Information Security Compliance.
Ein ISMS bietet wertvolle Orientierung und Best Practices zum Schutz Ihrer Unternehmenswerte. Es trägt zur Kosteneffizienz bei, indem es Risiken bewertet, geeignete Kontrollen implementiert und dadurch Kosten reduziert.
Regulatorische Anforderungen wie z.B. NIS-2 und Kritis sowie branchenspezifische Standards wie VDA Tisax spiegeln im wesentlichen die ISO/IEC 27001/27002.
​​Die Hauptziele der ISO/IEC 27000 Familie sind: Ein umfassendes Rahmenwerk für das Management der Informationssicherheit innerhalb einer Organisation zu bieten, um Unternehmenswerte zu schützen. Die Normenreihe definiert die Anforderungen und Richtlinien zur Implementierung, Aufrechterhaltung und kontinuierlichen Verbesserung eines Informationssicherheits-Managementsystems (ISMS).
​​
-
Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Informationen: Durch die Implementierung geeigneter Sicherheitskontrollen sollen Informationen vor unbefugtem Zugriff, Änderungen und Verlust geschützt werden.
-
Risikomanagement: Identifikation, Bewertung und Behandlung von Informationssicherheitsrisiken, indem diesen Risiken Kosten zugeordnet werden, um sicherzustellen, dass sie auf ein akzeptables Niveau reduziert werden.
-
Kontinuierliche Verbesserung: Implementierung eines Prozesses zur kontinuierlichen Überwachung und Verbesserung der Wirksamkeit des ISMS, um sicherzustellen, dass es den sich ändernden Bedrohungen und Anforderungen gerecht wird.
-
Compliance: Unterstützung der Organisationen bei der Einhaltung relevanter gesetzlicher, regulatorischer und vertraglicher Anforderungen in Bezug auf Informationssicherheit.
-
Vertrauen und Transparenz: Schaffung von Vertrauen bei Interessengruppen, dass die Organisation in der Lage ist, ihre Informationssicherheitsrisiken angemessen zu managen.
​​​
Bewertung und Analyse von Informationssicherheitsrisiken
​Beispiel eines potentiellen Ramsomware Angriffs:
​
1. Risikobewertung und -analyse
-
Identifikation der Bedrohungen und Schwachstellen: Bestimmung der spezifischen Bedrohungen durch Ransomware und die Schwachstellen in Ihrer IT-Infrastruktur.
-
Bewertung der Eintrittswahrscheinlichkeit: Analyse der Wahrscheinlichkeit, dass Ihr Unternehmen von einem Ransomware-Angriff betroffen sein könnte, basierend auf historischen Daten, der aktuellen Bedrohungslage und der Effektivität vorhandener Sicherheitsmaßnahmen.
-
Bewertung der Auswirkungen: Schätzung der potenziellen finanziellen und betrieblichen Auswirkungen eines Ransomware-Angriffs, einschließlich direkter und indirekter Kosten.
​
2. Direkte Kosten von Sicherheitsvorfällen:
-
Datenverlust und -wiederherstellung: Kosten für die Wiederherstellung verlorener oder kompromittierter Daten.
-
Lösegeldzahlungen: Bei Ransomware-Angriffen können erhebliche Kosten durch Lösegeldforderungen entstehen.
-
Systemausfall und Geschäftsunterbrechung: Betriebsunterbrechungen führen zu Umsatzverlusten und zusätzlichen Betriebskosten.
​
3. Indirekte Kosten von Sicherheitsvorfällen:
-
Reputationsschäden: Verlust des Kundenvertrauens kann langfristige Umsatzverluste und höhere Marketingkosten zur Wiederherstellung des Rufs verursachen.
-
Rechts- und Compliance-Kosten: Kosten für rechtliche Beratung, Bußgelder und Strafen bei Nichteinhaltung von Vorschriften.
-
Erhöhte Versicherungsprämien: Häufige oder schwerwiegende Sicherheitsvorfälle können zu höheren Cyberversicherungsprämien führen.
