Prozesse

Security is not a product but a process!

Dieses Zitat von Bruce Schneier ist heute wichtiger und richtiger als je zuvor! Wenn heutzutage Revisionsprüfungen in der IT anstehen, dann wird immer seltener nach richtiger Konfiguration der IT-Sicherheitstechnik gefragt. In der Regel wird nach der organisatorischen Ebene gefragt, die in Prozessen geregelt ist: Warum existiert diese oder jene Konfiguration, wann wurden die letzten Änderungen durchgeführt, wie aktuell ist die Dokumentation, wie sieht der jeweilige Genehmigungsvorgang aus, usw. Das sind in aller Regel die Fragen, die heutzutage beantwortet werden wollen. Hierfür sind verschiedene Prozesse notwendig, die z.B. in ITIL beschrieben werden. Zur Steuerung der Informationssicherheit im Unternehmen muss eine Sicherheitsorganisation implementiert sein, die auf einer Sicherheitsstrategie basiert.

SOLIT Information Security unterstützt Sie bei der strategischen Planung und Implementierung der Sicherheitsorganisation im Unternehmen!

Mensch

Das schwächste Glied in der Sicherheitskette ist – wie so häufig – der Mensch. Im Sicherheitsprozess muss ihm gesondert Rechnung getragen werden. Selbstverständlich zählen hierzu Richtlinien, Policies und Handlungsanweisungen. Jedoch werden diese allzu häufig umgangen, da sie Arbeitsablauf stören können. Daher muss dem Faktor Mensch auch auf andere Weise Rechnung getragen werden. Hierzu zählt der Auf- und Ausbau des Sicherheitsbewußtseins.

Wir zeigen Ihnen, dass Sicherheitsbewußtsein von Mitarbeitern kein Mythos bleiben muss!

Technik

Die operative Sicherheit eines Unternehmens wird in großen Teilen durch die technische IT-Sicherheitsinfrastruktur hergestellt. Firewalls, Proxies, verschiedene Dienste-Gateways, Public Key Infrastrukuren, etc. sorgen dafür, dass der in der Organisation vorgegebene Level an Sicherheit technisch erzwungen wird. Aber ist dem wirklich so? Im Vorfeld werden hierzu häufig Konzepte benötigt, wie die gewünschten Anforderungen zu erreichen sind. Hier mangelt es häufig an der planerischen Vorgehensweise. Im Nachgang zur Integration ist die implementierte Konfiguration der Sicherheitssysteme mittels technischen Audits und Konfigurationsüberprüfungen von unabhängiger Stelle zu überprüfen. Besonders exponierte Systeme sind aus Sicherheitsgründen im Laufe ihres Lebens in Abständen durch Audits auf Sicherheitslücken zu überprüfen.

SOLIT Information Security hilft Ihnen, den tatsächlichen Sicherheitslevel in Ihrem Unternehmen richtig einzuschätzen!

Jörg Folz

Durchführung von Penetrationstests

Zur Überprüfung der Sicherheit von exponierten Systemen führen wir für Kunden unterschiedliche Penetrationstests durch. Die Ergebnisse werden verwendet um die Sicherheit der Systeme / Applikationen zu bestätigen respektive zu verbessern.

Projektbegleitung für Informationssicherheit

Häufig stehen bereits im Vorfeld in größeren Projekten die Player fest. Dem Kunden fehlt jedoch eine unabhängige Instanz, die IT-Sicherheitsthemen professionell begleitet und dem Kunden mit Anregungen zur Seite steht. Diese Aufgabenstellung wurde bereits mehrfach wahrgenommen.

Security Awareness Programm

Für mehrere Unternehmen werden unterschiedliche Formen von Awareness Programmen abgehalten. Allen gemeinsam ist, dass sie immer Veranstaltungen für Mitarbeiter enthalten. In diesen wird nicht mit erhobenem Zeigefinger auf die Risiken und Gefahren hingewiesen, die je nach Kundeanfrage im Raum stehen. Im Gegenteil: Es wird auf lockere Art und Weise aufgezeigt, wie einfach das Ausnutzen von Sicherheitslücken sein kann – und dass jeder ein potentielles Angriffsziel bieten kann.

Business Continuity Management

Für ein Finanzinstitut wurde das vorhandene BCM auf völlig neue Beine gestellt. SOLIT begleitete den gesamten Prozess, der an den BSI Standard 100-4 angelehnt ist, beginnend bei der Business Impact Analyse über Risiko-Analyse bis hin zur Umsetzung des Notfallvorsorgekonzeptes.

Planung und Implementierung eines ISMS

Für einen Kunden bauten wir eine komplette Sicherheitsorganisation nach den einschlägigen Standards (ISO/IEC 27001) auf.

Konzeption und Integration von Public Key Infrastrukturen

PKI als Framework ist die Grundlage für unterschiedliche Anwendungsfälle, wenn es um sichere Authentisierung oder Verschlüsselung geht. Für mehrere Kunden planen und integrieren wir Public Key Infrastrukturen auf Basis der Microsoft certificate services. Anwendungsfälle, die damit durchgeführt werden sind z.B.

Workflow Anbindungen
Austausch verschlüsselter und signierter Emails für Kundenverkehr (PKI mit “Aussenwirkung”)
Smartcard logon
Remote Access (s.o.)
uvm.