Consulting by isecure GmbH, Therwil (CH)
Webseite der isecure GmbH (Neues Fenster)

Werkzeuge und Beratung für das Sicherheitsmanagement

>> Unsere Sicherheitsaudits basieren auf IT-Grundschutz und ISO 2700x <<


Sie möchten die Sicherheit im Unternehmen prüfen lassen (Organisatorisch - Technisch - Physisch)?

Sicherheitsverantwortliche wissen es: Das Thema Compliance erfordert die Sicherstellung des gesetzes- und richtlinienkonformen Betriebs im Rahmen eines Risikomanagements durch die Unternehmensführung. Die Anforderungen an die Sicherheit müssen definiert und mögliche Schwachstellen müssen identifiziert werden.
Zu berücksichtigen sind: Basel II, Datenschutz, Transparenz, Handelsrecht, Arbeitsrecht und mehr.

Das Prinzip des E.I.S.A. Enterprise and Information Security Audits

Bewährte Beratungstechniken werden mit regelbasiertem Expertenwissen in Form von Datenbanken kombiniert.

Wir messen die Sicherheit.

Ja, das geht wirklich !! Wenn erforderliche Massnahmen der Sicherheitskonzeption entweder gar nicht oder nur unvollständig umgesetzt sind, erhöht sich das Risiko für Schadensereignisse. Wir bewerten die Schwachstellen in Ihrer Sicherheitskonzeption und zeigen auf, wo welches Risiko besteht.

Organisatorische, technische und physische Sicherheitsaspekte werden miteinander kombiniert, um die Sicherheit von privaten Unternehmen (alle Branchen) und Institutionen des öffentlichen Sektors (Behörden, Stadtwerke, Spitäler, Verkehrsbetriebe) ganzheitlich zu überprüfen.

Wir geben dem Sicherheitsverantwortlichen Empfehlungen zur Verbesserung und Optimierung von Massnahmen. Alle Ergebnisse sind untereinander mit Hilfe des EISA-Kennzahlensystems vergleichbar (Security-Benchmarking).

Sehr oft ist nicht alles schriftlich festgelegt. Dies ist auch nicht unbedingt ein Mangel. Eine strukturierte Überprüfung ist dann aber meist nur schwer möglich.

Mit Hilfe der EISA-Methodik  überprüfen unsere Sicherheitsberater, ob Ihre Richtlinien, Regelungen und Arbeitsanweisungen vollständig und widerspruchsfrei, ob die Umsetzung in Form von Sicherheitsmassnahmen tatsächlich erfolgt ist, wie dies dokumentiert wurde und ob die vorhandenen Massnahmen letzendlich angemessen und wirksam sind. Auch die von den Mitarbeitenden gelebte Sicherheit geht in die Gesamtbetrachtung ein und wird gewürdigt.

Das Ergebnis des E.I.S.A. Enterprise and Information Security Audits

Die wichtigste Kennzahl der Sicherheit ist der Sicherheitsstatus und zwar insgesamt für den untersuchten Auditbereich und speziell für jedes geprüfte primäre Sicherheitsziel (Vertraulichkeit, Integrität,...).

Das horizontale Balkendiagramm zeigt einen pessimistischen (kurzer Balken) und einen optimistischen Wert (langer Balken). Unterschiede ergeben sich, wenn Sicherheitskriterien nur teilweise erfüllt waren.

Die "Verteilung" zeigt an, wieviele Sicherheitsaspekte entweder als "Unsicher", "Kritisch", "Unkritisch" oder "Sicher" (Blau) einzustufen waren.

Zu Beginn eines Auditprojektes werden gemeinsam Sicherheitsniveaus vereinbart - z.B. kann die Sicherheit von uns als „Unkritisch“ eingestuft werden, wenn der erreichte Sicherheitsstatus mindestens 80% oder mehr beträgt.

