Wozu einen GRC, Security und Infrastruktur-Fachmann?

gehirn

Das Gehirn ...ist kein Problem.

Aber:

 
 

Wir nutzen nur 10% unseres IT-Potentials!

erstauntes gesicht

   

Also gut, ganz so schlimm ist es wohl nicht; trotzdem kennen Sie sicherlich diese Fragen:

  • Um wie viel würde uns ein ganzheitliches Konzept weiterbringen?
  • Könnten wir die ganzen Ressourcen nicht so viel effektiver nutzen?
  • Sollten wir nicht viel besser geschützt sein? Oder reicht weniger? Was ist unser Risiko?
 

 Hier gibt es Antworten und Hilfe zu den wirklich wichtigen Themen Ihrer IT: Strategie, Organisation, Sicherheit und Kosten

 

rettungsringFragen Sie den Fachmann                               Certified CISSPCISM, Certified ISO 27001 auditor

 

schluessel GRC* / Security

chip IT Infrastructure

bombeCrisis Managemement

 

*Governance, Risk & Compliance

 

Neue Zertifizierung für Cloud Provider UND Anwender

notepadDie neuen Zertifizierungen TrustedCloudProvider und CloudReadyEnterprise sind passend zueinander für CSPs und Anwender entwickelte Instrumente, um Voraussetzungen für einen erfolgreichen Cloudeinsatz zu schaffen: Sie bringen Angebote und Erwartungen in Einklang, schaffen Transparenz und somit Vertrauen und unterstützen die Anwender bei der Vorbereitung eines systematischen Cloud-Einsatzes.

[ mehr erfahren... ]

2016: Was GARTNER über die Zukunft der IT Security denkt

gartnerArticleIn einer Veröffentlichung vom 25. Juni 2016 wagt GARTNER einige Vorhersagen über die Entwicklung im Bereich Security.

Darin macht der Autor Kasey Panetta Weissagungen, die in ihrem Neuigkeitswert von "Binsenweisheit" bis "Augenöffner" reichen.

Zu erster Kategorie zählt die Aussage, daß auch 2020 noch 99% der ausgenutzten Schwachstellen den Fachleuten bereits mindestens ein Jahr bekannt sind. Auch die Tatsache, daß ein Drittel der erfolgreichen Angriffe auf Unternehmen auf deren Schatten-IT erfolgt überrascht nicht: Ich denke, bei vielen Unternehmen wird das genau dem Anteil an der Gesamt-IT entsprechen.

Schon spannender ist der Orakelspruch, daß die Notwendigkeit Datenlecks zu vermeiden bis 2018 ganze 20% der Firmen dazu treibt, ein Data Security Governance Programm entwickeln. Hier sehe ich einen qualitativen Fortschritt in der Informationssicherheit und würde mir sehr wünschen, daß der Fachkollege damit recht behält.

Auch sehr positiv finde ich die Erwartung, daß bis 2020 immerhin 40% der Firmen, die nach devOps-Gesichtspunkten entwickeln auch automatisierte Sicherheits-Tests in ihren Testkanon aufnehmen. Andererseits schade, daß es "nur" 40% sind.

Aber das hier ist erschreckend: Laut Gartner sind bis 2018 keine 50% der IoT Hersteller in der Lage, Gefahren durch schwache Authentisierungspraktiken abzufangen - zumal bis 2020 angeblich 25% aller festgestellten Angriffe auf Unternehmen IoT Technologie einschließen (wobei auf IOT-Sicherheit nur 10% des Security-Budget verwendet werden).

Andererseits dürfen wir uns darauf freuen, daß vorgeblich bis 2019 die Nutzung von Passwörtern und Tokens im mittleren Risikobereich um 55% zurückgehen wird - dank Erkennungstechnik (biometrisch und analytisch). Ich persönlich halte diese frohe Kunde aber für etwas zu optimistisch (und hoffe, daß ich mich täusche).

Vielleicht des Guten zuviel: Bis 2020 werden 80% aller Cloud Access Security Broker (CASB)-Lösungen mit umfangreichem Featureset wie Netzwerk-Firewall, WAF und sicherem Web Gateway ausgestattet sein. Ob dieses Bundling Sinn macht muß jeder für sich entscheiden.


