Fachpresse und Bücher
Im Folgenden sehen Sie eine Aufstellung der Bücher und Fachartikel von Ps(i)²-Gründer Sebastian Klipper. Weitere Titel sind bereits in Planung.
“Risk Management mit ISO/IEC 27005″
Auf dem Weg zu einer Zertifizierung nach ISO/IEC 27001 muss jedes Unternehmen ein Risikomanagementsystem einführen. Hierzu gehört es, Risiken festzustellen und festzulegen, wie mit ihnen umgegangen werden soll. Nicht zuletzt geht es darum, eine leistungsfähige Risikokommunikation zu etablieren. Während sich ISO 27001 nur am Rande mit dieser für die ISO-Zertifizierung wichtigen Frage auseinandersetzt, ist ISO/IEC 27005 genau dafür ausgelegt.
Dieses Buch erläutert den Standard, ordnet ihn in die ISO/IEC 27000 Familie ein und gibt Ihnen Tools und Frameworks an die Hand, mit denen Sie ein Risikomanagementsystem aufbauen.
http://www.viewegteubner.de/Buch/978-3-8348-1360-2/InPlanung
“Konfliktmanagement für Sicherheitsprofis”
Ob Datenschützer oder IT-Sicherheitsbeauftragte – Sicherheitsprofis sind allzu oft in der Situation, schlechte Nachrichten überbringen und Maßnahmen durchzusetzen zu müssen, die auf wenig Gegenliebe stoßen. Wer in der Security-Branche arbeitet gilt als Bedenkenträger und landet schnell in der Buhmann-Falle. Starke kommunikative Fähigkeiten sind der Schlüssel, die fachlichen Anforderungen mit der menschlichen Komponente in Einklang zu bringen.
Auf anschauliche Art stellt der Autor die typischen Kommunikationssituationen dar, in denen es für Sicherheitsprofis kritisch wird. Er zeigt auf, mit welchen Mitteln man Entscheidungsträger und Mitarbeiter gleichermaßen für Security-Themen motiviert und so mögliche Konflikte von Anfang an vermeidet. Ein eigener Abschnitt wendet sich der Frage zu, wie man bereits bestehende Konflikte und Krisen übersteht und gestärkt aus ihnen hervorgeht.
http://www.viewegteubner.de/Buch/978-3-8348-1010-6
<kes> – 01/10 Zeitschrift für Informationssicherheit
“Die Macht der Worte”
Auf vier Seiten befasst sich der Artikel mit einem unterschätzten Problem: menschlichem Handeln oder Unterlassen als Ursache oder zumindest Wegbereiter der meisten Sicherheitsvorfälle – der Mensch ist und bleibt Risikofaktor Nummer eins. Neben einer ganzen Menge an technischem Know-how bestimmen nicht zuletzt „Soft-Skills“ über Erfolg oder Misserfolg von IT-Sicherheitsbeauftragten, Datenschützern & Co.
In einer Info-Box zum Artikel wird auf mein Buch “Konfliktmanagement für Sicherheitsprofis” verwiesen, dass im März beim Vieweg+Teubner-Verlag in der Edition <kes> erschienen ist.
http://www.kes.de
http://www.bsi.de
<kes> – 03/09 Zeitschrift für Informationssicherheit
“Business-Case Information Security”
Der Artikel diskutiert Modelle und Möglichkeiten einer Wirtschaftlichkeitsanalyse zur Informationssicherheit. Investitionen müssen gerechtfertigt werden- auch Sicherheitsinvestitionen machen da keine Ausnahme. Mit welchen Verfahren kann man solche Entscheidungen treffen und untermauern?
