Antworten:
Geschäftsführer ACG Automation Consulting Group GmbH Frankfurt (Main)
- Eindeutiges Aufzeigen erkannter Risiken und deren Wirkung.
- Eine Gewichtung der Risiken auch nach wirtschaftlichen Aspekten.
- Konkrete Handlungsempfehlungen
1 passende Publikation von Gerhard Neidhöfer
Eine klar verständliche Übersicht der aktuellen Sicherheitslage sowie eindeutige Handlungsempfehlungen zur Abwehr erkannter Gefahren.
Eine Risikoabschätzung zu Haftungsgefahren für die Geschäftsleitung und IT Leitung (Garantenstellung) (EU DSGVO/BDSG, STGB 202, 203, usw.) sowie Handlungsempfehlungen.
Ein Überblick über aktuelle Cyberbedrohungen angepasst auf das jeweilige Unternehmen.
Principal Consultant für Datenschutz & Informationssicherheit Holliday Consulting Otzberg
Ein Bericht zur IT-Sicherheit oder umfassender Informationssicherheit (insbesondere organisatorische Maßnahmen und Unternehmensregelungen werden dann auch adressiert,
nicht nur die technischen) an die Geschäftsleitung sollte folgende Fragestellungen klären können oder zumindest klar legen, was zu tun ist, um je nach existierendem Bedrohungsumfeld ein angemessenes Sicherheitsniveau zu erzielen:
1.) Existiert ausreichendes Wissen in ausreichender Form dokumentiert über die Grenzen des
vernetzten Unternehmens unter Einbeziehung von gegebenen Netzwerk-Topologien,
drahtlos und/ oder Remote-Verbindungen inklusive angewendeter auch
unautorisierter Cloud-Lösungen?
2.) Haben wir ein genaues Inventar aller IT-Wertobjekte (Assets)? Wie wird das Update dieser
Objekte/ Geräte zeitnah sichergestellt und verwalten wir ein Konfigurationsprofil (CMDB)
für diese Objekte/ Geräte?
3.) Wissen wir, wer zur IT unseres Unternehmens Administratorzugriff hat (priveligierte Rollen
und Konten)? Wissen wir, wer auf unsere Geräte / Systeme zugreift und was sie tun,
wenn diese darauf zugreifen? Welche Zugriffe werden davon protokolliert? Werden diese
Protokolle einem Review - mit machineller Unterstützung oder nur manuell? - wie oft
unterzogen?
Was passiert, wenn Mitarbeiter insbesondere Administratoren aus unserem Unternehmen
ausscheiden oder krank werden oder Urlaub haben?
4.) Haben wir einen ausgearbeiteten Lebenszyklus von Software und Hardware-Assets?
Können Sie mir die Ergebnisse unseres letzten Patch-Management-Zykluses zeigen?
5.) Haben wir einen effektiven Software- / Anwendungsentwicklungsprozess? Verwenden wir
mittels eines Modells getriebene Bedrohungsanalyse (Threat Model Analysis), wenn nicht,
wie treffen wir sicherheitsbezogene Entscheidungen?
Können Sie mir eine Musterrisikobewertung für eines unserer kritischen Datenbestände
zeigen?
6.) Wie katalogisieren wir unsere kritischen, sensitiven Datenbestände und wie schützen wir
sie anders als wenig bedeutendere Datenbestände?
7.) Wie erkennen wir ungewöhnliche Benutzer- oder Netzwerkaktivitäten innerhalb unseres
Unternehmensnetzwerks? Enthält das auch unsere Hosted / Cloud-Umgebungen?
8.) Welche Mechanismen haben wir eingerichtet, um sicherzustellen, dass ungeschützte,
sensible Daten nicht das Unternehmensnetzwerk verlassen? Enthält das auch unsere
Hosted / Cloud-Umgebungen?
9.) Was sind die Indikatoren für eine Kompromittierung unseres Netzwerks, wie würden Sie
das erkennen? Können Sie der Geschäftsführung bestätigen, dass wir nicht bereits
kompromittiert wurden?
10.) Haben wir ausreichend detaillierte, umfassende und relevante Richtlinien und Verfahrens-
anweisungen? Wann und wie wurden sie zuletzt auf ihre Wirksamkeit überprüft?
11.) Welche Standards haben wir verwendet, um das Rahmenwerk für unsere Informations-
sicherheit (Information Security Framework) und unsere Richtlinien zu erstellen?
12.) Gibt es ein standortübergreifendes (nicht nur IT-) Risikomanagement-Team?
Arbeiten sie mit den Fachabteilungsleitern in angemessener Sorgfalt (Due Diligence) zur
Festlegung von Sicherheitszielen und -Maßnahmen zusammen? Sind die Fachabteilungen
ausreichend kooperativ und zuarbeitend?
13.) Was war unser kritischster Cybersicherheitsvorfall im vergangenen Quartal oder wann war
der letzte? Was war unsere Reaktion darauf? Was haben wir daraus gelernt und
umgesetzt?
14.) Wie reif ist unser Reaktionsplan bei Sicherheitsvorfällen, wann wurde er zuletzt getestet
und wer war daran beteiligt?
So in etwa könnte der Fragenkatalog aussehen, dessen stichhaltige Beantwortung Sie wirklich durch den Bericht zur IT-Sicherheit oder - umfassender und besser - zur Informationssicherheit bezüglich der Niveaubeurteilung Ihrer Unternehmenssicherheit weiterbringt.
3 passende Publikationen von Frank W. Holliday