CC Charisma mit 360 Grad-Ansatz

Ein Optimum an Informationssicherheit ist nur durch eine nahtlose Integration der verschiedenen Teildisziplinen zu erreichen. Doch das Gegenteil ist zuletzt entstanden: Die deutlich gestiegenen Anforderungen haben häufig zu Silo-Strukturen mit unterschiedlichen Organisations- und Zuständigkeitsbereichen geführt. Die Konsequenz: Die gegenseitigen Bedingungsverhältnisse einschließlich der Überschneidungsbereiche zu Nachbardisziplinen werden nur begrenzt wahrgenommen. Damit entstehen an den Schnittstellen ungewollte Sicherheitslücken, außerdem steigt der Aufwand und entstehen vermeidbare Kosten.

Die Antwort darauf ist das 360 Grad-Konzept von CARMAO. Dieser Ansatz für ein Informationsrisikomanagement ist bislang einzigartig und zielt darauf ab, die Informationssicherheit ganzheitlich zu betrachten. Mit dem Ergebnis, dass ihre Wirksamkeit eine deutlich stabilere Basis erhält. Denn durch die integrative Betrachtung wird aufgedeckt, wo die Verknüpfung der verschiedenen Teildisziplinen Probleme bereitet. Gleichzeitig wird durch die integrative Ausrichtung der sonst übliche und umfangreiche Mehrfachaufwand vermieden. Er entsteht dadurch, dass die einzelnen Teildisziplinen teilweise deutliche Überschneidungen aufweisen: Bei deren separater Gestaltung werden bestimmte Prozesse mitunter mehr als einmal modelliert, auch organisatorische Maßnahmen und Dokumentationen erfolgen mehrfach.

Somit erzielt man durch die integrierte statt Silo-orientierte Ausrichtung der Teildisziplinen ein Premium-Niveau in der Informationssicherheit, gleichzeitig schlägt die 360-Perspektive durch signifikante Kostenersparnisse positiv zu Buche. Ein wesentliches Instrument des 360 Grad-Frameworks CHARISMA stellen die Requirement Data Base als zentrale Anforderungsdatenbank sowie eine zentrales Information Risk Repository dar. Sie gewährleisten einen kontinuierlich sehr differenzierten Überblick zu den gesamten Prozessen, Rollen, Erfordernissen, Überschneidungen und Projektprioritäten.

Praxishilfe "360 Grad-Informationssicherheit" kostenlos herunterladen

ISMS nach ISO/IEC 27001. Informationssicherheit ist mehr als IT-Security

Die Erreichung eines an den Unternehmenszielen orientierten Informationssicherheitsniveaus erfordert mehr als die Anschaffung technischer Sicherheitsinfrastrukturen und -produkte, wie z.B. Firewalls, Antivirensoftware. Eine in die Unternehmensstrukturen integrierte Sicherheitsarchitektur ist Bestandteil des Unternehmensrisikomanagements. Mit diesem soll die Verfügbarkeit von Abläufen, Anwendungen, IT-Systemen und den darin verarbeiteten Informationen sowie deren Integrität und Vertraulichkeit sichergestellt werden. Organisatorische und technische Maßnahmen ergänzen sich und werden in Ihre betrieblichen Abläufe, in der Verwaltung, der Produktion und der IT integriert.

Der Beratungsumfang von CARMAO für die Informationssicherheit ist von einem ganzheitlichen Ansatz geprägt und in dem Methodenframework CHARISMA Information Security Management abgebildet. Das Framework basiert auf der ISO/IEC 27001:2013 und weiteren international anerkannten Best Practice-Ansätzen. Sie erhalten damit ein ISMS, das präzise Ihren individuellen Anforderungen entspricht und sich dynamisch weiterentwickeln lässt. Gleichzeitig ist es so konzipiert, dass die Prozesse im operativen Alltag sehr schlank bleiben.

