Security Management ist, wie das Management jedes anderen Bereichs auch, der Versuch, über Vorgaben, Prozesse, Werkzeuge und sonstige Mechanismen die Einhaltung bestimmter Ziele zu gewährleisten.
Im Fall der Informationssicherheit steht hierbei die Prävention im Vordergrund. Es werden Risiken minimiert, indem präventiv Schutzmaßnahmen implementiert werden. Der Weg über die Risiken und damit verbundenen Schadenspotentiale (auch „Business Impact Analyse“) eröffnet zudem die Möglichkeit, der hauptsächlichen Bestimmung der Informationssicherheit nachzukommen – bestehende Geschäftsprozesse bedarfsorientiert zu unterstützen, d.h. die Kosten-Nutzen Effizienz zu wahren.
Unsere Dienstleistungen im Bereich Security Management erstrecken sich von der Bearbeitung einzelner Themen innerhalb des Security Managements bis zum Aufbau eines vollständigen ISMS (InformationsSicherheitsManagementSystem) nach z.B. ISO 27001. Darüberhinaus helfen wir Ihnen bei der Beantwortung der Frage: „Wie viel Managementsysteme hält das Unternehmen aus?“ und beraten Sie gegebenenfalls bei der Integration der bereits bestehenden Managementsysteme unter ein gemeinsames Dach.
Mit unserer langjährigen Erfahrung in diesem Bereich erhalten Sie von uns Beratung, die darauf abzielt etwas aufzubauen, das im täglichen Leben auch wirklich funktioniert und gemäß PDCA Modell die Weichen für eine kontinuierliche Verbesserung stellt. Sie erhalten von uns keinen Papiertiger der in der Praxis nicht funktioniert, Ihre Unternehmenskultur außen vor lässt und externen Audits nur unter großen Anstrengungen standhält. Das Ergebnis darf auch gerne überschaubar und pragmatisch sein. Wir haben schon vieles gesehen und wissen, was geht und was nicht funktionieren wird.
Zu folgenden Themen sind wir für Sie ein kompetenter und erfahrener Ansprechpartner:
| ISMS |  |
Ein ISMS ist ein InformationsSicherheitsManagementSystem nach den Vorgaben der ISO 27000 Familie oder nach den Vorgaben des deutschen BSI. Mehr zu unseren Dienstleistungen rund um ISO 27000 finden Sie hier und Weiteres zu BSI 100-x finden Sie hier.
Unsere Dienstleistung: Wir beraten Sie bei allen Themen rund um Aufbau, Pflege, Integration und Audit eines ISMS. Wir sind aufgrund unserer langjährigen Erfahrung in der Lage, Ihnen zu jeglicher Problemstellung in diesem Umfeld ein helfender Partner zu sein. Sei es beim lang- oder mittelfristigen Aufbau eines ISMS inklusive der Erstellung von Dokumenten und Prozessen oder bei der kurzfristigen Kurskorrektur vor oder nach einem Audit durch eine dritte Partei. Sollten Sie eine Standortbestimmung Ihres ISMS wünschen führen wir auch Audits nach den Vorgaben des Standards durch und geben Ihnen im Bericht Aufschluss über den Reifegrad Ihres ISMS.
| IT Risk Management | |
Der oft formulierte Anspruch an die Informationssicherheit beinhaltet zu Recht den Wunsch, dass die eigene IT sicher ist, jedoch mit der Einschränkung, dass dies nicht um jeden Preis sichergestellt werden kann. IT Risk Management hilft, Aufwand und Nutzen von Sicherheitsmaßnahmen im Gleichgewicht zu halten. Voraussetzung hierfür ist, dass der eigene tatsächliche Schutzbedarf bekannt ist, was dazu führt, dass die Themen IT Asset Management und IT Risk Management eng miteinander verbunden sind. Nur wenn der Wert eines IT Assets (zumindest ungefähr) bekannt ist, kann darüber entschieden werden ob die Einführung einer Maßnahme auch wirtschaftlich sinnvoll ist oder nicht.
