headercompliance

IT-Risikomanagement

IT-Risikomanagement ist der bewusste Umgang mit den Risiken, die sich für Unternehmen und Organisationen aus dem Einsatz von IT ergeben können

Mit der rasanten Verbreitung und der tiefen Durchdringung der IT in alle Unternehmensbereiche und Geschäfts- und Fertigungsprozesse, kommen neben dem Nutzen auch neue Bedrohungen und Risiken für die Unternehmen auf. Die Grenzen zwischen Business-, Büro- und Fertigungs-IT verschwimmen.

Diese IT-bedingten Bedrohungen werden somit in einem unternehmensweiten Risikomanagement immer wichtiger.                                                                                                  

@-yet betrachtet diese Bedrohungen und die daraus resultierenden Risiken im Hinblick auf

          Business Continuity          Business Security          Business Compliance


Das @-yet Leistungsportfolio ist darauf ausgerichtet,  

  • die Schwachstellen, Gefahren und Risiken zu erkennen
  • diese durch organisatorische und technische Maßnahmen gezielt zu minimieren
  • kritischen Situationen vorzubeugen und
  • kriminelle Handlungen aufzuklären (IT-Forensik).

@-yet bündelt den Umgang mit den unterschiedlichen Gefahren und Risiken in einem einheitlichen Risiko und Information Security Management System (ISMS).


@-yet Ziel

  • IT-Prozesse, IT-Organisation, IT-Infrastruktur, Fertigungs-IT nach dem Geschäftsbedarf, den Chancen und den Geschäftsrisiken ausrichten
  • Daten und Know-how schützen.

@-yet Philosophie

Top Down Transparenz schaffen, Sicherheit managen, Schwachstellen gezielt bekämpfen

Eine Schwachstelle kann eine Bedrohung und letztendlich ein Unternehmensrisiko zur Folge haben. Die Einschätzung dieser Unternehmensrisiken erfordert:

  • Wissen, wie die Geschäfts- und Fertigungsprozesse von der verwendeten Information, den Daten und der IT abhängen und welche Anforderungen an die IT gestellt werden
  • Wissen über die Art, Rolle, Wege und Orte der Information, Daten und Abhängigkeiten in der IT
  • Wissen über die kritischen IT-Infrastrukturen, vorhandenen Schwachstellen und Bedrohungen hinsichtlich
                                     Continuity
    , Security und Compliance

  • Einschätzung der Wahrscheinlichkeit der Bedrohungsszenarien, die sich auf Grund der Geschäftsspezifik und Auslegung der IT (Technik, Organisation) ergeben
  • Wissen, welche Schaden und welche Konsequenzen diese Bedrohungsszenarien zur Folge haben können.

Risiken ermitteln
@-yet verfolgt konsequent diesen Ansatz und

  • erfasst, dokumentiert und modelliert die IT in einem transparenten Bezug zu den Geschäfts- und Fertigungsprozessen
  • nutzt durch die langjährige Erfahrung optimierte Methoden der GAP, Impact und Risikoanalyse zur Feststellung der Kritikalität der Geschäfts- Fertigungsprozesse und IT-Strukturen sowie der Risikoermittlung
  • passt diese Methoden an die Unternehmensspezifik an
  • betrachtet Bedrohungen mit
    • organisatorischem Hintergrund (übergreifende Sicherheitsprozesse, IT-Prozesse wie z. B. Design, Dokumentation, Change, Betrieb),
    • technischem Hintergrund (wie, z.B. IT Architektur, IT-Lösungen) und
    • physikalischem Hintergrund (Gebäude, RZ-Infrastruktur).

Mit Risiken umgehen, Sicherheit managen
Die Ergebnisse einer Risikoanalyse helfen zwar dem Unternehmen, gezielt entsprechende Maßnahmen zu treffen, stellen aber nur eine Momentaufnahme dar. Eine nachhaltige Sicherheit kann nur durch die Einführung von Sicherheitsprozessen sowie deren Integration in Unternehmens- und IT Service Management Prozesse und dem „Leben“ dieser Prozesse erreicht werden.

  • @-yet berät Unternehmen und konzipiert an die Unternehmensspezifik angepasste IT-Risiko und Information Security Management Systeme und deren Einführungen
  • @-yet sorgt dafür, dass die IT-Sicherheitssicht in alle wichtigen Unternehmens- und IT-Prozesse integriert ist
  • @-yet hilft den Verantwortlichen für die Informations- und IT-Sicherheit, die Sicherheitslage zu erfassen und die Sicherheit zu organisieren
  • @-yet unterstützt bei dem Aufbau und der Optimierung von effektiven IT Service Management Prozessen, die einen sicheren IT-Betrieb gewährleisten.

Business Continuity

Sicherheit gegen Ausfälle und unbeabsichtigte Notfälle

IT-Ausfälle (intern, Lieferanten), Planungsfehler, Sabotage und Cyber-Attacken, Datenverlust, höhere Gewalt u.v.m. können zu Ausfällen und unternehmensbedrohlichen Notfallsituationen führen. Eine Notfallsituation außerhalb der IT kann gesonderte IT-Lösungen erfordern.


