secure Information & Communications Technology, ICT IT-Security Beratung & Audits, IT-Engineering

Möglichkeiten der IT-Security Audits

IT-Sicherheit prüfen, bewerten, verbessern

Die Sicherheitsverantwortlichen, der Verwaltungsrat oder die Geschäftsführung sind bei ihren Entscheidungen auf präzise Informationen zur aktuellen Risikolage angewiesen und erhalten praktische Handlungsempfehlungen zur Bewältigung der Risikovorsorge. Es sind organisatorische, physische und technische IT-Sicherheitsaspekte zu überprüfen, entweder einzeln oder in Kombination. Durch eine durchdachte Notfallvorsorge ist man auf Krisen besser vorbereitet.

Unsere Leistungen

Systemnahe IT-Security Audits werden auch als „IT-Systemchecks bezeichnet. Hierbei werden meist technische Sachverhalte, z.B. die Konfiguration, offene Ports, Verletzbarkeiten bei Servern, Benutzerberechtigungen usw. überprüft und bewertet. Für bestimmte IT-Systeme werden spezielle IT-Security Audits angeboten (SAP, Lotus Notes, Datenbanken, spezielle Applikationen). Will man z.B. die Schwachstellen bei Netzwerkübergängen überprüfen, bieten sich sogenannte Penetrationstests an. Organisatorische IT-Security Audits dienen der Überprüfung der organisatorischen IT-Sicherheit. Überprüft wird, ob die vorhandenen IT- Sicherheitsrichtlinien und IT-Sicherheitskonzepte ausreichend durch wirksame Massnahmen abgedeckt sind sowie die entsprechende IT- Sicherheitsorganisation vorhanden und einsatzbereit ist. Mit physischen IT-Security Audits werden Sicherheitsaspekte in der IT- Infratruktur bei Technikräumen, Gebäuden mit ICT und Perimeter (Betriebsgelände) überprüft. Ein Serverraum im Untergeschoss kann überschwemmt werden, wenn keine Rückstauventile für die Dachentwässerung vorgesehen sind, die im Keller in den Kanal mündet.
Das Schaubild zeigt die Strukturierung eines modularisierten IT-Security Audits. In einem ganzheitlichen Audit sind mindestens die Bereiche 'Organisatorische Sicherheit' und 'Technische IT-Sicherheit' enthalten. Nicht abgebildet ist der Bereich 'Physische
Bildquelle: iSecure GmbH

Bestandteile eines IT-Security Audits

Ein typisches IT-Security Audit besteht aus einer Kombination von mindestens einem Prüfmodul (Teilaudits) aus unserem Prüfmodulkatalog. Die Prüfmodule können auf Wunsch mit technischen Systemprüfungen kombiniert werden. Auch Gebäudeschutz (ohne baustatische Sicherheit) und Perimeter kann man einbeziehen. Die Teilaudits sind einheitlich aufgebaut und liefern untereinander vergleichbare Ergebnisse. Erweiterungen sind ein Init-Workshop und eine Abschlusspräsentation. Im Init-Workshop kann das Auditprojekt einem grösseren Kreis von Interessierten erklärt werden, z. B. Mitgliedern des Verwaltungsrates, die als Gäste teilnehmen. In einem Priorisierungs-Workshop werden kurz- bis mittelfristig umzusetzende Massnahmen festgelegt. Sie erhalten eine auswertbare Datenbank mit allen Handlungsempfehlungen aus den Audit (priorisiert und noch nicht priorisiert).
2021© iSecure GmbH, Therwil (CH)
secure Information & Communications Technology, ICT IT-Security Beratung & Audits, IT-Engineering

Möglichkeiten der IT-Security Audits

IT-Sicherheit prüfen, bewerten, verbessern

Die Sicherheitsverantwortlichen, der Verwaltungsrat oder die Geschäftsführung sind bei ihren Entscheidungen auf präzise Informationen zur aktuellen Risikolage angewiesen und erhalten praktische Handlungsempfehlungen zur Bewältigung der Risikovorsorge. Es sind organisatorische, physische und technische IT-Sicherheitsaspekte zu überprüfen, entweder einzeln oder in Kombination. Durch eine durchdachte Notfallvorsorge ist man auf Krisen besser vorbereitet.
Ein Mann erklärt an einem White-Board mit Hilfe eines Diagramms die Zusammenhänge. Ein IT-Security Audit ist eine besondere Form der Systemanalyse.
Bildquelle: PixaBay

Was ist zu tun?

