Security Assessment – Und was passiert danach?

Apr 8, 2021 | Services

Security Consulting Service

Schon seit über einem Jahr widmet sich Senior Security Consultant Franck Bouchoux dem Thema Security Assessment. Im Zentrum davon steht das IKT-Minimalstandard-Assessment-Tool, mit dem er die Cyber-Sicherheitsrisiken und das Verbesserungspotential für Unternehmen identifiziert. Diese sind oft besorgt, einem Ransomware-Angriff zum Opfer zu fallen und möchten etwas dagegen tun. Doch was muss beachtet werden, nachdem das Assessment abgeschlossen ist? 

Dafür muss zuerst kurz beleuchtet werden, was ein Security Assessment überhaupt beinhaltet und welche Resultate zum Vorschein kommen. In der Regel umfasst das IKT-Minimalstandard-Assessment neben den 106 Kontrollpunkten eine Risko-Impact-Analyse und ein daraus abgeleiteter Massnahmenplan. Um die Umsetzung des Plans zu begleiten, hilft Franck Bouchoux als Consultant oder quasi CISO-as-s-Service. 

Planen, budgetieren, umsetzen 

Essentiell erscheint Franck Bouchoux, dass dem Kunden nach dem Assessment die Augen geöffnet sind und er sich auch einsichtig zeigt, was nun gemacht werden muss. Das heisst, er ist sich bewusst, wo seine Schwachstellen sind und wie er diese beheben kann. Der Wille dazu ist auch grundsätzlich vorhanden. Jedoch folgt nach einigen Quick Wins in der Regel die Ernüchterung: Oft fehlen die Ressourcen und das Budget, um den Prozess voranzutreiben. Das hat zur Folge, dass innerhalb der ersten drei Monate noch nicht viel umgesetzt wurde. Sprich: Die Risiken sind immer noch vorhanden, obwohl man sich deren bewusst ist! Das heisst also, als nächster Schritt ist eine präzise Planung nötig, welche auch ein Budget und die internen Ressourcen berücksichtigt. Sind zu wenig Erfahrung, Wissen oder Ressourcen vorhanden, hilft Netcloud gerne weiter. Denn nebst Security Consultants helfen auch die Engineers des Cyber Defence Centers sowie der beiden Security Teams.

Was sowieso ein Muss ist

Losgelöst von einem Security Assessment sind diverse, grundlegende Aspekte zu beachten:

  1. So hilft beispielsweise ein Awareness Training für die Mitarbeitenden, damit diese sensibilisiert werden und den korrekten Umgang mit E-Mails, Anhängen, etc. erlernen. Das Training enthält Schulungen, Quizzes und simulierte Phishing-Kampagnen. Auf diese Weise werden die Mitarbeitenden zu «Human Firewalls» und verhindern in gewissem Masse Attacken.
  2. Parallel dazu muss das Schwachstellen-Management bewältigt werden. Sind alle Systeme gepatcht? Sind sämtliche Software-Versionen up-to-date? Sind die Zugänge sicher, sprich sind VPN und Multifaktor-Authentifizierung im Einsatz?
  3. Als nächstes folgt Detect & Contain. Dabei stellt man sich die folgenden Fragen: Wie kann ich eine Infizierung, eine Schad-Software entdecken? Wie sieht mein Monitoring aus? Wie reagiere ich, wenn ein System kompromittiert ist? Wie isoliere ich Systeme?

In all diesen Belangen ist es wichtig, das Wissen zu bündeln und einen Partner an seiner Seite zu haben. Denn IT-Administratoren sind in der Regel keine Security-Spezialisten. Aber mit dem Wissen der Admins über das Unternehmen und die Systeme kombiniert mit dem Security-Wissen der Netcloud-Engineers lassen sich sehr gute Erfolge verbuchen.

Zusammenfassend kann man sagen, dass nichts tun und abwarten definitiv keine Option ist. Gefahren und Betrugsversuche kommen von allen Seiten in verschiedenen Formen wie Phishing, Vishing oder Smishing. Es gilt möglichst schnell die Schwachstellen zu identifizieren und zu beheben. Ein Plan muss her und auch in die Tat umgesetzt werden.

Gerne hilft Ihnen Franck Bouchoux bei diesem nicht ganz einfachen Prozess. Kontaktieren Sie ihn und besprechen Sie Ihre Anliegen via bouchoux@netcloud.ch