Informationssicherheits-Consulting | Ceyoniq Technology GmbH

GO DIGITAL. GET AHEAD.

+49 521 9318 1000

info@ceyoniq.com

Informationssicherheits-Consulting

Wissen Sie heute schon, welchen Bedrohungen Ihr Unternehmen morgen gegenübersteht?

Informationssicherheit gewinnt in einer digitalen und vernetzten Welt rasant an Bedeutung. Die meisten Unternehmen denken beim Thema Sicherheit jedoch nur bis zu ihrer IT. Dabei geht Sicherheit weit über Trojaner und Hackerangriffe hinaus. Wer sein Unternehmen in sicherheitsrelevanten Fragen nicht ganzheitlich betrachtet, ist dem permanenten Risiko von Geschäftsausfällen, unbemerkter Manipulation, Sabotage und massivem Verlust des Vertrauens seiner Kunden ausgesetzt. Um die Sicherheit in Ihrem Unternehmen zu steigern, führen wir gemeinsam mit Ihnen Workshops und Norm-Implementierungen durch.

Folgende Formen des Consultings bieten wir im Bereich Informationssicherheit an:

Sicherheit hängt vom Menschen ab. Selbst die beste Technologie zum Schutz des Unternehmens kann durch das Handeln der Mitarbeiter nutzlos sein. Dies hat auch der Gesetzgeber erkannt und fordert bei kritischen Infrastrukturen (KRITIS) eine Zertifizierung, die auch einen Entwicklungsprozess für das Sicherheitsbewusstsein (Awareness) bei der Belegschaft vorsieht. Doch auch für alle anderen Unternehmen lohnt es sich, Mitarbeiter durch gezielte Schulungen zu informiertem und eigenverantwortlichem Handeln in Sicherheitsfragen zu befähigen.
Häufig auftretende Gefährdungen müssen durch die Mitarbeiter eigenständig erkannt und die richtigen Folgerungen getroffen werden. Auch auf seltene Vorkommnisse, die vom üblichen Berufsalltag abweichen, sollte angemessen reagiert werden können, beginnend bei Verdachtsmomenten wie unerwarteten Mails, Fehlermeldungen von Computern oder Smartphones bis hin zu unbekannten Personen, die in abgeschlossenen Bereichen unerwartet angetroffen werden.
Der Aufbau eines Sicherheitsbewusstseins sollte vor allem auf die Arbeitsabläufe von Mitarbeitern ausgerichtet sein. Nichts ist vergeblicher als eine Schulung über Themen, zu denen die Zuhörer keinen Bezug haben. Die Awareness Schulungen der Ceyoniq gehen deshalb speziell auf den jeweiligen Wissenstand Ihrer Mitarbeiter und sprechen überdies auch Sachverhalte an, die auch im privaten Umfeld auftreten können. Beispiele sind Phishing sowie die Risiken rund um das Smartphone. Werden Risiken und Gefahren durch die Betroffenen im privaten Umfeld richtig eingeschätzt, kann dieses Wissen auch auf den beruflichen Alltag übertragen werden.
 
Entsprechend dem Publikum werden beispielsweise folgende Themen im Workshop besprochen:
  • Cyber-Kriminalität, geschichtliche Entwicklung und Hintergründe
  • Gefahren und Schutzmaßnahmen bei „Mobile Apps“ wie Smartphone und co.
  • Schutz vor Schadsoftware wie Viren und Trojanern
  • Sicheres Surfen im Netz
  • Gefahren und Maßnahmen bei E-Mail-Nutzung (Phishing, SPAM und Co.)
  • Identitätsdiebstahl und Online Payment
  • Überblick über die Gefährdung und Schutz technischer Anlagensteuerungen (SCADA, ICS)
  • Physikalische Sicherheit (Gebäudesicherheit, Zugangskontrollen)

Der Umfang dieses Workshops beträgt ca. einen Personentag.

