Dienstleistung

Cybersecurity

Cybersecurity

Cybersecurity, der Schutz der Organisation vor Cyber-Angriffen, will geplant und gesteuert sein. Ob es um die Bestimmung der aktuellen Cybersecurity Maturität, die Erarbeitung einer Cybersecurity Strategie oder die Erstellung und Umsetzung einer Roadmap mit konkreten Schutzmassnahmen geht, wir unterstützen Sie gerne mit unseren Cybersecurity Consulting Dienstleitungen. Nebst unserer langjährigen Erfahrung aus Kundenprojekten, nutzen wir dazu anerkannte Standards und Methoden, wie beispielsweise das NIST Cybersecurity Framework , den IKT Minimalstandard des Bundes oder die ISO/IEC 27000er Standards.

Eine umfassende Sicht

Cybersecurity betrifft heute alle Organisationen unabhängig von Grösse und Branche. Die zunehmende Digitalisierung aller Lebensbereiche bringt grosse Chancen, aber auch neue und veränderte Risiken mit sich. Die steigende Abhängigkeit aller Geschäftstätigkeiten von Informatikmitteln steigert die Angriffsfläche und erhöht das mögliche Schadensausmass durch einen Cyber-Angriff. Digitalisierung muss stets durch Cybersecurity begleitet werden.

Die Wichtigkeit einer umfassenden Sicht auf das Thema Cybersecurity wurde auch von verschiedenen Regulatoren und Aufsichtsbehörden erkannt. So wurde das Thema teilweise konkret in aufsichtsrechtlichen Vorgaben z.B. im FINMA Rundschreiben 2008/21 „Operationelle Risiken Banken“ aufgenommen oder wird im Rahmen von Audits und Kontrollen gezielt betrachtet. Meist dient das NIST Cybersecurity Framework oder der IKT Minimalstandard des Bundes als Grundlage für die Überprüfung der Cybersecurity Maturität der Organisation.

Nicht jede Organisation in gleichem Masse der Bedrohung von Cyber-Angriffen ausgesetzt. Eine Cyber-Strategie muss immer auf die Bedürfnisse und das Umfeld der Organisation zugeschnitten sein. Die konkrete Bedrohungslage und die damit verbundenen Risiken sind zu identifizieren und daraus die notwendige Maturität in den verschiedenen Bereichen der Cybersecurity zu bestimmen. Basierend auf Standards und Best Practices sind die konkret zu implementieren Massnahmen abzuleiten.

6 Schritte zur Cybersecurity

Der Aufbau und die Sicherstellung einer angemessenen Umsetzung der Cybersecurity in einer Organisation erfordert vereinfacht die folgenden 6 Schritte.

  • Maturitäts-Assessment
    Am Anfang steht die Bestimmung der Cybersecurity Maturität, im NIST Cybersecurity Framework (NIST CSF) als das «Current Profile» bezeichnet.
  • Bedrohungs- und Risikoanalyse
    Bedrohungen und die daraus resultierenden Risiken für die Organisation sind zu identifizieren und der aktuellen Cybersecurity Maturität gegenüberzustellen.
  • Cybersecurity Strategie und Architektur
    In der Cyber-Strategie ist festzulegen, welche Bedrohungen adressiert werden sollen und welche Zielmaturität (vgl. NIST CSF «Target Profile») erreicht werden soll. Diese hängt von der Bedrohungslage und dem Risikoappetit der Organisation ab. Die Massnahmen werden dazu in einer gesamtheitliche Sicherheitsarchitektur zusammengeführt.
  • Cybersecurity Plan und Roadmap
    Basierend auf dem Maturitäts-Assessment, der Risikoanalyse und der Strategie ist eine Roadmap zu entwickeln, mit welcher der gewünschte Zielzustand erreicht werden soll.
  • Umsetzung der Roadmap
    Die Umsetzung der Massnahmen aus der Roadmap. Je nach Ausgangslage und Zielmaturität erfordert dies ein Programm mit mehreren Projekten zur Implementierung von kurzfristigen und langfristigen Massnahmen.
  • Überwachung und Kontrolle
    Die umgesetzten Massnahmen sind regelmässig auf ihre Angemessenheit und Wirksamkeit zu überprüfen.

Unserer Erfahrung nach sind in den meisten Organisationen einzelne Aspekte dieser Schritte bereits vorhanden. Es ist unserer Meinung nach aber sinnvoll und hilfreich diese gesamtheitlich zu betrachtet und zu bearbeiten. Nur so kann sichergestellt werden, dass die begrenzt verfügbaren Ressourcen effizient und zielgerichtet eingesetzt werden. Wir unterstützen Sie gerne bei dieser umfassenden Betrachtung der Cybersecurity, aber auch punktuell bei der Ausarbeitung einzelner Aspekte oder in der Ausgestaltung und Umsetzung konkreter Cybersecurity Massnahmen.

Kundennutzen

Die langjährige Erfahrung unserer Cybersecurity Consultants und ihre vertiefte Kenntniss der Anforderungen an die Cybersecurity ermöglichen es uns rasch die Bedürfnisse unserer Kunden zu erfassen, die notwendigen Massnahmen zu identifizieren und gemeinsam ein passendes Vorgehen zu definieren. Der Kunde erhält dadurch ein auf seine Bedürfnisse zugeschnittenes Vorgehen und profitiert zeitgleich von unseren Erfahrungen bei vergleichbaren Organisationen. Unsere fachliche Expertise gepaart mit der Managementkompetenz stellt dabei sicher, dass nicht nur die Technik betrachtet wird, sondern auch organisatorische Aspekte ausreichend berücksichtigt werden. Dies beinhaltet z.B. die Erarbeitung der notwendigen Vorgaben oder auch die Definition der notwendigen Aufbau- und Ablauforganisation.

Sie erhalten von uns ein auf den aktuellen Zustand und die Bedürfnisse ihrer Organisation zugeschnittenes Cybersecurity Consulting.

Identity and Access Management (IAM)

Zählen Sie auf unsere IAM Consulting Expertise für die Standortbestimmung, Konzeption, Architektur, Governance, Produktevaluation oder Weiterentwicklung.

Information Security Management System (ISMS)

Ob Aufbau oder Verbesserung Ihres betehenden ISMS, in zahlreichen Projekten konnten wir unseren Kunden helfen ein effizientes und wirksames ISMS zu etablieren.

Digitale Zertifikate - Public Key Infrastructure (PKI)

Gerne setzen unsere erfahrene Experten Ihre Anforderungen an sichere Kommunikation, Datentransfer, Authentisierung, Autorisierung und digitalen Signaturen um.

Governance und Compliance

Unsere Experten helfen Ihnen die notwendigen Vorgaben und Prozesse für eine effektive und effiziente Governance und Compliance der Informationssicherheit zu schaffen.

Cybersecurity

Ob Maturitäts-Assessment, Sicherheits­architektur oder Cyber-Strategie inkl. Roadmap, unsere Expertise verhilft Ihnen zu einer massgeschneiderten Cybersecurity.

Risk Management

Wir helfen beim Aufbau und der Verbesserung Ihres Risikomanagements, der Erarbeitung der notwendigen Prozesse und Werkzeuge sowie bei der Druchführung von Risk-Assessments.