Unsere Consultants verfügen für anspruchsvolle Projektziele über ein Set an intelligenten Vorgehensmethoden, verbunden mit einem umfassenden Know-how in allen relevanten Teildisziplinen der Applikationssicherheit. Und sie können sich auf einen breiten Erfahrungsschatz stützen, resultierend aus vielfältigen Projekten in Mittelstands- und Großunternehmen unterschiedlicher Branchen.

IT-Grundschutz. Systematisch sicher werden

Der Aufbau der Sicherheitsorganisation und der Sicherheitsprozesse ist eine notwendige Aufgabe, doch aufgrund der Komplexität ist es hilfreich, hierbei auf anerkannte und erprobte Vorgehensweisen zurückzugreifen. Der IT Grundschutz des BSI ist ein solches Standardwerk für den IT-Betrieb von Unternehmen und öffentlichen Institutionen, unter dessen Zuhilfenahme ein klar umrissenes Sicherheitsniveau erlangt werden kann.

CARMAO hat Methoden zur schlanken Realisierung BSI-gerechter Infrastrukturen mit Erarbeitung der grundschutzkonformen Sicherheitskonzepte und deren zertifizierungsfähigen praktischen Umsetzung entwickelt. Basierend auf den Best Practice-Kompetenzen aus langjährigen Erfahrungen mit dem BSI-Grundschutz lassen sich dadurch die gesamten Anforderungen von der Konzeption, Gestaltung und Umsetzung bis zur Dokumentation aufwands- und budgetschonend durch lizensierte IT-Grundschutzauditoren durchführen.

Und da ein ISMS ebenso wie jedes andere Managementsystem aufrechterhalten werden muss, realisieren wir es in einer Weise, dass sich die Prozesse auch im praktischen Einsatz hochgradig effizient gestalten.

Information Risk Management. Qualität durch Risikostreuung

Die zuverlässige und vertrauliche Informationsverarbeitung ist heute unabdingbar bei der Steuerung von Geschäftsabläufen, in Produktionsprozessen und vielem mehr. IT-Risikomanagement ist daher sowohl für Unternehmen aus wirtschaftlichem Interesse sinnvoll, aber gleichzeitig eine Verpflichtung. Denn zum einen verlangen Kunden beispielsweise von Unternehmen der Finanzbranche entsprechende Prävention gegen bestandsbedrohende Risiken. Auch der Gesetzgeber verpflichtet Geschäftsführungen dazu, bestehende bzw. potenzielle Risiken zu erkennen, zu überwachen und abwehren zu können.

Der Beratungsumfang von CARMAO für das Informationsrisikomanagement ist von einem ganzheitlichen Ansatz geprägt und in dem Methodenframework CHARISMA Information Risk Management abgebildet. Das Framework basiert auf der ISO 31000:2009 sowie der ISO/IEC 27005:2011 und weiteren international anerkannten Best Practise-Ansätzen. Sie erhalten damit ein Risk Management System, das präzise Ihren individuellen Anforderungen entspricht und sich dynamisch weiterentwickeln lässt. Gleichzeitig ist es so konzipiert, dass die Prozesse im operativen Alltag sehr schlank bleiben.

Unsere Consultants verfügen für anspruchsvolle Projektziele über ein Set an intelligenten Vorgehensmethoden, verbunden mit einem umfassenden Know-how in allen relevanten Teildisziplinen der Applikationssicherheit. Und sie können sich auf einen breiten Erfahrungsschatz stützen, resultierend aus vielfältigen Projekten in Mittelstands- und Großunternehmen unterschiedlicher Branchen.

Praxishilfe "IT-Risikomanagement" kostenlos herunterladen

Application Security Management. Ganzheitlich zu mehr Sicherheit

Experten gehen davon aus, dass die geschäftskritischen Applikationen in deutlicher Mehrheit sicherheitsgefährdet sind. Dies gilt für zentrale Business-Anwendungen ebenso wie für Web-, Mobile- und Client-Software. Und zwar unabhängig davon, ob es sich dabei um Standard- oder quelloffene Systeme handelt. Doch bislang wurde die Sicherheit der Applikationen nur nachrangig betrachtet, stattdessen dominierten andere Security-Anforderungen die Diskussion.

