Methode
Folgende Methode beschreibt einen pragmatischen Bottom-up-Ansatz, welcher auf bestehendem aufbaut, um den Erstellungs- und den anschliessenden Kommunikationsaufwand zu minimieren. Sämtliche vorhandenen sicherheitsrelevanten Dokumente wie beispielsweise Security-Strategie, Policies und allfällige Anhänge des Arbeitsvertrags betreffend Umgang mit Informatikmitteln und das Inhaltsverzeichnis der Norm 17799 werden ausgedruckt. Anschliessend werden die Titel und Untertitel des Inhaltsverzeichnisses der Norm ausgeschnitten und ausgelegt. Nun werden die sicherheitsrelevanten Dokumente gelesen, Themen-abschnittsweise ausgeschnitten und den Kapiteln und Unterkapiteln zugeordnet. Nachdem alle Dokumentspassagen ausgelegt wurden, sind Widersprüche leicht erkennbar. Weisse Flecken erkennt man daran, dann keine Dokumentenabschnitte den Titeln / Untertiteln zugeordnet werden konnten.

Nun gilt es bestehende Passagen anzupassen und fehlende Passagen zu ergänzen. Die Erfahrung zeigt, dass der vom bestehenden Dokumentationsgrad abhängige Aufwand für die Erstellung einer IT-Sicherheitsrichtlinie bei ca. 10 bis 20 Personentagen liegt – aus Sicherheitssicht eine lohnenswerte und nachhaltige Investition.

«Standards können als Checklisten dienen, um sicher zu stellen, dass keine wichtigen Aspekte vergessen werden…»




Beruf Security Tester

Jede Woche beantworten Sicherheitsexperten Leserfragen und geben Ratschläge, wie sich die Sicherheit in einem Unternehmen erhöhen lässt.

Frage: Was sind die Voraussetzungen, um professioneller Security Tester zu werden und welche Ausbildungsmöglichkeiten sind empfehlenswert?

Technische Security Audits (technische Sicherheitsüberprüfungen) werden von vielen Unternehmen und Organisationen als fester Bestandteil des IT Risk Managements in regelmässigen Abständen durchgeführt oder in Auftrag gegeben. Der Beruf des Security Testers hat nichts gemein mit dem Bild pickelgesichtiger und übernächtigter Teenager, welche sich in abgedunkelten Hinterzimmern vor ihren Computern beim Versuch in fremde Computersysteme einzudringen, die Nacht um die Ohren schlagen.

[Vorherige]  1 2 3 4  [Nächste]