Ein Audit kann mehrere geprüfte Bereiche umfassen. Ausgehend vom Gesamtergebnis (ähnlich Bilanzsumme) kann im Bericht mit Hilfe von Hyperlinks in wenigen Schritten das Ergebnis aufgebohrt werden und zu den Detailinformationen, den Schwachpunkten und den dazugehörenden Massnahmenempfehlungen des Beraters verzweigt werden.

E.I.S.A. Enterprise and Information Security Audit aus ganzheitlicher Sicht

Ihre Server haben Sie performant ausgelegt, aber der Serverraum im Keller läuft mit Wasser voll, als das Rückstauventil zur Kanalisation bei einem Wolkenbruch unter den Wassermassen versagt - Totalschaden war die Folge.

Die Festplatten der Notebooks sind als Schutz gegen Diebstahl generell verschlüsselt, aber der Geschäftsführer verliert auf einer Geschäftsreise seinen USB-Stick mit wichtigen Geschäftsinformationen zu einer neuen Produktentwicklung - Ihr Mitbewerber war der Erste auf dem Markt.

Es ist schwer an alles gleichzeitig denken zu müssen. Das Sicherheitsaudit kann manchmal helfen, nicht die Übersicht zu verlieren.

Egal ob Sie planen, unternehmensweite Richtlinien im Unternehmen oder der Institution zu etablieren oder ob Sie die Netzwerksicherheit überprüfen möchten: Ein Sicherheitsaudit nach der EISA-Methodik ist das Werkzeug Ihres Vorhabens.

Unsere Prüfmodule können einzeln oder in Kombination eingesetzt werden. Auch bei einem kleinen Budget sind bereits wichtige Aspekte der Sicherheit berücksichtigt.

Puzzle zur Symbolisierung der Kombinierbarkeit von Prüfmodulen im Sicherheitsaudit.

Vergleichbarkeit der Teilergebnisse

Lassen Sie organisatorische, technische und infrastrukturelle Sicherheit nach einer einheitlichen Methode überprüfen.

Alle Einzelprüfungen sind untereinander vergleichbar.

Damit können Sie erkennen, wo im Unternehmen ihre Stärken und wo Ihre Schwächen liegen. Verborgenes wird sichtbar gemacht. So können Sie bei dem weiteren Ausbau Ihrer Sicherheitsstrategie Ihre begrenzten Mittel (Personal, Budget) dort konzentriert einsetzen, wo der grösste Nutzen zu erzielen ist.

Bei sich dynamisch verändernden Rahmenbedingungen behalten Sie die Kontrolle über Ihre Sicherheit.

Anhand der detailiert ausgearbeiteten Analyse dokumentieren wir den Erfolg Ihrer Bemühungen um Sicherheit und Sie begründen gegenüber den Entscheidern den Bedarf für Ihr Budget.

Vegleichbarkeit der Teilergebnisse bei einem Sicherheitsaudit mit E.I.S.A.

Org. IT-Sicherheit: Sicherheitsstatus 67-75% für IT-Grundschutz

IT-Grundschutz

Org. IT-Sicherheit: Sicherheitsstatus 60-70% für Notfallvorsorge

Notfallvorsorge

Org. IT-Sicherheit: Sicherheitsstatus 55-68% für Weisungen, Vorgaben

Weisungen, Vorgaben

Organisatorische IT-Sicherheit
Physische Sicherheit: Sicherheitsstatus 45-53% für Technikräume

Technikräume

Physische Sicherheit: Sicherheitsstatus 34% für Büroräume

Büroräume

Physische Sicherheit

Möglichkeiten eines E.I.S.A. Enterprise and Information Security Audits

Prüfungsumfang mittels Baukastenprinzip zusammenstellen

Vielleicht möchten Sie erstmal nur allgemein prüfen, wie es um Ihre Sicherheit generell bestellt ist - In diesem Fall bietet sich unser Basischeck "IT-Grundschutz" an, welches in verschiedenen Bedarfsklassen verfügbar ist: 50 Punkte, 100 Punkte, 300 Punkte oder 700 Prüfpunkte. Hierbei wird ein sehr grobes Raster über die gesamte Thematik „IT-Sicherheit“ gelegt. Falls man Auffälliges entdeckt, kann man verfeinern und den Prüfungsumfang (Scope) mit Ergänzungsmodulen erweitern.

