Wir helfen Ihnen, Ihr wirtschaftliches Kapital zu sichern
Ganz gleich in welcher Branche Sie tätig sind: Ihre Daten sind ein Schlüsselelement Ihrer Leistung. Sie müssen vertraulich sein, aber zugänglich bleiben. Um dieses Kapital schützen zu können, müssen Sie vorausschauend auf verschiedenen Ebenen Ihrer Organisation handeln.
Die Sicherheit von Informationssystemen ist immer dann wichtig, wenn wertvolle Informationen geschützt werden müssen.
IS-Sicherheit nach Scalian
Festlegung der Ziele und der Strategie
Sicherheit Ihrer Informationssysteme: Worin liegen die Herausforderungen?
An der Cybersicherheit führt kein Weg vorbei, sobald ein wertvolles Informationskapital vorhanden ist, das Schutz benötigt. Im Zeitalter der Digitalisierung wird es auf den ersten Blick für selbstverständlich gehalten, dass für diesen Schutz die Akteure der Digitaltechnik zuständig sind. Die digitale Transformation erfordert jedoch die Ausarbeitung einer unternehmensweiten Strategie, die daher unter der Verantwortung des Managements steht. Denn die Sicherheit ermöglicht das Aktivieren der Marktstellungshebel, garantiert den Bestand der digitalen Systeme und somit die Resilienz der Organisationen. Folglich muss die Sicherheit während des gesamten Lebenszyklus in den Organisationen berücksichtigt werden.
Die Hebel der Möglichkeiten
Das Vertrauen in das Ökosystem, in dem sich die Organisation bewegt, ermöglicht:
- sich vom Wettbewerb zu differenzieren, indem ein breiteres Marktsegment angesprochen wird, insbesondere im Hinblick auf Kunden mit einem hohen Sicherheitsbewusstsein,
- den regulatorischen und gesetzlichen Kontext besser nachzuvollziehen und sich dazu auf ein Sicherheitsmanagement zu stützen, das an Änderungen der Gesetzen und Normen angepasst ist,
- in einem Klima des Vertrauens zu arbeiten, das die Beziehungen zu den Partnern und den Lieferanten sichert. Dies basiert auf einer Reihe von Prozessen, Methoden und Werkzeugen, mit denen die Herausforderungen geteilt und die Umsetzung der damit verbundenen Ziele industrialisiert werden können. Das Ziel ist, das Management der Cyber-Risiken im Zusammenhang mit Beschaffung und Outsourcing zu ermöglichen.
Garantie der finanziellen und operativen Leistung
In den Organisationen ist es gängige Praxis, die Leistungen der internen und externen Prozesse auf den Prüfstand zu stellen.
Die Sicherheit bleibt bei dieser Optimierung jedoch oft außen vor, weil man befürchtet, dass eine Reduzierung der Mittel automatisch negative Auswirkungen auf das Sicherheitsniveau des Unternehmens haben wird.
Scalian bietet an, die in den Sicherheitssystemen zur Verfügung stehenden Hebel regelmäßig zu nutzen, um entweder das Sicherheitsniveau zu erhöhen, ohne zusätzliche Kosten zu verursachen oder die Kosten zu reduzieren, ohne dabei die Leistungen zu schmälern. Die Scalian-Methode zur Optimierung der Cyber-Performance ist in zwei Schwerpunkte untergliedert:
- technischer Aspekt: die Wirksamkeit des Systems im Hinblick auf das erwartete Schutzniveau, d. h. die qualitative Betrachtung des Cyber-Risikos
- wirtschaftlicher Aspekt: die Dauer des ROI im Verhältnis zu den Kosten des Systems, d.h. die quantitativen Betrachtung des Cyber-Risikos
Implementierung des Sicherheitskonzepts
Um ein angemessenes Sicherheitsniveau bieten zu können, muss ein System implementiert werden, das die Lenkung und Kontrolle der Sicherheitsmaßnahmen in Übereinstimmung mit dem Managementsystem der Organisation gewährleistet.
