cirosec, der Spezialist im IT-Sicherheitsbereich, veranstaltet im September 2009 wieder seine TrendTage rund um innovative Themen im IT-Sicherheitsbereich. Der Schwerpunkt liegt dieses Mal auf dem Sicherheits- und Risiko-Management sowie der Nachvollziehbarkeit administrativer Zugriffe.
Stationen der TrendTage sind Hannover (28.09.09), Köln (29.09.09), Stuttgart (30.09.09) und München (1.10.09). Die Teilnahme ist kostenlos.
Steffen Gundel, Buchautor und leitender Berater der cirosec GmbH, wird in seiner Präsentation eine Einführung zum Schwerpunkt Sicherheits- und Risiko-Management geben. Das IT-Sicherheitsmanagement hat sich zu einer komplexen Managementaufgabe entwickelt, die aus zahlreichen Teildisziplinen wie z.B. Risikomanagement, Policy-Management, Schwachstellenmanagement oder Security-Incident-Management besteht. Trotz zahlreicher Schnittstellen untereinander werden die Disziplinen im Unternehmen häufig unabhängig voneinander behandelt, was nicht nur wenig effizient ist, sondern auch zu einem unvollständigen Bild über die Risikosituation führen kann. Der Vortrag beleuchtet diese Problematik und zeigt die Möglichkeiten, Einsatzzwecke aber auch Grenzen heutiger Werkzeuge für das Sicherheitsmanagement, so genannter IT-GRC-Lösungen, auf.
Anschließend werden zwei Hersteller aus diesem Bereich ihre Produkte demonstrieren:
- avedos - IT-Governance, Risiko- und Compliance-Management
Das Produkt risk2value® ist ein Scorecard-basiertes Risk-, Compliance- und Maturity-Management-System. Standard-Referenzmodelle sowie individuell importierte Indikatorkataloge ermöglichen eine strukturierte qualitative und quantitative Bewertung von Risiken, Chancen und Kontrollen. risk2value® unterstützt als Software-Framework mit unterschiedlichen Lösungen alle wesentlichen Anforderungsbereiche, um Governance im Unternehmen zu etablieren und regelmäßig zu prüfen. Besonderes Augenmerk wird auf Risiken und Kontrollen aus den Bereichen Organisation, Technik, Personen und Prozesse gelegt.
- Agiliance - IT-Governance, Risiko- und Compliance-Management
Das Produkt RiskVision (TM) von Agiliance ist eine Plattform für IT-Governance, Risiko- und Compliance-Management (IT-GRC). Anstelle von bisher weit verbreiteten Excel-Sheets oder selbstgebauten Datenbanken zur Verwaltung von Risiken, Risikoübernahmen, Ausnahmegenehmigungen und Verwundbarkeiten kann RiskVision als professionelles Werkzeug alle Informationen zentral zusammenführen und den Workflow sowie Entscheidungen unterstützen. Zahlreiche Schnittstellen und Automatisierungsfunktionen ermöglichen ein effizientes Arbeiten im Sicherheits- und Risikomanagement.
Im Abschlussvortrag von der Firma BalaBit Security wird die Nachvollziehbarkeit administrativer Zugänge thematisiert. Administratoren im eigenen Unternehmen, aber auch externe Dienstleister oder Outsourcing-Partner, die Systeme verwalten, haben in der Regel uneingeschränkte Rechte auf den IT-Systemen, die sie betreuen. Gerade bei kritischen oder vertraulichen Systemen und Daten ist es oft wünschenswert, wenn man im Bedarfsfall nachvollziehen kann, wer welche Änderung durchgeführt hat oder wer auf welche Dateien zugegriffen hat. Ohne zusätzliche Maßnahmen ist in solchen Fällen nur erkennbar, dass "Administrator" sich angemeldet hat.
Balabit setzt mit seinem Produkt "Shell Control Box" (SCB) genau an diesem Problem an und zeichnet jede administrative Aktivität detailliert auf, so dass diese bei Bedarf nachträglich wie ein Video mit inhaltlicher Suchfunktion analysiert werden können. Dabei können sowohl SSH-Verbindungen auf Unix als auch RDP-Verbindungen auf Windows-Server aufgezeichnet werden.
