Überblick zu IT-Security Audits
IT-Sicherheit prüfen, bewerten, verbessern
Die Sicherheitsverantwortlichen, der Verwaltungsrat oder die Geschäftsführung sind bei ihren Entscheidungen auf präzise Informationen zur aktuellen
Risikolage angewiesen und erhalten praktische Handlungsempfehlungen zur Bewältigung der Risikovorsorge.
Es sind organisatorische, physische und technische IT-Sicherheitsaspekte zu überprüfen, entweder einzeln oder in Kombination. Durch eine durchdachte
Notfallvorsorge ist man auf Krisen besser vorbereitet.
Bildquelle: PixaBay
Was ist zu tun?
•
Modellierung komplexer Anforderungen an das IT-Security Audit.
•
Untersuchung abgegrenzter IT-Sicherheitsbereiche mit unterschiedlichen
IT-Schutzstufen.
•
Überprüfung der gelebten organisatorischen, physischen und
technischen IT-Sicherheit.
•
Technische IT-Systemchecks wie z.B. die Konfigurationen von Servern.
•
IT-Security Penetrationstests bei den Netzzugängen.
Herausforderungen
Bei der Aufgabenerfüllung in den Geschäftsprozessen kommen
Informations- und Kommunikationstechniken (IKT, ICT) zum Einsatz.
Dadurch entstehen Risiken, die durch IT-Sicherheitsmassnahmen
abgesichert werden müssen.
Die IT-Infrastruktur unterliegt ständigen Veränderungen, z. B. wegen
geänderter Anforderungen oder aufgrund technologischem Wandel. Die
ergriffenen Massnahmen sollten daher regelmässig durch turnusmässige
IT-Sicherheitsaudits überprüft werden (z. B. alle 2 Jahre), damit mögliche
neue Schwachstellen rechtzeitig entdeckt und behoben werden können.
Die Sicherheit kann auf vielfältige Art bedroht sein. Man sollte vermeiden,
den Fokus der Bemühungen zu sehr auf die Systeme zu legen (Technische
Sicherheit). Im Rahmen einer ganzheitlichen Betrachtungsweise sind auch
organisatorische und physische Sicherheitsaspekte von Belang.
Unsere Leistungen
Systemnahe IT-Security Audits werden auch als „IT-Systemchecks“
bezeichnet. Hierbei werden meist technische Sachverhalte, z.B. die
Konfiguration, offene Ports, Verletzbarkeiten bei Servern,
Benutzerberechtigungen usw. überprüft und bewertet.
Für bestimmte IT-Systeme werden spezielle IT-Security Audits angeboten
(SAP, Lotus Notes, Datenbanken, spezielle Applikationen).
Will man z.B. die Schwachstellen bei Netzwerkübergängen überprüfen,
bieten sich sogenannte Penetrationstests an.
Organisatorische IT-Security Audits dienen der Überprüfung der
organisatorischen IT-Sicherheit. Überprüft wird, ob die vorhandenen IT-
Sicherheitsrichtlinien und IT-Sicherheitskonzepte ausreichend durch
wirksame Massnahmen abgedeckt sind sowie die entsprechende IT-
Sicherheitsorganisation vorhanden und einsatzbereit ist.
Mit physischen IT-Security Audits werden Sicherheitsaspekte in der IT-
Infratruktur bei Technikräumen, Gebäuden mit ICT und Perimeter
(Betriebsgelände) überprüft. Ein Serverraum im Untergeschoss kann
überschwemmt werden, wenn keine Rückstauventile für die
Dachentwässerung vorgesehen sind, die im Keller in den Kanal mündet.
Bestandteile eines IT-Security Audits
Ein typisches IT-Security Audit besteht aus einer Kombination von
mindestens einem Prüfmodul (Teilaudits) aus unserem Prüfmodulkatalog.
Die Prüfmodule können auf Wunsch mit technischen Systemprüfungen
kombiniert werden. Auch Gebäudeschutz (ohne baustatische Sicherheit)
und Perimeter kann man einbeziehen. Die Teilaudits sind einheitlich
aufgebaut und liefern untereinander vergleichbare Ergebnisse.
Erweiterungen sind ein Init-Workshop und eine Abschlusspräsentation.
Im Init-Workshop kann das Auditprojekt einem grösseren Kreis von
Interessierten erklärt werden, z. B. Mitgliedern des Verwaltungsrates, die als
Gäste teilnehmen.
In einem Priorisierungs-Workshop werden kurz- bis mittelfristig
umzusetzende Massnahmen festgelegt. Sie erhalten eine auswertbare
Datenbank mit allen Handlungsempfehlungen aus den Audit (priorisiert und
noch nicht priorisiert).
Bildquelle: iSecure GmbH
2021© iSecure GmbH, Therwil (CH)