FiT-GaP: Die Reifegradanalyse der IT-Security im Mittelstand
Die Bedeutung der Informationssicherheit in mittelständisch geprägten Unternehmen nimmt rapide zu. Mit dem stetig wachsenden Einsatz informationsverarbeitender Systeme in nahezu allen Bereichen des unternehmerischen Handelns steigt die Notwendigkeit für einen angemessenen Schutz sensibler und datenschutzrechtlich relevanter Informationen. Zudem unterliegt deren Schutz einer Vielzahl von strengen, vom Gesetzgeber erlassenen Auflagen, die es einzuhalten gilt. Gleichzeitig bieten zunehmend komplexe IT-Strukturen neue Wege für unzulässige Zugriffe oder Manipulationen Dritter, wodurch auch wirtschaftliche Risiken für Ihr Unternehmen nicht gänzlich ausgeschlossen werden können.
Wie fit ist Ihre IT?
Um diese Frage zu beantworten, empfehlen wir Ihnen zunächst die Durchführung einer Reifegradanalyse. Diese umfasst die systematische Untersuchung des Zustands einer IT-Umgebung innerhalb einer Organisationseinheit mit dem Ziel, wesentliche Schwachstellen zu ermitteln und sie wirksam zu schließen. Und sie gibt eine Antwort auf die Frage nach notwendigen Maßnahmen für die Erhöhung der IT-Sicherheit. Sie kann für mittelständische Unternehmen mit wirtschaftlich vertretbarem Aufwand auf Grundlage der ISO-Norm 27001 durchgeführt werden und ermöglicht so eine ressourcenschonende Untersuchung in einem überschaubaren Zeitrahmen unter Vermeidung redundanter oder unnötiger Sicherheitsanalysen. In mehreren Mandaten konnten wir diese Untersuchungen innerhalb von weniger als einem Monat erfolgreich abschließen.
FiT-GaP“-Methodik
Eine starke Orientierung an der ISO 27001 sichert die strukturierte Bewertung nach best-in-class-Kriterien ab. Folgende Hauptkategorien stehen dabei im Fokus:
- Steuerung & Organisation
- Technik & Betrieb
- BCM & Notfallplanung
- Physische Sicherheit
- Vertragsbeziehungen
- Softwareentwicklung und -pflege
Die einzelnen Kategorien werden im Rahmen der Untersuchung erfasst und hinsichtlich ihres Reifegrades eingestuft. In Anlehnung an die klassische, interne Revisionsprüfung führen wir hierzu Interviews, Dokumentenanalysen, Observationen und Walkthroughs durch.
Für den verantwortlichen Prüfer ist hierbei der direkte Kontakt mit den zuständigen Fachverantwortlichen bzw. dem Chief Information Security Officer (CISO) von größter Bedeutung, da sich so die externe Erfahrung mit dem internen Know-how ideal kombinieren lässt. Eine übliche Einstufung des Reifegrads, angelehnt an das Bundesamt für Sicherheit in der Informationstechnik, zeigt die nachfolgende Tabelle:
Die Summe aller Reifegradeinstufungen für jede einzelne Kategorie lässt sich vorstandskonform zum Beispiel in Netzdiagrammen darstellen, die direkt Schwachstellen aus den einzelnen Kategorien zeigen.
Auf Basis der Analyseergebnisse können wir Ihre Fachverantwortlichen dabei unterstützen, etwaige Schwachstellen zu identifizieren und entsprechende Abstellmaßnahmen zu definieren. So kann eine fundierte Herangehensweise für die Abarbeitung priorisierter Schwachstellen erreicht werden, deren Tiefgang sich ggfs. an Kapazitäts- oder Budgetgrenzen orientiert.
Nutzen
Die strukturiert dargestellten Ergebnisse der „FiT-GaP“-Analyse Ihrer IT-Sicherheit zeigt Ihnen schlüssig und auf einen Blick, an welchen Stellen Sie aktiv werden und Verbesserungsmaßnahmen ergreifen sollten, um Ihr Unternehmen vor möglichen Schäden zu bewahren. Zugleich profitieren Sie und Ihre Fachverantwortlichen von der Zusammenarbeit, indem spezifisches Fachwissen angereichert wird, das Sie für interne Folgeprojekte und auch für die Steuerung und Verfolgung der Maßnahmenumsetzung nutzen können.