Vielleicht stellen Sie nach der ersten Prüfung fest, dass Sie eigentlich das Thema „Notfallvorsorge“ stärker fokusieren müssten - Kombinieren Sie das Ergebnis aus IT-Grundschutz mit Notfallvorsorge.

Standortübergreifende Audits

Vielleicht interessiert die Geschäftsführung, wie es in den anderen beiden Standorten des Unternehmens aussieht - Machen Sie ein standortübergreifendes Audit. Bei jedem Standort können Sie auch weitere Sachverhalte überprüfen, die nicht überall relevant sind - Die Ergebnisse bleiben dennoch vergleichbar.

Ist-Aufnahme mittels Checklisten auf Wunsch in Eigenregie

Selbstverständlich können wir die komplette Ist-Aufnahme zum Beratungssatz per Interview für Sie durchführen. Das Wichtigste: Alle Vorgänge sind transparent und einheitlich. Eine Checkliste ankreuzen kann jeder. Sie können die Ist-Aufnahme auch selbst machen (es sind Checklisten im Einsatz) und etwas Geld sparen. Wir führen dann nur noch eine abschliessende Besprechung mit Ihnen durch, um schwierige oder noch offene Fragen abzuklären. Der Vorteil bei der Eigenregie ist, dass Sie die Sachverhalte in Ruhe und mit Sorgfalt recherieren können. Auf Wunsch machen wir bei Interview oder Eigenregie zusätzliche Stichproben, um die Plausibilität der Antworten abzusichern.

Einbeziehung Ihrer Vertragspartner

Sie haben einen Outsourcing-Partner im Bereich Netzwerkbetrieb. Was der Partner für die Umsetzung der vertraglichen Absprachen im Bereich Sicherheit unternimmt, wissen Sie nicht genau - Beziehen Sie Ihre Outsourcing-Partner in das Audit ein und veranlassen Sie eine Überprüfung der Netzwerksicherheit. Sie können auch mit Ihren Lieferanten ein Audit vereinbaren, um die komplexen Vorgänge beim Datenaustausch besser abzusichern.

Audit zum Festpreis

Wir vereinbaren meist einen Festpreis mit Ihnen. Die nachträgliche Hinzunahme von 2 oder 3 Prüfmodulen führt deshalb nicht unbedingt zu höheren Kosten auf Ihrer Seite. Weitere Standorte führen jedoch naturgemäss zu Mehraufwand. Berücksichtigen Sie einen höheren Aufwand wegen den erforderlichen Abstimmprozessen, wenn mehrere Fachabteilungen geprüft werden sollen oder an Entscheidungen zum Audit mitwirken müssen. Bei der Angeboterstellung ist es daher wichtig, vorher Ihren genauen Bedarf zu ermitteln. Wir beraten Sie gerne.

Vorteile eines EISA Enterprise and Information Security Audits

Gleichzeitigkeit, stichtagbezogenes Audit

Machen Sie doch mal eine Inventur Ihrer bisherigen Sicherheitsstrategie! Sie können ausgewählte Prüfbereiche oder alle Ihre Standorte gleichzeitig überprüfen lassen und erhalten den Sicherheitsstatus Ihres gesamten Unternehmens, zu einem bestimmten Zeitpunkt. Dies entspricht einer Inventur, wie Sie es aus dem Rechnungswesen kennen - nur in diesem Fall für die Sicherheit ihres Unternehmens.

