Österreich
Secure Your Business
 

Event-Nachlese:
15. Information-Security-Symposium, WIEN 2019

 

Ein herzliches Dankeschön an alle Referenten, Aussteller und Teilnehmer im Namen der Veranstalter CIS und Quality Austria

 

 

03 Terrasse Networking - NEU - Mikes_1135CIS-NL Juni 2019 - Bei strahlendem Juni-Wetter und einem hochkarätigen Vortragsprogramm mit musikalischem Ausklang bot das 15. Informationen-Security-Symposium am 05. Juni einen informativen wie unterhaltsamen Nachmittag. Die Veranstalter CIS und Quality Austria freuten sich über rund 200 interessierte Fachteilnehmer aus führenden Unternehmen. Last but not least sorgte CIS-Auditor Helfried Stadlbacher mit seiner Jazz-Band „Grenzgasse 8“ für einen schwungvollen Ausklang des Events – mit Abend-Buffet und Open End auf der schönen Schubert-Terrasse des Wiener Kursalons.
 

NIS-Verordnung aktuell: Umsetzung & Sanktionen

Ein aktuelles juristisches Highlight lieferte der Vortrag zur bevorstehenden NIS-Verordnung für Netz- und Informationssystemsicherheit. Mag. Gernot Goluch von der operativen Behörde, dem Bundesamt für Verfassungsschutz und Terrorismusbekämpfung im Innenministerium, gab einen Überblick über Sicherheitsanforderungen und Meldepflichten, Aufgaben und Anforderungen für Computer-Notfallteams sowie über mögliche Sanktionen. Gernot Goluch erläuterte die operative Umsetzung ebendieser gesetzlichen Maßnahmen und die Konsequenzen für die Adressaten des Gesetzes: insbesondere Anbieter digitaler Dienste, Betreiber wesentlicher Dienste und qualifizierte Stellen. Die geforderten Sicherheitsvorkehrungen für die insgesamt 42 definierten kritischen Dienste – wie beispielsweise im Luftverkehr der Dienst „Flugabwicklung“ – orientieren sich an Vorgaben aus ISO 27001 und anderen anerkannten Sicherheitsstandards. Zur Präsentation
 

High-Lights nach 3 Jahren ISO 27001

Wertvolle Erfahrungen und Tipps nach 3 Jahren  ISO-27001-Zertifizierung gab Mag. Otfried Cerwenka von der oberösterreichischen Vinzenz Gruppe Krankenhausbeteiligungs- und Management GmbH weiter. Er betonte wie wichtig die Einbindung des Managements und von Schlüsselpersonen aus dem gesamten Unternehmen sei – auch das ein gutes Fundament für Zertifizierung und Betrieb eines Informationssicherheits-Managementsystems (ISMS) davon abhänge, dass man sich zu Beginn ausreichend Zeit für eine sinnvolle und zielführende Festlegung des Scopes nehme. Als interessanten Meilenstein schilderte er auch das Ausrollen von Security-Richtlinien auf 27 Unternehmen innerhalb der Vinzenzgruppe. Inspirierend war sein Ansatz zum Umgang mit klassischen Sicherheitsrisiken im Umfeld der Mitarbeiter wie etwa Whatsapp oder USB-Sticks. So meinte Otfried Cerwenka, dass man die Nutzung nicht verbieten müsse, wenn es kreative Lösungen geben könnte wie etwa die Verschlüsselung von Inhalten auf USB-Sticks. Derartige Lösungen würden die Akzeptanz eines ISMS unter den Mitarbeitern jedenfalls begünstigen. Zur Präsentation
 

