Information+Security+%26amp%3B+Risk+Management

Ein Information Security oder Information Risk Management unterstützt Sie, Sicherheitsrisiken im Unternehmen zu erkennen und entsprechende Gegenmaßnahmen zu etablieren.

Als Informationssicherheit werden Eigenschaften von informationsverarbeitenden und -lagernden Systemen bezeichnet, welche die Vertraulichkeit, Verfügbarkeit und Integrität der darin gespeicherten oder damit verarbeiteten Informationen sicherstellen. Informationssicherheit dient damit einerseits einer Absicherung der Verfügbarkeit und korrekten Durchführung unternehmenskritischer Prozesse. Außerdem soll das Unternehmen insgesamt vor Beschädigung seiner Wettbewerbsposition oder seiner Wahrnehmung in der Öffentlichkeit durch die Weitergabe vertraulicher Informationen an Personen und Stellen außerhalb des vorgesehenen Kreises bewahrt werden.

Große Unternehmen steuern die Informationssicherheit in einem integrierten Ansatz. Information Risk Management bildet dann eine Disziplin eines umfassenden Enterprise Risk Managements, ist aber durch die systematische Erfassung und Klassifizierung von Informationen Basis für viele andere Bereiche.

Risiken basieren nicht immer auf von "außen" drohenden Gefahren, sondern auch auf internen Bedrohungen, z.B. durch unzufriedene Mitarbeiter. Das Verständnis über Spektrum und Ausmaß der Risiken liegt im Eigeninteresse des Unternehmens, der Nachweis entsprechender Mechanismen ist heute allerdings auch in vielen Bereichen gesetzlich/regulatorisch vorgegeben oder bildet einen wesentlichen Parameter bei der Bewertung des Unternehmens durch Investoren oder Rating Agenturen.

Richtlinien und internationale Vorschriften wie Basel II und der Sarbanes-Oxley Act erfordern eine quantitative Bewertung von bestehenden operativen Risiken und ermöglichen eine Steuerung der Risikolandschaft des Gesamtunternehmens. IT Compliance zielt auf die Einrichtung von Kontrollmechanismen im Umfeld der IT, die eine umfassende und dauerhafte Einhaltung gesetzlicher und unternehmensinterner Regelungen garantieren.

Unser Angebot

Ventum bietet punktuelle operative Unterstützung in verschiedenen Aufgabenbereichen des Information Risk Managements. Gerne helfen wir auch bei Definition und Aufbau oder der Anpassung einer auf die Anforderungen Ihres Unternehmens zugeschnittenen Systematik. Wir kennen die branchenspezifischen Gegebenheiten besonders in den Sektoren Pharma, Telekommunikation und Finanzdienstleister. Ebenso sind wir mit dem Spektrum der am Markt verfügbaren Tools vertraut. Die im Folgenden aufgeführten Dienstleistungsangebote sind als Beispiele zu verstehen.

Aufbau einer IT-Sicherheitsarchitektur

Wir etablieren ein Information Security Management als Dreh- und Angelpunkt der IT-Sicherheit in Ihrem Unternehmen. Auf Basis des Klassifizierungsschema für Informationen werden zugehörige Schutzklassen bestimmt und konkrete technische Anforderungen an IT Systeme und Infrastruktur abgeleitet, bezogen auf die Komponenten Strategie, Management, Infrastruktur, Software, Hardware, Zugriffskontrolle und Notfallvorsorge. Dabei orientieren wir uns an nationalen und internationalen Standards und Richtlinien. Lösungen je Komponente werden entlang der Anforderungen sowie immer auch nach Kostengesichtspunkten bewertet. Letztlich ergibt sich ein Vorschlag für eine einheitliche Basisinfrastruktur und verschiedene Ausprägungen je Schutzklasse. 

Umsetzung von Information Risk Management

Risikomanagement aller Disziplinen ist als kontinuierlicher Prozess zu verstehen. Beim Risikoreview geht es um die Risikoidentifikation, deren Bewertung sowie um die Definition von Maßnahmen zur Risikominimierung. Die Risikoidentifikation dient der Analyse von Vermögenswerten, ihren Bedrohungen und Schwachstellen. Ein Vermögenswert ist jeder Gegenstand, der nicht notwendigerweise einen monetären Wert für die Organisation darstellt, jedoch zu erheblichen Gewinneinbußen führen würde, wenn dieser Schaden nimmt. Das Ergebnis der Risikobewertung ermöglicht eine Einstufung und ein Priorisieren der Risiken, nach welcher die Risiken abgearbeitet werden sollen. Es ist eine Grundregel für Risikomaßnahmen, dass der Return-on-Investment oder ihr Nutzen größer als eins sein muss. Um den Nutzen von Maßnahmen zu bestimmen, liefern wir einen Risikokatalog, der eine Kategorisierung ermöglicht.

Audits/Überprüfung

Audits sind Teil eines jeden Information Risk Management Prozesses. Zum Start dienen sie der Aufnahme des Ist-Zustands, später werden damit Änderungen des äußeren Umfelds sowie der Effekt umgesetzter Maßnahmen erfasst. Auch hier werden sowohl organisatorische wie technische Aspekte berücksichtigt. Technische Sicherheit kann zum Beispiel durch Maßnahmen wie regelmäßige Penetrationstests oder vollständige Sicherheitsaudits erreicht werden, um eventuell bestehende Sicherheitsrisiken im Bereich von informationstechnischen Systemen, Applikationen und/oder in der informationstechnischen Infrastruktur zu erkennen und zu beseitigen. Organisatorische Sicherheit kann durch Audits der entsprechenden Fachabteilungen einer Organisation erreicht und überprüft werden. Beispielsweise können vordefinierte Testschritte beziehungsweise Kontrollpunkte eines Prozesses während eines Audits getestet werden.

Schulung

Ein wichtiger Aspekt in der Umsetzung von Sicherheitsrichtlinien ist die Ansprache der eigenen Mitarbeiter, die Bildung von sogenannter IT-Security-Awareness. Ohne eine solche Mitarbeitersensibilisierung sind Verpflichtungserklärungen zum Datenschutz heute kaum juristisch wirksam. Zusätzliche Bedeutung bekommt diese menschliche Seite der Informationssicherheit außerdem, da Industriespionage oder gezielte wirtschaftlich motivierte Sabotage gegen Unternehmen nicht allein mit technischen Mitteln ausgeführt wird. Zu einem wesentlichen Anteil kommt das sogenannte Social Engineering zur Anwendung, bei dem z.B. die Gewohnheiten von Zielpersonen bei Vergabe oder Niederschrift von Passwörtern genutzt werden. Solche Angriffe sind nur abzuwehren, wenn Mitarbeiter über mögliche Tricks der Angreifer orientiert sind. Ventum unterstützt Sie bei der Sensibilisierung Ihrer Mitarbeiter, sei es durch Präsenzveranstaltungen, webbasierte Seminare mit Erfolgskontrolle bis hin zu mehrstufigen Sensibilisierungskampagnen.

Ansprechpartner
Kai Niessen

Torsten Keil
Partner

+49 (89) 122 219 64 - 2
info@ventum.de

Ventum Consulting GmbH & Co. KG Deutschland

Infanteriestr. 11a
80797 München
Deutschland

Kontakt Österreich

Ventum Consulting GmbH

Ernst Melchior Gasse 24
1020 Wien

+43 (1) 535 34 22 - 0
+43 (1) 535 34 22 - 15
office@ventum.com

© ventum consulting