Viele Auswertungsmöglichkeiten für unterschiedliche Zielgruppen

Ein Ergebnisbericht besteht aus mehreren Sicherheitsstatusübersichten, Listen zu Schwachstellen mit Risikobewertung, und Massnahmenempfehlungen in Form von PDF-Dokumenten. Alle Ergebnisse werden in Form von Balkendiagrammen visualisiert. In einer Zusammenfassung für das Management erklären wir die wichtigsten Ergebnisse und Zusammenhänge. Alle Dokumente (meist mehrere Dutzend) werden mit Hilfe einer Webseite zusammengeführt. Sie können mit Hilfe der Hyperlinks über eine Navigationsstruktur zu Detailinformationen per Mausklick navigieren.

Messung der Wirksamkeit von Massnahmen

Zwischen zwei Messzeitpunkten können Sie einen Periodenvergleich durchführen und erfahren so, ob Ihr Ressourceneinsatz während einer bestimmten Zeitperiode wirksam war, ob sich die Sicherheit tatsächlich verbessert hat. Dadurch wäre z.B. eine Kosten-Nutzen Analyse der Sicherheitsmassnahmen möglich.

Für zahlreiche Branchen und Unternehmensgrössen anwendbar

Beispiele: Autozulieferer, Stadtwerke, Buchverlag, Versicherung, Logistik, Handel, Kabelnetzbetreiber, Verkehrsbetriebe einer Stadt, Bank, Bildungsinstitut, Spital, …


Workflow im E.I.S.A. Enterprise and Information Security Audit

P1-Festlegungen
P2 - Ist-Aufnahme
P3 -Auswertung
P4 - Priorisierung

Kick Off Meeting

ISO 27001 / oder Grundschutz

Vorgehensweisen

Geschäftsprozesse

Prüforte (Standorte)

Auditbereiche

Notw. Prüfmodule

Sicherheitsprofil

Ansprechpartner

Termine

Geschäftsprozesse

Sicherheitsziele

Schutzbedarf

Benötigtes Sicherheitsniveau

Checklisten

Interview / Review

Stichproben

Dokumentensicht

Vorortbegehungen

Systemchecks

Vollständigkeit

Widerspruchsfreiheit

Plausibilität

Aktualität d. Daten

Soll-/Ist Vergleich

Risikoanalyse

Schwachstellenanalyse

Massnahmenempfehlungen

Bericht

Kontrolle / Review

Dringlichkeit der Massnahmen

Umsetzbarkeit

Geplantes Vorgehen

Zeithorizont der Umsetzung

Kostenabschätzung f. dringl. Massnahmen

Entscheidungsvorlage
Management

P1 - Festlegungen und vorbereitende Schritte

Für die Angebotserstellung wurden die Eckpunkte der durchzuführenden Prüfungen und Leistungen vereinbart. Ihre Bestellung markiert den initialen Startpunkt des Audits. Ab dann können von uns Ressourcen für die Durchführung reserviert werden.

Die Festlegungen zu den konkreten Inhalten und Abläufen treffen wir gemeinsam im Rahmen eines ersten Workshops. Im ersten Teil des Workshops findet ein Kickoff-Meeting statt (Einführungspräsentation, Vorstellen der Teilnehmer), zu dem Vertreter der Leitungsebene herzlich eingeladen sind. Im zweiten Teil besprechen die Projektleiter den Prüfungsumfang. Zur ersten Einschätzung der Sicherheitsanforderungen des Kunden sollten weitere Mitarbeitende teilnehmen, die Aussagen zu den relevanten Geschäftsprozessen machen können. Ergebnis der Einschätzung ist das sogenannte „Sicherheitsprofil“. Es enthält Angaben zum Schutzbedarf der Daten und Informationen und zum benötigten Sicherheitsniveau bei den Massnahmen. Das Sicherheitsprofil ist die Grundlage der Sicherheitsbewertung in Phase P3 - Auswertung.

P2 - Ist-Aufnahme

Die Daten des Audits werden mit Hilfe von Checklisten erfasst. Die Checklisten können im Interview durch den Auditeur oder von sachverständigen Mitarbeitenden des Kunden in Eigenregie ausgefüllt werden. Ergänzend zu den Checklisten werden weitere Erfassungslisten bearbeitet - teils nur durch unsere Fachspezialisten. Bei der Überprüfung von IT-Systemen werden z.B. techn. Stichproben gemacht, bei physischer Sicherheit (Gebäudeschutz, Perimeter) kann eine Ortsbegehung erfolgen.

