Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat...
-
Upload
truongdang -
Category
Documents
-
view
217 -
download
0
Transcript of Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat...
![Page 1: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/1.jpg)
Diagnose der Informationssicherheit in Ihrem UnternehmenInformation Security in Healthcare
Hans-Joachim BlachSenior Information Security Consultant
06. Juni 2019
![Page 2: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/2.jpg)
22
AdNovum
Ungarn
AdNovum
Singapur
AdNovum
Vietnam
AdNovum
Zürich (HQ)Bern
Lausanne
AdNovum
Portugal
AdNovum auf einen Blick
Enterprise-scale software and security solutions
1988 gegründet, privat gehaltene Aktiengesellschaft
600 Mitarbeitende weltweit
Kunden in der Schweiz, Deutschland, Singapur und weiteren Ländern,
Privatwirtschaft und öffentliche Hand, alle Branchen, über 50% Finanz
ConsultingStrategien, Konzepte,
Assessments
Software SolutionsMassgeschneiderte Software
für Web und Mobile
NEVISZugriffsschutz und
Benutzerverwaltung
Cyber SecurityAudits, Konzepte und
Lösungen zum umfassenden Schutz der IT
Application ManagementBetrieb, Wartung und
Support von Applikationen und Systemen
User ExperienceIntuitive und ansprechende
Kundenerlebnisse
![Page 3: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/3.jpg)
33
https://hotforsecurity.bitdefender.com/blog/ransomware-attack-encrypts-medical-records-at-australian-hospital-20887.html
![Page 4: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/4.jpg)
44
https://www.heise.de/security/meldung/Unzureichend-abgesichert-Defibrillator-Implantate-offen-fuer-Hacker-Attacken-4342484.html
![Page 5: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/5.jpg)
55
Wie sieht es mit der Akzeptanz aus?
![Page 6: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/6.jpg)
66
Akzeptanz eHealth
Pragmatische Internetnutzung –Sensibilisierung für Datenmissbrauch
Studie im Auftrag von ICTswitzerland, Februar 2017
![Page 7: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/7.jpg)
77
Trends eHealth
Die weltweite Anzahl der Downloads von Health-Apps im Jahr 2016 betrug
ca. 3,2 Milliarden, 2013 lag die Anzahl bei ca.1,7 Milliarden
Der globale Markt für Diabetes-Apps erreichte im Jahr 2016 einen
Höchstwert von 135,5 Millionen, wovon 4,1 Millionen aktiv eine Diabetes-
App benutzen.
![Page 8: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/8.jpg)
88
Erwartungen
Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die
Verheissungen sind gross.
Dem elektronischen Patientendossier wird enormes Potential für eine
Verbesserung von Qualität und Wirtschaftlichkeit im Gesundheitswesen
attestiert.
Die Erwartung besteht, dass damit endlich eine besser integrierte und stärker
patientenzentrierte Versorgung ermöglicht wird.
Die Gensequenzierung erlaubt neue Diagnose- und Therapiemöglichkeiten, die
viel gezielter auf das Individuum ausgerichtet sind. Etc…
![Page 9: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/9.jpg)
99
Doch neben den grossen Hoffnungen auf ein effizienteres Wirtschaften
und auf ein besseres Leben entstehen auch neue Herausforderungen.
Datensicherheit, Datenschutz und Cyberkriminalität stehen für die
Kehrseite der Medaille!
![Page 10: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/10.jpg)
1010
Wunsch und Wirklichkeit
Nov. 2018
![Page 11: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/11.jpg)
1111
Chancen und Angriffsflächen
![Page 12: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/12.jpg)
1212
weitere Anforderungen, Regulatorien und Normen
▪ BAG, Gesetzgebung Arzneimittel…
▪ (Medical Device Regulation, MDR) ab 2020, Ersatz für Medizinprodukterichtlinie 93/42/EWG (Medical Device Directive, MDD)
▪ DIN EN 62304 VDE 0750-101:2016-10
▪ Anforderungen an den Lebenszyklus von Medizinprodukte-Software
▪ Softwareentwicklung relevante Norm IEC 62304 («Health software – Software life cycleprocesses»)
▪ Risikomanagement (IEC 14971),
▪ IEC 82304-1:2016 Gesundheitssoftware - Teil 1: Allgemeine Anforderungen für die Produktsicherheit (Standalone Software vs. embedded -> 62304)
▪ ISO/CD 13485 "Quality Systems--Medical Devices--Supplementary Requirements to ISO 9001
▪ ISO27799, Gesundheitsinformatik - Informationssicherheitsmanagement im Gesundheitswesen nach ISO/IEC 27002
▪ GDPR, Patientendaten -> ISO27799, Kap. 3.8 Kritis Spitäler
▪ Etc. etc.
![Page 13: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/13.jpg)
1313
Wer soll sich um all diese Themen kümmern?
![Page 14: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/14.jpg)
1414
Wer kümmert sich um das Thema?
Quelle: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/ACS/cyber-sicherheits-umfrage_2018.pdf
![Page 15: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/15.jpg)
1515
Aufgaben der Unternehmen
![Page 16: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/16.jpg)
1616
▪ Zwischenfazit Anforderungsprofil
▪ Erwartungen Digitalisierung -> managen
▪ Cyber Angriffsflächen identifizieren -> managen
▪ Cyber Vektoren, Bedrohungen identifizieren -> managen
▪ regulatorische Auflagen analysieren -> managen
▪ Standards und Normen identifizieren -> managen
Aufgaben der Unternehmen im Gesundheitsbereich Phase I
![Page 17: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/17.jpg)
1717
▪ Digitalisierung heisst;
▪ Unternehmung müssen weitere Kompetenzen entwickeln
▪ Governance ->Regierungsführung, Steuerung, Kontrolle, angemessene Unternehmensorganisation
▪ Angemessene Repräsentanz, d.h. innerhalb des Unternehmens muss eine Organisationseinheit aufgebaut werden die in der Lage ist, diese verschiedenen Anforderungen zu managen.
