 |
Entstehung von Risiken |
Unternehmen verfügen heute über historisch gewachsene IT-Infrastrukturen. Bei deren kontinuierlichem Aufbau waren viele Sicherheitsrisiken nicht bekannt, damals wenig bedrohlich oder sie wurden aus Kosten- und Effizienzgründen bewusst toleriert. Daher sollten, soweit noch keine Managementsystem für die IT-Sicherheit existiert, alle Maßnahmen zur Erhöhung der IT-Sicherheit mit einer Sicherheitsanalyse beginnen. Vorhandene Systeme, Applikationen und Verbindungen werden erfasst und relevante Risiken identifiziert.
In der Praxis kombinieren wir verschiedene Vorgehensweisen:
|
 |
Security Scan |
 | Automatisierte Ermittlung typischer Schwachstellen in Systemen und Netzwerken
|
| Falschwarnungen (false positives) werden manuell eliminiert
|
| Verbleibende Schwachstellen werden professionell analysiert
|
mehr ...
|
|
Penetrationstest |
| Gezielter Eindringungsversuch in ein System oder Netz
|
| Prüfung der technischen Sicherheit auf Herz und Nieren
|
| Antwort auf die Frage: Wie sicher ist das System gegen Angriffe auf Vertraulichkeit, Integrität und Verfügbarkeit? |
mehr ...
|
|
Security Audit |
Für die Gewährleistung kontinuierlicher IT-Sicherheit bedarf es eines methodischen Ansatzes. Die ESC betrachtet die IT-Sicherheit ganzheitlich aus organisatorischer und technischer Sicht. Während Security Scans und Penetrationstests lediglich Lücken ermitteln, soll das Management der IT-Sicherheit das Zusammenspiel der vernetzten Systeme, seiner Anwender, Administratoren und Manager organisieren und die Aufrechterhaltung dieser Sicherheit gewährleisten.
Bei Aufbau, Pflege und Revision des Managements von IT-Sicherheit beraten und auditieren unsere vom TÜV-IT zertifizierten Auditoren nach den internationalen Normen ISO 27001 und ISO 27002 (ehemals ISO 17799 und BS 7799):
| Genormte Methodik
|
| Best Practice Maßnahmeempfehlungen
|
| Unsere jahrelange Erfahrung im Bereich der IT-Sicherheit
|
| Einsatz der besten Werkzeuge
sind die Basis für gute Ergebnisse beim Aufbau und der Auditierung Ihres IT-Sicherheits Managements. |
mehr ...
|
|
Optimierung des Sicherheitsniveaus |
Das Ergebnis ist je nach Spezialisierungsgrad und Umfang des Auftrags ein detaillierter Katalog an konkreten Maßnahmen zur Erhöhung der IT-Sicherheit oder ein mehr oder weniger ausgearbeiteter Plan eines kompletten Managementsystems für IT-Sicherheit.
Die ESC verfügt mit 10 Jahren Erfahrung über umfangreiche Analyse- und Planungskompetenz. Die strikte Spezialisierung auf die Implementierung von IT-Security-Projekten und das Management der IT-Sicherheit stehen zusammen mit stetigen Hersteller-Zertifizierungen und Zertifizierungen nach internationalen Standards für die erforderliche Umsetzungskompetenz der ESC für die nachhaltige Verbesserung der IT-Sicherheit.
|
|
Orientierung an Standards |
| IT-Grundschutz nach dem vom Bundesamt für Sicherheit in der Informationstechnik (BSI) herausgegeben Grundschutzhandbuch
|
| ISO 27002, Internationaler Standard für Maßnahmeempfehlungen zur Erhöhung der IT-Sicherheit.
|
| ISO 27001, Internationaler Standard für Aufbau, Pflege und Revision von Systemen des Managements von IT-Sicherheit.
|
|
|
|