31 zehnder.ppt [kompatibilitätsmodus]

Rüschlikon, 6. November 2007www.privacy-security.ch

© 2007 Josef Zehnder, SyngentaStiftungfür Datenschutz undInformationssicherheit

Informationssicherheits-ManagementSymposium on Privacy andSecurity 2007

Syngenta International AGJosef Zehnder

AGENDA

Wer ist SyngentaWie wir es angehen

– Unser Informationssicherheits-Ansatz– Organisation / Aufgabenteilung– Baselines– Integrierte Risiko Beurteilung / Sicherheitsplan– Mensch Awareness

Verallgemeinerung/Antworten (?)

2

Verallgemeinerung/Antworten (?)



SYNGENTA

1758 Gründung Geigy1876 Gründung Sandoz1884 G ü d Cib1884 Gründung Ciba1970 FUSION Ciba und Geigy Ciba-Geigy1996 FUSION Ciba-Geigy + Sandoz Novartis 2000 Abspaltung Novartis Agro +

FUSION mit Zeneca Agro

3

~20'000 Mitarbeiter in> 100 Ländern

PFLANZENSCHUTZMITTEL Mia USDSelektive Herbizide 1.8Nicht-selektive Herbizide 0 7Nicht-selektive Herbizide 0.7Fungizide 1.7Insektizide 1.0Professional Products 1.0 6.2

SAMEN

4

Mais und Soya 0.8Diverse Feldsaaten 0.3Gemüse und Blumen 0.7 1.8 8.0



Information Security Ansatz

Information in jeder Form und an jedem OrtAuf Papier, Folien etc.G h (K ti M ti S ll t lk)Gesprochen (Konversationen, Meetings, Small-talk)In den Köpfen der MitarbeiterIn Pflanzen-, Boden-, SubstanzprobenSaatgut in EntwicklungAuf elektronischen Medien (Bä d CD HDD USB Sti k

5

(Bänder, CDs, HDD, USB-Sticks,Laptops, PDAs, mobile Telefone,Voice mail boxes etc.)

zunehmende Mobilität/Komplexität

COO CP / COO SE

J. ZehnderGLO

BA

L Head CorporateSecurity

Head Archi-tecture and IS Security

*

GroupGeneral Counsel*

**

Head Global IS Services

* RSM = Regional Security ManagerRRM = Record Retention ManagerDPO = Data Protection OfficerISECO = Information Security Officer

Head GlobalOperations

CIO *

1 FTE2 FTE

RE

GIO

N

RSM

Assistent

IS Security

RegionalHead

ISECO Information Security OfficerCSM = Country Security ManagerSSM = Site Security ManagerSSeM = Site Service Manager (IT)

* = Member of InformationSecurity Steering Committee

6

"LO

CA

L"R

CSMCSMCSMCSM/SSMCSMCSMCSMISECO

CSMCSMCSMDPOCSMCSMCSMRRM

CSMCSMCSMSSeM



Tasks distribution

Risk ManagementOverall ISEC risk portfolioTools/methods evaluation

Corp Sec ISECIS ISECRisk Management

BIA,development security plans

RegulationsISEC PoliciesNon-IS Standards (dev, r-o, sur)

AwarenessManagement, End-users

ReviewsInvestigations

RegulationsIS Standards (dev, r-o, survey)

AwarenessIS Site Service Managers

Tech. Security Architecture

7

gMaintain ISECO organization

DP/RR

Security projects

Regulation Framework

8

www.securityforum.org

ca 50 Dokumente



BusinessImpact

Analysis

Wic

htig

e B

A

9

Keine Aktion,Baselines genügen

Vertiefte Analyse inden identifizierten

Bereichen

DetaillierteRisikoanalyse

Business Impact per year

Duration of Outage(for service outages and disasters)

Explanations/Remarks/Assumptions

Confiden-tiality Integrity 1 hour 1 day 2-3

days 1 week 1 month

D D E D C A A Confidentiality:Integrity:Availability:

C E E E E E E Confidentiality:Integrity:Availability:

E E E E E E E Confidentiality:Integrity:Availability:

C E E E E E E Confidentiality:Integrity:Availability:

D E E E E E E Confidentiality:Integrity:Availability:

A Geschäft bedroht, Beachtung durchExecutive Committee, Millionen

10

D E E E E E E Confidentiality:Integrity:Availability:

E E E E E E E Confidentiality:Integrity:Availability:

C D E D C A A --> Find summary and directions on worksheet 'Project Details'

B Beträchtlicher Schaden; 100'000eC Bedeutender Schaden; 10'000eD Kleine AuswirkungE Vernachlässigbar



11

Technologie Menschen

Prozesse

12

Nur wenn alle 3 Teile aufeinander abgestimmt sind und fehlerfrei zusammenarbeiten haben wir eine funktionierende Sicherheitslösung.



Mensch im Mittelpunkt

TRAINING- Awareness- Handhabung

13

14



KONTROLLE

ÜBERWACHUNGzentral

- Surveys- Reviews

dezentral- Log Reviews- ....

15

UNTERSUCHUNGEN

KOMPLEXITÄT

Zunehmende Komplexität Abnehmende Sicherheit

W it C t b it t h t f h d di Di itWer mit Computern arbeitet, hat erfahren, dass die Dinge mit der Zeit automatisch besser werden – Graphische Auflösung, Rendering, DTP, Rechnerleistung .... Aber Sicherheit wird schlechter.Effektiv wird Sicherheit besser, da aber die Komplexität überproportional zunimmt, verliert Sicherheit an Boden

dh d Th i d ( ) i hti !

16

dh. das Thema wird (ge)wichtiger!



FRAGEN

Wie können grosse oder kleine Organisationen aus der Privatwirtschaft oder der öffentlichen Verwaltung Informationssicherheit in die Prozesse bringen?gWie wird erreicht, dass nicht bloss Konzepte existieren, sondern dass Informationssicherheit tatsächlich und wirksam umgesetzt wird?Welche Strukturen und Funktionen braucht es ?

17

ANTWORTEN

Wille der GeschäftsleitungSicherheitsbeauftragter mit Budget

W d di !!!!!!!– Wanderprediger !!!!!!!– Awareness– Definition umsetzbarer Standards– Kontrolle und Reporting (Ereignisauswertung, Reviews..)

Programm«Unfälle und Verbrechen»

18

«Unfälle und Verbrechen»Smart Security Konzept



ANTWORTEN

Smart Security bedeutet Risiko Managementd.h. diejenige Implementation zu finden, die das

Geschäft am profitabelsten macht –Geschäft am profitabelsten macht nicht die sicherste oder die billigste.

Die wichtige Frage ist:Was kostet mich das und was spart es mir; d.h. ist es seinGeld wert nicht: Ist dieses «Security Ding» gut.

Sowohl zu viel wie auch zu wenig Sicherheit

19

Sowohl zu viel wie auch zu wenig Sicherheit ist nicht gut, weil zu teuer

Individuelle Lösungen, basiere auf Standards,Lernen/Zusammenarbeiten mit «Gleichartigen» ausser ...

FRAGEN / KOMMENTARE

20

31 zehnder.ppt [kompatibilitätsmodus]

Documents