terreActive
HomeUnser AngebotKundenNewsÜber terreActive  
   
Unser Angebot / Consulting

Assessment

Damit Sie die Übersicht behalten:
Das Assessment ist die oberste, am wenigsten intensive Stufe eines IT-Security Audits. Im Zentrum des Assessments steht die Bestandsaufnahme und Sichtung der sicherheitsrelevanten IT-Komponenten eines Unternehmens. Häufig treten bereits in dieser Phase Sicherheitsprobleme zu Tage und es können konkrete Verbesserungsvorschläge gemacht werden.
Die zentrale Aufgabe eines Assessments jedoch ist es, sowohl dem Kunden als auch terreActive einen Überblick über die Sicherheitskomponenten zu verschaffen und herauszufinden, an welchen Stellen der Handlungsbedarf am grössten ist.
Fragen
Wichtige Punkte und typische Fragen, die im Rahmen eines Assessments geklärt werden müssen, sind:
  • Wie ist die IT-Sicherheit im Unternehmen organisiert? Welche Personen und/oder Gremien gibt es und wie sind ihre Verantwortlichkeiten definiert?
  • Welche Policies und Prozesse bestehen im Umfeld der IT-Sicherheit? Wie sieht es mit ihrer Dokumentation aus? Wie werden sie umgesetzt und überprüft?
  • Welcher Schutzbedarf besteht? Welche Daten werden im Unternehmen vorgehalten und welchem Anspruch hinsichtlich ihrer Verfügbarkeit, Vertraulichkeit und Integrität müssen sie genügen?
  • Welche technischen Massnahmen wurden ergriffen, um den Sicherheitsansprüchen Rechnung zu tragen? Wie ist das Netzwerk aufgebaut und welche Schutzmechanismen sind vorhanden?
  • Welche Schnittstellen zwischen Intranet und Internet existieren? Wie sind diese abgesichert (Firewalls, Router, etc.)?
  • Welche Informationen über das Unternehmen sind im Internet frei zugänglich oder auf einfache Art und Weise erhältlich?
Diese Informationen werden bei einem Assessment zusammengetragen. Hierzu werden Mitarbeiter interviewt, vorhandene Dokumente gesichtet und katalogisiert, im Internet und - je nach Bedarf - vor Ort recherchiert. Bei den Werkzeugen, die hierbei zum Einsatz kommen, handelt es sich vorwiegend um Netzwerkscanner wie nmap, ping, tcpping oder traceroute. Alle Massnahmen im Rahmen eines Assessments sind "nicht invasiv", d.h. es wird nicht versucht, in laufende Systeme einzudringen oder einzugreifen. Ohne die bei einem Assessment gesammelten Informationen und Dokumente ist ein Audit oder gar ein Penetration-Test nicht möglich. Man kann dies auch anders formulieren: Ohne die elementare Inventarisierung der Sicherheitsinfrastruktur, die im Rahmen eines Assessments vorgenommen wird, kann der Gegenstand eines Audit (oder eines Penetration-Tests) gar nicht erst bestimmt werden!
Ergebnisse
Die Ergebnisse eines Assessments sind:
  • Ein Soll/Ist-Vergleich der vorgefundenen Organisation
  • Eine Stärken-Schwächen-Analyse
  • Ein Massnahmenkatalog zur Behebung der vorgefundenen Schwächen
  • Erstellte Inventardokumente
Downloads zu unserem Angebot

SitemapKontaktRechtlichesEnglish Version

Suchen:

Partnerschaft mit HP
terreActive erweitert ihr Angebot mit HP-Servern

splunk Partnerschaft
Unser Angebot.
Unsere nächsten Trainings 1./2. September 2010.


tacLOG-Trainings
nächster Termin: Mittwoch, 8. September & Donnerstag, 9. September 2010
Hier erfahren Sie mehr.

Security Breakfast Zürich, 9. September 2010
Splunk - Listen to your Logs - Erfahrung aus der Praxis, Lösungsansätze, Live-Demo

Kanton Aargau, Stadt Aarau & Ringier AG
Interviews >>

Wir suchen Verstärkung!
Unsere offenen Stellen.

Managed Security Services
Wir sorgen für den reibungslosen Betrieb.
 
zurückdrucken
  copyright 2010 terreActive Webdesign by MySign