RSA Archer eGRC Lsungen

See More, Act Faster, Spend Less

Dr. Michael Teschner, RSA Deutschland Mai 2011

RSA, The Security Division of EMC

Sachgemer Umgang mit Informationen
Unternehmens Geheimnisse
Intellectual Property Finanzdaten Know How Informationen

Informationssicherheit

Intelligent Managen

Automatisieren & Virtualisieren

Regularien
Kreditkarten-Daten Datenschutz Buchhaltung

Schtzen Speichern

Compliance

Governance, Risk & Compliance (GRC)

Steuerung, Kontrolle, Transparenz, Reporting Unter GRC versteht man die Prozesse um in Unternehmen Regeln und Vorschriften zum Umgang mit Informationen aufzustellen, zu pflegen, umzusetzen und deren Einhaltung zu prfen.
Wer beschftigt sich mit GRC ?
Unternehmensleitung Finanzabteilung Revision Qualitts-Management Rechtsabteilung Datenverarbeitung (IT) Operativen Einheiten ..eigentlich jeder ! Risikomanagement Sicherheit Compliance Bedrohung Internes Kontrollsystem IT-Security Operationelles Risiko Audit / Prfung Governance

GRC Situation in den Unternehmen

Source: Corporate Integrity/OCEG

GRC Pain Points in Unternehmen

Compliance Reports werden in
Iniativen Compliance werden in unabhngigen Projekten bearbeitet spreadsheets gepflegt

Policy Ausnahmen werden nicht zentral verwaltet

knnen Daten Manager Compliance Gefhrdungen sind auf mehrere nicht priorisieren. Systeme verteilt

Effizienz
Ask once, Answer Many: Reduzieren oder eleminieren von redundanten assessments

Automation

Verlsslichkeit
und Transparenz Verlsslichkeit: bersicht ber offene Themen und bestehende Ausnahmen

Collaboratio n

Visibiltt

Isolierte Daten

werden nachhalting in Prozesse integriert

Zusammenarbeit und Konsistenz

ber alle Bereiche hinweg

Gefhrdungn werden erkannt ,

priorisiert und die Beseitigung nachverfolgt

Einige GRC Begrifflichkeiten

Control: Kontrollmanahmen um Risiken zu managen, diese sind administrativer, technischer, normativer oder rechtlicher Natur und knnen folgende Elemente beinhalten: Policies, Vorschriften, Anleitungen, Vorgaben, Verfahren oder Organisationsstrukturen. Risk: die Kombination von Wahrscheinlichkeit und Auswirkung eines Ereignisses Incident: unerwnschtes Ereigniss, das sich negativ auf das Geschft auswirkt Threat: mglicher Grund fr einen Incident Asset: alles was fr ein Unternehmen einen Wert darstellt

Anforderungen in unterschiedlichem Kontext

IT Passwort unauhorisierter Zugang Daten Diebstahl Hacker Information Finance Segregation of duties Betrug Fehlbestand in der Kasse Diebstahl Geld Operations Produkttest Unzufriedene Kunden Hohe Fehlerrate Testprozess mangelhaft Qualitt Legal Schutzmarke brand dilution Plagiat unlauterer Wettbewerb Brand

Control

Risk

ncident

Threat

Asset

Ziel: Harmonisierung der Kontrollstruktur

Ask once answer many

RSA Archer eGRC Lsungen

Archer Technologies Historie

Gegrndet im Oktober 2000 (Acquisition durch RSA im Januar 2010) Anbieter von Enterprise Governance, Risk and Compliance Lsungen 6 Millionen Nutzer (hauptschlich in USA) Enormes Wachstum in den letzen 5 Jahren (959%) Branchenbergreifende Kundenbasis Finanzindustrie ,Technologiesektor, Telekommunikation, Life Sciences, Retail, Media & Entertainment, Utilities Internationalisierung mit Version 5.0 (Jan 2011)

Enable Business Owners to build Applications without technology support

RSA Archer Overview

Authoritative Sources Contracts RSA Archer GRC Content Library

Policy

Standard Frameworks Exceptions Control Questions

17 Policies 90 Authorative Sources 960 Control Standards 5600 Control Procedures 10000 Questions

Controls
Process Technical
Integration into systems of record

Compliance Risik Incidents Findings

Enterprise Architecture Analysis

RSA Archer eGRC Lsungen

RSA Archer eGRC Plattform

RSA Archer eGRC Plattform berblick

Plattform zur Automatisierung und Konsolidierung von Prozessen rund um die Themen Governance, Risk und Compliance Zusammenfhren von Personen, Prozessen und Technologie Zentrale und einheitliche Verwaltung von Unternehmensregeln, Vorschriften, Kontrollmechanismen, Risiko-Bibliotheken etc. Abbildung und Verwaltung der Unternehmensarchitektur, IT Architektur und der Organisationstruktur Flexible und einfache Schnittstellen zur Anbindung an externe Datenquellen Mchtige Reporting Funktionalitten und Kontrollmechanismen, ermglichen klare Geschftsentscheidungen auf der Basis von Fakten.

