Beratungsleistungen

IT Security Audit

Ein Security Audit ist ein regelmäßiges Überprüfungsverfahren für IT-Sicherheitsprozesse

Das Security Audit geht auf einzelne Aspekte der IT-Sicherheit vertieft ein und nutzt Checklisten zur Erhebung.

Ziele eines IT Security Audits

Das Security Audit verfolgt eines oder mehrere der folgenden Ziele:

  • Überprüfung vorhandener Sicherheitsprozesse auf ihren Erfüllungsgrad
  • Erhöhung des Reifegrades eines Prozessmodells (z.B. nach ITIL) und Unterstützung der regelmäßigen Verbesserungen
  • Identifizierung von Systemlücken, die Risiken verdecken

Vorgehen bei der Security-Überprüfung

Die Experten von Pallas gehen dabei in den folgenden Schritten vor:

  • Bewertung vorhandener Prozesse und ihrer aktuellen Ergebnisse durch einen Soll-Ist-Vergleich
  • Heranziehung komplementärer Dokumente, die auf die Sicherheitssituation Einfluss haben können
  • Interview mit Prozess- und Ergebnisverantwortlichen
  • Befragung weiterer Kommunikationspartner im Unternehmen
  • Niederlegung der Ergebnisse im Audit-Report
  • Präsentation und Diskussion der Ergebnisse

Audit-Report

Der Audit-Report hält geprüfte Elemente, potentielle Sicherheitsrisiken sowie Ziele und Maßnahmen zur Mitigation oder Behebung von Risiken nebst Priorisierung fest.

Infrastrukturanalyse

Pallas führt Infrastrukturanalysen mit zwei Schwerpunkten durch: Security und Performance

Unsere jahrzehntelange Betriebserfahrung von komplexer IT-Infrastruktur nutzen unsere Kunden auch, um eigene Betriebsprobleme in den Griff zu bekommen. Meist handelt es sich dabei um Troubleshooting-Einsätze.

IT-Security-Analyse / Schwachstellenanalyse

Der einfachste Einstieg in die Verbesserung der IT-Sicherheit ist die Schwachstellenanalyse. Dabei überprüft ein Experte mit einem Basis-Check das IT-Management und durch eine Begehung exemplarisch die gesamte IT-Infrastruktur (Netzwerkkomponenten, Server- und Arbeitsplatzsysteme sowie die Umgebungsinfrastruktur). Die Konzentrationauf Kernbedrohungen und kritische Systeme sorgt für niedrige Kosten. Ergebnis ist ein Bericht, der die sicherheitskritischen Schwachstellen nach Risikoklassen bewertet. Maßnahmen zur Milderung oder Behebung der Schwachstellen in einer der Kritizität entsprechenden Reihenfolge werden ebenfalls festgehalten.

IT Performance

Die Betriebserfahrung von Pallas wird auch genutzt bei Performance-Engpässen von Kunden-Infrastruktur. Dabei spielen oft viele Komponenten wie Server, Betriebssystem, Anwendungen, Netzwerk, LAN, WAN und ihre Ausprägung und Konfiguration eine Rolle. Für das Troubleshooting werden verschiedene Indikatoren herangezogen, z.B. Traces, Thread Logs, Oracle Logs, Datenbankabfragen, Quellcodeanalysen sowie Security und Technical Alerts der betreffenden Hersteller.

Mehr erfahren:
Professioneller und performanter Betrieb von Livelink Content Suite [152 KB]

ISMS

Pallas hilft bei der Einrichtung und Entwicklung eines Information Security Management Systems

Eine organisatorisch dauerhaft gut fundierte IT-Sicherheit erreicht man am besten mit einem Information Security Management System (ISMS). Das ISMS ist eine Sammlung von Prozessen, Verfahren und Regeln, um die Informationssicherheit dauerhaft zu steuern und damit auf einem geeignet hohen Niveau zu halten.

Warum ISMS

Ein ISMS sichert

  • die schriftliche Fixierung von Sicherheitszielen nebst zugehörigen Konzepten und Prozessen sowie technischen Anweisungen und Protokollen,
  • einen jährlichen Plan-Do-Check-Act-Zyklus und damit letztlich
  • die systematische Betrachtung und Verbesserung der IT-Sicherheit.

Das Pallas-Modellkonzept

Für ein ISMS bildet die Norm DIN ISO/IEC 27001 oder der BSI-Standard 200-1 eine verlässliche Basis. Beim Start verfügt ein Unternehmen aber kaum über Erfahrungswissen, deshalb liegt es nahe, die Pallas-Experten hinzuzuziehen. KMU-tauglich wird das ISMS durch das Pallas-Modellkonzept:

  • O: Organisatorische Festlegungen
  • P: Prozessbeschreibungen für Security-Management und Risikoanalyse
  • E: Einzelrisikobewertungen für die Assets unter bestimmten Security-Szenarien und durch die in der Norm vorgegebenen Maßnahmen-Controls
  • S: Einführung eines Softwaretools zur Unterstützung des ISMS (optional)

Als Ergebnis fördert das ISMS den bewussten Umgang mit und die Verringerung von Risiken. Diese ganzheitliche Betrachtung sorgt für eine bessere Koordination von Sicherheitsmaßnahmen und vermeidet Lücken genauso wie Überschneidungen. Nicht zuletzt wird so die Erfüllung gesetzlicher und vertraglicher Anforderungen sichergestellt.