Sie befinden sich hier:
Home 
Beratung Compliance & Risk Management Information Security & Risk Management
Information Security & Risk Management
Ein Informationssicherheitsmanagements unterstützt Sie mögliche Sicherheitsrisiken im Unternehmen zu erkennen und entsprechende Gegenmaßnahmen zu etablieren.
Als Informationssicherheit werden Eigenschaften von informationsverarbeitenden und -lagernden Systemen, welche die Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen, bezeichnet. Informationssicherheit dient dem Schutz vor Gefahren und Bedrohungen, der Vermeidung von Schäden und der Minimierung von Risiken. Große Unternehmen steuern die Informationssicherheit über einen Ansatz, der mehrere Disziplinen wie das Sicherheits- und Risikomanagement umfasst.
Solche Risiken sind nicht immer von "außen" drohenden Gefahren sondern of auch interne Bedrohungen, z.B. durch unzufriedene Mitarbeiter.
Diesen Risiken entgegenzuwirken empfiehlt sich nicht nur im Hinblick auf die IT-Compliance. Sie zielt auf eine umfassende und dauerhafte Einhaltung gesetzlicher und unternehmensinterner Regelungen ab. Das Risikomanagement ist dabei ein wesentlicher Aspekt - die systematische Erfassung und Bewertung von IT-Risiken sowie die Steuerung der Reaktionen auf die festgestellten Risiken.
Richtlinien und internationale Vorschriften wie Basel II und der Sarbanes-Oxley Act erfordern eine quanitative Bewertung von bestehenden operativen Risiken und ermöglichen eine Steuerung der Risikolandschaft des Gesamtunternehmens.
Unser Angebot
Damit Sie mögliche Gefahren im Unternehmen schon im Vorfeld erkennen und entsprechende Gegenmaßnahmen einleiten können, unterstützen wir Sie mit einem systematischen Ansatz beim Aufbau eines Informationssicherheitsmanagements.
Aufbau einer IT-Sicherheitsarchitektur
Wir etablieren ein Information Security Management als Dreh- und Angelpunkt des IT-Sicherheitskreislaufes in Ihrem Unternehmen. Das primäre Ziel ist die Sicherstellung von Verfügbarkeit, Integrität und Vertraulichkeit unternehmenseigener Informationen sowie sensibler Kundendaten. Zu diesem Zweck wird eine IT-Sicherheitsarchitektur entwickelt, die die Komponenten Strategie, Management, Infrastruktur, Software, Hardware, Zugriffskontrolle und Notfallvorsorge berücksichtigt, steuert und miteinander in Einklang bringt. Dabei orientieren wir uns an nationalen und internationalen Standards und vertrauen unserer Projekterfahrung.
Umsetzung von IS & RM
Es ist sehr wichtig, das Risikomanagement als einen kontinuierlichen Prozess zu verstehen. Beim Risikoreview geht es um die Risikoidentifikation, deren Bewertung, sowie um die Definition von Maßnahmen zur Risikominimierung. Die Risikoidentifikation dient der Analyse von Vermögenswerten, ihren Bedrohungen und Schwachstellen. Ein Vermögenswert ist jeder Gegenstand, der nicht notwendigerweise einen monetären Wert für die Organisation darstellt, jedoch zu erheblichen Gewinneinbußen führen würde, wenn dieser Schaden nimmt. Das Ergebnis der Risikobewertung ermöglicht eine Einstufung und ein Priorisieren der Risiken, nach welcher die Risiken abgearbeitet werden sollen. Es ist eine Grundregel für Risikomaßnahmen, dass der Return-on-Investment oder ihr Nutzen größer als eins sein muss. Um den Nutzen von Maßnahmen zu bestimmen, liefern wir einen Risikokatalog, der eine Kategorisierung ermöglicht.
Audits/Überprüfung
Audits sind Teil eines jeden IS & RM Projektes und dienen der Aufnahme des IST-Zustandes. Wir unterstützen Sie bei der Überprüfung von Maßnahmen zur Risikominimierung und –dezimierung. Auch hier rücken organisatorische und technische Aspekte in den Vordergrund. Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen. Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.
Schulung
Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security-Awareness. Hier fordern die ersten Arbeitsrichter den Nachweis der erfolgten Mitarbeitersensibilisierung für den Fall eines etwaigen Verstoßes gegen die Firmenrichtlinien. Zusätzliche Bedeutung bekommt diese menschliche Seite der Informationssicherheit außerdem, da Industriespionage oder gezielte, wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln ausgeführt werden. Um ihren Opfern zu schaden oder Informationen zu stehlen, nutzen die Angreifer beispielsweise Social Engineering, das nur abzuwehren ist, wenn die Mitarbeiter über mögliche Tricks der Angreifer orientiert sind und gelernt haben, mit potenziellen Angriffen umzugehen. Die Mitarbeitersensibilisierung variiert typischerweise von Unternehmen zu Unternehmen von Präsenzveranstaltungen über webbasierte Seminare bis hin zu Sensibilisierungskampagnen.
Unsere Stärken
Wir bieten Ihnen mit erfahrenen und zertifizierten Mitarbeitern professionelle Beratungsleistungen im Bereich er Informationssicherheit an. Damit unsere Kunden ihre Bedürfnisse besser erkennen und geeignete Beratungsleistungen auswählen können, bieten wir auf spezielle Sicherheitsaspekte zugeschnittene Leistungspakete an.