GET SECURE STAY SECURE

Mit Strategie zuM erfolg

Information & Software Security Services

inforMationSSicherheitSManageMent Wie viel Informationssicherheit ist genug?

Wir verstehen die Gratwanderung zwischen Geschäftszielen, Management- und operativen Herausforderungen.

Oftmals wird der Leitsatz kommuniziert, dass höchstmögliche Vertraulichkeit, Verfügbarkeit und Integrität gewährleistet werden muss. Angesichts des vorherrschenden kommerziellen Drucks kann diese Aussage jedoch nicht herangezogen werden, um Investitionen in die Informationssicherheit adäquat planen und rechtfertigen zu können, da höchstmöglich höchstwahrscheinlich nicht sinnvoll ist.

Aus diesem Grund müssen die Anforderungen der Fachabteilungen identifiziert werden, um zu gewährleisten, dass weder zu viel noch zu wenig in Informationssicherheit investiert wird. Dies kann nur mit klaren und messbaren Zieldefinitionen erreicht werden – beispielsweise:

Das Materialwirtschaftssystem darf nicht länger als 3 Tage still stehen, da ansonsten ein hoher und nicht tolerierbarer wirtschaftlicher Schaden entsteht. (Kriterium Verfügbarkeit)

Die Informationen im Lagersystem müssen zu 100% integer sein, da ansonst LKW falsch beladen werden und somit sowohl ein hoher finanzieller als auch Rufschaden entsteht. (Kriterium Integrität)

Die Außenkommunikation via E-Mail oder Telefon darf nicht länger als 1 Tag nicht verfügbar sein, da ansonsten die Außenwirksamkeit leidet und einen nicht tolerierbaren Rufschaden verursacht. (Kriterium Verfügbarkeit)

Die Preisinformationen mit Kunde A sind geheim, da weitere Kunden sonst ein Druckmittel zur Nachverhandlung in Ihren Händen halten. (Kriterium Vertraulichkeit)

Information & Software Security Services

KernanalySe

Welche Risiken bergen kritische Geschäftsprozesse?

Wir setzen auf die Kombination Business Impact Analyse, GAP Analyse und Penetration Test.

Die Erhebung im Rahmen der Business Impact Analyse erfolgt in Interviews auf Basis eines strukturierten und bewährten Leitfadens sowie einheitlicher Bewertungskriterien, um eine Vergleichbarkeit der Ergebnisse zu gewährleisten. Diese werden zuvor mit der Geschäftsleitung abgestimmt, um sicherzustellen, dass unternehmensrelevante Kriterien herangezogen werden.

Basierend auf den Ergebnissen der Business Impact Analyse wird mittels einer GAP Analyse festgestellt, ob bzw. inwiefern die vorhandene IT-Landschaft (Technik, Prozesse, Personen) folgendes gewährleisten kann: die Erfüllung der Anforderungen der Abteilungen hinsichtlich Verfügbarkeit, Vertraulichkeit und Integrität, d.h. die bestmögliche Unterstützung der Unternehmensziele.

Den Abschluss bildet ein Black-Box Penetration Test, bei dem versucht wird, das Unternehmen von außen zu attackieren und in das Firmennetzwerk zu gelangen. Dieser Test erfolgt natürlich unter bestmöglichen Vorkehrungen, sodass das Unternehmen keinen Schaden fürchten muss.

GET SECURE STAY SECURE

Zusammengefasst liefert diese Situationsbestimmung wertvolle Informationen für die Weiterentwicklung der IT- bzw. Informationssicherheitsstrategie und gibt messbare Antworten auf

die Frage „Wie viel Informationssicherheit ist genug?“

Mit Strategie zuM erfolg

Business Impact Analyse

• Welche IT-Systeme/-Services sind wichtig für Ihre Unternehmensbereiche?• Welche IT-Systeme/-Services dürfen wie lange stehen, ohne einen Schaden in Ihrem Unternehmen

zu verursachen und warum?• Wie schnell verursacht ein Ausfall einen unternehmenskritischen Schaden?• Wie schnell sollen IT-Systeme/ Services wieder zur Verfügung stehen?• Welche Informationen werden auf diesen IT-Systemen verarbeitet?• Welche Informationen sind (über-)lebensnotwendig?• Welche Informationen müssen vertraulich behandelt werden?• Wie werden Informationen abseits von IT-Systemen verarbeitet?

