IT-Security-Audit:
Wirksame Sicherheitsrichtlinien brauchen eine Basis

Einführung
 

Durch das IT-Security Audit wird die IT Ihres Unternehmens auf Basis des BSI-Grundschutzhandbuchs überprüft. Das bedeutet alle Prozesse, die die EDV berühren, werden einer detaillierten Untersuchung unterzogen. Dabei werdem sämtliche Organisationsstufen anlysiert: Geschäftsführung – IT-Leitung– IT-Verantwortliche – IT-Anwender.
 

Jeder Zielgruppe werden konkrete Fragen gestellt, die sich ergänzen oder eine gegenseitige Kontrolle ermöglichen (z.B. Kompetenzen) und schließlich zu einem Gesamtbild, einer Gesamtbeurteilung führen.

 
Bei der technischen Überprüfung werden das Netzwerk, die Server sowie die Clients kontrolliert. Hierbei stellen wir Fragen technischer Art, die Einfluss auf Prozesse haben können (z.B. über den Backupprozess: Wann?, Verantwortlichkeiten?, Lagerung?, etc.). Zusätzlich werden bei der technischen Überprüfung Verbindungen von/nach außen kontrolliert (Partner, Heimarbeitsplätze, Aussenstellen, Internetzugang, etc.).

 
Inhalt

 
Auditieren der technischen und organisatorischen Gegebenheiten mittels Fragenkatalog und einer Inspektion der technischen Infrastruktur.
 

  • Analyse der Ergebnisse
    Konzepte, Reglemente, Technik und Umsetzungsstand untersuchen.
  • Auswertung
    Risikobeurteilung vornehmen. Einstufung der geschäftskritischen Gefahren vornehmen und Maßnahmenkatalog erarbeiten. 
  • Soll / Ist Vergleich
    Wo wurden die vorhandenen Konzepte nicht vollständig umgesetzt? 
  • Schwachstellen kennen
    Welche Schwachstellen sind vorhanden? Welche Risiken sind damit verbunden? Mit welchen Auswirkungen muss gerechnet werden? 
  • Maßnahmen kennen
    Was kann gegen die vorhandenen Schwachstellen unternommen werden? Welche Schritte sind als Erstes notwendig? 
  • Wissen, wie es um die Sicherheit steht
    Wie steht es allgemein um die Sicherheit? Was gilt es zu tun, um die Sicherheit zu erhöhen oder konstant zu halten? 
  • Planungsinstrument
    Wann sollen Maßnahmen umgesetzt werden? Mit welchen Kosten ist dies verbunden? 
  • Vorbereitung auf einen möglichen Notfall
    Welche Maßnahmen sind in einem Notfall zu treffen? Wie muss man vorgehen? 
  • Organisatorische/technische Unterstützung
    Mit den erstellten Unterlagen ist es möglich, die weiteren Schritte eigenständig, mit einem vorhandenen IT-Partner oder mit unserer Hilfe umzusetzen. Sollten jedoch detaillierte Fragen anstehen, können wir auf Basis des IT-Security Audits vertiefte Antworten erarbeiten. 
  • Sensibilisierung
    Der Mitarbeiter ist oft das schwächste Glied in einer Sicherheits-Kette. Wir zeigen Ihnen Maßnahmen, wie der einzelne Mitarbeiter zu einem größeren Sicherheitsbewusstsein angehalten werden kann. 
  • Verständnis der GL für IT vertiefen
    Unser Anliegen ist es, auch IT-fremde Mitglieder der Geschäftsleitung für nötige Maßnahmen und deren Nutzen zu sensibilisieren. Dabei wird auch auf die Gefahren, die bei einer Nicht-Umsetzung drohen, detailliert hingewiesen.

 

Zielgruppe des IT-Security-Audits

 
Das IT-Security Audit richtet sich an alle Unternehmen ab ca. 30 PC Arbeitsplätzen, die über eine Client-Server Struktur verfügen. Technisches Grundverständnis für die IT sowie Grundverständnis für Sicherheitsanforderungen an diese sollten vorhanden sein.

 
Kosten

 
Der Aufwand für ein IT-Security-Audit ist stark abhängig von der Unternehmensgröße, beträgt für den Kunden durchschnittlich 2 bis 3 Tage (Begleitung bei Audit, technische Kontrolle und Präsentation).
Der Aufwand zwischen Audit und Präsentation beträgt zwischen 30 und 70 Stunden, je nach Grösse und Komplexität des Unternehmens und der vorhandenen Netzwerkstrukturen.
Wir beraten Sie gerne unverbindlich in einem persönlichen Gespräch.