Low Risk, more Fun: Risikominimierung im ISMS

Eine „Good Practice“ präsentierten Julian Obenland und Christian Wagner von der s IT Solutions AT Spardat GmbH der Erste Group. Das Thema Sicherheit gilt dort als strategisches Unternehmensziel und beschäftigt in einem eigenen Cyber Defence Center 17 Security Analysten und 9 Security Officer. Julian Obenland berichtete über effiziente Synergien der ISO-27001-Zertifizierung mit dem Banken-Standard ISAE 3402: mehr als die Hälfte der ISO-27001-Controls seien für ISAE 3402 ebenfalls anwendbar. Auch Einsparungspotenzial bei Prozessen strich er hervor und leitete zum Thema Riskmanagement über, indem er das legendäre Truthahn-Problem schilderte, wobei der Vogel sorglos sein Leben lebt bis er schließlich völlig unerwartet als Festtagsbraten endet – ohne jede Vorwarnung. Hier knüpfte Christian Wagner an und schilderte die Herangehensweise im Riskmanagement „Bottom-Up“. Dabei werden für die sensiblen IT-Assets im Bankgeschäft wie Kundendaten oder Transaktions-Hardware mögliche Bedrohungen und Schwachstellen identifiziert. Durch Darstellung in einer Risikomatrix werden die so wichtigen Abhängigkeiten zwischen den Assets verdeutlicht. Schließlich erfolgt die Evaluierung des Risikos in Bezug auf die Sicherheitsziele. Zur Präsentation
 

ISO 20000 als roter Faden zur Digitalisierung

Eine agile Service Life-cycle Strategie im Rahmen eines IT-Service Managementsystems nach ISO 20000 beleuchtete Mag. Georg Talasz, Process Manager bei der ACP IT Solutions GmbH. Er präsentierte IT Service Management nach der neuen Version ISO 20000:2018 als „roten Faden zur Digitalisierung“ - und berichtete wie die ACP mit dem vermeintlichen Spannungsfeld zwischen zunehmenden Automatismen auf der einen und Agilität auf der anderen Seite umgeht. Georg Talasz stellte zunächst den Aufbau eines modularen IT Service Management Systems mit einem genau geplanten Service Life-cycle vor. Ein klassisches ITSM-System stehe demnach für Modularität, Prozesse und Mikromanagement, wobei die Gefahr bestehe, sich im Detail zu verlieren. Schließlich beschrieb er übersichtlich, wie mehr Agilität in ein ITSMS Einzug halten kann: durch die Nutzung eines Frameworks wie das sogenannte Mitarbeiter-Cockpit, durch interne Suchmaschinen, durch Datenstrukturierung oder auch durch zentrale Verfügbarkeit von KPI`s, ebenso wie auch durch Kommunikationslogik, Nutzung interner Foren u.a.. Zur Präsentation

KI & Co: neue Technologien mit Managementsystemen adressieren

Wie sich die Organisationen und die darin betriebenen Managementsysteme durch neue Technologien ändern werden, beleuchtete Dr. Anni Koubek von Quality Austria in Ihrem visionären Vortrag. Pointiert verglich sie die Funktion des analog-menschlichen Auditors von heute mit dem künftigen KI-Audit-Roboter, der durch sekundenschnelle Analyse quer durch die Gesamtheit der Unternehmensdaten messerscharfe Schlussfolgerungen liefern könnte. Mit Blick auf die Zukunft definierte sie zwei Kernfragestellungen: Wie verändern Technologien unsere Organisationen und Managementsysteme? Wie müssen wir unsere Managementsysteme und Methoden verändern, damit wir diese neuen Organisationen steuern können und Managementsysteme wirksam machen? Für den Weg in die Zukunft strukturierte Anni Koubek verschiedene Handlungsfelder, wie die zunehmende Digitalisierung in der Wertschöpfung, die erforderliche Service-Orientierung bzw. Service-Intensivierung oder auch die Ermöglichung von mehr Agilität trotz Standardisierung. Zur Präsentation

 
 

Zur Keynote Speech von Antizipationsforscher Dr. Roland Benedikter:
KI könnte sich gegen Menschen richten - aufgrund inhärenter Logik

 

 
___________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com

 

 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Datenschutz Impressum

AGB