Weitere Informationen, die Agenda und eine Anmeldemöglichkeit finden Interessierte unter www.cirosec.de
Stationen der TrendTage sind Hannover (28.09.09), Köln (29.09.09), Stuttgart (30.09.09) und München (1.10.09). Die Teilnahme ist kostenlos.
Steffen Gundel, Buchautor und leitender Berater der cirosec GmbH, wird in seiner Präsentation eine Einführung zum Schwerpunkt Sicherheits- und Risiko-Management geben. Das IT-Sicherheitsmanagement hat sich zu einer komplexen Managementaufgabe entwickelt, die aus zahlreichen Teildisziplinen wie z.B. Risikomanagement, Policy-Management, Schwachstellenmanagement oder Security-Incident-Management besteht. Trotz zahlreicher Schnittstellen untereinander werden die Disziplinen im Unternehmen häufig unabhängig voneinander behandelt, was nicht nur wenig effizient ist, sondern auch zu einem unvollständigen Bild über die Risikosituation führen kann. Der Vortrag beleuchtet diese Problematik und zeigt die Möglichkeiten, Einsatzzwecke aber auch Grenzen heutiger Werkzeuge für das Sicherheitsmanagement, so genannter IT-GRC-Lösungen, auf.
Anschließend werden zwei Hersteller aus diesem Bereich ihre Produkte demonstrieren:
- avedos - IT-Governance, Risiko- und Compliance-Management
Das Produkt risk2value® ist ein Scorecard-basiertes Risk-, Compliance- und Maturity-Management-System. Standard-Referenzmodelle sowie individuell importierte Indikatorkataloge ermöglichen eine strukturierte qualitative und quantitative Bewertung von Risiken, Chancen und Kontrollen. risk2value® unterstützt als Software-Framework mit unterschiedlichen Lösungen alle wesentlichen Anforderungsbereiche, um Governance im Unternehmen zu etablieren und regelmäßig zu prüfen. Besonderes Augenmerk wird auf Risiken und Kontrollen aus den Bereichen Organisation, Technik, Personen und Prozesse gelegt.
- Agiliance - IT-Governance, Risiko- und Compliance-Management
Das Produkt RiskVision (TM) von Agiliance ist eine Plattform für IT-Governance, Risiko- und Compliance-Management (IT-GRC). Anstelle von bisher weit verbreiteten Excel-Sheets oder selbstgebauten Datenbanken zur Verwaltung von Risiken, Risikoübernahmen, Ausnahmegenehmigungen und Verwundbarkeiten kann RiskVision als professionelles Werkzeug alle Informationen zentral zusammenführen und den Workflow sowie Entscheidungen unterstützen. Zahlreiche Schnittstellen und Automatisierungsfunktionen ermöglichen ein effizientes Arbeiten im Sicherheits- und Risikomanagement.
Im Abschlussvortrag von der Firma BalaBit Security wird die Nachvollziehbarkeit administrativer Zugänge thematisiert. Administratoren im eigenen Unternehmen, aber auch externe Dienstleister oder Outsourcing-Partner, die Systeme verwalten, haben in der Regel uneingeschränkte Rechte auf den IT-Systemen, die sie betreuen. Gerade bei kritischen oder vertraulichen Systemen und Daten ist es oft wünschenswert, wenn man im Bedarfsfall nachvollziehen kann, wer welche Änderung durchgeführt hat oder wer auf welche Dateien zugegriffen hat. Ohne zusätzliche Maßnahmen ist in solchen Fällen nur erkennbar, dass "Administrator" sich angemeldet hat.
Balabit setzt mit seinem Produkt "Shell Control Box" (SCB) genau an diesem Problem an und zeichnet jede administrative Aktivität detailliert auf, so dass diese bei Bedarf nachträglich wie ein Video mit inhaltlicher Suchfunktion analysiert werden können. Dabei können sowohl SSH-Verbindungen auf Unix als auch RDP-Verbindungen auf Windows-Server aufgezeichnet werden.
Weitere Informationen, die Agenda und eine Anmeldemöglichkeit finden Interessierte unter www.cirosec.de
