risikoorientiertes Prüffeld im Blickpunkt der aktuellen Cyberbedrohung und der Prüfung (in- und externe Revision, Aufsicht)
Beschreibung
Innerhalb der BAIT hat sich das Informationsrisikomanagement und das Informationssicherheitsmanagement incl. operative Informationssicherheit zu den wesentlichen Prüffeldern entwickelt. Nicht unerhebliche Feststellungen und Schwachpunkte werden dort von in- und externen Prüfern sowie der Aufsicht in Finanzdienstleistungsunternehmen und Banken getroffen.
Neben den bestehenden Schwachpunkten zeigen die stetig steigenden Schäden durch Cyberangriffe (EUR 220 Mrd. in 2021) und die aktuell aufgedeckten Vulkan Files, dass die Bedrohung dynamisch ja fast sprunghaft steigt und nicht nur für Finanzinstitute der kritischen Infrastruktur relevant ist. Die Hacker haben in der Breite Geschäftsmodelle der Bedrohung/ Erpressung aufgesetzt und belasten durch ihre Aktivitäten Einzelinstitute als auch ganze Volkswirtschaften.
Das Seminar geht auf die regulatorischen Erfordernisse im Bereich des Themenbereichs Informationsrisikomanagements ein, stellt typische Schwachpunkte aus der IT-Prüfung dar und beschreibt Handlungsfelder aus dem neu vom BSI veröffentlichte Handbuch zum Management von Cyberrisiken.
Verschiedene Beispiele aus der IT-Prüfungspraxis werden anschaulich dargestellt wie Risikoklassifizierungsmatrix IT, Richtlinie zur Überprüfung der Maßnahmen aus der Informationssicherheit, Sheet für den vierteljährlichen Bericht zur Informationssicherheit, Anweisung zur operativen Informationssicherheit. Die Prinzipien aus dem BSI-Handbuch für Cybersicherheit werden erläutert und mögliche Handlungsbedarfe für die Teilnehmer aufgezeigt.
Inhalte
Einleitung/ Aktuelles
- Cyber-Bedrohung Vulkan Files
- Schäden durch Cyber-Angriffe
- Bedrohungslage
Informationsrisikomanagement
- Regulatorische Grundlagen
- Mögliche Schwachstellen
- IT-Risikoklassifizierung
- Prozess zur Identifizierung von Bedrohungen
Informationssicherheitsmanagement
- Regulatorische Grundlagen
- Mögliche Schwachstellen
- Exemplarische Richtlinie für das Testen der Maßnahmen zum Schutz der Informationssicherheit
- Beispiel Statusbericht zur Informationssicherheit
Operative Informationssicherheit/ Cybersicherheit
- Regulatorische Grundlagen
- Mögliche Schwachstellen
- Beispiel organisatorische Grundlagen zur operativen Informationssicherheit
- BSI-Handbuch für Cybersicherheit / sieben Prinzipen und Handlungsbedarfe
Identitäts- und Rechtemanagement
- Regulatorische Grundlagen
- Mögliche Schwachstellen
IT-Notfallmanagement
- Regulatorische Grundlagen
- Mögliche Schwachstellen
Teilnehmerkreis
Mitarbeiter der Internen Revision, externen Revision, Aufsicht Informationssicherheitsmanagement, Informationsrisikomanagement, IT, IT-Compliance, IT-Projekte
Voraussetzungen
Basiswissen im Bereich der IT und IT-Regulatorik sind für die Teilnahme von Vorteil.