Als Betreiber kritischer Infrastrukturen trifft Energienetzbetreiber eine besondere Verantwortung für die Aufrechterhaltung der Energieversorgung, denn diese ist Grundvoraussetzung für das Funktionieren unserer Gesellschaft. In einer immer stärker digitalisierten Welt ist dafür vor allem auch die Sicherheit der im Netzbetrieb eingesetzten Informations- und Kommunikationstechnologien (IKT) unabdingbar. Nach §11 Abs. 1a des Energiewirtschaftsgesetzes sind Netzbetreiber deshalb dazu verpflichtet, ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 in Kombination mit den Anforderungen des IT-Sicherheitskatalogs einzuführen. Zudem müssen Netzbetreiber laut Konformitätsbewertungsprogramm der Bundesnetzagentur im Rahmen des Risikomanagements auch die Maßnahmen der ISO 27019 umsetzen. Ein ISMS gewährleistet dabei nicht nur die Planung und Umsetzung sicherheitsrelevanter Maßnahmen gemäß Unternehmensanforderungen, sondern stellt auch deren Überwachung und kontinuierliche Verbesserung sicher.
Die Einführung eines solchen ISMS ist zeit- und ressourcenaufwändig und erfordert tiefgreifendes Know-How und Methodenkompetenz, um die Wirksamkeit von Sicherheitsmaßnahmen zu gewährleisten. Umso wichtiger ist es, sich bereits in der frühen Planungsphase von Experten beraten zu lassen. Gemeinsam mit Ihnen evaluieren unsere erfahrenen Auditoren im Rahmen eines Scoping-Workshops den Status quo in Ihrem Unternehmen und zeigen Ihnen maßgebliche Handlungsempfehlungen für eine erfolgreiche Zertifizierung auf.
  • Steuerungsprozesse
  • Dokumente (Policies, Richtlinien, Arbeitsanweisungen etc.)
  • Analyse unterstützender IT-Systeme aus Prozesssteuerung, Automatisierungstechnik, Leitsystemen und Überwachungsmechanismen
  • Evaluierung bestehender Sicherheitsmaßnahmen
  • Notfallmanagement
  • Maßnahmenempfehlung

Der Umfang dieses Workshops beträgt ca. 2 Personentage.

Durch den Gesetzgeber und andere regulatorische Vorgaben sind Unternehmen zunehmend verpflichtet, ihre Risiken nachhaltig zu steuern. Gleichzeitig fehlt jedoch oftmals der Überblick über bestehende Schwachstellen und mögliche Bedrohungen. Dabei gibt es bewährte Werkzeuge, um diese zielgerichtet zu erkennen und ihnen entgegenzuwirken. Besonders effektiv ist ein aufeinander aufgebautes Risiko- und Asset-Management. Das Asset-Management erfasst die zu schützenden Werte und ermöglicht die Identifikation und Bewertung der relevanten Risiken. Die Einführung lohnt sich dabei unabhängig von gesetzlichen Anforderungen, denn die gezielte Überwachung von Assets und Risiken ermöglicht eine Steigerung der Kostentransparenz und bietet neue Denkansätze für die strategische Ausrichtung Ihres Unternehmens.

Das Asset- und Risiko-Quick-Assessment analysiert den aktuellen Umsetzungsstand basierend auf Ihren Anforderungen. Die Ergebnisse werden durch einen detaillierten Abschlussbericht dargestellt. Zudem erhalten Sie auf Wunsch eine Übersicht über die notwendigen Maßnahmen für die initiale Einführung eines Risiko- und Asset-Managements im Rahmen eines Projektsteckbriefs. Aus diesem lässt sich schnell ein ausführlicher Projektplan zur Bearbeitung aller notwendigen Aufgaben ableiten. Bei bereits bestehenden Systemen bewerten wir mit Ihnen die Effektivität, Effizienz und Nachhaltigkeit der Prozesse und zeigen Ihnen entsprechende Verbesserungsmaßnahmen auf. Mögliche Optimierungsmaßnahmen werden als Anhang zum Abschlussbericht als Projektsteckbriefe an den Auftraggeber übergeben.

Die Berater der Ceyoniq Technology GmbH haben weitreichende Erfahrungen bei der Umsetzung der Anforderungen aus der ISO 27001, dem Datenschutzmanagement und vergleichbarer Systeme bei Industrieunternehmen und im KRITIS-Umfeld. Wir unterstützen Sie dabei, ein übergreifendes Asset- und Risikomanagement zu entwickeln oder überprüfen bestehende Systeme auf ihre Angemessenheit und Nachhaltigkeit.