▪ Diese Organisationseinheit heisst Informations-Sicherheits-Management (ISM).
Aufgaben der Unternehmen im Gesundheitsbereich Phase II
![Page 18: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/18.jpg)
1818
Management der Informationssicherheit
▪ Informations-Sicherheits-Management (ISM Team).
▪ Informations-Sicherheit Management System (ISMS ->all in one)
▪ Ein ISMS ist ein systematischer Ansatz für die Einrichtung, Implementierung, den Betrieb, die Überwachung, die Überprüfung, die Wartung und die Verbesserung der Informationssicherheit eines Unternehmens zur Erreichung der Geschäftsziele.
▪ Es basiert auf einer Risikobewertung und dem Risikoakzeptanzniveau des Unternehmens, um Risiken effektiv zu behandeln und zu managen.
▪ Kontinuierlicher Prozess solange das Unternehmen existiert!
![Page 19: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/19.jpg)
1919
Aufgaben des Unternehmens
Phase 1
▪ Unternehmensprofil erstellen
▪ Unternehmensaufgabe definieren
▪ Unternehmensstrategie definieren
▪ Erwartung an Digitalisierung formulieren
▪ Governance
▪ Reicht die Kompetenz und Organisationsstruktur um die Strategien und Visionen sicher umzusetzen?
![Page 20: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/20.jpg)
2020
Aufgaben des Unternehmens
Phase 2
▪ Organisationsstruktur bezüglich Security und Risiken definieren
▪ “Information Security Management” (ISM) Team zusammenstellen welches in der Lage ist
alle IT Security Anforderungen zu definieren, prüfen, verwalten, umzusetzen bzw. durchzusetzen
▪ Das ISM Team ist eine Querfunktion – es arbeitet mit Legal and Compliance, internem RiskManagement, der IT sowie der GL zusammen
▪ Verantwortlichkeiten regeln und benennen
![Page 21: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/21.jpg)
2121
Aufgaben des Unternehmens
Phase 3
▪ Kernprozesse definieren/dokumentieren und Anforderungskataloge erstellen (z.B. IT-Security Anforderungskatalogs für die Beschaffung von internetfähigen Geräten und der damit verbundenen Services)
▪ Risiko-Metriken definieren, bzw. interne Metriken übernehmen
▪ Auslegeordnung über sämtliche Sicherheitsthemen erstellen
▪ Evaluieren der regulatorischen Anforderungen
▪ Bedrohungsanalyse durchführen
▪ Gap/Risiko Analyse durchführen und mögliche Massnahmen definieren und priorisieren
![Page 22: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/22.jpg)
2222
Aufgaben des Unternehmens
Phase 4
▪ Risikobearbeitung
▪ Mindern
▪ Transferieren
▪ Akzeptieren
▪ Vermeiden
▪ Priorisierte organisatorische und technische Umsetzungen
![Page 23: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/23.jpg)
2323
Aufgaben des Unternehmens
Phase 5
▪ Periodische Überprüfungder Rahmenbedingungen,Risiken und Massnahmen
![Page 24: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/24.jpg)
2424
Aufgaben des Unternehmens
ISMS = Information Security Management System
Phase 6
▪ Ich betreibe schon ein ISMS!
▪ Kombinieren Sie verschiedene Compliance Anforderungen miteinander?
▪ Z.B. die DSGVO mit ISO-Standards oder mit Access Control
▪ Wann haben Sie die letzte GAP Analyse durchgeführt?
▪ Wann wurde die letzte technische Analyse durchgeführt?
▪ Wie prüfen Sie , Z.B. die Login Prozeduren, die Rollenkonzepte, die Netzwerksegmentierung? Wie wurde das tatsächlich konfiguriert?
▪ Neue Digitalisierungsprogramme mit Einfluss auf Cyber Security?
![Page 25: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/25.jpg)
2525
IT Risikomanagement und ISMS
ISMS = Information Security Management System
![Page 26: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/26.jpg)
2626
ISMS als Teil des Risiko Managements
To do List «für uns alle»
➢Das Ziel «Cyber Resilienz» muss jeden Tag auf der Agenda stehen!
➢Governance, Verantwortung klar benennen, regeln und managen
➢Risikoprofil erstellen, managen
➢Cyber Incident Response Prozess definieren und einüben
➢ Schaffen Sie immer wieder Awarness im Unternehmen
➢Versicherungen helfen
➢Behalten Sie die Turnschuhe an, seien sie einen Schritt voraus…nicht hinterher!
![Page 27: Diagnose der Informationssicherheit in Ihrem Unternehmen · 88 Erwartungen Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die Verheissungen sind gross. Dem elektronischen](https://reader030.fdocuments.in/reader030/viewer/2022040217/5d5984ff88c9932c758b9910/html5/thumbnails/27.jpg)
2727
Cyber SecurityNEVISConsulting Application
Management
Software Solutions User Experience
Hans-Joachim Blach, Senior Information Security Consultant
www.adnovum.ch