Massnahmenkonkretisierung - IT-Audits mit EISA-Projekt

IT-Audits mit EISA-Projekt - Enterprise IT-Security Analysis

Vorgehensweisen / Abgleichphase

Massnahmenkonkretisierung mit Priorisierung

Während in der Phase C die Informationen ausschließlich unter dem Gesichtspunkt der IT-Sicherheit bewertet wurden, erfolgt in der Abgleichphase ein Abgleich und eine Relativierung der Relevanz unter Berücksichtigung der Zwänge eines wirtschaftlich arbeitenden Unternehmens.

Themenübersicht

	Voraussetzungen für die Abgleichphase
	Aktivitäten in der Abgleichphase
	Ergebnisse in der Abgleichphase
	Präsentation der Ergebnisse
	Mögliche Entscheidungen des Managements
	Weitere Informationen

Voraussetzungen für die Abgleichphase

Der vorläufige IT-Sicherheitsbericht ist erstellt und an den Kunden ausgeliefert

Es soll eine Priorisierung der emfohlenen Massnahmen vorgenommen werden.

Sofern keine Abgleichphase (optional) erfolgt, ist der vorläufige IT-Sicherheitsbericht gleichzeitig der Abschlussbericht.

Aktivitäten in der Abgleichphase

Es findet ein zweiter Workshop statt. Es gilt drei an sich widersprüchliche Ziele (IT-Sicherheit, Wirtschaftlichkeit und Benutzbarkeit) in Beziehung zu setzen. Dies geschieht in einem Review der gefundenen Ergebnisse und des nach Risikoklassen sortierten Massnahmenkatalogs aus der Phase C. Das Review erfolgt in einem Workshop (Workshop II). Danach wird die Phase C teilweise wiederholt, um neue, aktualisierte Berichte zu generieren.

Im Einzelnen ist folgendes zu tun:

Die Ergebnisse werden falls nötig korrigiert (z.B. weil IT-Systeme einem ständigen Wandel unterworfen sind), und schließlich priorisiert.
Alle gefundenen Ergebnisse hinsichtlich IT-Sicherheit, Wirtschaftlichkeit und Benutzbarkeit werden mit den IT-Verantwortlichen diskutiert.
Identifizierung der leicht umzusetzenden Massnahmen. Diese können von der bestehenden IT-Organisation meist ohne großen Aufwand von Personal, Zeit und Geld mit "Bordmitteln" umgesetzt werden. Erfahrungsgemäß kann eine Verbesserung der IT-Sicherheit von 10 bis 15% erzielt werden, wenn diese Massnahmen umgesetzt werden.
Alle Änderungen werden einer erneuten Risikobewertung unterzogen.
Die vorherigen Berichte werden neu erstellt
Alle entscheidungsrelevante Daten werden dem Management des Kunden anschliessend in Form einer auswertbaren Datenbank zur Verfügung gestellt.

Ergebnisse in der Abgleichphase

Es ergeben sich folgende zusätzliche Informationen im IT-Sicherheitsbericht:

Ein nach Prioritäten hinsichtlich unternehmensrelevanter Bedingungen und Möglichkeiten sortierter Massnahmenkatalog.
Liste mit in der bestehenden Organisation leicht umzusetzenden Massnahmen.
Auswertbare Datenbank mit allen entscheidungsrelevanten Daten aus dem IT-Audit im Format Microsoft Access 2000 (Auf Wunsch auch in anderen Versionen).

Die Umsetzung der empfohlenen Massnahmen ist nicht Teil dieser Beauftragung. Das Beratungsteam bietet selbstverständlich seine volle Unterstützung an, wenn Sie bei der Umsetzung Hilfe brauchen.

Präsentation der Ergebnisse

Die Ergebnisse werden von in einer Präsentation vor Ort dem Kunden vorgestellt. Zeitbedarf ungefähr 1 Tag (auch wenn der eigentliche Vortrag nur eine halbe Stunde dauert). Die Präsentation ist optional und gesondert in Auftrag zugeben.

Mögliche Entscheidungen des Managements

Das Unternehmen besitzt mit den Massnahmenkatalogen und den überigen Informationen des IT-Sicherheitsberichts, der für jeden geprüften IT-Bereich und für das Unternehmen als Ganzes erstellt wird, ein Minimal-Sicherheitskonzept. Es können nun folgende Entscheidungen getroffen werden:

Einfach nichts tun - Die vorhandenen IT-Sicherheitsmassnahmen aufgrund der Analyseergebnisse für ausreichend erklären und das evtl. noch bestehende Restrisiko akzeptieren.
Sofortmassnahmen ergreifen - Die empfohlenen Sofortmassnahmen (nur wenn Abgleichphase erfolgt ist) umsetzen lassen. Mögliche Verbesserung der IT-Sicherheit ohne grossen Aufwand ca. 10 - 15%. Restrisiko akzeptieren. Evtl. noch vorhandene Schwachstellen weiter beobachten lassen.
Schwachstellen beseitigen - Mindestens die empfohlenen Massnahmen der Risikoklasse "1" (Hohes Risiko = Schwachstelle) sofort umsetzen lassen. Wenn das damit erreichbare IT-Sicherheitsniveau noch nicht ausreicht, weitere Massnahmen der Risikoklasse "2" (Mittleres Risiko) umsetzen. Statt Risikoklasse ist die Priorität zu nehmen, wenn Priorisierung erfolgt ist.
Minimal-Sicherheitskonzept umsetzen - Alle empfohlenen Massnahmen umsetzen lassen entsprechend der durch Risikoklasse oder Priorität gegebenen Rangfolge. Das Unternehmen implementiert damit das durch den Massnahmenkatalog empfohlene Minimal-Sicherheitskonzept.
Globales IT-Sicherheitskonzept aufstellen lassen - Darüberhinaus kann das Management entscheiden, ein globales unternehmensweites IT-Sicherheitskonzept in Auftrag zu geben.

Die Umsetzung der empfohlenen Massnahmen oder die Erstellung eines "richtigen" globalen IT-Sicherheitskonzepts stellt ein neues Projekt dar, welches auf den Ergebnissen des EISA-Projekts aufsetzt. Wir unterstützen Sie gerne bei dem Werdegang hin zu einem "sicheren" Unternehmen.

Für weitere Auskünfte oder für einen Termin zur Kontaktaufnahme wenden Sie sich bitte an untenstehende Anschrift. Wir werden uns kurzfristig bei Ihnen melden.

Weitere Informationen

Das Vorgehen in EISA-Projekten folgt dem Phasenmodell - IT-Audits mit EISA-Projekt

Projektphasen bei EISA-Projekten:

A - Vorbereitungsphase (Workshop)
B - Erhebungsphase (Interviews)
C - Auswertungsphase (IT-Sicherheitsanalyse)
D - Abgleichphase (Priorisierung der Massnahmen)

Für weitere Auskünfte oder für einen Termin zur Kontaktaufnahme schreiben Sie uns bitte ein Mail, welches wir zeitversetzt aber kurzfristig beantworten werden.