  • Analyse und Bewertung der Effektivität, Effizienz und Angemessenheit eines bereits existierenden Asset- und Risiko-Managements bzw. Gap-Analyse zur Einführung
  • Dokumentation der Analyseergebnisse durch einen ausführlichen Abschlussbericht und dokumentierte Empfehlung angemessener Maßnahmen als Projektsteckbriefe
  • Unterstützung bei der Umsetzung eines für das Unternehmen angemessenen Asset- und Risikomanagements
  • Messung des Umsetzungserfolgs durch Folge-Assessments

Der Umfang dieses Workshops beträgt ca. 2 Personentage.

Die Wirksamkeit der Informationssicherheit im Unternehmen hängt zu einem maßgeblichen Teil vom Sicherheitsbewusstsein der Belegschaft ab. Einmalige Veranstaltungen können kurzfristig die Aufmerksamkeit auf das Thema lenken. Im Alltag nimmt die Wirksamkeit solcher Aktionen jedoch schnell wieder ab. Nur durch regelmäßige Schulungen und Awareness-Maßnahmen auf unterschiedlichen Ebenen werden Mitarbeiter langfristig dazu befähigt, Sicherheitsvorkehrungen eigenverantwortlich zu wahren und mitzutragen.

Im Rahmen eines Quick-Assessments analysieren wir den aktuellen Awareness-Stand in Ihrem Unternehmen und zeigen Ihnen nachhaltige Verbesserungsmaßnahmen sowie Möglichkeiten zur Überprüfung und kontinuierlichen Verbesserung dieser Maßnahmen auf.

Das Assessment führen unsere erfahrenen ISO 27001-Berater gemeinsam mit Ihnen durch. Die Inhalte und Methoden, wie beispielsweise Interviews, Vor-Ort-Begehungen oder spezifische Einzelaktionen, werden dabei genau auf Ihre Wünsche und Anforderungen abgestimmt. Nach Abschluss des Assessments wird ein aussagekräftiger Abschlussbericht erstellt und eine Empfehlung möglicher Maßnahmen in Form von detaillierter Projektsteckbriefe zur Verfügung erstellt.

  • Messung des aktuellen Problembewusstseins für Aspekte der Informationssicherheit im Unternehmen
  • Empfehlung wirksamer Maßnahmen als detaillierte Projektsteckbriefe
  • Planung, Durchführung und Erfolgsmessung von Einzel-Events
  • Unterstützung bei der Umsetzung eines angemessenen Awareness -Konzepts
  • Messung des Umsetzungserfolgs durch Folge-Assessements

Der Umfang dieses Workshops beträgt ca. 3 Personentage.

Die Ceyoniq Technology GmbH analysiert im Rahmen eines Quick-Assessment gemeinsam mit Ihnen die Risiken gesetzlicher, regulatorischer und vertragsrechtlicher Vorgaben. So kann die Nichteinhaltung von Vorschriften aus Wettbewerbsrecht, Datenschutz und Compliance-Anforderungen schnell identifiziert werden. Sie erhalten einen vertraulichen Abschlussbericht sowie einen Katalog mit Vorschlägen möglicher Maßnahmen zur Behandlung der identifizierten Risiken und Abweichungen
  • Kundenverwaltung
  • Lieferantenverwaltung
  • Absicherung der Informationen durch Geheimhaltungserklärungen
  • Überprüfung von Bewerbern und Mitarbeitern entsprechend den europäischen Anti-Terrorgesetzen
  • Personalwesen / HR
  • Datenschutz
  • Marketing und Unternehmenskommunikation, ggf. die Kommunikation zu An-teilseignern (z. B. Aktienrecht)
  • Schutz der Informationen in Forschung und Entwicklung

Der Umfang dieses Workshops beträgt ca. 3 Personentage.

