Unter dem Informationssicherheitsmanagementsystem (ISMS) versteht man die Gesamtheit aller Prozesse und Assets, die zur kontinuierlichen Verbesserung der Informationssicherheit beitragen. Der kontinuierliche Verbesserungsprozess (KVP) ist bereits für andere Managementsysteme etabliert. Im Grunde genommen wird geregelt, dass man sich ständig Gedanken darüber macht, wie man Dinge besser machen kann, die Ideen umsetzt, die Wirksamkeit überprüft und dann wieder neue Maßnahmen sucht.
Der deutsche Mittelstand hat viele Gesichter und Größen. ISMS-Systeme lassen sich gerade dann für sehr unterschiedliche Unternehmensgrößen einführen, wenn die Flexibilität der Richtlinie groß ist und der Berater belastbare Erfahrungen für die Implementierung nachweisen kann.
Idealerweise bettet man ISMS-Prozesse in die bestehende Geschäftsprozesse ein, so dass man die vorhandenen Tools weiter nutzt und keine Insel-Lösung für das ISMS aufbaut. Security-Incidents lassen sich zum Beispiel mit dem Ticket-System bearbeiten.
Lediglich für spezielle Themen wie das IT-Risikomanagement stoßen Excel-Tabellen schnell an Grenzen, so dass spezielle Werkzeuge eingeführt werden sollten.
Ob Produktion oder Dienstleistung. ob 50 oder 5000 Mitarbeiter - ich führe ein ISMS-System in Ihrem Unternehmen ein. Nicht als Insel, sondern von Anfang an in Ihre Geschäftsprozesse integiert. So ensteht ein nachhaltiges, konsistentes Managementsystem, dass auch in einem Zertifizierungs-Audit besteht.
Sie wollen Ihre Active-Directory gegen Angriffe schützen, wissen aber vor lauter Empfehlungen nicht, wo Sie anfangen sollen? Zu allem Überfluss fordert Ihre Cyber-Versicherung auch eine belastbares Schutzkonzept?
Basierend auf Microsoft-Empfehlungen überprüfe ich in einem kurzen Audit den Security-Stand Ihrer AD. Sie erhalten einen übersichtlichen Bericht mit konkreten Handlungsempfehlungen, den ich Ihnen gerne persönlich erläutere.
Viele Angriffe auf Active-Directories verlaufen aus Angreifer-Sicht erfolgreich, weil die Struktur zu viele Möglichkeiten der Privilegien-Erweiterung zulässt. Anhand von sauber aufeinander abgestimmten Maßnahmen kann die Sicherheit der AD deutlich erhöht werden. Entsprechende Ihrer individuellen Wünsche und Möglichkeiten erarbeite ich Ihnen ein passenden Konzept und unterstütze gerne auch bei der Umsetzung.
Nur wer immer wieder seine Schwächen sucht, kann sich kontinuierlich verbessern.
Mit professionellen Tools (Tenable Nessus) finde ich die Schwachstellen Ihrer Infrastruktur. Sei es die Angriffsfläche von außen oder von einem internen Angreifer, der den Perimeter-Schutz schon überwunden hat. Die gefundenen Schwachstellen bereite ich in einem gut verständlichen Report auf und gebe Ihnen damit ein klares Arbeitspaket mit - ohne Firlefanz und Schnörkel.
Moderne Schwachstellen-Scanner können viel mehr. So kann zum Beispiel das bestehende Patch-Management verifiziert oder geplante Konfigurationen geprüft werden.
So finden sie die IT-Systeme, an denen Gruppenrichtlinien nicht funktionieren oder Schutzmaßnahmen ausgehebelt werden.
Auch Compliance-Anforderungen mit internen Richtlinien oder anerkannten Standards (CIS-Standards, PCI-DSS, etc.) lassen sich umsetzen.
Eine GAP-Analyse benötigt je nach Unternehmensgröße 2-3 Tage vor Ort. In diesen Tagen werden die vorhandenen technischen und organisatorischen Maßnahmen aufgenommen und von mir bewertet. Sie erhalten einen ausführlichen Bericht mit Empfehlungen zur Verbesserung des Status-Quo.
Die große Generalprobe vor dem Audit durch die VdS. Gezielt bringe ich meine Erfahrungen aus anderen Audits ein und bereite Ihr Unternehmen auf die Audit-Situation vor und informiere Sie, welche Nachweise üblicherweise gefordert werden. So vermeiden Sie Abweichungen im Audit und Nacharbeiten.
Mehrere Monate gehen üblicherweise in die Umsetzung der Verbesserungsvorschläge. In dieser Zeit betreue ich je nach Bedarf die Umsetzung inhaltlich und als Projektmanager. Auch die Formalitäten mit der VdS nehme ich gerne in die Hand.
Auf Wunsch begleite ich gerne das Zertifizierungsaudit. Aufgrund meines Erfahrungsschatzes erkenne ich frühzeitig Fehlentwicklungen in der Kommunikation und kann entsprechend gegensteuern bevor falsche Eindrücke entstehen.
Sie haben intern nicht den passenden Mitarbeiter für diese wichtige Position gefunden oder möchten einen Kandidaten erst ein wenig extern coachen?
Eine externe Besetzung des ISB ist für viele Mittelständische Unternehmen eine bevorzugte Variante. Gerne legen wir gemeinsam einen sinnvollen Umfang für die Betreuung fest. Gerade im Anschluss an eine ISMS-Einführung eine interessante Option für den kontinuierlichen Verbesserungsprozess.
Viele Tätigkeiten lassen sich auch durch Remote-Arbeit und Videobesprechungen erledigen. Das ist flexibler und schont die Umwelt.
ISO27001 und VdS10000 haben einige Mindestanforderung an die Richtlinien. Ich erstelle Ihne neue Dokumente oder ergänze bestehende Richtlinien - je nach Bedarf.
Vom Entwurf bis zur Inkraftsetzung vergeht oft viel Zeit, in der mit Stakeholdern Inhalte diskutiert und Anpassungen vorgenommen werden. Gerne stimmen wir die Inhalte gemeinsam ab und finden Formulierungen, die allen Beteiligten gefallen.
Auch wenn es oft gefordert wird: Ich halte wenig von Musterdokumenten. Richtlinien müssen zum Unternehmen passen und für die Mitarbeiter geschrieben sein. Wenn die Richtlinien nicht die Unternehmenskultur widerspiegeln, werden sie nicht gelebt.