Assessment


Damit Sie die Übersicht behalten:
Das Assessment ist die oberste, am wenigsten intensive Stufe eines IT-Security Audits. Im Zentrum des Assessments steht die Bestandsaufnahme und Sichtung der sicherheitsrelevanten IT-Komponenten eines Unternehmens. Häufig treten bereits in dieser Phase Sicherheitsprobleme zu Tage und es können konkrete Verbesserungsvorschläge gemacht werden.

Die zentrale Aufgabe eines Assessments jedoch ist es, sowohl dem Kunden als auch terreActive AG einen Überblick über die Sicherheitskomponenten zu verschaffen und herauszufinden, an welchen Stellen der Handlungsbedarf am grössten ist.

Fragen
Wichtige Punkte und typische Fragen, die im Rahmen eines Assessments geklärt werden müssen, sind:

  • Wie ist die IT-Sichheit im Unternehmen organisiert? Welche Personen und / oder Gremien gibt es und wie sind ihre Verantwortlichkeiten definiert?
  • Welche Policies und Prozesse bestehen im Umfeld der IT-Sicherheit? Wie sieht es mit ihrer Dokumentation aus? Wie werden sie umgesetzt und überprüft?
  • Welcher Schutzbedarf besteht? Welche Daten werden im Unternehmen vorgehalten und welchem Anspruch hinsichtlich ihrer Verfügbarkeit, Vertraulichkeit und Integrität müssen sie genügen?
  • Welche technischen Massnahmen wurden ergriffen, um den Sicherheitsansprüchen Rechnung zu tragen? Wie ist das Netzwerk aufgebaut und welche Schutzmechanismen sind vorhanden?
  • Welche Schnittstellen zwischen Intranet und Internet existieren? Wie sind diese abgesichert (Firewalls, Router, etc.)?
  • Welche Informationen über das Unternehmen sind im Internet frei zugänglich oder auf einfache Art und Weise erhältlich?

Diese Informationen werden bei einem Assessment zusammengetragen. Hierzu werden Mitarbeiter interviewt, vorhandene Dokumente gesichtet und katalogisiert, im Internet und - je nach Bedarf - vor Ort recherchiert. Bei den Werkzeugen, die hierbei zum Einsatz kommen, handelt es sich vorwiegend um Netzwerkscanner wie nmap, ping, tcpping oder traceroute. Alle Massnahmen im Rahmen eines Assessments sind "nicht invasiv", d.h. es wird nicht versucht, in laufende Systeme einzudringen oder einzugreifen. Ohne die bei einem Assessment gesammelten Informationen und Dokumente ist ein Audit oder gar ein Penetration-Test nicht möglich. Man kann dies auch anders formulieren: Ohne die elementare Inventarisierung der Sicherheitsinfrastruktur, die im Rahmen eines Assessments vorgenommen wird, kann der Gegenstand eines Audits (oder eines Penetration-Tests) gar nicht erst bestimmt werden!

Ergebnisse
Die Ergebnisse eines Assessments sind:

  • Ein SOLL / IST-Vergleich der vorgefundenen Organisation
  • Eine Stärken-Schwächen-Analyse
  • Ein Massnahmenkatalog zur Behebung der vorgefundenen Schwächen
  • Erstellte Inventardokumente

Downloads zu unseren Dienstleistungen