Folgende Modelle werden eingehend erörtert: Kosten-Nutzen-Analysen, Pareto-Prinzip nach BSI, Total Cost of Ownership (TCO), Total Benefit of Ownership (TBO), Total Economic Impact (TEI), Return on Security Investment (ROSI), Return on Information Security Investment (ROISI), Software-Nutzen-Portfolio und Entscheidungsmatrizen.
http://www.kes.de
http://www.bsi.de
<kes> – 01/09 Zeitschrift für Informationssicherheit
“Mehr als Schulterblicke: Spionagemöglichkeiten im ICE”
Mit bis zu 300km/h rasen die Züge der ICE-Flotte auf den Hochgeschwindigkeitsstrecken der Bahn durch Wälder, Tunnel und über Brücken. War es in der Vergangenheit bestenfalls möglich, kurz seine Ankunftszeit am Zielbahnhof an den „Abholer“ durchzugeben, werden mittlerweile unter dem Motto „Reisezeit ist Nutzzeit“ die „großen Schritte in die Zukunft“ beworben und es gibt die ersten Bahn-Strecken, die mit dem modernsten an Kommunikationstechnik ausgestattet sind, was die Bahn zu bieten hat.
Der ICE ist zum Großraumbüro auf Zeit geworden. Normalerweise erledigt man jedoch seine Arbeit im Schutz des Firmengebäudes hinter verschlossenen Türen und nicht in einem für jeden zugänglichen, öffentlichen Bereich. Der Artikel unternimmt eine Reise zu den Risiken für ihre Informationen am “Arbeitsplatz ICE”.
http://www.kes.de
http://www.bsi.de
Computerzeitung 10.11.2008
“Vulnerability-Management”
Software wird produziert, um zu funktionieren. Dass dabei nur allzu oft die Sicherheit auf der Strecke bleibt, äußert sich in einer Fülle von Schwachstellen. Jede Woche werden hunderte neuer Sicherheitslücken bekannt und die Softwarehersteller brauchen teilweise Monate, um diese mit Updates zu schließen. Gerade Unternehmen mit wertvollem Firmen-Know-how sollten daher auf ein geordnetes Schwachstellenmanagement setzen.
http://www.computerzeitung.de/articles
HAKIN9 – Abwehrmethoden 05/08
“Evolution der IT-Sicherheit”
Der Begriff IT-Sicherheit impliziert an sich schon eine Beschränkung auf die technischen Sicherheitsaspekte moderner Kommunikationssysteme. Der Mensch bleibt bei dieser begrifflichen Abgrenzung zunächst außen vor. Angespornt von einer aus Kindertagen erhaltenen Technikverliebtheit bleibt er es bei den meisten IT-Sicherheitsbeauftragten und Administratoren auch.
Unter den im Artikel vorgestellten Grundvoraussetzungen kann die IT-Sicherheit eines Unternehmens unabhängig von einer technischen Umsetzung einen entscheidenden Sprung nach vorne machen. Bei einer gezielten Zusammenarbeit mit dem Marketing und anderen Unternehmensbereichen besteht Potential, das entstehende Sicherheitsniveau als sichtbaren Wettbewerbsvorteil etablieren zu können.
HAKIN9 – Abwehrmethoden 05/08
“Wie IPS die IT-Sicherheit behindert”
Vor zehn Jahren alles kein Problem! Die Pixel auf dem Bildschirm meines sieben Kilo schweren 286er Laptops konnte man nur erkennen, wenn man in exakt senkrechtem Blickwinkel davor saß. Wollte man jemandem etwas auf dem Monitor zeigen, musste man zunächst den eigenen Kopf aus der Blickachse entfernen um dem andern Einblick zu gewähren. Aus Sicht der IT-Sicherheit ein toller Zustand. Doch dann kamen allerlei technische Errungenschaften, die die Situation verbesserten; eine davon IPS.
HAKIN9 – Abwehrmethoden 04/08
“IT-Sicherheit ritualisieren”
Rituale bieten Umfangreiche Möglichkeiten, das IT-Sicherheitslevel zu erhöhen und das Thema IT-Sicherheit präsenter werden zu lassen, ohne eine abwehrende Haltung der Mitarbeiter zu provozieren.
Der Artikel schlägt eine dreistufige Herangehensweise an eine Nutzbarmachung von Ritualen vor, um sie gewinnbringend zu nutzen. Bei dem aufgezeigten Vorgehen können IT-Sicherheitsmaßnahmen viel besser kommuniziert werden.
Anhand zweier Beispiele wird konkret aufgezeigt, wie sich das vorgeschlagene Vorgehen in der Praxis umsetzen lässt.