P3 - Auswertung

Die Sicherheitsanalyse erfolgt datenbankgestützt mit Hilfe unseres Tools namens „Risk Based Security Analyser“. Das Tool ist die komprimierte Erfahrung aus 15 Jahren Sicherheitsanalyse. Der Name ist Programm: Die Sicherheit wird in Phase P3 - Auswertung auf Basis einer Risikoanalyse bewertet. Alle bekannten Fakten werden berücksichtigt und mit Hilfe eines Regelwerkes systematisch untersucht. Das Regelwerk basiert auf IT-Grundschutz in Kombination mit anderen Standards. Es garantiert Vollständigkeit und Widerspruchsfreiheit. Im Idealfall liefern dieselben Daten stets dasselbe Resultat. Auch wenn ein Tool eingsetzt wird, kann die Bewertung nicht automatisiert ablaufen - der Berater ist die letzendliche Instanz, welcher für das Ergebnis am Schluss geradestehen muss. Der Berater behält die Verantwortung und ist Ihr Wegbegleiter bei der Vorbereitung, Durchführung und danach, wenn Sie möchten.

P4 - Priorisierung

Die Auswertung in Phase P3 liefert den vollständigen Bericht zum Audit mit allen Fakten, Hinweisen auf Schwachpunkte und Massnahmenempfehlungen. Wenn mehr als tausend Prüfpunkte untersucht wurden, gibt es meist mehrere hundert Massnahmenempfehlungen. Zur Priorisierung dieser Empfehlungen bieteen wir einen zusätzlich zu beauftragenden Workshop an. Am Ende des Workshops besitzen Sie einen auswertbare Datenbank mit allen Empfehlungen aus dem Audit und mit Ihren Entscheidungen bezüglich der weiteren Vorgehensweise. Massnahmen mit hoher  Priorität setzen Sie kurzfristig oder mittelfristig um, - z.B. innerhalb der nächsten 2 Jahre. Bei der anschliessenden Umsetzung der Massnahmen stehen wir Ihnen auf Wunsch weiterhin zur Seite. Wir beraten Sie gerne.  

Die isecure GmbH ist Ihr Partner in Sicherheitsfragen

Sie suchen ein erfahrenes und herstellerunabhängiges Beratungsunternehmen zur Durchführung eines Sicherheitsaudits, der Erstellung eines Sicherheitskonzepts oder für die Schulung Ihrer Mitarbeiter?

Dann nehmen Sie für weitere Informationen oder zur Vereinbarung eines ersten telefonischen oder persönlichen Gesprächstermins Kontakt mit uns auf. Bei der  isecure GmbH handelt es sich um ein Beratungsunternehmen für Engineering, IuK-Sicherheit und Datenschutz - Informationen finden Sie im Internet unter www.isecure.ch (Bei Klick neues Fenster).  


Der Preis ist Verhandlungssache

Sicherheitsaudits nach dem E.I.S.A.-Verfahren erledigen wir zum Festpreis. Der Preis bestimmt sich ganz klassisch nach der Formel Anzahl Projekttage  X Tagessatz (1 Projektarbeitstag = 8 Stunden). Die Anzahl Projekttage ermitteln wir aus dem geschätzten Aufwand. Unseren Tagessatz erfahren Sie gerne telefonisch. Das Weitere ist Verhandlungssache.


Ein E.I.S.A. Enterprise and Information Security Audit bestellen

Ablauf des Bestellprozesses

Haben Sie noch Fragen? Rufen Sie uns bitte an oder schreiben Sie uns einfach ein E-Mail.