Unsere Dienstleistung: Wir erarbeiten Ihnen ein auf Ihr Unternehmen angepasstes IT Risk Management Konzept, welches sicherstellt dass Sie Ihre IT Risiken kennen und auf dieser Basis Ihre Informationssicherheit bedarfsorientiert steuern können. Wir begleiten Sie auch bei der Wahl eines geeigneten Werkzeugs zur Durchführung von IT Risikoanalysen und unterstützen Sie bei der eigentlichen Durchführung von IT Risikoanalysen. Aufgrund unserer langjährigen Erfahrung sind wir in der Lage, unter Berücksichtigung von Branche, Größe und Aufbau Ihres Unternehmens sowie der bestehenden Unternehmenskultur ein IT Risk Management Konzept zu erarbeiten, aus dem Sie maximalen Nutzen ziehen. Selbstverständlich berücksichtigen wir in unserer Arbeit den Standard ISO 31000 und erfüllen mit unseren Arbeitsergebnissen die Anforderungen von Standards, die ein IT Risikomanagement fordern (z.B. ISO 27001, KWG 25/MaRISK etc.).
| Audit Management | |
Unter Audit Management verstehen wir den Ansatz über Vorgaben, Prozesse, Werkzeuge und sonstige Mechanismen den größtmöglichen Nutzen aus Audits zu gewährleisten. Hierzu gehören (unter Anderem) sowohl die Abläufe bei der Durchführung von Audits als auch die Organisation der Auditoren und die Nachverfolgung von eventuellen Maßnahmen zur Behebung von Schwachstellen die in Audits gefunden wurden. Bitte lesen Sie hier mehr über unseren Ansatz bei der Erstellung von Auditkonzepten als integralen Bestandteil eines effizienten Auditmanagements.
Unsere Dienstleistung: Wir erarbeiten Ihnen ein auf Ihre Anforderungen abgestelltes Audit Management Konzept, welches sicherstellt, dass Sie die Vielzahl an Audits in Ihrem Unternehmen effizient organisieren und den optimalen Nutzen aus den durchgeführten Audits ziehen. Als erfahrene Auditoren kennen wir die Fallstricke, die es in diesem Bereich gibt, und beraten Sie auch gerne über die Möglichkeiten, die Audits der verschiedenen Teilbereiche ihres Unternehmens (IT-Sicherheitsaudits, Qualitätsaudits, Umweltaudits etc.) unter ein gemeinsames Audit Management zu bringen um die damit verbundenen Aufwände zu minimieren.
| Compliance Management | |
Unter „Compliance“ wird üblicherweise die Einhaltung von Gesetzen und Richtlinien, aber auch die Einhaltung der freiwilligen Verpflichtungen der Unternehmen verstanden. War in der Vergangenheit oftmals die interne Revision (oder andere prüfende Instanzen) verantwortlich für Gewährleistung der Einhaltung dieser Vorgaben und mithin dem Compliance Management, so ist diese Aufgabe aufgrund der vielfältigen Regulierungen heutzutage von der internen Revision (oder anderen prüfenden Instanzen) nicht mehr zu leisten.
Unsere Dienstleistung: Wir helfen Ihnen bei der Erfassung der Aktivitäten der verschiedenen Unternehmensbereiche im Bereich Compliance Management und erarbeiten Ihnen ein auf Ihre Anforderungen abgestelltes Compliance Management Konzept. Ein sinnvoller Umgang mit dem Thema Compliance Management stellt sicher, dass Sie in der Lage sind, Änderungen zu beobachten, die Auswirkungen auf Ihr Unternehmen festzustellen und die erforderlichen wirtschaftlich sinnvollen Schritte einzuleiten. Wir legen hierbei Wert darauf, die Ergebnisse gemeinsam mit Ihnen zu entwickeln, um eine größtmögliche Abbildung auf Ihr Unternehmen zu erreichen. Dies ist aus unserer Sicht unerlässlich für ein erfolgreiches Arbeitsergebnis.
| Integrated Management Systems | |
Wie viele Managementsysteme werden noch benötigt und wie hoch ist der Anteil der Redundanz den Aufbau und Pflege der verschiedenen Managementsysteme mit sich bringt, sind Fragestellungen die heute so aktuell und wichtig sind wie noch nie. In Zeiten von ISO 900x, ISO 2700x, ISO 2000x, ISO 1400x sowie zahlreicher gesetzlicher und branchenspezifischer Vorgaben wie MaRisk/KWG, SOX, BASEL II etc. ist es aus Effizienzgründen anzuraten, dass man die verschiedenen Managementsysteme die sich mit den unterschiedlichen Standards und Vorgaben befassen so weit es geht unter ein gemeinsames Dach bekommt. Dies ist der beste Weg, die für Erstellung, Pflege und Überprüfung benötigten Aufwände in einem wirtschaftlich vertretbaren Rahmen zu halten und gleichzeitig die vorhandenen Auflagen zu erfüllen.