​​​​​​
4. Risikobewertung
-
Risikomatrix: Erstellung einer Risikomatrix, um die Eintrittswahrscheinlichkeit und die Auswirkungen zu bewerten (z.B. niedrig, mittel, hoch).
-
Risikostufe: Bestimmung der Risikostufe (z.B. akzeptabel, tolerierbar, inakzeptabel).
​
6. Kosten für die Umsetzung von Maßnahmen
-
Technische Maßnahmen:
-
Regelmäßige Updates und Patches: Sicherstellen, dass alle Systeme regelmäßig aktualisiert werden.
-
Endpoint Security: Implementierung von Antivirus-Software und Endpoint Detection and Response (EDR).
-
Backup- und Wiederherstellungslösungen: Regelmäßige und sichere Backups der Daten.
-
-
Organisatorische Maßnahmen:
-
Mitarbeiterschulung: Schulungen zur Erkennung und Vermeidung von Phishing und anderen Angriffsmethoden.
-
Incident Response Plan: Entwicklung und regelmäßige Überprüfung eines Incident Response Plans.
-
Zugangskontrollen: Starke Authentifizierungsmechanismen und Zugangskontrollen.
-
-
Kontinuierliche Überwachung: Implementierung von Überwachungstools zur Erkennung und Reaktion auf verdächtige Aktivitäten.
​
7. Überwachung und Überprüfung
-
Regelmäßige Audits: Durchführung regelmäßiger Sicherheitsaudits und Risikobewertungen.
-
Kontinuierliche Verbesserung: Anpassung und Verbesserung der Sicherheitsmaßnahmen basierend auf neuen Bedrohungen und Technologien.
-
Externe Beratung und Unterstützung: Kosten für die Inanspruchnahme externer Experten zur Unterstützung bei speziellen Sicherheitsfragen oder bei der Anpassung des ISMS an neue Bedrohungen.
​
Durch die Gegenüberstellung der direkten und indirekten Kosten von Sicherheitsvorfällen mit den Kosten für die Einrichtung und den Betrieb von Sicherheitsmaßnahmen kann eine fundierte Entscheidung über die Notwendigkeit und den Umfang der Investitionen in die IT-Sicherheit getroffen werden.
​
​
​
​
Establish ISMS: Define the Context, Goals and Scope 
Implement ISMS: policies, controls and improvements,
project management.
Our Services:
-
Analysis of the IT strategy and existing business processes, plus risk assessment.
-
Risk assessments: Assessment and evaluation of existing or new IT security architectures.
-
Elicitation and definition of requirements for the IT security architecture, functional and non-functional requirements such as EU regulations and compliance in highly regulated industries, NIS2, TISAX, 27000)
-
Definition of the objectives of the future security architecture, CSFs/KPIs.
-
IT security requirements management.
-
Creating a Roadmap and Heatmap
We are responsible for the creation of plans and documentation as part of the project management.
-
Project set-up with a strict governance enabling improvements, transparency, acceptance
-
Phasing plan: Develop a detailed implementation plan that defines the sequence and methodology for the implementation of the security solutions.
-
Plan the necessary testing procedures to ensure that the security solutions work as intended and do not have a negative impact on existing systems.
-
Creation of an incident response plan
-
Disaster recovery planning
-
Creation of plans for monitoring and maintenance
-
Compliance reviews: Conduct regular audits to ensure compliance with internal security policies and external regulatory requirements.
Design and Architecture Development
-
Technology selection: Selecting the technologies and solutions that are best suited to meet the identified security requirements.
-
Architecture design: Designing a security architecture that takes into account both the current IT infrastructure and future expansions.
Certificates:
Prince2 (classic & agil)
Scrum Product Owner
Scrum Master
ITIL4
CISSP
Business Analysis
Requirements Engineering
Anforderungsanalyse
Wir unterstützen Sie bei der Erhebung der Anforderungen. In der Regel führen wir zunächst eine Bestandsaufnahme durch. Durch eine GAP-Analyse gegen Best Practice und Standard arbeiten wir die Handlungsfelder, Heatmap und Priorisierung heraus und leiten daraus angemessene Maßnahmen zur Verbesserung ihrer Informationssicherheit und Compliance ab.
​
​