Portfolio. Consulting. Portfolio Consulting Informationssicherheit

Transkript

1 Portfolio Antago GmbH Robert Bosch Straße 7 D Darmstadt Sitz der Gesellschaft: Darmstadt Registergericht: Darmstadt Tel.: Fax: Steuer-Nr.: Ust-IDNr.: DE sicherheit@antago.info Web: Konto-Nr.: BLZ: Sparkasse Dieburg HRB: Antago GmbH Geschäftsführer: . sicherheit@antago.info Mark Semmler, Web: Silke Thielmann Portfolio IBAN: DE BIC: HELADEF1DIE Seite 1 von 6

2 Allgemeines und wichtige Informationen Fragen Haben Sie Fragen zu unseren Dienstleistungen, die hier nicht beantwortet werden? Dann wenden Sie sich an unsere Ansprechpartnerin im Vertrieb Frau Silke Thielmann Tel.: Fax: Preise Sprechen Sie mit uns. Wir erstellen Ihnen gerne ein maßgeschneidertes Angebot. Vertraulichkeit Vertrauen ist wichtig besonders rund um die : Jeder Interessent erhält von uns eine Vertraulichkeits- und Datenschutzerklärung. Gerne unterzeichnen wir auch eine entsprechende Erklärung nach Ihren Vorgaben. Gültigkeit der Produktunterlagen Alle vorherigen Produktunterlagen über sconsulting verlieren ihre Gültigkeit. Änderungen und Irrtümer vorbehalten. Unsere AGB's sind Grundlage jedes Vertrages ( Antago GmbH . sicherheit@antago.info Web: Portfolio Seite 2 von 6

3 Unser Ziel: mit Augenmass Status Quo Der rasante Anstieg verfügbarer Informationen hat nicht nur unser privates Leben, sondern vor allem die Geschäftswelt stark verändert. Wissen und Information stellen in den meisten Unternehmen einen Produktionsfaktor dar, dessen Bedeutung stetig wächst. Den Vorteilen moderner Informations- und Kommunikationstechnik, insbesondere der Produktivitätssteigerung dank des schnellen und flexiblen Zugriffs auf Informationen, stehen spürbare Nachteile gegenüber. Systemausfälle können ganze Prozesse zum Erliegen bringen und jeder Schritt der Datenverarbeitung und -übermittlung birgt die Gefahr, dass relevante Informationen verfälscht werden, in unbefugte Hände gelangen oder schlicht verloren gehen. Neben den bekannten Schreckensszenarien von Außenangriffen durch Wirtschaftsspione, Viren oder Würmer sind es jedoch häufig interne Mitarbeiter, die - zum Teil ausgestattet mit einem fundierten Fachwissen über das Unternehmen - in der Lage sind, wertvolle Informationen auszuspähen oder zu stehlen. Oftmals sind es auch einfache menschliche Schwächen, wie Unwissenheit oder Fehlbedienungen, die zu schwerwiegenden Sicherheitsvorfällen führen können. Solchen Gefährdungen vorzubeugen und einen entsprechenden Schutz der Informationen zu organisieren ist die Aufgabe eines gut funktionierenden Sicherheitsmanagements, das für die Planung, den Einsatz und die Kontrolle von technischen Maßnahmen und für das weite Feld der organisatorischen Maßnahmen wie Sicherheitsregelungen, Schulungen und Notfallmanagement von zentraler Bedeutung ist. Was bedeutet? dient dem Schutz wichtiger Unternehmenswerte. Geschäfts-relevante Informationen, ob elektronisch gespeichert, in Papierform oder mündlich übermittelt, bilden die Grundlage sämtlicher Prozesse und die Voraussetzung für den Erfolg eines Unternehmens. Um schwer wiegende Verluste zu verhindern und das Vertrauen von Partnern und Kunden dauerhaft zu sichern, müssen Unternehmen drei Mindestanforderungen an ihre Daten stellen: Vertraulichkeit, Verfügbarkeit und Integrität. Dabei basiert in einem Unternehmen im Allgemeinen höchstens zu einem Drittel auf technischen Maßnahmen. Einen weitaus höherer Anteil fällt auf organisatorische und menschliche Faktoren. Im Mittelpunkt einer angemessenen, strukturierten Absicherung steht daher neben der Identifizierung geeigneter technischer Maßnahmen die Schaffung eines Sicherheitsbewusstseins (Security Awareness) und das Erarbeiten von klaren Leitlinien für die Benutzer und Administratoren in Form von smanagementsystemen und IT-Notfallhandbüchern. Nicht zuletzt ist Chefsache: Für Schäden durch Versäumnisse können Geschäftsführer und Vorstände persönlich haftbar gemacht werden. Daher liegt der Aufbau und die Pflege geeigneter Strukturen zur im Verantwortungsbereich der Unternehmensleitung. Antago GmbH . sicherheit@antago.info Web: Portfolio Seite 3 von 6

