Full Scope Security Audit: Welche IT-Sicherheitslücken hat Ihr gesamtes Unternehmen?
von Svenja Koch
Welche Informationen liefert ein Full Scope Security Audit?
Ein Full Scope Security Audit liefert Ihnen den aktuellen Stand der IT- und Informationssicherheit Ihres Unternehmens – nicht nur aus technischer Sicht. Vielmehr prüft dieses Audit neben technischen Aspekten auch die entscheidenden Elemente Ihrer physischen, organisatorischen und prozessualen IT-Sicherheit.
Wichtige Fragen, die im Rahmen eines Full Scope Security Audits beantwortet werden, sind beispielsweise:
- Wie wirksam sind Ihre bereits umgesetzten organisatorischen IT-Sicherheitsmaßnahmen?
- Beinhaltet Ihre Cloud-Strategie auch alle sicherheitsrelevanten Aspekte Ihres Unternehmens?
- Ist die Vertraulichkeit Ihrer kritischen Unternehmensdaten jederzeit gewährleistet?
- Wie schnell erkennen Ihre Mitarbeiter IT-Sicherheitsbedrohungen und sind in der Lage, korrekt auf diese zu reagieren?
- Wie effektiv ist Ihre IT-Notfallplanung?
Ihnen wird damit ergänzend zu allen technischen Verbesserungspotentialen ein ganzheitlicher Blick auf den aktuellen Stand Ihrer Informationssicherheit geliefert - inklusive aller nicht-technischen Sicherheitslücken.
Die daraus entwickelten Handlungsempfehlungen gewährleisten, dass Ihr Unternehmen ganzheitlich vor den Risiken aktueller Cyberkriminalität geschützt wird.
Inhalt & Ablauf eines secion Full Scope Security Audits
Jedes Full Scope Security Audit wird von unseren IT Security Consultants in Anlehnung an den vom Bundesamt für Sicherheit in der Informationstechnik (BSI) entwickelten IT-Grundschutz sowie ISO 27001 durchgeführt.
Neben Prüfung der technischen Gegebenheiten werden damit auch organisatorische sowie infrastrukturelle Vorgaben geprüft und nach Abschluss bedarfsgerechte Maßnahmen für Ihr Unternehmen entwickelt.
Nach Durchführung des Audits stellen unsere IT Security Consultants Ihnen und Ihrer Unternehmensleitung einen Ergebnisbericht zur Verfügung, der den derzeitigen Stand Ihrer Informationssicherheit abbildet. Darauf basierend entwickeln unsere IT Security Consultants einen Katalog mit Maßnahmenempfehlungen, die aufzeigen, wie die aufgedeckten Sicherheitslücken effizient beseitigt werden. Die Reihenfolge der Maßnahmen wird anhand bestehender Risiken und ihrer Wirkungsreichweite festgelegt, besonders kritische Mängel werden entsprechend hervorgehoben. Das avisierte Sicherheitsniveau wird somit Schritt für Schritt verbessert und jährlich erneut überprüft.
Angebotsbeispiel für ein Full Scope Security Audit: Ganzheitliche Überprüfung Ihrer organisatorischen IT-Sicherheit
Befragung zur Feststellung der Ist-Situation der organisatorischen IT-Sicherheit
Bewertung der folgenden Teil-Bereiche anhand von Befragungen:
Teil I: Organisation und Gebäudesicherheit
- Organisationsstruktur und Verantwortlichkeiten
- Verantwortliche Mitarbeiter / Leitungsebene
- Benachrichtigungs- und Eskalationsstruktur
- Alarmsysteme
- Zugänge und Zutrittskontrolle
Teil II: Informationstechnische Prozesse
- Benutzerverwaltung
- Einsatz und Entsorgung von Hard- und Software
- Betrieb und Wartung von IT-Systemen
- Vorgaben und Richtlinien
- Dokumentation von IT-Systemen
Teil III: Technische Maßnahmen
- Netzwerksicherheit
- Systemüberwachung
- E-Mail-Sicherheit
- Gateway-Sicherheit
- Sicherheit für mobile Endgeräte
- Patch Management
- Schwachstellen-Management
- Absicherung von Webdiensten
- Architektur Rechenzentrum
Überprüfung der vorhandenen Dokumentationen und Prozesse, Entwicklung von Handlungsempfehlungen und Erstellung der Ergebnis-Dokumentation
- Überprüfung der vorhandenen Dokumentationen
- Überprüfung der vorhandenen Prozesse anhand der Dokumentationen
- Zusammenführung und Bewertung der Ergebnisse
- Entwicklung und Beschreibung von Handlungsempfehlungen
- Schriftliche Aufbereitung der Ergebnisse sowie der resultierenden Handlungsempfehlungen
- Erstellung einer Dokumentation inklusive Management Summary
- Vorstellung / Besprechung der Ergebnis-Dokumentation in Ihrem Hause
- Erörterung der Handlungsempfehlungen
- Klärung von Fragen
Fazit:
Wie bei einem Haus kann ein Angreifer nicht nur durch die Vordertür, sondern auch über die Terrasse oder das Fenster eindringen. Um IT-Sicherheit auf allen Ebenen zu erreichen, empfiehlt es sich daher, nicht ausschließlich die technische Infrastruktur in den Fokus nehmen, sondern auf allen Ebenen ausreichende Abwehrmaßnahmen zu ergreifen.
Ein Full Scope Security Audit überprüft neben technischen Aspekten auch die entscheidenden Elemente Ihrer physischen, organisatorischen und prozessualen IT-Sicherheit.