Der Beratungsumfang von CARMAO für die Applikationssicherheit ist von einem ganzheitlichen Ansatz geprägt und in dem Methodenframework CHARISMA Application Security Management abgebildet. Das Framework bildet den gesamten Application Lifeycycle von der Anforderungsanalyse, über Architekturanforderungen, Gefährdungs- und Schwachstellenanalysen (Threat Modelling), Risikoanalysen, Entwicklungsmethoden, Source Code Analysen, Application Penetration Tests bis zur Gestaltung von organisatorischen Regelungen zur Softwareentwicklung und zum Betrieb der Applikationen ab.

Unsere Consultants verfügen für anspruchsvolle Projektziele über ein Set an intelligenten Vorgehensmethoden, verbunden mit einem umfassenden Know-how in allen relevanten Teildisziplinen der Applikationssicherheit. Und sie können sich auf einen breiten Erfahrungsschatz stützen, resultierend aus vielfältigen Projekten in Mittelstands- und Großunternehmen unterschiedlicher Branchen.

Penetrationstests. Schwächen gezielt identifizieren

Der Anspruch an die Informationssicherheit ist hoch. Doch selbst für bestehende Applikationen und IT-Infrastruktur werden immer neue Sicherheitslücken identifiziert. Durch die vielfältigen Beziehungsverhältnisse der Integration mit anderen Komponenten der Infrastruktur, entstehen verdeckte Sicherheitslücken mit möglicherweise erheblichem Risikopotenzial.

Unsere Penetrationstests und Vulnerability Scans mit kontrollierten Simulationen von Angriffen sowohl auf Applikationen wie auch die IT-Infrastruktur identifizieren existierende oder potenzielle Schwachstellen. Diesen Vorteil gilt es bei eigenentwickelten Anwendungen vor dem Produktivbetrieb zu nutzen, aber auch bei jeder Software-Modifikation sollte ein Penetrationstest die Regel sein.

Diese Analysen können aber auch nach einem unbefugten Zugriff Dritter auf die Infrastruktur des Unternehmens notwendig werden, um auf diese Weise mögliche weitere offene Schwachstellen zu ermitteln.

Sie werden bedarfsgerecht und auf Basis international gültiger Standards durchgeführt und versetzen Sie in die Lage, sehr gezielte Optimierungsmaßnahmen durchzuführen. Dafür erarbeiten wir Ihnen nach dem Test sehr konkrete Empfehlungen, und zwar ergänzend zur systematischen Dokumentation der Ergebnisse.

Compliance Management. Zukünftig ohne Schwächen

Die Vielfalt der gesetzlichen Vorschriften und Haftungsrisiken für die Unternehmen nimmt kontinuierlich zu, aber auch gesellschaftliche Anforderungen werden in wachsendem Maß an sie herangetragen. Das macht Compliance zu einer sehr bedeutungsvollen Aufgabe. Insbesondere die Sicherstellung der Integrität, Vertraulichkeit und Authentizität sowie die Verfügbarkeit von Informationen bei der Durchführung unternehmenskritischer Geschäftsprozesse gehören zu den Grundlagen eines effektiven Compliance Managements. Dazu gehören auch Risikoanalysen zur Ermittlung von Gefahren in den wertschöpfenden Aktivitäten aufgrund von Abweichungen gegenüber externen und internen Vorgaben und Richtlinien, ebenso wie präventive Maßnahmen zu deren systematischer Vermeidung. Strategien zur Bewältigung von Auffälligkeiten runden das Gesamtbild ab und sichern so die Stabilität des Unternehmens.

