Bewertung der ISM-Prozesse erfolgt ebenfalls in risk2value
Seite 13
Gesellschaft nTomorrow Focus AGComputer-
unvierseCyberport
HBM
Digital
Business Unit n
Burda Direkt Services
Gesellschaft 1
Burda Forward
IS-Manage
ment
IS-Organi-sation
Comp-lianceMgm.
IncidentMgm.
NotfallMgm.
3SOLL - IST
IST-Reifegrad
SOLL-Reifegrad
ManuelleVorgabe
Aktivitäten (Maßnahmen)Aktivitäten
(Maßnahmen)Aktivitäten
(Maßnahmen)
Hubert Burda Media
Für die einzelnen Controls werden je Betrachtungsbereich unterschiedliche Schwerpunkte gesetzt
Seite 14
Hubert Burda Media
Ziel ist es wesentliche Risiken zu erfassen und geeignete Maßnahmen zu ergreifen
Seite 15
Die Top 5 IT-Risiken je Bereich werden an das Enterprise Risikomanagement weitergeleitet
Hubert Burda Media
Der ISO kann seine vereinbarten Maßnahmen ebenfalls in risk2value steuern
Seite 16
Weitere Ausbaustufen
…Cloud-Assessment, automatisierte Schnittstellen zu anderen Kontrollsystemen
Seite 17
Hubert Burda MediaD: Spezifika Dienstleister
A: Compliance-Vorgaben: Gesetzliche & regulatorische Anforderungen
C: Schutzbedarf der Daten
B: Art der Cloud
Die Risikobewertung hinsichtlich Informationssicherheit und Datenschutz findet auf Basis von vier Faktoren statt
Seite 18
Private Cloud Hybrid Cloud Public Cloud
Schutzbedarf der Daten nach
Vertraulichkeit, Verfügbarkeit und
Integrität
Datenschutz-anforderungen
ISO 27018
Grundsätze ordnungsgemäßer
Buchführung im Outsourcing
IDW ERS FAIT 5
SaaS
PaaS
IaaS
Risiko-Kataloge
Beim Dienstleister vorhandene Kontrollen, Sicherheitsmaßnahmen,
Zertifikate, Ort der Datenspeicherung, Verschlüsselung,
Schnittstellensicherung, Backup, …
Risiko-Bewertung Empfehlung IS/DS
Quelle: J. Kempter; 2016
Hubert Burda Media
Verschiedene Kontrollkataloge können verknüpft werden.Somit müssen gleichlautende Fragestellungen nur einmal beantwortet werden
Seite 19
Nr. Thema Frage
A Management der Informationssicherheit
A.1 Scope und ZieleA.2 Rollen und Verantwortlichkeiten A.3 Risiko ManagementA.4 Überwachen, Überprüfen und
Verbessern A.5 Management von Dokumenten
und Aufzeichnungen B Organisatorische MaßnahmenB.1 Informationssicherheitsrichtlinien
und VorgabenB.2 Third Party ManagementB.3 PersonalsicherheitB.4 Informationsklassifizierung und -
handhabung B.5 Management von Vorfällen
(Incident Management)B.6 Business Continuity ManagementC Technische Maßnahmen
ISO 27001 Checkliste technisch-organisatorische Maßnahmen
gemäß §9 BDSGNr. Frage
1.1.1 Existiert eine übergeordnete Richtlinie/Policy zum Datenschutz?
1.1.2 Ist die Richtlinie/Policy zum Datenschutz den Mitarbeitern bekannt?
1.1.3 Gibt es im Unternehmen etablierte Prozesse und Verfahren zur Einhaltung von Datenschutz und Datensicherheit?
1.1.4 Gibt es im Unternehmen etablierte Prozesse und Verfahren zur Einhaltung von Datenschutz und Datensicherheit?
1.1.5 Zertifizierte Prozesse (z.B. gemäß ISO 27001,BSI) ?
1.1.6
Beschreibung: