Sicherheit in Information und Kommunikation

Unsere Dienstleistungsbereiche

Die folgenden Themen behandeln wir einesreseits im Zuge der Unterstützung bei der Planung von Änderungen und/oder Erweiterungen von Diensten im Geschäfts- und IKT-Bereich, andererseits auch im Zuge von Standortbestimmungen als Vorbereitung für Zertifizierungen nach ISO/IEC 27001 und ISO/IEC 20000.

Risikoanalysen

Im betrieblichen Bereich durchleuchten wir Rollen- und Prozesse, Datenverfügbarkeit gegen die definierten Unternehmensziele unter Berücksichtigung gängiger Frameworks wie COSO, RIMS oder King.

Im technischen Bereich führen wir, nach ISO/IEC 27001 Assetbestimmung durch, erstellen und bewerten Bedrohungsszenarien, identifizieren mögliche Gegenmaßnahmen.

Sicherheitsaudits für Kommunikations- und Informationsinfrastruktur

• Analyse der Netzwerk und Netzelementsicherheit (Hardening)
• Analyse der Applikationssicherheit (Test, Entwicklungsmethode, Entwicklerqualität)
• Analyse der Datensicherheit (Access Control, Speicherung)
• Analyse des Sicherheitsbewusstseins

Für die Ergebnisse aller genannten Tätigkeiten stellen wir gemäß der 27K-Serie dokumentierte Maßnahmen zur Verfügung.

Analysen und Beratung zum Thema Service Enhancements und Changemanagement:

Im Servicebereich analysieren wir Art der Änderung, Reifegrad der Änderung, Serviceprofil, … um eine enge Kopplung an die generellen Unternehmensziele zu garantieren.

Im technischen Bereich unterstützen wir bei der Erstellung von Migrationskonzepten, zugehörigen Kapazitätsplanungen und konkreter Umsetzung beim Rollout.

Unsere Vorgangsweise

Unsere Dienste begegnen mehreren Herausforderungen:

• Die Erstellung einer Zielarchitektur erfordert eine gute Kenntnis der Geschäftsziele des Kunden, die ja das treibende Element in allen Tätigkeiten ist. Diese zu dokumentieren, oder Dokumente darüber zu erhalten ist aus verschiedenen Gründen oft schwierig.
• Nachweis, dass die gewählte Lösung sowohl alle relevanten Anforderungen aus der Corporate Governance als auch aus der Value Governance erfüllt.
• Sowohl für Servicemanagement als auch für Informationssicherheitsmanagement sind Policies notwendig, die auf C-Level abgesegnet werden müssen, da sonst ihre Durchsetzung in der Implementierungsphase nicht garantiert werden kann.
• Um für die Policies im Informationssicherheitsbereich die richtigen Durchführungsempfehlungen abgeben zu können, muss eine effektive Risikoanalyse auf quantitativer Ebene durchgeführt werden, damit die Kosten der Maßnahmen nicht den Wert der erreichten Ziele übersteigen. Dafür sind genaue Informationen über die zu schützenden Assets und bereits passierte Incidents im Informationsbereich notwendig.
• Controls im Service- sowie Informationssicherheitsbereich müssen "treffsicher" sein und die Nachhaltigkeit der Managementprozesse garantieren.

Um sowohl doppelte Arbeit, als auch inkompatible Lösungsvorschläge zu vermeiden führen wir die integrierte Behandlung der Themen Service- und Securitymanagement im Zuge der Erstellung einer Enterprisearchitektur nach dem Framework TOGAF Version 9 durch. Dadurch ergibt sich für unsere Kunden eine sowohl von der Treffsicherheit als auch von den Kosten her optimierte Lösung.