GAP Analyse

Organisatorische GAP Analyse: Überprüfung organisatorischer Vorgaben, um zu erkennen, ob Vorgehensweisen Schwachstellen erzeugen bzw. darstellen. Technische GAP Analyse: Überprüfung der technischen Umsetzung der organisatorischen Vorgaben sowie Review umgesetzter technischer Best-Practises (Stichproben auf IT Systemen).

Penetration Test

Das Aufdecken von Möglichkeiten, wie ein externer Angreifer (“Hacker”) in das Unternehmen gelangen kann. Bewertung der umgesetzten Schutzmaßnahmen an der technischen Unternehmensgrenze.

GET SECURE STAY SECURE

Mit Strategie zuM erfolg

Information & Software Security Services

KernanalySen iM Detail

Mit Sicherheit ein systematischer Ansatz

Erfahrung, Expertise, zielgerichtet Analyse und messbare Ergebnisse sind garantiert.

Business Impact Analyse

• Welche IT-Systeme/-Services sind wichtig für Ihre Unternehmensbereiche?• Welche IT-Systeme/-Services dürfen wie lange stehen, ohne einen Schaden in Ihrem Unternehmen

zu verursachen und warum?• Wie schnell verursacht ein Ausfall einen unternehmenskritischen Schaden?• Wie schnell sollen IT-Systeme/ Services wieder zur Verfügung stehen?• Welche Informationen werden auf diesen IT-Systemen verarbeitet?• Welche Informationen sind (über-)lebensnotwendig?• Welche Informationen müssen vertraulich behandelt werden?• Wie werden Informationen abseits von IT-Systemen verarbeitet?

GAP Analyse

Organisatorische GAP Analyse: Überprüfung organisatorischer Vorgaben, um zu erkennen, ob Vorgehensweisen Schwachstellen erzeugen bzw. darstellen. Technische GAP Analyse: Überprüfung der technischen Umsetzung der organisatorischen Vorgaben sowie Review umgesetzter technischer Best-Practises (Stichproben auf IT Systemen).

Penetration Test

Das Aufdecken von Möglichkeiten, wie ein externer Angreifer (“Hacker”) in das Unternehmen gelangen kann. Bewertung der umgesetzten Schutzmaßnahmen an der technischen Unternehmensgrenze.

GET SECURE STAY SECURE

Mit Strategie zuM erfolg

Information & Software Security Services

Kontakt

Alle Rechte vorbehalten. Keine Vervielfältigung, auch nicht auszugsweise, ohne vorherige Genehmigung der SBA Research gGmbH.

Sommerpalais HarrachFavoritenstraße 16, A-1040 Wien

Telefon: +43 (1) 503 12 80 Fax: +43 (1) 503 12 88E-mail: office@sba-research.org

Identifizierung gemäß §14 UGB:Firmenname: SBA Research gGmbH

Firmenbuchnummer: 345659yFirmenbuchgericht: Handelsgericht Wien

Information & Software Security Services

Wir hoffen, Ihr Interesse geweckt zu haben!

Für weitere Informationen zum Thema Informationssicherheit oder zur Gestaltung eines gemeinsamen Projekts wenden Sie sich bitte an:

office@sba-research.org

SBA Research ist ein industrielles Kompetenzzentrum für IT Sicherheit und als sogenanntes K1-Zentrum Teil des österreichischen COMET-Exzellenzzentrenprogramms. Neben den Forschungstätigkeiten betreibt SBA Research ebenfalls einen dezidierten Beratungsbereich für organisatorische und technische Sicherheitsdienstleistungen. SBA Research ist Ihr Partner in Österreich in den Bereichen IT-Sicherheitsberatung, IT-Audits, Prozessberatung und kontrollorientiertem Prozessdesign mit dem Ziel, die Anforderungen aus Sicht einer Revision zu erfüllen. Dabei werden wissenschaftliche Erkenntnisse aus der IT-Sicherheitsforschung mit Prozessmanagement- Methoden und Wissen um regulative Anforderungen kombiniert, um unter Berücksichtigung sowohl technischer als auch organisatorischer Sicherheitsaspekte Geschäftsprozesse zu optimieren.

www.sba-research.org

GET SECURE STAY SECURE

Mit Strategie zuM erfolg