Unsere Dienstleistung: Wir helfen Ihnen bei der Erfassung der verschiedenen Managementsystemen in Ihrem Unternehmen und erarbeiten ein Konzept zu deren Integration unter ein gemeinsames Dach. Wir begleiten Sie auch gerne bei der Wahl eines hierfür geeigneten Werkzeugs. Wir legen hierbei Wert darauf, die Ergebnisse gemeinsam mit Ihnen zu entwickeln, um eine größtmögliche Abbildung auf Ihr Unternehmen zu erreichen. Dies ist aus unserer Sicht unerlässlich für ein erfolgreiches Arbeitsergebnis speziell wenn durch die Arbeitsergebnisse bzw. die Umsetzung dieser eine Kostenersparnis erzielt werden soll.
| Security Event Management (SEM) | |
Moderne IT Umgebungen generieren eine Vielzahl von Logdateien, Alarmen und sonstigen Informationen welche für die Überwachung des Zustands der Informationssicherheit in einem Unternehmen relevant sind (IDS, Schwachstellenmanagement, Firewall Logdateien etc.). Je besser diese Informationen miteinander korreliert und aggregiert sind, desto einfacher wird die Auswertung und desto leichter fällt die Reaktion auf Vorfälle. Über diesen reaktiven Aspekt hinaus ermöglichen moderne Werkzeuge zum Security Event Management (SEM) auch einen proaktiven Ansatz, indem verschiedene Simulationstechniken zur Verfügung gestellt werden.
Über diesen offensichtlichen inhaltlichen Nutzen hinaus, gibt Ihnen ein Security Event Management ein Hilfsmittel an die Hand um zahlreiche Auflagen von z.B. SOX oder ISO 27001 zu erfüllen.
Unsere Dienstleistung: Wir erarbeiten Ihnen ein auf Ihr Unternehmen ausgerichtetes Security Event Management Konzept mit dem Ziel, sowohl die Überwachung des Zustands der Informationssicherheit zu verbessern, als auch mit der Maßgabe, die mit dieser Aufgabe befassten Teile Ihres Unternehmens mittel- bis langfristig durch den Einsatz eines Security Event Managements zu entlasten. Wir begleiten Sie auch gerne bei der Wahl eines hierfür geeigneten Werkzeugs. Bei der Bearbeitung dieses Themas ist es aus unserer Sicht unerlässlich, sowohl mit den für den IT Betrieb als auch mit den für die Informationssicherheit verantwortlichen Abteilungen zusammen zu arbeiten.
| Security Incident Management | |
Im Gegensatz zu Security Event Management befasst sich das Security Incident Management ausschließlich mit Sicherheitsvorfällen und deren Behandlung. Ein gut eingeführtes Security Incident Management bedient sich derselben Strukturen wie das übergeordnete „Corporate“ Incident Management (z.B. nach ISO 20000/ITIL) und stellt sicher, dass Sicherheitsvorfälle richtig erkannt, bewertet, an die richtige Stelle weitergeleitet und behandelt werden. Security Incident Management sorgt darüberhinaus dafür, dass die Sicherheitsvorfälle in allen Facetten nachvollziehbar dokumentiert werden.
Unsere Dienstleistung: Wir erarbeiten Ihnen ein Security Incident Management Konzept welches sich, sofern vorhanden, in ihr bestehendes Incident Management Konzept einbettet und heutigen Anforderungen an ein Security Incident Management gerecht wird. Wir begleiten Sie auch gerne bei der Wahl eines hierfür geeigneten Werkzeugs. Bei der Bearbeitung dieses Themas ist es aus unserer Sicht unerlässlich sowohl mit den für das bestehende Incident Management als auch mit den für die Informationssicherheit verantwortlichen Abteilungen zusammen zu arbeiten.
| Security Measurement and Reporting | |
Ein in der Vergangenheit nicht sonderlich ausgeprägt entwickeltes Kapitel der Informationssicherheit ist das Messen von Informationssicherheit (Security KPIs) und das zugehörige Berichtswesen. Aktuell wird dieses Thema aus verschiedenen Gründen immer wichtiger. Unternehmensleitungen fordern konkrete Aussagen zum Status der Informationssicherheit in Zahlen, weil sowohl die Risikosituation analysiert werden als auch die Vergabe von Budgets sinnvoll gesteuert werden muss. Dass die Unternehmensleitung hierzu transparente und nachvollziehbare Messgrößen benötigt, bedarf keiner weiteren Erklärung. Neben den Begehrlichkeiten der Unternehmensleitung geht auch die Entwicklung bei ISO 2700x und anderen Standards dahin, dass ein Konzept zur Messbarkeit von Informationssicherheit gefordert wird. Schlussendlich ist eine quantitative Aussage über eine bestimmte Tatsache immer besser als eine gefühlte Bewertung und trägt somit ihre Teil zur Verbesserung der Informationssicherheit im Unternehmen bei.