English Summary

eu-flagCome and seek for the support of a certified, experienced IT security and infrastructure expert and auditor, operating locally in Germany, but as well in Europe and abroad. The offered services include, but are not limited to, datacenter infrastructure strategy consulting with respect to contemporary challenges like cloud strategy or Software-Defined Datacenters, IT Security consulting with an ISO27001 background, following CoBIT methodology, IT Security product certification consulting and selection based on Common Criteria and IT Crisis Management for global players.

 

Verlängerte Aktion: Gratis ISO 27001 Check

splash

Ist ihr ISMS fit für eine Zertifizierung?

In Zusammenarbeit mit der QMBC U.G. stellen wir Ihnen auf dieser Seite einen Fragenkatalog zur Verfügung, mit dem Sie den Stand ihres ISMS mit der Norm abgleichen können.
Dies ersetzt natürlich keine Überprüfung ihres ISMS. Sie erhalten eine Auswertung, die ihre Anworten mit dem Anforderungskatalog der ISO27001 abgleicht.

Erstellen Sie ein Benutzerkonto (Keine Klarnamenpflicht! Kein Newsletter!): Anmeldung

Mit Ihrem Benutzerkonto können Sie die Analyse beginnen oder fortsetzen: Einloggen 

Was bedeuten Zertifizierungen von ISC² und ISACA?

Das Bundesamt für Sicherheit in der Informationstechnik schreibt dazu:ISC2 logoISACA logo

Zertifizierung von Personen

Sollen IT-Dienstleistungen oder Sicherheitsdienstleistungen wie beispielsweise Beratungen zur Verbesserung eines Sicherheitsmanagementsystems beauftragt werden, sollte überlegt werden, hierfür auf entsprechend zertifizierte Personen zurückzugreifen.

Es gibt eine Vielzahl von Zertifikaten, mit denen Personen ihre Qualifikation in bestimmten Bereichen nachweisen können. Dabei gibt es diverse Personenzertifizierungen, die sich speziell an den Bereich Informationssicherheit bzw. Datenschutz richten. Hierzu gehören beispielsweise

  • CISSP (Certified Information Systems Security Professional) und weitere Personenzertifikate von (ISC)², einer unabhängigen Vereinigung von Sicherheitsexperten weltweit
  • TISP (TeleTrusT Information Security Professional), ein auf den deutschsprachigen Markt fokussiertes Expertenzertifikat von TeleTrusT, einem deutschen Sicherheitsverband
  • CISA (Certified Information Systems Auditor) und CISM (Certified Information Security Manager) sind Zertifikate von ISACA, eines Berufsverbandes der IT-Revisoren und Sicherheitsmanager
  • IT Security Coordinator nach ISO 17024
  • Für die deutschen Behörden zertifiziert die Bundesakademie für öffentliche Verwaltung (BAköV) in Zusammenarbeit mit dem BSI "IT-Sicherheitsbeauftragte in der öffentlichen Verwaltung".

Diese Zertifikate genießen insgesamt eine relativ hohe Anerkennung, da für deren Erwerb klar definierte, praxisnahe und nachvollziehbare Kompetenzen und Qualifikationen nachzuweisen sind. Im Vorfeld der Zertifizierung muss das hierfür notwendige Wissen durch Ausbildung und Berufserfahrung erworben werden, für die Aufrechterhaltung des Zertifikates muss außerdem nachgewiesen werden, dass sich die Inhaber regelmäßig in ihrem Fachgebiet weiterbilden.

 

Quelle: https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/m/m02/m02066.html

 

 

Ungenutzte Chancen, Teil 1: Crisis Mangement

Selten hat die IT eine bessere Gelegenheit, sich zu profilieren!

Jeder weiß es, auch und gerade in der Geschäftsleitung: Fehler passieren, Ausfälle kommen vor.testbild
Aber wenn's mal "scheppert" und aller Augen auf die IT gerichtet sind - da könnte man mal zeigen, was man wirklich drauf hat!