Doch was im Regelfall wie eine formale Pflichtübung klingt, kann sich zu einer Aufgabe entfalten, die facettenreiche Nutzeneffekte verspricht: Denn wir konzipieren die Compliance als ein wirksames Steuerungsinstrument, mit dem kontinuierlich die möglichen Schwächen offengelegt und beseitigt werden. Vor allem: Eine intelligent konzipierte und von den Mitarbeitern gelebte Compliance-Methode stellt letztlich ein wertvolles Früherkennungssystem dar. Dafür sorgen die erfahrenen Compliance-Consultants von CARMAO. Sie identifizieren mögliche Schwachstellen und den Handlungsbedarf in Ihrem Unternehmen. Geleitet von einem strukturierten Vorgehensmodell setzen wir anschließend gemeinsam mit Ihnen konkrete Verbesserungsmaßnahmen zur nachhaltigen Steigerung der Compliance um.

Jetzt den Compliance Selfcheck absolvieren

Praxishilfe "Wirkungsstarkes Compliance Management" kostenlos herunterladen

Fit für die EU-DSGVO durch unseren 360 Grad-View

Durch die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) sehen sich die Unternehmen und Behörden ganz neuen Anforderungen an die Transparenz, Datenschutzorganisation sowie Dokumentations- und Meldepflichten gegenübergestellt. Doch was auf den ersten Blick äußerst umfassend anmutet, muss keineswegs zu komplexen Projekten führen. Denn wir setzen eine speziell für die EU-DSGVO entwickelte Methodik ein, die eine beschleunigte und budgetschonende Projektierung gewährleistet, also Zeit und Kosten spart.

Dazu gehört auch eine Readiness-Analyse, um zu Beginn den möglichen Handlungsbedarf zu ermitteln. Aus den Ergebnissen lassen sich dann priorisiert die notwendigen Maßnahmen ableiten. Die Dauer dieser Readiness-Analyse mit anschließend differenzierter Auswertung liegt typischerweise bei zwei bis drei Tagen. Damit ebnen Sie den Weg für hohe EU-DSGVO-konforme Rechtssicherheit, wodurch auch wirtschaftliche Risiken vermieden werden.

Und sofern Sie auch in anderen EU-Ländern tätig sind, steht uns für die europäische Beratung ein internationales Partnernetz zur Verfügung. Übrigens übernehmen unsere Experten optional auch die Funktion des externen Datenschutzbeauftragten, der nach der neuen Datenschutzverordnung zwingend bestellt werden muss.

Jetzt am Self Assessment zur EU-DSGVO teilnehmen

Praxishilfe "12 Herausforderungen der EU-Datenschutzverordnung" kostenlos herunterladen

Business Continuity Management. Gut gerüstet

Fallen zeitkritische Geschäftsprozesse und/oder deren unterstützende Ressourcen, wie Personal, Gebäude, Lieferanten oder gar die IT-Infrastruktur aus, ist die Aufrechterhaltung der Betriebsfähigkeit und somit das Erreichen der Geschäftsziele bereits bei kurzfristigen Unterbrechungen stark gefährdet. Ein ganzheitliches, auf Prozesssicht aufsetzendes Notfallmanagement, im Fachjargon als Business Continuity Management bezeichnet, unterstützt durch individuelle Notfallkonzepte bei der Vermeidung, respektive der Bewältigung von Ausnahmesituationen.

Fallen wesentliche Systeme der technischen Infrastruktur längerfristig aus, ist im Regelfall der Produktions- und Geschäftsbetrieb unmittelbar davon betroffen. Um die wirtschaftlichen und weiteren Auswirkungen solcher Probleme zu minimieren, bedarf es eines wirkungsvollen Business Continuity Managements (BCM), das die Ausfallzeiten der Geschäftsprozesse minimiert. 

Im Zuge des Business Continuity Managements stimmt CARMAO einen Vorsorgeplan exakt auf Ihr Unternehmen und Ihre Geschäftsziele ab. Handlungsempfehlungen zur Notfallvorsorge, deren Handhabung und die Nachsorge basieren auf den Erkenntnissen umfangreicher Ermittlungen. Kontinuitäts- und Wiederherstellungspläne mit selektiven Tests sorgen für eine jederzeitige Funktionsfähigkeit des individuellen Notfallmanagements. CARMAO richtet sich dabei (am) an der internationalen (Standard) Norm ISO 22301:2012 sowie am Standard 100-4, des BSI sowie an Best Practices aus. 

