Security Audits

Methodik und Vorgehen

  • Identifizierung von Schwachstellen und Sicherheitslücken (physische, organisatorische und technische)
  • Untersuchung und Bewertung der damit verbundenen Risiken
  • Ermittlung möglicher Verbesserungsmaßnahmen (physisch, technisch oder organisatorisch)
  • Empfehlungen für die Umsetzung der Maßnahmen und Priorisierung
  • Konformität des Audits und der empfohlenen Maßnahmen zu BS 7799/ISO 27001, COBIT oder ITIL

Typischer Leistungsumfang eines Audits

  • Initialworkshop
  • Externer Penetrations-Test
  • Interner Penetrations-Test
  • System-Audit verschiedener Komponenten
  • Risiko-Bewertung der gefundenen Schwachstellen für die Geschäftsprozesse
  • Erstellung eines detaillierten Berichts
  • Ergebnis-Präsentation
  • Der Bericht wird formatiert (MS Word, PowerPoint, Visio o. PDF) übergeben
  • Modulares Konzept => Einzelne Tests können zeitversetzt stattfinden oder turnusmässig wiederholt werden

Das ERNW Audit-Team

  • Langjährige Praktiker aus unterschiedlichsten Bereichen
  • Autoren verschiedener Fachbücher und diverser Security Advisories
  • Entwickler eigener Tools für Prüfzwecke
  • Erfahren im Audit heterogener Umgebungen
  • Tiefe Kenntnisse aller gängigen Betriebssysteme / Komponenten und Applikationen

Sicherzeitsziele, die geprüft werden

  • Verfügbarkeit unternehmenskritischer Teilsysteme
  • Integrität und Vertraulichkeit der verarbeiteten Daten
  • Authentizität und Nachvollziehbarkeit von Prozessen
  • Einhaltung gesetzlicher Bestimmungen, einschlägiger Datenschutz-Richtlinien und ggf. Holding-interner Vorgaben

Code of Ethics

Ethische Grundsätze bei der Prüfung*

Wir wollen:

  • die im Verlaufe unserer Tätigkeit erhaltenen Informationen schützen und diese weder zum persönlichen Vorteil nutzen noch unberechtigten Parteien zugänglich machen
  • bei unseren Tätigkeiten gebührende Vorsicht walten lassen
  • nur solche Aufgaben übernehmen, für die wir durch Ausbildung oder Erfahrung genügend qualifiziert sind
  • laufend das Verständnis und die Fachkompetenz für Methoden und Technologien, ihre korrekte Anwendung und die möglichen Konsequenzen verbessern
  • Informationen mit genügender Professionalität sammeln und auf der Basis dieser Informationen ehrlich und realistisch sein bei der Deklaration von Feststellungen und Empfehlungen
  • unsere Aufgaben unabhängig und objektiv durchführen
  • echte und empfundene Interessenskonflikte wo immer möglich vermeiden und sie den betroffenen mitteilen, wenn solche vorkommen
  • jegliche Handlungen vermeiden, welche Dritte in ihrem Besitz oder ihrem Ruf verletzen
  • Bestechungen in jeglicher Form ablehnen und nie wissentlich an illegalen oder inkorrekten Handlungen teilnehmen
  • ehrliche Kritik der Arbeiten suchen und akzeptieren
  • Fehler bestätigen und korrigieren und fair die Leistungen Dritter erwähnen
  • die Aufstellung und Einhaltung angemessener Standards, Verfahren und Kontrollen für unsere Tätigkeiten unterstützen
  • unsere Kollegen und Mitarbeiter in ihrer professionellen Entwicklung unterstützen und ihnen bei der Einhaltung dieser ethischen Grundlagen helfen

* Schweizerische Informatikgesellschaft/Fachgruppe Security: Sicherheitsüberprüfung von IT-Systemen mit Hilfe von „Tiger-Teams“

Zurück

TROOPERS11 - März 2011
Die TROOPERS11 wird vom 14-18. März 2011 in Heidelberg stattfinden. Merken Sie sich schon heute den Termin vor und abonnieren Sie den offiziellen TROOPERS-Newsletter um auf dem neusten Stand zu bleiben. [Mehr]
Penetrationstests
„Ein Penetrations-Test ist der zielgerichtete Versuch, mit den Mitteln eines Angreifers und innerhalb einer gegebenen Zeitspanne Lücken in der IT-Sicherheit aufzudecken.“ [Mehr]
Research & Technologie-Evaluation
Die Arbeit des Research-Teams dient sowohl der internen Weiterbildung als auch unseren Kunden, die durch die Ergebnisse dieser Forschungen Investitionssicherheit erhalten und die allgemeine Sicherheit ihrer IT-Infrastruktur weiter verbessern können. [Mehr]