Bei Interesse an einem Angebot werden wir Ihnen per E-Mail eine Angebotscheckliste im Word-Format zusenden. Das Ausfüllen der Checkliste ist freiwillig und verpflichtet Sie zu nichts.  Die Checkliste enthält neben Ihren Kontaktdaten (Ansprechpartner, Empfänger des Angebots) weitere Fragen, um Ihren konkreten Bedarf hinsichtlich des Audits abzuklären.

Mit Hilfe der uns mitgeteilten Informationen versuchen wir dann, Ihnen ein möglichst passgenaues schriftliches Angebot zu erstellen. Da die Angebotserstellung zu unseren Lasten geht, bitten wir Sie bei diesem für uns wichtigen Schritt möglichst genaue Angaben zu machen, um Rückfragen und nachträgliche Korrekturen zu vermeiden.  Bei der weiteren Ausgestaltung der Inhalte und Leistungen stimmen wir uns gegenseitig ab. Wenn wir Ihre Bestellung in Schriftform annehmen, entsteht ein für beide Seiten verpflichtender Vertrag.

Informationen zu unserer Firma erhalten Sie im Internet unter www.isecure.ch (Bei Klick neues Fenster).


get secure - stay secure - isecure
Prinzip eines Security and Compliance Audits: Identify - Assess - Remediate - Manage Die Sicherheitsberatung  isecure GmbH, Therwil  unterstützt alle Phasen eines erfolgreichen Sicherheitsprozesses: Analyse, Strategie, Konzept, Beschaffung, Implementation, Einführung, Service-Management. Sicherheitsaudit: Ergebnis mit Sicherheitsstatus insgesamt sowie bei Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Verbindlichkeit. Farbcodierung für die erreichbaren Sicherheitsniveaus.

Organisatorische IT-Sicherheit

Es geht um die Sicherheitspolitik, die Sicherheitsprozesse und die Sicherheitsorganisation des Unternehmens bzw. der Institution. Organisatorische Sicherheit wird dort benötigt, wo Menschen in den Prozess eingreifen und den Prozessverlauf beeinflussen können. Technische Sicherheitsmassnahmen reichen in der Regel nicht aus, um das benötigte Sicherheitsniveau zu erreichen. Folgende grundlegende Fragestellungen werden u. a. behandelt:

Technische IT-Sicherheit

Unter technischer Informationssicherheit wird die Sicherheit bei den IT-Systemen und –Anwendungen, den Kommunikationseinrichtungen und den Sicherheitssystemen (z.B. Firewalls) verstanden. Bei der Prüfung der technischen Sicherheit können die IT-Systeme ggf. unter Zuhilfenahme von Tools analysiert werden. Ergänzend dazu werden die Systemverantwortlichen zu bestimmten sicherheitskritischen Sachverhalten befragt.

Physische Sicherheit

Unter physischer Sicherheit wird die Sicherheit von Gebäuden und Räumen verstanden. Dazu gehören sowohl der Zutrittsschutz als auch der Eindringschutz. Die Prüfung und Bewertung mechanischer Sicherheitsmassnahmen, der Brandfrüherkennung oder vermeidung und eventuelle Gegenmassnahmen sind Teil dieser Prüfung.

Bei der Prüfung der physischen Sicherheit wird ein kombiniertes Verfahren aus Interviews und Vorortbesichtigungen verwendet. Bereichsverantwortliche werden zu sicherheitskritischen Sachverhalten in bestimmten Situationen befragt.

Haben Sie hierzu bereits erste Fragen? Planen Sie ein Projekt?

Werktags sind wir unter +41 (0) 61 302 30 31 erreichbar. Per E-Mail erreichen Sie uns jederzeit unter info@isecure.ch.

Die isecure GmbH ist ein von den Eigentümern geführtes schweizer Unternehmen mit Sitz in Therwil bei Basel. Wir arbeiten auf dem Gebiet von ICT-Engineering, Sicherheitsberatung und Schulung für Mitarbeitende und Kader. Informationen zu unserer Firma und unserem Dienstleistungsangebot finden Sie im Internet unter www.isecure.ch.

Impressum

Impressum