Die Umsetzung eines effektiven Berechtigungsmanagements ist die Grundlage für den nachhaltigen Schutz digitaler Unternehmenswerte. Historisch gewachsene Berechtigungsstrukturen und die unzureichende Beachtung von Datenschutzvorgaben führen jedoch oft dazu, dass die Berechtigungsvergabe unzureichend gesteuert und das angestrebte Sicherheitsniveau verfehlt wird. Das Ergebnis ist ein unkontrollierbarer Wildwuchs an Zugriffsmöglichkeiten Unbefugter auf Systeme Ihrer Organisation. In diesem Zustand ist es nicht mehr möglich unerwünschte Zugriffe auf Informationswerte auszuschließen oder Angreifer zu identifizieren. Gerade in hochsensiblen Bereichen wie Produktionsumgebungen ist die Gewährleistung der Vertraulichkeit und Integrität wirtschaftlicher Informationen jedoch die Grundvoraussetzung für anhaltenden Erfolg. Zudem ist ein funktionierendes Berechtigungsmanagement einer der Schwerpunkte bei der Zertifizierung von Informationssicherheitsmanagementsystemen.

Die Berater der Ceyoniq Technology GmbH verfügen über tiefgreifende Erfahrung in der Einführung und Umsetzung von Berechtigungsmanagementsystemen. Dabei werden sowohl die technischen als auch die organisatorischen Aspekte sowie die bestehende Unternehmenskultur berücksichtigt. Diese werden im Rahmen des Quick Assessments erfasst und bewertet. Durch gezielte Maßnahmenempfehlungen helfen wir Ihnen dabei, Ihr angestrebtes Sicherheitsniveau zu erreichen.

  • Analyse und Bewertung der Effektivität, Effizienz und Angemessenheit der etablierten Berechtigungsprozesse
  • Dokumentation der Analyseergebnisse in einem ausführlichen Abschlussbericht und Empfehlung möglicher Maßnahmen als detaillierte Projektsteckbriefe
  • Unterstützung bei der Umsetzung eines für das Unternehmen angemessenen Berechtigungsmanagements
  • Messung des Umsetzungserfolgs durch Folge-Assessments

Der Umfang dieses Workshops beträgt ca. 3 Personentage.

Automobilhersteller haben großen Bedarf am Schutz ihrer Produkte und zugehöriger Dokumentationen. Vor allem vertrauliche Dokumente, wie z. B. Prototypeninformationen, können durch Zulieferer ungewollt offengelegt werden. Um dem wirksam zu begegnen, hat der Verband der Automobilhersteller (VDA) einen Prüfungskatalog auf der Basis der ISO 27001 zur Verfügung gestellt. Dieser erlaubt es Zulieferern, gegenüber Automobilherstellern Ihre Zuverlässigkeit in Sicherheitsangelegenheit zu belegen und ist bereits Grundvoraussetzung für die Beauftragung durch führende Automobilkonzerne.

Der VDA-ISA wurde auf Basis der ISO 27001 / ISO 27002 entwickelt, ist dabei jedoch auf die Bedürfnisse und Kapazitäten mittelständischer Unternehmen abgestimmt und branchenübergreifend einsetzbar. Dadurch hat sich der VDA-ISA-Fragenkatalog zu einem Geheimtipp für schnelle Sicherheitsanalysen entwickelt. Die Methodik liefert nachvollziehbare Werte, von denen sich notwendige Sicherheitsmaßnahmen direkt ableiten und auf Projektbasis nachverfolgen lassen. Bei einer angestrebten Zertifizierung als Zulieferer in der Automobilindustrie kann der durch das Quick Assessment erstellte Bericht zudem als Grundlage für die folgende Zertifizierung herangezogen werden.

Die Berater der Ceyoniq Technology GmbH unterstützen Sie bei der Bewertung des Sicherheitsniveaus auf Basis des VDA-ISA:

  • Definition des Scopes / Anwendungsbereichs der Organisation
  • Durchführung eines Workshops zur Bearbeitung des VDA-ISA-Fragenkatalogs
  • Auswertung der Ergebnisse und Dokumentation in einem ausführlichen Abschlussbericht
  • Definition von Maßnahmen zur Erreichung des angestrebten Sicherheitsniveaus anhand von Projektsteckbriefen
  • Unterstützung bei der Projektplanung und Umsetzung
  • Durchführung regelmäßiger Folge-Assessments

Der Umfang dieses Workshops beträgt ca. 3 Personentage.

