Menu

Security Audit und Security Assessment

Security Audit und Security AssessmentSecurity Audit: Sicherheitslücken minimieren.

Im Rahmen des Security Assessments überprüft TreeSolution den informationstechnischen Bereich Ihres Unternehmens auf Schwachstellen. Durch ein gezieltes Security Audit verringern wir Risiken und fördern so die Sicherheit bei der täglichen Arbeit.

Wir sorgen für ein regelmässiges Security Audit, das auf dem IT Grundschutzkatalog und den internationalen ISO/IEC Standards 27001 und 27002 basiert. Durch die Security Audits und Assessments werden vorhandene Sicherheitslücken minimiert, ausserdem zeigen wir Ihnen, wie Sie neue Sicherheitsstandards in Ihrem Unternehmen umsetzen können. Dabei achten wir nicht allein auf die technische IT Sicherheit, sondern auch auf organisatorische, bauliche und personelle Aspekte.

Vorteile eines Security Audits

Die Informationssicherheit muss individuell betrachtet werden, da jedes Unternehmen anders funktioniert und seine eigenen Abläufe hat. Dennoch ähneln sich die Grundbedingungen und Richtlinien, da die reale Informationssicherheit firmenübergreifend betrachtet werden kann. Das allgemeine Sicherheitskonzept hat sich bewährt und gilt somit als Basis für die individuellen Lösungen. Wir behalten Ihre spezifischen Anforderungen im Auge und erarbeiten gemeinsam mit Ihnen ein Konzept, inklusive eventuell notwendiger Sicherheitsmassnahmen. Dies gehört bei uns zur Betreuung eines Security Audits dazu.

Unsere Profis helfen Ihnen, eine sichere und alltagstaugliche IT Security zu schaffen. Bei einem Security Assessment achten wir auf Ihre individuellen Bedürfnisse und erstellen zunächst eine Bestandsaufnahme. Diese resultiert in einer Analyse der IT Security, unter Berücksichtigung des bereits definierten Kataloges. Bei Bedarf erhalten Sie von uns eine spezifische Risikoanalyse, und wir liefern Ihnen in jedem Fall ein detailliertes Massnahmenkonzept. Dies beinhaltet unsere Beratung bzw. Empfehlungen, wie Ihre IT Security verbessert werden kann.

Definition des Security Audits

Das IT Security Audit bezeichnet die Risikoanalyse bzw. die Analyse der IT Schwachstellen, die innerhalb eines IT Systems vorliegen. Die Sicherheitsaudits gehören üblicherweise zum Qualitätsmanagement und führen ebenfalls zu einer verbesserten Security Awareness. Sicherheitslücken werden erkannt und minimiert; ausserdem gilt es, Best Practices zu definieren. Im Bereich der Informationssicherheit werden IT Sicherheitsaudits durchgeführt, die sich auf verschiedene Netzwerke erstrecken können.

Security Assessments

Im Rahmen des IT Schutzes werden regelmässig IT Sicherheitsaudits durchgeführt, deren Managementstandards in der ISO NormenFamilie 2700x festgelegt und international gültig sind. Weitere internationale und nationale Sicherheitsstandards bilden die Basis für die Planung und Dokumentation der entsprechenden Managementsysteme zur Informationssicherheit (ISMS, Information Security Management System). Ausserdem wird die Weiterentwicklung in diesem Bereich durch die Richtlinien erleichtert.

IT-Awareness: Hintergründe erfahren

Die Security Audits werden von Firmen wie TreeSolution realisiert. Die Geschäftsführung eines Unternehmens kümmert sich um die Beauftragung sowie um die Absprache mit dem Anbieter des Security Assessments. Als logische Folge eines IT Security Audits kommt es anschliessend zu einem Massnahmenkatalog, der weitere Schritte zur Verbesserung der IT Sicherheit einleitet. Die zu untersuchenden und zu optimierenden Systeme sind unter anderem Personal Computer, Server und Netzwerke sowie Anwendungen wie Datenbanksysteme und Webserver.

Nach der IT Strukturanalyse, die eine Bestandsaufnahme beinhaltet, werden Tests durchgeführt, an die sich die Bewertung des Sicherheitsbedarfs anschliesst. Massnahmen werden definiert, die in einem Katalog aufgelistet werden. Der externe Auditor überlässt zumeist die Umsetzung dieses Massnahmenkatalogs dem Unternehmen selbst, da er sonst selbst ein Sicherheitsrisiko darstellt. Vor der Durchführung eines Security Audits oder Security Assessments sollten Sie den Auditor ein Non-Disclosure Agreement unterzeichnen lassen, womit er sich zur absoluten Geheimhaltung verpflichtet.

Der Auditor sollte genügend Erfahrung haben, um sich gewissermassen in die Situation eines potentiellen Angreifers zu versetzen. Nur so kann er ein wirklich sicheres Konzept aufsetzen. Abhängig von der individuellen Situation gibt es verschiedene Arten von Audits, die das Sicherheitsniveau entsprechend analysieren und notwendige Massnahmen präsentieren. Die Art der Security Audits sind abhängig von dem Untersuchungsobjekt selbst, von dem Fokus, von der Methode der Analyse bzw. der folgenden Massnahmen sowie von den potentiellen Angriffstechniken. Ein konzeptionelles Security Assessments überprüft das Sicherheitsniveau auf der Basis von Checklisten und/oder Fragebögen. Mit einem Social Engineering Audit wird das Sicherheitsbewusstsein der Mitarbeiter geprüft, ohne dass diesen bewusst ist, dass sie analysiert werden. Ein technisches Security Audit setzt auf spezialisierte Software, um Malware und andere potentielle Angriffe zu vermeiden.

TWISK® – und was es ihnen bietet

mehr