4 skonzepte für individuelle Bedürfnisse Die Ansprüche an die Sicherheit von Informationen, Daten und die IT-Infrastruktur sind von Unternehmen zu Unternehmen sehr verschieden. Aus diesem Grund müssen auch die Konzepte zu Absicherung unterschiedlichen Anforderungen genügen. Entwicklung von Konzepten Um die Ansprüche solcher Sicherheitsanforderungen langfristig zu erfüllen, ist ein strukturiertes Vorgehen unter Berücksichtigung technischer, organisatorischer und sozialer Aspekte sowie rechtlichen Rahmenbedingungen notwendig. Hierbei gilt es die individuellen Bedürfnisse Ihres Unternehmens zu identifizieren und das Sicherheitskonzept optimal in die vorhandenen Strukturen einzubinden. Welches Vorgehen das richtige ist, ist von Unternehmen zu Unternehmen unterschiedlich und hängt unter anderem von den folgenden Fragestellungen ab: Welche gesetzlichen Vorgaben (z.b.datenschutz, KontraG) existieren und wie sind diese zu erfüllen? Existieren Konzernrichtlinien, Vorgaben der Geschäftsleitung oder externer Partner, dies es zur berücksichtigen gilt? Ist ein Zertifizierung nach IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik oder nach dem internationalen Standard ISO vorgesehen? Benötigen Sie ein effizientes Risikomanagement vor dem Hintergrund eines optimalen Basel II Ratings? Ist der strukturierte Umgang mit Stör- und Notfällen geregelt? Risiken erkennen und bewerten Die erste Frage hinsichtlich der lautet oft: Was muss ich tun, um meine Informationen angemessen abzusichern? - Die Antwort darauf ist ganz einfach: So wenig wie möglich, so viel wie nötig. Um unverhältnismäßige oder unzulängliche Investitionen in Sicherheitsmaßnahmen zu erkennen, muss zunächst untersucht werden, welche Gefährdungen existieren und welche Risiken für das Unternehmen von diesen ausgehen. Konkret bedeutet das: Ist überhaupt ein Schaden durch eine Gefährdung zu erwarten, der eine Investition in Sicherheitsmaßnahmen rechtfertigt? Und wenn ja - Wie hoch ist der zu erwartende Schaden und wie wahrscheinlich ist es, dass dieser auch eintritt? Ziel ist es dabei, Risiken objektiv zu beurteilen und anschließend soweit zu reduzieren, dass das verbleibende Risiko quantifizierbar und akzeptierbar bleibt. Wie formuliert man Sicherheit? Um den Umgang mit Informationen im Unternehmen eindeutig zu regeln, Missverständnissen und Unkenntnis vorzubeugen und um das Vertrauen von Partnern und Kunden zu erhalten, sind Regelungen bezüglich der und des Umgangs mit Störungen und Notfällen unerlässlich. Zu bedenken ist, dass das alleinige Erstellen solcher Regelungen nicht automatisch dafür sorgt, das diese im Unternehmen auch gelebt werden. Damit sie von Mitarbeitern akzeptiert und umgesetzt werden, sollten sie sinnvoll in die Unternehmenskultur eingebettet und auf die vorhandenen Arbeitsprozesse abgestimmt werden. Etablierung eines smanagementsystems (ISMS) nach ISO/IEC 27001:2005 Das Sicherheitsniveau in einem Unternehmen hängt tatsächlich nur teilweise von der Effizienz der eingeführten Einzelmaßnahmen ab. Aufgrund der schnell fortschreitenden Veränderungen der Technik und der Anforderungen an die Sicherheit in einem Unternehmen sind Maßnahmen, die heute als sicher angesehen werden, diesen Veränderungen langfristig gegebenenfalls nicht gewachsen. Aus diesem Grund ist es sinnvoll, Strukturen in einem Unternehmen zu etablieren, die auf lange Sicht gewährleisten, Sicherheit in einem Unternehmen zu planen, umzusetzen, zu beobachten und im Bedarfsfall an neue Situationen anzupassen. Antago GmbH . sicherheit@antago.info Web: Portfolio Seite 4 von 6