Modellierung komplexer Anforderungen an das IT-Security Audit. Untersuchung abgegrenzter IT-Sicherheitsbereiche mit unterschiedlichen IT-Schutzstufen. Überprüfung der gelebten organisatorischen, physischen und technischen IT-Sicherheit. Technische IT-Systemchecks wie z.B. die Konfigurationen von Servern. IT-Security Penetrationstests bei den Netzzugängen.

Herausforderungen

Bei der Aufgabenerfüllung in den Geschäftsprozessen kommen Informations- und Kommunikationstechniken (IKT, ICT) zum Einsatz. Dadurch entstehen Risiken, die durch IT-Sicherheitsmassnahmen abgesichert werden müssen. Die IT-Infrastruktur unterliegt ständigen Veränderungen, z. B. wegen geänderter Anforderungen oder aufgrund technologischem Wandel. Die ergriffenen Massnahmen sollten daher regelmässig durch turnusmässige IT-Sicherheitsaudits überprüft werden (z. B. alle 2 Jahre), damit mögliche neue Schwachstellen rechtzeitig entdeckt und behoben werden können. Die Sicherheit kann auf vielfältige Art bedroht sein. Man sollte vermeiden, den Fokus der Bemühungen zu sehr auf die Systeme zu legen (Technische Sicherheit). Im Rahmen einer ganzheitlichen Betrachtungsweise sind auch organisatorische und physische Sicherheitsaspekte von Belang.

Unsere Leistungen

Systemnahe IT-Security Audits werden auch als „IT-Systemchecks bezeichnet. Hierbei werden meist technische Sachverhalte, z.B. die Konfiguration, offene Ports, Verletzbarkeiten bei Servern, Benutzerberechtigungen usw. überprüft und bewertet. Für bestimmte IT-Systeme werden spezielle IT-Security Audits angeboten (SAP, Lotus Notes, Datenbanken, spezielle Applikationen). Will man z.B. die Schwachstellen bei Netzwerkübergängen überprüfen, bieten sich sogenannte Penetrationstests an. Organisatorische IT-Security Audits dienen der Überprüfung der organisatorischen IT-Sicherheit. Überprüft wird, ob die vorhandenen IT- Sicherheitsrichtlinien und IT-Sicherheitskonzepte ausreichend durch wirksame Massnahmen abgedeckt sind sowie die entsprechende IT- Sicherheitsorganisation vorhanden und einsatzbereit ist. Mit physischen IT-Security Audits werden Sicherheitsaspekte in der IT- Infratruktur bei Technikräumen, Gebäuden mit ICT und Perimeter (Betriebsgelände) überprüft. Ein Serverraum im Untergeschoss kann überschwemmt werden, wenn keine Rückstauventile für die Dachentwässerung vorgesehen sind, die im Keller in den Kanal mündet.

Bestandteile eines IT-Security Audits

Ein typisches IT-Security Audit besteht aus einer Kombination von mindestens einem Prüfmodul (Teilaudits) aus unserem Prüfmodulkatalog. Die Prüfmodule können auf Wunsch mit technischen Systemprüfungen kombiniert werden. Auch Gebäudeschutz (ohne baustatische Sicherheit) und Perimeter kann man einbeziehen. Die Teilaudits sind einheitlich aufgebaut und liefern untereinander vergleichbare Ergebnisse. Erweiterungen sind ein Init-Workshop und eine Abschlusspräsentation. Im Init-Workshop kann das Auditprojekt einem grösseren Kreis von Interessierten erklärt werden, z. B. Mitgliedern des Verwaltungsrates, die als Gäste teilnehmen. In einem Priorisierungs-Workshop werden kurz- bis mittelfristig umzusetzende Massnahmen festgelegt. Sie erhalten eine auswertbare Datenbank mit allen Handlungsempfehlungen aus den Audit (priorisiert und noch nicht priorisiert).
Das Schaubild zeigt die Strukturierung eines modularisierten IT-Security Audits. In einem ganzheitlichen Audit sind mindestens die Bereiche 'Organisatorische Sicherheit' und 'Technische IT-Sicherheit' enthalten. Nicht abgebildet ist der Bereich 'Physische
Bildquelle: iSecure GmbH
2021© iSecure GmbH, Therwil (CH)
secure Information & Communications Technology, ICT IT-Security Beratung & Audits, IT-Engineering