RSA Archer Herstellen von Business Kontext

Anwendungen Gesetze

Geschfts Bereiche

Informationen

Regularien

Datenbanken

IT Finance Operations
Devices

Geschfts Ziele

Legal

Workstation Hersteller Kunden

Bedrohungen

eGRC setzt die Operationale Infrastruktur (Personen, Informationen, Prozesse und Technologie) in den Business Context

Stellenwert von GRC (Archer) bei EMC

EMC GRC See More, Act Faster, Spend Less GRC Business Solutions

Information Governance IIG

Business Continuity BRS

Security Management RSA

RSA Archer eGRC Platform v5.0

RSA Advanced Security Management

17

RSA - Advanced Security Management

Zentrale Sicht und Koordination von phsyikalischen, virtuellen und Cloud Assets Integrierter Ansatz: Mensch, Prozesse und Technologie (Security Controls )
Korrelierte & ganzheitliche Sicht Kontext, Analysen, Enforcement

Herstellen von Business und Policy Kontext

Einheiten Niederlassungen Prod./Services Mitarbeiter Prozesse Anwendungen Devices Informationen

Business Kontext

Policy

Business Iniativen Industrie-Standards Gesetze Best Practices Vertragliche Verpflichtungen

Detailed Controls
Vulnerabilities Patch levels Configurations Assets Identities

Anwendungen Systeme Netzwerke Speicher

physikalische physikalische and and virtuelle virtuelle IT IT Infrastruktur Infrastruktur

RSA - Security Management

Unternehmensanforderung
Governance, Risk + Compliance Management
Definition der Richtlinien Risiko Assessment & Reports

berwachung | Audit | Korrelation

Report

Zuordnung der Kontrollen

Kontext

Einsammeln

IDENTITTEN Management

INFRASTRUKTUREN

INFORMATIONEN berwachen

Auffinden

Durchsetzen

Integriertes Produktportfolio von RSA

Unternehmensanforderung
Manage Governance, Risk + Compliance
Define Policy Report On Risk Monitor | Audit | Report

RSA Archer eGRC Suite

Map to Controls Assess Compliance

Add Context RSA enVision Correlate

Authenti-sierung

IDENTITIES Provisionierung Access Manager

Zugriff/

Betrugs Prevention Fraud Action

INFRASTRUCTURE
Ionix Config Mgmt

Data Loss Prevention DLP

Encryption & INFORMATION Tokenization DPM App DPM DC BSAFE Tokenization Microsoft RMS

SecurID

Manage

NetWitness

Monitor
Cisco IronPort Network Partners

Adaptive Auth Identity Verification

Federated Identity Mgr

Transaction Monitoring

Endpoint Security Feeds

Detect eFraud
Network

Infrastructure Feeds

Enforce
Endpoint Partners

Anwendungsbeispiel: Security,Compliance & Trust in the Cloud

22

Beispiel fr RSA Integration in Vmware

Automated Measurement Agent Component Discovery and Population

Configuration Measurement

Archer

VMware Specific Controls

alerts

RSA Connector

enVision

23

Einheitliche Betrachtung: Physikalische und virtuelle Umgebung

Vblock Infrastruktur Lsungen

Joint Venture Vmware,Cisco & EMC
Lsungs Pakete
Information

Integrierte und getestete Infrastruktur Lsungen RSA Komponenten fr Zugang, Infrastruktur, Monitoring und Reporting EMC / RSA Consulting Dienstleistungen fr Virtualisierung und GRC RSA Securbook (best practice) BSI Studie: Gefhrdungen und Manahmen beim Einsatz von VCE Vblock (Mai 2011) KPMG Compliance Analyse fr den Vblock (in Vorbereitung)

Applications Operating Systems Virtualization

Compute

Network

Security

Einbinden von Cloud Services

Bewerten eines Cloud Services bezglich Compliance

Compliance and Audit

Application Security

Cloud Architecture

Die Cloud Security Alliance beschreibt 13 Kategorien fr Cloud Computing

Die RSA Lsung fr Sicherheit und Compliance in der Cloud beruht auf dem CSA Consensus Assessment Fragebogen

RSA Cloud Trust Authority

Trust Center fr Cloud Services
Unternehmen Dokumentation des compliance Status von cloud Anbietern auf der Basis eines Benchmarks
Security & Compliance Trust = Visibility + Control Visibility & Reporting

Cloud Service Anbieter

Identities

Infrastructure

Information

Zugang zur Cloud: Authentifizierung, SSO/Federation, Provisionierung, Berechtigungen, etc.

Sicherheit des Cloud IT stacks: hardening, Integritt and geolocation of workloads, threat defense, etc.

Sensitive Informationen: Klassifizierung, Verschlsselung, Tokenization, Geolocation, etc.

Ein Cloud-basiertes Service Portfolio um Sicherheit und Compliance fr Cloud Dienste fr den Kunden zu vereinheitlichen und sicherzustellen

Zusammenfassung
Der berwiegende Teil der heutigen Geschftsprozesse ist IT gesttzt Das bedeutet: IT muss einen essentiellen Beitrag zur Risikominimierung der Geschftsprozesse leisten Man braucht Methoden und Werkzeuge, um die IT Infrastruktur mit den Prozessen und Anforderungen abzustimmen (Business Kontext) Mit der Archer eGRC Plattform lassen sich unternehmensweit GRC Prozesse vereinheitlichen und automatisieren

THANK YOU