Informationssicherheit

Informationssicherheit umfasst nicht nur die optimale Absicherung der IT-Systeme vor Bedrohungen, sondern auch die Transformation der potentiellen Schwachstelle Mensch (als OSI-Layer 8 ff.) in Organisationen und Staaten zu einem sicheren Teil des Systems.

Auch Telefone und E-Mail-Postfächer stellen "offene Ports" in den Infrastrukturen von Unternehmen und Behörden dar, an deren Enden keine Services sondern Menschen agieren. Darauf muss ein besonderer Fokus der Informationssicherheitsmaßnahmen liegen, denn Menschen sind bekanntlich komplexe Systeme und ihr Verhalten ist in hohem Maße beeinflussbar - im guten wie im schlechten Sinne (social engineering).

Gerade mit Blick auf die Informationssicherheit betrachten wir daher stets "soziotechnische Systeme" - also Technik, die von Menschen entwickelt, betrieben und genutzt wird - und sichern diese ganzheitlich gegen Bedrohungen ab.      

Ziel dieses standardisierten Beratungsangebots für Klein- und Kleinstunternehmen (mit bis zu 50 Beschäftigten) ist:

• die Erhebung des IST-Zustands,
• die Nennung eines Risiko-Status,
• die Visualisierung des Risiko­profils,
• die Nennung verständlicher Handlungsempfehlungen in einem standardisierten Ergebnisbericht.

Um Zeitaufwand und Kosten möglichst gering zu halten, ist eine digitale Durchführung des Beratungsprozesses mittels Video-Konferenz vorgesehen. Insgesamt sollte sich der Aufwand der Beratung auf 1 Personentag beschränken.

Das Assessment nach DIN SPEC 27076 verwendet standardisierte, offene und verständliche Fragen, aus deren Antworten sich ein realistisches Bild des Status Quo der Informationssicherheit im eigenen Unternehmen ablesen lässt. Priorisierte Handlungsempfehlungen in den sechs betrachteten Bereichen werden in einem Ergebnisbericht dargestellt. Außerdem werden den Unternehmen Hinweise auf Fördermöglichkeiten für Beratung zur Digitalisierung und Verbesserung der Informationssicherheit in Ihrem Bundesland und im Bund gegeben.  

Bei Interesse an unserem Beratungsangebot melden Sie sich gerne per E-Mail

Neben technischen Maßnahmen ist die Bedeutung der Organisation und des Menschen in Form personeller und organisatorischer Maßnahmen im BSI-Standard 200-2 umfassend verankert.

Der Standard etabliert drei Vorgehensweisen bei der Umsetzung des IT-Grundschutzes von der "Basis-Absicherung" oder alternativ der "Kern-Absicherung" als mögliche Einstiegsszenarien hin zur "Standard-Absicherung", die einen kompletten Sicherheitsprozess implementiert und kompatibel zur ISO 27001-Zertifizierung ist.

Wir unterstützen die Rolle des/der Informationssicherheitsbeauftragten in der Kundenorganisation dabei, die umfangreichen Anforderungen des IT-Grundschutz für ihre Organisationen zu priorisieren und in die Umsetzung zu bringen und das erforderliche Managementsystem (ISMS) zu etablieren.

Ebenso unterstützen wir Einführungsprojekte bei der Erstellung verfahrensspezifischer Informationssicherheitskonzepte für bestehende ISMS.  

Wir halten auch in diesem Bereich einen pragmatischen und agilen, iterativen Ansatz für zielführender als (jahre)lange Strategie-, Planungs- und Konzeptionsprojekte im Vorfeld der eigentlichen Umsetzung von Sicherheitsmaßnahmen.

Bei Interesse an unserem Beratungsangebot melden Sie sich gerne per E-Mail