Möglichkeiten der IT-Security Audits

IT-Sicherheit prüfen, bewerten, verbessern

Die Sicherheitsverantwortlichen, der Verwaltungsrat oder die Geschäftsführung sind bei ihren Entscheidungen auf präzise Informationen zur aktuellen Risikolage angewiesen und erhalten praktische Handlungsempfehlungen zur Bewältigung der Risikovorsorge. Es sind organisatorische, physische und technische IT-Sicherheitsaspekte zu überprüfen, entweder einzeln oder in Kombination. Durch eine durchdachte Notfallvorsorge ist man auf Krisen besser vorbereitet.
Ein Mann erklärt an einem White-Board mit Hilfe eines Diagramms die Zusammenhänge. Ein IT-Security Audit ist eine besondere Form der Systemanalyse.
Bildquelle: PixaBay

Was ist zu tun?

Modellierung komplexer Anforderungen an das IT-Security Audit. Untersuchung abgegrenzter IT-Sicherheitsbereiche mit unterschiedlichen IT-Schutzstufen. Überprüfung der gelebten organisatorischen, physischen und technischen IT-Sicherheit. Technische IT-Systemchecks wie z.B. die Konfigurationen von Servern. IT-Security Penetrationstests bei den Netzzugängen.

Herausforderungen

Bei der Aufgabenerfüllung in den Geschäftsprozessen kommen Informations- und Kommunikationstechniken (IKT, ICT) zum Einsatz. Dadurch entstehen Risiken, die durch IT- Sicherheitsmassnahmen abgesichert werden müssen. Die IT-Infrastruktur unterliegt ständigen Veränderungen, z. B. wegen geänderter Anforderungen oder aufgrund technologischem Wandel. Die ergriffenen Massnahmen sollten daher regelmässig durch turnusmässige IT-Sicherheitsaudits überprüft werden (z. B. alle 2 Jahre), damit mögliche neue Schwachstellen rechtzeitig entdeckt und behoben werden können. Die Sicherheit kann auf vielfältige Art bedroht sein. Man sollte vermeiden, den Fokus der Bemühungen zu sehr auf die Systeme zu legen (Technische Sicherheit). Im Rahmen einer ganzheitlichen Betrachtungsweise sind auch organisatorische und physische Sicherheitsaspekte von Belang.

Unsere Leistungen

Systemnahe IT-Security Audits werden auch als „IT- Systemchecks“ bezeichnet. Hierbei werden meist technische Sachverhalte, z.B. die Konfiguration, offene Ports, Verletzbarkeiten bei Servern, Benutzerberechtigungen usw. überprüft und bewertet. Für bestimmte IT-Systeme werden spezielle IT-Security Audits angeboten (SAP, Lotus Notes, Datenbanken, spezielle Applikationen). Will man z.B. die Schwachstellen bei Netzwerkübergängen überprüfen, bieten sich sogenannte Penetrationstests an. Organisatorische IT-Security Audits dienen der Überprüfung der organisatorischen IT-Sicherheit. Überprüft wird, ob die vorhandenen IT-Sicherheitsrichtlinien und IT-Sicherheitskonzepte ausreichend durch wirksame Massnahmen abgedeckt sind sowie die entsprechende IT-Sicherheitsorganisation vorhanden und einsatzbereit ist. Mit physischen IT-Security Audits werden Sicherheitsaspekte in der IT-Infratruktur bei Technikräumen, Gebäuden mit ICT und Perimeter (Betriebsgelände) überprüft. Ein Serverraum im Untergeschoss kann überschwemmt werden, wenn keine Rückstauventile für die Dachentwässerung vorgesehen sind, die im Keller in den Kanal mündet.