 

Die Informationstechnik moderner Unternehmen leistet einen substanziellen Beitrag zur Wertschöpfung; die Gefahr eines Ausfall rückt in zunehmendem Maße in das Blickfeld der Geschäftsleitungen. Sollte der IT-Notfall eintreten, sind die vorhandenen Planungen gerade im Mittelstand oftmals nicht ausreichend, um des Problems Herr zu werden. Hilfe von erfahrenen Fachleuten kann sowohl im Vorfeld als auch in der konkreten Situation helfen, den Schaden zu begrenzen.

 

Angebotene Leistungen: Emergency Response

  • Krisenmanagement
    Feststellung von Sachstand und Meßgrößen
    Etablieren geordneter Kommunikationswege auf technischer und dispositiver Ebene
    Sachliche Fokussierung auf erreichbare Lösungsoptionen
    Übergang zu Normalbetrieb
  • Business Continuity Planung
    inklusive
    Impact Analysis und
    Risk Analysis
  • Disaster Recovery Planung

 

Ungenutzte Chancen, Teil 2: Cloud Integrated Infrastructure

Womit senkt man Kosten und Risiken? Mit geplanter Phantasie!

Glauben Sie nicht? Dabei ist es tatsächlich so: Chancen und Potentiale nutzen, aber Gefahren clever umgehen - das erfordert zunächst eine Vision, im Sinne einer gedanklichen Reise in die Zukunft; im zweiten Schritt entwickelt man daraus einen Plan.betterFasterCheaper

 

Der Begriff IT Infrastructure beschreibt “...die Gesamtheit aller technischen und logischen Elemente innerhalb einer Organisation, die zur automatisierten Informationsverarbeitung eingesetzt werden.” (wikipedia). Gerade in den letzten Jahren wurden Konzepte, die vom  Hosting abgeleitet und unter dem Oberbegriff Cloud vermarktet wurden, für Firmen jeder Größe interessant. Dabei ist sorgfältige Planung bei der Einbindung dieser Ansätze für die Stabilität und Sicherheit der Umgebungen oberstes Gebot.

 

Angebotene Leistungen: Cloud Integration

  • IT Infrastructure-und Bottleneck-Analysen
  • Beratung, Konzepterstellung, Projektdurchführung von Server- Client- und Storagevirtualisierung inklusive
  • Begleitung von Ausschreibungen unter Berücksichtigung von Produktstandards wie Common Criteria
  • Vorbereitung und Begleitung von Datacenter Zertifizierungen
  • Erstellung und Einführung von Cloud-Strategien

Ungenutzte Chancen, Teil 3: Governance, Risk, Compliance und Security

Verrückt: Weniger Sicherheit kostet mehr.

Sie denken: "Na, diese Sprüche kennen wir schon" - stimmt; nur warum handelt dann keiner danach?schirm
Sie antworten: "Ganz einfach, weil's so kompliziert und teuer ist." - das wiederum stimmt nicht, man muß es nur richtig anfangen.

 

In den vergangenen Jahren wurde die strategische Bedeutung der EDV für viele Unternehmen offensichtlich, und ebenso ihre Verletzlichkeit. Konsequenterweise erlebte die IT Security eine große Aufwertung, allerdings hat sie sich teilweise verselbständigt bis hin zur Behinderung der Unternehmensziele.

Die methodischen Instrumente der IT Governance sollen nun “...den optimalen Betrieb zur Erreichung der Unternehmensziele sicherzustellen und Strategien für die zukünftige Erweiterung des Geschäftsbetriebes zu schaffen.” (wikipedia).

Eng mit diesem Thema verknüpft ist das Feld der IT Compliance, bei der “...die Einhaltung der gesetzlichen, unternehmensinternen und vertraglichen Regelungen im Bereich der IT-Landschaft” (wikipedia) im Vordergrund steht.

 

Angebotene Leistungen: GRC / Security

Erstellung, Prüfung und Pflege von

  • IT Leitlinien,
  • IT Security Strategien,
    Sicherheitsleitlinien
  • Business Continuity Planung
    inklusive
    Impact Analysis und
    Risk Analysis
  • Begleitung bei Produktzertifizierungen nach Common Criteria

Methodische Grundlagen:

  • ITIL
  • IT Grunschutz
  • ISO 27001
  • CoBIT
  • Common Criteria

SeitTest-Zertifikat