Wirksame Sicherheitsrichtlinien brauchen eine Basis
Einführung
Durch das IT-Security Audit wird die IT Ihres Unternehmens auf Basis des BSI-Grundschutzhandbuchs überprüft. Das bedeutet alle Prozesse, die die EDV berühren, werden einer detaillierten Untersuchung unterzogen. Dabei werdem sämtliche Organisationsstufen anlysiert: Geschäftsführung – IT-Leitung– IT-Verantwortliche – IT-Anwender.
Jeder Zielgruppe werden konkrete Fragen gestellt, die sich ergänzen oder eine gegenseitige Kontrolle ermöglichen (z.B. Kompetenzen) und schließlich zu einem Gesamtbild, einer Gesamtbeurteilung führen.
Bei der technischen Überprüfung werden das Netzwerk, die Server sowie die Clients kontrolliert. Hierbei stellen wir Fragen technischer Art, die Einfluss auf Prozesse haben können (z.B. über den Backupprozess: Wann?, Verantwortlichkeiten?, Lagerung?, etc.). Zusätzlich werden bei der technischen Überprüfung Verbindungen von/nach außen kontrolliert (Partner, Heimarbeitsplätze, Aussenstellen, Internetzugang, etc.).
Inhalt
Auditieren der technischen und organisatorischen Gegebenheiten mittels Fragenkatalog und einer Inspektion der technischen Infrastruktur.
- Analyse der Ergebnisse
Konzepte, Reglemente, Technik und Umsetzungsstand untersuchen. - Auswertung
Risikobeurteilung vornehmen. Einstufung der geschäftskritischen Gefahren vornehmen und Maßnahmenkatalog erarbeiten. - Soll / Ist Vergleich
Wo wurden die vorhandenen Konzepte nicht vollständig umgesetzt? - Schwachstellen kennen
Welche Schwachstellen sind vorhanden? Welche Risiken sind damit verbunden? Mit welchen Auswirkungen muss gerechnet werden? - Maßnahmen kennen
Was kann gegen die vorhandenen Schwachstellen unternommen werden? Welche Schritte sind als Erstes notwendig? - Wissen, wie es um die Sicherheit steht
Wie steht es allgemein um die Sicherheit? Was gilt es zu tun, um die Sicherheit zu erhöhen oder konstant zu halten? - Planungsinstrument
Wann sollen Maßnahmen umgesetzt werden? Mit welchen Kosten ist dies verbunden? - Vorbereitung auf einen möglichen Notfall
Welche Maßnahmen sind in einem Notfall zu treffen? Wie muss man vorgehen? - Organisatorische/technische Unterstützung
Mit den erstellten Unterlagen ist es möglich, die weiteren Schritte eigenständig, mit einem vorhandenen IT-Partner oder mit unserer Hilfe umzusetzen. Sollten jedoch detaillierte Fragen anstehen, können wir auf Basis des IT-Security Audits vertiefte Antworten erarbeiten. - Sensibilisierung
Der Mitarbeiter ist oft das schwächste Glied in einer Sicherheits-Kette. Wir zeigen Ihnen Maßnahmen, wie der einzelne Mitarbeiter zu einem größeren Sicherheitsbewusstsein angehalten werden kann. - Verständnis der GL für IT wecken
Unser Anliegen ist es, auch IT-fremde Mitglieder der Geschäftsleitung für nötige Maßnahmen und deren Nutzen zu sensibilisieren. Dabei wird auch auf die Gefahren, die bei einer Nicht-Umsetzung drohen, detailliert hingewiesen.
Zielgruppe des IT-Security-Audits
Das IT-Security Audit richtet sich an alle Unternehmen ab ca. 30 PC Arbeitsplätzen, die über eine Client-Server Struktur verfügen. Technisches Grundverständnis für die IT sowie Grundverständnis für Sicherheitsanforderungen an diese sollten vorhanden sein.
Kosten
Der Aufwand für ein IT-Security-Audit ist stark abhängig von der Unternehmensgröße, beträgt für den Kunden durchschnittlich 2 bis 3 Tage (Begleitung bei Audit, technische Kontrolle und Präsentation).
Der Aufwand zwischen Audit und Präsentation beträgt zwischen 30 und 70 Stunden, je nach Grösse und Komplexität des Unternehmens und der vorhandenen Netzwerkstrukturen.
Wir beraten Sie gerne unverbindlich in einem persönlichen Gespräch.