Die Implementierung der Sicherheit muss auch technisch im Rahmen der Programme und Projekte des Unternehmens beherrscht werden. Es ist daher notwendig, die folgenden Ziele zu berücksichtigen:
- im Projektkontext: erfolgreiche Implementierung der Sicherheit im Rahmen der Projekte während ihrer Buildphase
- in einem allgemeineren Kontext: richtige Führung, Verwaltung und Koordination der Sicherheitsmaßnahmen innerhalb der Organisation
Scalian bietet seinen Kunden Unterstützung in folgenden Bereichen:
Governance und Management der Informationssicherheit:
- Unterstützung bei der Auslegung eines Informationssicherheits-Managementsystems (ISMS)
- Einführung eines Cyber-Sicherheitsplans, der den Rahmen für die Implementierung der Sicherheit in den Projekten und auf der Ebene der Lieferkette bildet
Management und Analyse der Cyber-Risiken:
- Kartierung der Cyber-Risiken in Bezug auf die operationellen Risiken
- Steuerung und Management der Cyber-Risiken während ihres gesamten Lebenszyklus (ERM)
- Anpassung der Methoden zur Analyse der Cyber-Risiken an die Besonderheiten des Kundenkontextes
Implementierung der Sicherheit im Rahmen der Programme und Projekte:
- Security by Design: Implementierung der Sicherheit bereits in den Architekturphasen mit Hilfe von Design Patterns, um die wiederkehrenden Kosten der Sicherheitsfunktionen zu reduzieren
- Secure Coding: Die Entwickler für Secure Coding sensibilisieren und den Quellcode analysieren, um das Risiko der Einführung von Schwachstellen während der Entwicklungsphase zu reduzieren.
- Verifizierung und Validierung der Sicherheit (V&V): Festlegung und Umsetzung einer Strategie für funktionale und technische Sicherheitstests, ergänzt durch eine spezielle Bewertungsphase zur Ermittlung der Robustheit der Entwicklungen gegenüber Angriffen.
- Sicherheitsakkreditierungen und -unterlagen: Festlegung und Umsetzung eines Sicherheitsentwicklungsplans im Rahmen der Projekte, um die Rückverfolgbarkeit der Sicherheitsrisiken und -ziele während der gesamten Buildphase zu gewährleisten, insbesondere zum Zweck der Akkreditierung oder Zertifizierung des Informationssicherheitssystems.
Operative Sicherheit
Die operative Sicherheit ist die letzte Phase des Lebenszyklus des Informationssicherheitssystems. Sie besteht aus einer Reihe von operativen Prozessen, die täglich durchgeführt werden, um die technische Angriffsfläche des Informationssystems gegenüber Bedrohungen und Angriffen zu reduzieren und das allgemeine Sicherheitsniveau des Informationssystems aufrechtzuerhalten.
Die Prozesse der operativen Sicherheit betreffen zwei Arten von Assets:
- im Projektkontext: Aufrechterhaltung des Sicherheitsniveaus der Projekte während der „Run“-Phase ihres Lebenszyklus,
- in einem allgemeineren Kontext: Aufrechterhaltung der Sicherheit des gesamten Informationssystems, das die gemeinsame technische Grundlage für die digitalisierten Prozesse des Unternehmens darstellt.
Für die Sicherheit Ihres Systems bietet Scalian Unterstützung in verschiedenen Bereichen:
Aufrechterhaltung der Sicherheit:
- Patch-Management
- Schwachstellenmanagement
Erkennung von Sicherheitsvorfällen:
- SOC Analysts (N1, N2, N3)
- Threat intelligence
- Vulnerability assessment
Krisenmanagement:
- Reaktion auf Vorfälle und Abhilfemaßnahmen
- Unterstützung des Krisenmanagements
- Forensik
Technische Audits und Bewertungen:
- Penetrationstests
- Architektur-Audit
- Organisatorisches und physisches Audit
Managed Services:
Scalian SOC: Scalian bietet sein SOC MSSP zur umfassenden Erkennung von Sicherheitsvorfällen auch als Managed Service an.
Scalian CERT: Das Scalian CERT bietet eine Incident-Response-Lösung in Form eines Servicekatalogs und von Servicepaketen. Das CERT erbringt Überwachungs- und Managementleistungen in den Bereichen Schwachstellen, Threat Intelligence, Incident Response sowie Forschung und Entwicklung, um die Detektionskapazitäten der SOCs zu verbessern.