INFORMATIONSSICHERHEIT

Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken. Kennen Sie die Kernprozesse ihres Unternehmens und wissen Sie wie lange sie diese bei einem Teil- oder Totalausfall der IT aufrechterhalten können?

IT Sicherheit bzw. das IT-Sicherheitsteam muß die Informationsverarbeitungsprozesse im Unternehmen verstehen und die sich hieraus ergebenden Risiken einschätzen und beurteilen um für ihr Unternehmen passende Konzepte und Richtlinien erarbeiten zu können.

 

Dies ist erst in der Folge eine technische Aufgabenstellung – zu Beginn immer eine organisatorische Herausforderung mit den folgenden Zielsetzungen:

 

interne Ziele:

 

exerne Ziele:

 

IT-Sicherheit ist ein Prozeß, eine Vorgehensweise, eine Reise die niemals abgeschlossen sein wird und alle Unternehemsbereiche beteiligt.

Die allgemeine Vorgehensweise um Sicherheit in Ihrem Businessprozessen, Anwendungen und Infrastrukturen zu erreichen ist besonders unternehmenskritischen Informationen zu kennen, um genau dort in wirksame Schutzmaßnahmen zu investieren.

Um diese Aufgabe strukturiert anzugehen, wird ein Informationssicherheits-Managementsystem (ISMS) geschaffen und praxiserprobte Werkzeuge zur Risiko-Analyse, zur Dokumentation und zur Maßnahmenplanung und Umsetzung integriert.

 

Schritte zu mehr Informationssicherheit

 

Strukturanalyse

Zu Beginn muss festgelegt werden, welche Anforderungen die Informationssicherheit erfüllen soll, also welche Informationswerte geschützt werden sollen. Dazu erfolgt die Aufnahme der Infrastruktur mit den dazugehörigen Gruppen. Anschließend werden die Assets den Gruppen zugeordnet und es findet die Schutzbedarfsfestlegung statt.

 

Risikobewertung

Die Risikobewertung beginnt zunächst mit der Definition von Szenarien, die zu einer Bedrohung für den betrachteten Anwendungsbereich werden können. Im Anschluss werden die Risikoszenarien den Gruppen zugewiesen. Nachdem das Szenario den Gruppen zugewiesen wurde, findet eine individuelle Vergabe von Eintrittswahrscheinlichkeiten statt. Eigene Bedrohungen sowie Schwachstellen können für den Anwendungsbereich weiterhin definiert werden.

 

Risikobehandlung

Bei der Risikobehandlung werden die Maßnahmen und die Risikoszenarien verknüpft, um auf diese Weise die Eintrittswahrscheinlichkeit zu senken. Durch die Verknüpfung erfolgen die Planung sowie die Dokumentation der Maßnahmenumsetzung des definierten Anwendungsbereichs. Die dokumentierten Inhalte dienen als Grundlage für die Neubewertung der Eintrittswahrscheinlichkeit.

Gerne unterstützen wir Sie bei allem Schritten um Ihre Informationssicherheit zu erhöhen.