IT-Sicherheitsaudit

Ihre Absicht

Sie wollen

• eine neutrale Bewertung Ihrer Informationssicherheit, sei es in Form eines "Rundum-Checks" / Standortbestimmung oder eines Konzept-Reviews oder einer gezielten Überprüfung der Netzwerksicherheit, Mobile Security, Awareness etc.
• wissen, ob die entwickelten Sicherheitslösungen umgesetzt und wirksam sind, von der Konzeption über Prozesse, Architektur bis zur Konfiguration.
• Ihre Informationssicherheit mit dem Industriestandard vergleichen (Benchmarking). Was machen andere?  

Die Herausforderung

• Potenzielle Schwachstellen können auf allen Ebenen,  von der Konzeption bis zur Konfiguration auftreten. Schwachstellen gibt in der Softwareprodukten, in Übertragungsprotokollen, Speichermedien, Benutzererhalten und vieles mehr. Das erfordert einen breiten Blickwinkel, kluge Verfahren und moderne Werkzeuge.

Unser Angebot

• Nur in kleineren IT-Infrastrukturen und Organisationen ist ein vollständiges Audit über alle Ebenen praktikabel. Im Allgemeinen kann das Audit in klar umrissene Bereiche unterteilt werden, die in mehreren Einzelaudits, allenfalls von spezialisierten Dienstleistern, bearbeitet werden. In Vorgesprächen, die Sie zu nichts verpflichten, legen wir die Eckdaten zum Auditinhalt und zum Dienstleistungsangebot fest.
• Falls Sie Ihre Informationssicherheit mit dem anerkannten Standard ISO 27001 / 2 entwickeln oder abgleichen wollen, empfehlen wir Ihnen unser Tool ISAT-X. Es ist für den do-it-yourself-Gebrauch gedacht. Gerne begleiten wir Sie bei dem toolgestützten Erfassungsprozess, der u.a. mehrere Interviews mit Ihren Experten beinhaltet.
• Bei den üblichen Audits im Netzwerkbereich unterscheiden wir deutlich zwischen „Vulnerability-Scans“, „Penetrationtests“ und „ethical hacking“. Wir vertreten die Überzeugung, dass pragmatische, toolgestützte Vulnerability-Scans ein gutes Kosten-/Nutzen-Verhältnis bieten. Wenn auf dieser Ebene alle bekannten Schwachstellen gefunden und behoben sind, ist man in der Regel ausreichend vor typischen Angriffen geschützt. Weitergehende, manuelle Prüfungen (ethical hacking) sind sehr aufwendig und nach unserer Erfahrung nur in begründeten Ausnahmen gewünscht.
• Je nach Wunsch erstellen und präsentieren wir direkt einen abschliessenden Prüfbericht oder kombinieren das Audit mit ersten konkreten Verbesserungen.  Letzteres wird gerne angenommen, wenn es z.B. um einfache Konfigurationen geht. Wir greifen auch gerne kritische Anmerkungen zu unseren Bewertungen auf. Das erhöht das gegenseitige Verständnis und die Akzeptanz des Auditergebnisses.

Ihr Gewinn

Sie haben einen belastbaren Auditbericht, um

• im Idealfall die Bestätigung für Ihre einwandfreie Informationssicherheit zu erhalten.
• identifizierten, ausführlich begründeten Handlungsbedarf adressatengerecht kommunizieren und abstimmen zu können.
• anhand konkreter Lösungsvorschläge die weiteren Schritte zu priorisieren und zu entscheiden.