Informationssicherheit

Bei der Informationssicherheit geht es ganz allgemein und umfassend um den Schutz von Informationen. Diese können beispielsweise klassisch in Papierform, aber auch in technischen Systemen wie der IT-Infrastruktur oder auch in transportablen Geräten wie Smartphones, Ipads oder Speichermedien wie USB-Sticks vorhanden sein. Des Weiteren fungieren auch Meschen als Informationsträger und sind als beliebte Angriffsziele, beispielsweise für Phishing oder Social-Engineering zu nennen. Die IT-Security und erweitert auch die Cyber-Security sind hier als große und wichtige Teilaspekte der Informationssicherheit zu nennen.

Das Schutzziel der Informationssicherheit ist immer die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen in Unternehmen, Organisationen oder Behörden sicherzustellen. Wir unterstützen Sie gerne darin ein Informations-Sicherheits-Management-System (ISMS) zu implementieren, um die Informationssicherheit normgerecht, beispielsweise anhand der ISO 27001, gewährleisten, überprüfen und laufend verbessern zu können.

Unsere Leistungspakete:

• Security Policy
• Security Management System
• Ist-Stand-Analyse
• Security Risk Assessment
• GAP-Analyse
• Informationssicherheitskonzept
• Etablierung Informations-Sicherheits-Management-System (ISMS)
• Coaching
• Training
• Übungen

Beispiele: Cracker, Ransomware, Erpressung, DDOS-Angriffe, Social-Engineering, Phishing, Spionage, Informationsdiebstahl, IT-Ausfall, Reputationsschaden

Normen und Regelwerke: ISO 27001:2017, ISO 27002:2017, ISO 27005:2018, ISO 27017:2015, ISO 27018:2015, ISO 27019:2020, 27701:2019, ISO 29100, NIS-Gesetz, BSI 200-1, BSI 200-2, BSI IT-Grundschutz (-Kompendium:2021, IT-Security Bausteine usw.), ÖNORM S2414-1:2014, ÖNORM S2450:2014, ÖNORM 15713:2009

Theorien und Grundlagen: HRO, Weak Signals, Human Factors, Murphies Law, Fragility Assessment, Bow-Tie-Analyse, Swiss-Cheese-Modell, Security Awareness, Via Negativa

Unsere Herangehensweise: Zunächst führen wir eine Ist-Stands-Analyse aller bestehenden Maßnahmen Ihres Informationssicherheits-Systems sowohl auf technischer als auch auf personeller und organisatorischer Ebene durch.

Im nächsten Schritt folgt ein Security-Risk-Assessment, wo wir den internen und externen Kontext Ihres Unternehmens, Ihrer Organisation oder Ihrer Behörde untersuchen und mögliche Gefährdungen in der Informationssicherheit umfassend detektieren. Im Zuge der Security-Risikoanalyse identifizieren wir die wichtigen Assets mit allen ihren benötigten Schlüsselressourcen wie beispielsweise Strom- und IT-Infrastruktur, sonstiger technischer Geräte sowie auch Menschen und Informationen. Weiters entwickeln wir mögliche Schadszenarien und ermitteln dafür die spezifische Eintrittswahrscheinlichkeit mithilfe verschiedener Faktoren wie beispielsweise benötigter Täterfähigkeiten, Attraktivität und Verwundbarkeit, sowie der aktuell herrschenden Sicherheitslage im jeweiligen Bereich.

Auf dieser Grundlage leiten wir sodann die benötigten Maßnahmen ab, um die Risiken in einen tolerierbaren Zustand abzusenken und erstellen für Sie ein maßgeschneidertes, effektives und ganzheitliches Informationssicherheitskonzept.

Wir begleiten und unterstützen Sie gerne bei der Implementierung des Konzeptes, sowie der zukunftsorientierten Integration eines kompletten Informations-Sicherheits-Management-Systems (ISMS). Zusätzlich sind auch in diesem Bereich regelmäßige Trainings und Übungen wesentlich, die wir Ihnen gerne anbieten, um die Professionalität und Security-Awareness Ihrer MitarbeiterIinnen weiter zu stärken.