5 Diese Strukturen werden als smanagement (ISM) bezeichnet. Das ihnen zu Grunde gelegte Prinzip des Planens, Umsetzens, Überprüfens und Anpassens (engl: Plan-Do-Check-Act) wird im Standard ISO (früher BS 7799) des British Standards Institute beschrieben. Damit liefert dieser Standard klare organisatorische Leitlinien zur Einrichtung und Aufrechterhaltung eines wirksamen smanagement für Unternehmen jeder Größe an die Hand. Darüber hinaus lässt sich durch eine Zertifizierung nach ISO/IEC 27001:2005 objektiv Ihr Qualitätsanspruch an die gegenüber Partnern und Kunden dokumentieren. Durch eine Zertifizierung nach wird somit nicht nur bestätigt, dass Sie die geltenden gesetzlichen Vorgaben von Basel II und KontraG erfüllen, Sie profitieren darüber hinaus von zahlreichen organisatorischen und betriebswirtschaftlichen Vorteilen: Unabhängiger Sicherheitsnachweis gegenüber Kunden, Geschäftspartnern und der Öffentlichkeit Systematische Kontrolle der IT-Risiken im Unternehmen Erhöhte Betriebssicherheit Vollständige Dokumentation aller sicherheitsrelevanten Strukturen und Prozesse Gesteigertes Sicherheitsbewusstsein der Mitarbeiter Effizienzsteigerung und Kostenreduktion durch optimierten, transparente Strukturen und Prozesse Wir bieten Ihnen unsere Unterstützung bei der Erstellung sämtlicher Regelwerke und Dokumentationen im Rahmen des smanagements an. Hierzu zählen unter anderem: Leitlinien zur Benutzerordnung im Umgang mit Informationen Sicherheitsvereinbarungen für externe Partner, Zulieferer, Kunden und Dienstleister Vertraulichkeitserklärungen Sicherheitsrichtlinien oder -Anweisungen Diese Dokumente stellen zentrale Elemente eines Sicherheitskonzepts dar und müssen daher mit großer Sorgfalt erarbeitet werden: Unterschiedliche Interessen innerhalb des Unternehmens müssen bei ihrer Erstellung zusammengeführt und verschiedene organisatorische, rechtliche und technische Rahmenbedingungen berücksichtigt werden. Hierzu ist ein strukturiertes Vorgehen unabdingbar: Antago GmbH . Web: Portfolio Seite 5 von 6

6 Wir bieten Ihnen darüber hinaus an, im Rahmen von Security Awareness Veranstaltungen das Sicherheitskonzept und die einzelnen Maßnahmen zu erläutern und ihm so zur Akzeptanz und Umsetzung zu verhelfen. IT-Notfallhandbuch Durch ein geordnetes, detailliert dokumentiertes und erprobtes IT-Notfallkonzept sind Sie in der Lage, im Fall der Fälle die Produktivität Ihrer IT-Infrastruktur und damit der von ihr abhängigen Produktionsabläufe umfassend wieder herzustellen und den wirtschaftlichen Schaden auf ein Minimum zu begrenzen. Auf Grundlage der Business Continuity Management Standards BSI und BS erstellen wir gemeinsam mit Ihnen ein umfassendes IT-Notfallkonzept in Form eines IT-Notfallhandbuchs - basierend auf der für Ihr Unternehmen individuellen Prozessdefinition und Risikoanalyse - und bilden dieses auf Wunsch in einer Software ab. Antago GmbH . sicherheit@antago.info Web: Portfolio Seite 6 von 6