Die Einführung eines Informationssicherheitsmanagementsystems (ISMS) ist unabdingbar, um ein konstantes Sicherheitsniveau im Unternehmen zu halten, kritische Geschäftsausfälle zu vermeiden und sensible Informationen zuverlässig zu schützen. Dabei dürfte es niemanden geben, der nicht heute schon gewisse Mindestanforderungen an die Informationssicherheit stellt und diese auch umsetzt. Doch erfüllen diese Maßnahmen eigentlich ihren angestrebten Zweck und sind sie in allen Bereichen angemessen? Nur, wer Informationssicherheit zielgerichtet steuert und überwacht, kann das Sicherheitsniveau seines Unternehmens verlässlich einschätzen und Verbesserungspotenziale optimal ausnutzen.

Ein ISMS nach ISO 27001 kann hier Abhilfe schaffen und sorgt zusätzlich für ein gesteigertes Vertrauen Ihrer Kunden. Unsere erfahrenen ISO-27001-Auditoren bewerten dazu im Rahmen eines Scoping-Workshops gemeinsam mit Ihnen den aktuellen Stand der Informationssicherheit in Ihrem Unternehmen. Die Schwerpunkte können dabei individuell auf die Bedürfnisse Ihres Unternehmens abgestimmt werden. Neben dem Status quo zeigen wir Ihnen zudem die notwendigen Maßnahmen auf, die die Grundvoraussetzung für eine erfolgreiche Unternehmenszertifizierung nach ISO 27001 bilden.

  • Angemessenheit des angestrebten Anwendungsbereichs
  • Steuerungsprozesse und Verantwortlichkeiten
  • Prozess zur Risikobewertung und Maßnahmenbestimmung
  • Wirksamkeitsmessung und -bewertung
  • Dokumentation von Assets, Geschäftsprozessen und Sicherheitsmaßnahmen
  • Notfallmanagement
  • Vorgehensweise bei sicherheitsrelevanten Ereignissen
  • Awareness
  • Dokumente (Richtlinien, Policies, Arbeitsanweisungen)
  • Dokumentation von Assets, Geschäftsprozessen und Sicherheitsmaßnahmen

Der Umfang dieses Workshops beträgt ca. 3 Personentage.

Ein Informationssicherheitsmanagementsystem (ISMS) nach ISO 27001 ist das Werkzeug, mit dem Sie Ihre Sicherheit ganzheitlich und messbar in den Griff bekommen. Wir etablieren gemeinsam mit Ihnen die notwendigen Prozesse, die eine konstante Überwachung, Bewertung und Verbesserung Ihres Sicherheitsniveaus gewährleisten. Dazu beraten wir Sie von der Anforderungsanalyse über die Umsetzung notwendiger Maßnahmen bis zur erfolgreichen Zertifizierung Ihres ISMS. Denn nur, wer seine Schwachstellen kennt und angemessen reagiert, kann seine Marktposition langfristig sichern.
  • Festlegung des Anwendungsbereichs
  • IST-Analyse bestehender Prozesse, Dokumentationen und Maßnahmen
  • Implementierung von Steuerungsprozessen
  • Festlegung von Verantwortlichkeiten
  • Dokumentation von Assets und Geschäftsprozessen
  • Implementierung einer Risikomethodik
  • Festlegung von Sicherheitsmaßnahmen
  • Messung und Bewertung der Wirksamkeit des ISMS
  • Einführung eines Notfallmanagements
  • Integration sicherheitsrelevanter Aspekte in bestehende Geschäftsprozesse
  • Vorgehensweise bei sicherheitsrelevanten Ereignissen
  • Awareness
  • Normkonforme Dokumente (Richtlinien, Policies, Arbeitsanweisungen)

Der Umfang dieser Implementierung kann zwischen 20 und 50 Personentage betragen.


Für weitere Informationen nehmen Sie gerne mit unserem Experten Frank Schubert Kontakt auf.

Info-Icon Kontakt aufnehmen

logo Ceyoniq Technology GmbH

 

Ceyoniq Technology GmbH

Boulevard 9
33613 Bielefeld/Germany

 

Phone: +49 521 9318-1000
Fax: +49 521 9318-1111
Mon – Thu 8:00 am to 6:00 pm
Friday 8:00 am to 4:30 pm

E-mail: info@ceyoniq.com

Certified

 L|PT Audited Website