Zum breiten Beratungsportfolio gehört aber nicht nur die Konzeption und Implementierung von Business Continuity Management Systemen (BCMS), sondern ebenso die Reifegradbestimmung bestehender Notfallkonzepte. Jeweils mit großem Branchenverständnis und mit Methoden für eine aufwandsschonende Projektrealisierung.

IT-Service Continuity Management. Bestens vorbereitet

IT-Notfälle in Unternehmen können ein erhebliches Ausmaß annehmen, wie immer wieder öffentlich bekannt gewordene Beispiele zeigen. Sofern davon die Kontinuität des Geschäftsbetriebs beeinträchtigt ist, können erhebliche direkte und indirekte wirtschaftliche Schäden entstehen. Diese Probleme mindern Sie mit unserem IT-Notfallmanagement. Es entwickelt ein hochorganisiertes Vorgehen in der Vermeidung, aber auch in der Bewältigung potentiell kritischer IT-Situationen. IT-Notfallmanagement (IT-SCM) umfasst konzeptionelle Prävention und bildet die Schnittstelle zur nachgelagerten, reaktiven Notfallbewältigung, um durch eingeübte Handlungsschritte schnell und angemessen reagieren zu können. Klar definierte Prozesse, Maßnahmen zur Notfallvorsorge, Konzeption von Notfallprozeduren bis zu Wiederanlaufplänen, die Einrichtung von Notfallteams und mehr gehören dazu. IT-SCM bettet sich so perfekt in die Belange des übergeordneten Business Continuity Management ein.
 
Unsere Vorgehensweise folgt einem gesicherten Standard, indem wir das kundenindividuelle IT-Notfallmanagement an etablierten Standards ausrichten. Zum Beratungsumfang kann auch eine Unterstützung bei der Auswahl eines anforderungsgerechten Tools gehören. Sie erhalten durch das nach bewährten Methoden konzipierte IT-Notfallmanagement die Gewissheit, in kritischen IT-Situationen die Auswirkungen auf den Geschäftsbetrieb zu minimieren. Und indem wir unser aufwandminderndes Framework CHARISMA einsetzen, entstehen signifikant geringere Projektaufwände als üblich.

Erfolgreich auf digitaler Spurensuche

Die zunehmende Digitalisierung erzeugt erhebliche Vorteile sowohl für Unternehmen wie auch für den privaten Nutzer. Die andere Seite der Medaille ist allerdings, dass die digitale Welt neue kriminelle Potenziale heraufbeschworen hat. Die forensische Datenanalyse in IT-Systemen und Netzwerken widmet sich systematisch dem Aufspüren, der Rekonstruktion und Aufklärung krimineller Handlungen.

Darauf haben sich die DEKRA-zertifizierten Experten unseres Forensik-Labors spezialisiert. Unter Nutzung intelligenter Methoden und Werkzeuge ermitteln sie Datenspuren in den IT-Systemen und rekonstruieren Sachverhalte, um präzise Kenntnis der Quelle, Identität und Vorgehensweise der Täter zu erlangen. Sie untersuchen verdächtige Vorfälle rund um die IT, retten Daten, weisen Sabotage, Spionage oder Manipulation nach. Die Ergebnisse werden gerichtsverwertbar ausgewertet, sowie bei Bedarf ein forensisches Sachverständigengutachten erstellt.

Zu unseren weiteren Leistungen gehört der forensische Notfallservice mit schneller Verfügbarkeit von IT-Forensikern, um zeitnah und vor Ort eine gerichtsverwertbare Datensicherung/Datenrettung zu gewährleisten. Aber auch dem sicheren Datenmanagement mit forensischer Datenlöschung und Datenrettung bzw. -wiederherstellung widmet sich unser Forensik-Labor.