04.01.2012 1 WS 2011/12 Vorlesung: IT-Sicherheit M. Harms 1 IT Sicherheit Teil 4 IT Security Management WS 2011/12 Vorlesung: IT-Sicherheit M. Harms 2 ITIL IT Infrastructure Library OGC (Office of Governance Commerce) in Norwich (England) Kernpublikationen: ITIL Service Design ITIL Service Transition ITIL Service Operation ITIL Service Strategy ITIL Continual Service Improvement
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
04.01.2012
1
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
1
IT Sicherheit
Teil 4
IT Security Management
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
2
ITIL
IT Infrastructure Library OGC (Office of Governance Commerce) in Norwich (England)
Kernpublikationen:
� ITIL Service Design
� ITIL Service Transition
� ITIL Service Operation
� ITIL Service Strategy
� ITIL Continual Service Improvement
04.01.2012
2
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
3
ITIL Service Strategie
• Service Portfolio Management• Demand Management• IT Financial Management
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
4
ITIL Service Design
• Service Catalogue Management
• Service Level Management
• Risk Management
• Capacity Management
• Availability Management
• IT Service Continuity Management
• Information Security Management
• Compliance Management
• IT Architecture Management
• Supplier Management
04.01.2012
3
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
5
ITIL - Service Transition
• Service Asset and Configuration Management
• Service Validation and Testing• Evaluation• Release Management• Change Management• Knowledge Management
Maintenance Aktivitäten• Pflege der SLAs • Pflege der OLAs• Change Request (CR)
für SLAs und OLAs• Reporting
Control
Plan
Implement
Evaluate
Maintain
04.01.2012
12
WS 2011/12 Vorlesung: IT-SicherheitM. Harms
23
ITIL Security Management Prozess
• Schnittstellen zu anderen ITIL Prozessen:– IT Customer Relationship Management– Service Level Management– Availability Management– Capacity Management– IT Service Continuity Management– Configuration Management– Release Management– Incident Management & Service Desk– Problem Management– Change Management (ITSM)
Vorlesung: IT-Sicherheit
ITIL Security ManagementWas kann schief gehen?
• Ausrichtung auf Security Audit• Keine Problembewusstsein• Potentielle Schäden werden unterschätzt• Fehlende Verpflichtungen (Nachweis?)• Verantwortung wird weggeschoben• zahnloser Security Officer• Verankerung in den Prozessen fehlt
Beispiel für Maßnahmenableitung:• Security-Policies für A-Services erstellen• für A-Service eigener Security Officer• Sicherheitsanalyse für A-Services
– Risiken / Schadenspotential
• Servicedesk und Trouble Ticket System für A-Services optimieren
• Separates A-Services Reporting
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken
SWOT Analyse
04.01.2012
22
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken SWOT
Stärken(Strength)
Probleme(Weaknesses)
Chancen(Opportunities)
Risiken(Threads)
Gegenwart
Zukunft
Positiv Negativ
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken SWOT
Stärken:• Was sind unsere Stärken? Was läuft gut?• Worauf können wir uns verlassen?• Was stellt uns zufrieden? • Was gibt uns Energie? Worauf sind wir stolz?
Probleme:• Was ist schwierig? Was fehlt uns?• Welche Störungen behindern uns?• Was fällt uns schwer?• Wo liegen unsere verwundbaren Stellen,• Selbstbehinderungen?
04.01.2012
23
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken SWOT
Chancen:• Wozu könnten wir noch fähig sein?• Was sind die Zukunftschancen und neue Trends?• Was können wir im Umfeld nutzen?• Welches Potential haben wir noch?• Was könnten wir ausbauen?• Welche Möglichkeiten stehen noch offen?
Risiken:• Wo lauern künftig Gefahren und Risiken?• Was kommt an Schwierigkeiten auf uns zu?• Was kann uns geschehen?• Welche Fehlentwicklungen befürchten wir?
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungAnalysetechniken SWOT
Stärken(Strength)
Probleme(Weaknesses)
Chancen(Opportunities)
Risiken(Threads)
Gegenwart
ZukunftAnsatz
04.01.2012
24
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungSWOT Analyse
• Serviceprozess
Stärken / Schwächenim Vergleich zu Risiken
Kriterium + + + o - - -
Reaktionszeit
Servicegrad
Sicherheit
Security SLAs
Security OLAs
dringender Handlungsbedarf
Mögliche Abwehr?
Unsere Stärken: Anderswo nutzen?
Chancen?
Trends?
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungSWOT Analyse
Vorgehensweise: 1. Sammeln
• ca. 3 - 5 Aussagen pro Quadrant; ausgeglichenes Bild über alle Quadranten
• bei Konflikten: – vorhandenen Konsens feststellen; – dann Dissens gesondert bearbeiten
2. Priorisierung 3. Aktionspläne für
o W � O o T � O
04.01.2012
25
Vorlesung: IT-Sicherheit
ITIL SicherheitsberatungSWOT Analyse
• Services
Stärken / Schwächen (Security)im Vergleich zu Chancen (Umsatz)