Bestandteile eines IT-Security Audits

Ein typisches IT-Security Audit besteht aus einer Kombination von mindestens einem Prüfmodul (Teilaudits) aus unserem Prüfmodulkatalog. Die Prüfmodule können auf Wunsch mit technischen Systemprüfungen kombiniert werden. Auch Gebäudeschutz (ohne baustatische Sicherheit) und Perimeter kann man einbeziehen. Die Teilaudits sind einheitlich aufgebaut und liefern untereinander vergleichbare Ergebnisse. Erweiterungen sind ein Init-Workshop und eine Abschlusspräsentation. Im Init-Workshop kann das Auditprojekt einem grösseren Kreis von Interessierten erklärt werden, z. B. Mitgliedern des Verwaltungsrates, die als Gäste teilnehmen. In einem Priorisierungs-Workshop werden kurz- bis mittelfristig umzusetzende Massnahmen festgelegt. Sie erhalten eine auswertbare Datenbank mit allen Handlungsempfehlungen aus den Audit (priorisiert und noch nicht priorisiert).
Das Schaubild zeigt die Strukturierung eines modularisierten IT-Security Audits. In einem ganzheitlichen Audit sind mindestens die Bereiche 'Organisatorische Sicherheit' und 'Technische IT-Sicherheit' enthalten. Nicht abgebildet ist der Bereich 'Physische
Bildquelle: iSecure GmbH
2021© iSecure GmbH, Therwil (CH)
secure Information & Communications Technology, ICT IT-Security Beratung & Audits, IT-Engineering

Möglichkeiten der IT-Security

Audits

IT-Sicherheit prüfen, bewerten,

verbessern

Die Sicherheitsverantwortlichen, der Verwaltungsrat oder die Geschäftsführung sind bei ihren Entscheidungen auf präzise Informationen zur aktuellen Risikolage angewiesen und erhalten praktische Handlungsempfehlungen zur Bewältigung der Risikovorsorge. Es sind organisatorische, physische und technische IT- Sicherheitsaspekte zu überprüfen, entweder einzeln oder in Kombination. Durch eine durchdachte Notfallvorsorge ist man auf Krisen besser vorbereitet.

Unsere Leistungen

Systemnahe IT-Security Audits werden auch als „IT- Systemchecks“ bezeichnet. Hierbei werden meist technische Sachverhalte, z.B. die Konfiguration, offene Ports, Verletzbarkeiten bei Servern, Benutzerberechtigungen usw. überprüft und bewertet. Für bestimmte IT-Systeme werden spezielle IT- Security Audits angeboten (SAP, Lotus Notes, Datenbanken, spezielle Applikationen). Will man z.B. die Schwachstellen bei Netzwerkübergängen überprüfen, bieten sich sogenannte Penetrationstests an. Organisatorische IT-Security Audits dienen der Überprüfung der organisatorischen IT-Sicherheit. Überprüft wird, ob die vorhandenen IT- Sicherheitsrichtlinien und IT-Sicherheitskonzepte ausreichend durch wirksame Massnahmen abgedeckt sind sowie die entsprechende IT- Sicherheitsorganisation vorhanden und einsatzbereit ist. Mit physischen IT-Security Audits werden Sicherheitsaspekte in der IT-Infratruktur bei Technikräumen, Gebäuden mit ICT und Perimeter (Betriebsgelände) überprüft. Ein Serverraum im Untergeschoss kann überschwemmt werden, wenn keine Rückstauventile für die Dachentwässerung vorgesehen sind, die im Keller in den Kanal mündet.
Das Schaubild zeigt die Strukturierung eines modularisierten IT-Security Audits. In einem ganzheitlichen Audit sind mindestens die Bereiche 'Organisatorische Sicherheit' und 'Technische IT-Sicherheit' enthalten. Nicht abgebildet ist der Bereich 'Physische
Bildquelle: iSecure GmbH
2021© iSecure GmbH, Therwil (CH)