@-yet Ansatz

Bezug zum Geschäft und Transparenz herstellen, Risiken einschätzen, Verfügbarkeit technisch und organisatorisch gewährleisten, Notfallrisiken absichern. Technische Lösungen, Organisation und Prozesse zu einer Einheit zusammenbauen.

  • Einführung von Anforderungsmanagement
  • Einführung von SLA's, IT-Verfügbarkeit, IT-Continuity, Change Prozessen und deren Integration in unternehmensweite BCM-, Risiko- und ISMS Prozesse
  • Business Impact Analyse (BIA)
  • Lasttest's
  • technische und organisatorische Verfügbarkeitslösungen (Anwendungen, Infrastruktur, Betriebsprozesse)
  • Backuplösungen
  • Notfallvorsorgekonzepte
  • Notfallhandbücher
  • technische Lösungen zur Absicherung von Notfallsituationen.

@-yet Ergebnis

  • Die IT-Störungen und IT-Ausfälle bleiben im tolerierbaren Bereich
  • die IT ist für mögliche Notfälle technisch und organisatorisch vorbereitet und in die Business Continuity Strategie integriert.

Business Security

Sicherheit gegen beabsichtigte Angriffe (Spionage, Sabotage), unbefugte Modifikationen und Know-how Verlust

Unüberschaubare und global verfügbare IT-Strukturen, Webserver, Websites, Internet-Kommunikation, mobile Geräte und externe Speichermedien bieten neue Angriffsflächen. Die mit Industrie-Spionage, Sabotage, Know-how Übernahme, Manipulation, Verfälschung, unberechtigtem Zugriff etc. verbundenen Gefahren wachsen.


@-yet Ansatz

Schwachstellen und Bedrohungen erkennen, Risiken einschätzen. Abwehrstrategie und Informationsschutz entsprechend der Unternehmensspezifik organisatorisch und technologisch ausrichten

  • Penetrationstests, Social Engineering, Source Code Checks, Check der webbasierten Prozesse und IT-Infrastrukturen
  • ganzheitlicher Check der Sicherheitslage (Anforderungen und Geschäftsspezifik, Prozesse, Organisation)
  • Check der RZ Infrastruktur (Gebäude, RZ Vorrichtungen)
  • Klassifizierung der Daten und Information
  • Policies und Richtlinien
  • Sicherheitskonzepte
  • Awareness-Strategien, Know-how Schutzkonzepte, ISMS Integration
  • technische Lösungen (Verschlüsselung / PKI, Schutz der mobilen Geräte, Virenschutz, Identity, Berechtigungen, Hardening von Anwendungen und IT-Infrastrukturen)
  • Konzeption und Einführung von Prozessen zur ganzheitlichen Überwachung und Management der Sicherheit
  • Einführung und Optimierung von IT-Prozessen.

@-yet Ergebnis

  • Effektiver und ganzheitlicher Schutz des Unternehmens, der Prozesse, der Information und des Know-hows.

Business Compliance

Konformität mit Gesetzen, Verträgen, internen Regelungen (Policies)

Die Anzahl der gesetzlichen Regelungen und Vorschriften, die den Umgang mit Information regeln und somit die Auslegung der IT bestimmen, wächst. Die IT-Leistungen werden zunehmend an Dritte vergeben (Outsourcing, Cloud). Sowohl die gesetzliche Lage, als auch die daraus resultierenden Haftungsrisiken und Konsequenzen sind komplex und schwer durchschaubar.

@-yet Ansatz
Erkennen, welche gesetzlichen Vorschriften gelten, welche Konsequenzen und Risiken damit verbunden sind und welche Maßnahmen ergriffen werden müssen.
In enger Abstimmung mit Fachanwälten und Datenschützern:

  • Gesetzkonformitätscheck
  • Beratung in rechtlichen Fragen, Datenschutz
  • Vertragschecks
  • interne Policies und Regelungen
  • Vorgaben für die IT-Organisation und IT-Betrieb
  • technische Lösungen (PKI, Loging, Mail-, Datenarchivierung)

@-yet Ergebnis

  • Schutz vor Haftungsrisiken
  • gesetzkonforme IT

IT-Forensik

Spuren sichern, kriminelle Handlungen ermitteln, Wiederholungen vorbeugen

IT-Forensik dient der Aufklärung krimineller Vorfälle im geschäftlichen Umfeld und behandelt die Untersuchung von verdächtigen Vorfällen im Zusammenhang mit IT-Systemen. Ziel ist es, den Täter zu ermitteln und die Sicherheitslücke zu schließen.

@-yet organisiert den Kontakt zu den staatlichen Behörden, die für die Aufklärung und für die Verfolgung relevant sind.

@-yet Unterstützung bei Analyse und Beweissicherung:

  • Definieren der spezifischen Vorgehensweise bei Verdacht krimineller Handlungen;
    wenn notwendig – in enger Abstimmung mit den Behörden
  • umfassende und gerichtsverwertbare Beweissicherung
  • fundierte Analyse und Auswertung der Beweise
  • Aufbereitung und Dokumentation der Angriffsszenarien.

 

end faq

© 2013 @-yet GmbH. All rights reserved.