Unsere Dienstleistung: Wir analysieren, welche KPIs in Ihrem Unternehmen sinnvollerweise gemessen werden sollten und gemessen werden können. Wir schlagen hierbei für jeden KPI einen Weg vor, wie die Messung in der Praxis erfolgen kann und stimmen diesen Vorschlag mit den dafür Verantwortlichen ab. Dies vermeidet die Erstellung eines Papiertigers der zwar theoretisch alles abdeckt, in der Praxis jedoch nicht implementierbar ist. Als Ergebnis erhalten Sie ein Konzept mit dem Ziel die Messung der Informationssicherheit in Ihrem Unternehmen zu etablieren und das dazugehörige Berichtswesen aufzubauen sukzessive zu verbessern. Diese Konzept enthält auch die Erarbeitung der Security Metriken die Ihrem Unternehmen angemessen sind.
| Security Metrics | |
Das Thema der Security Metriken ist eng mit dem Thema Security Measurement and Reporting verbunden. Um das Resultat einer Messung interpretieren zu können muss alles was gemessen wird einer definierten Metrik folgen, mit Hilfe derer die Messung quantifiziert werden kann. Die Aufgabe liegt vor allem darin, für die verschiedenen gewünschten KPIs jeweils eine sinnvolle Metrik zu haben welche sinnvolle Zahlen liefert, dem Security „Praktiker“ Hilfestellung in der täglichen Arbeit gibt und der Unternehmensleitung eine verlässliche Basis für Entscheidungen darstellt.
Unsere Dienstleistung: Wir analysieren für Sie oder mit Ihnen gemeinsam welche Metriken für Ihr Unternehmen angemessen und umsetzbar sind bzw. welche Metriken hinter welche KPIs gelegt werden können. Dies hängt nicht zuletzt vom Zustand der Messung der Informationssicherheit in Ihrem Unternehmen ab. Mit unserer langjährigen Erfahrung sind wir in der Position Ihnen helfen zu können und würden uns freuen wenn Sie mit Ihrem Anliegen Kontakt zu uns aufnehmen würden um die Details zu besprechen. Bitte lesen Sie in diesem Zusammenhang auch die Beschreibung unserer Dienstleistungen zu den Themen Security Measurement and Reporting und Balanced Scorecards.
| Balanced Scorecards | |
Balanced Scorecards sind ein etabliertes Mittel, um gemessene Daten sinnvoll zu gewichten, zusammenzufassen und so zu einer Bewertung einer Situation zu kommen. Sie ermöglichen, verschiedene Perspektiven und verschiedene Datenquellen zusammenzufassen und auf strategische Ziele abzubilden. Ihren Einsatz finden Sie derzeit meist in der Unternehmensführung. Als Steuerungsinstrument sind sie gerade für Sicherheit besonders gut geeignet, da mit Ihnen weiche und harte Faktoren zusammengefasst werden können.
Unsere Dienstleistung: Wichtig ist die Grundlage: Aufgebaut wird auf sinnvollen Metriken und Performance Indikatoren für Sicherheit sowie auf einer genauen Zieldefinition, die sehr konkret das zu erreichende strategische Ziel beschreibt. Ziel kann hierbei z.B. eine globale Risikobewertung für das Management sein („Ampel“), oder auch Input für die Führungskräftebewertung.
Nach der Zieldefinition wird gemeinsam eine sinnvolle Verknüpfung von Sicherheits- und anderen Indikatoren entwickelt und getestet. Wir legen Wert darauf, dass Scorecards kein Selbstzweck sind: aus Ihnen leiten sich Aktionen ab, um das strategische Ziel zu erreichen. Wir definieren zusammen mit Ihnen diese Aktionen und die Einbindung in den PDCA-Zyklus eines ISMS nach ISO 27001.
secunomic GmbH | (c) 2008 | Impressum