Interdisziplinäre Cybersecurity Strategie


WAS WIR WISSEN

Die aktuelle Lage zeigt, dass die größten Schwachstellen bei dem Faktor Mensch und in der Kommunikation zu finden sind, während der Fokus zur Abwehr eher auf der technischen Seite liegt.

WAS WIR DENKEN

Cybersecurity benötigt eine Strategie, die Sicherheit ganzheitlich und nicht nur in Teilbereichen evaluiert.

Wie wir arbeiten

Nachhaltig

Durch die Zusammenarbeit von Pentestern und Consultants können wir den Status Quo umfassend beleuchten und darauf aufbauend nachhaltige und langfristige Sicherheit gewährleisten.
Denn Penetrationstests zeigen zwar Problemflächen und Handlungsempfehlungen auf, behandeln die tiefgreifende Ursache der Problemflächen aber nicht nachhaltig.

Interdisziplinär

Durch sozialwissenschaftliche und philosophische Methoden und daraus resultierende Einsichten erhöhen wir die Effektivität, Effizienz und Pragmatik von Sicherheitskonzepten - Denn jedes Konzept ist nur so effektiv, wie es von den Mitmenschen angenommen wird.

Handlungsempfehlungen sprechen wir nicht aufgrund von Partnerschaften, sondern aufgrund Ihres Schutzbedarfs, der bereits bestehenden Gegebenheiten Ihrer Infrastruktur sowie weiterer objektiv messbarer Kriterien aus.

Unabhängig

Handlungsempfehlungen sprechen wir nicht aufgrund von Partnerschaften, sondern aufgrund Ihres Schutzbedarfs, der bereits bestehenden Gegebenheiten Ihrer Infrastruktur sowie weiterer objektiv messbarer Kriterien aus.

Was wir machen

IT-Security Strategieberatung
Um das Ziel zu erwirken, Cybersecurity für alle Mitglieder einer Organisation verständlich, umsetzbar und selbstverständlich zu machen, ist es notwendig, Cybersecurity nicht nur in Teilbereichen wie beispielsweise Netzwerksicherheit zu evaluieren.

Vielmehr muss die Organisation als ganzheitlicher Sicherheitsfaktor betrachtet werden.

Denn Sicherheit ist eine Maßnahme gegen echte Gefahrenquellen, weshalb man alle Faktoren der IT-Sicherheit (Strategie, Organisation, Kultur, Prozess und Technologie) einfließen lassen muss.

Ein Angreifer sucht sich zumeist auch nicht einen Teilbereich aus, sondern greift eine Organisation dort an, wo es am verwundbarsten ist.
Ziel der Strategieberatung 
Ziel unserer Strategieberatung ist es, diese ganzheitliche Betrachtungsweise der IT-Sicherheit innerhalb der Organisationsstruktur zu integrieren. Wir möchten die Ursachen der IT-Sicherheitsprobleme identifizieren, anstelle nur die Probleme zu beheben. Wir glauben, dass es nur dann möglich ist, wenn man nachhaltig IT-Sicherheit umsetzt. Das wird dadurch möglich, dass wir IT-Sicherheit ganzheitlich evaluieren. Weshalb es notwendig ist, auf interdisziplinäre Ansätze aufzubauen, in dem Wissen, dass Sicherheit immer mit Praxisrelevanz einhergeht. Denn man schützt sich nur vor Dingen, die auch in der realen Praxis eine Gefahr darstellen. Und Praxis, das heißt in der IT immer Technik und Mensch.

Und gerade weil wir Technik und Mensch verstehen, das heißt einen interdisziplinären Ansatz anwenden und das Unternehmen als ganzheitlichen Sicherheitsfaktor evaluieren, ist es uns möglich, nicht nur die Probleme in der IT-Sicherheit, sondern auch deren Ursachen zu lösen.

Prozesse und Technologie agieren dabei unterstützend.
Der Prozess
Zunächst gilt es im Rahmen der ersten Projektphase “Ordnung schaffen”, den aktuellen IST-Zustand der Sicherheitslage einer Organisation kompromisslos zu bestimmen. Innerhalb der zweiten Projektphase “Prozessoptimierung” erfolgt die Entwicklung eines Sicherheitskonzeptes, mit deren Umsetzung eine Prozessoptimierung der IT-Security innerhalb der Organisation stattfindet. Basierend auf diesem Konzept erfolgt in der dritten Phase “Nachhaltigkeit etablieren” die Entwicklung und Umsetzung von Maßnahmen zur Einhaltung eines kontinuierlichen Schutzstandards durch interne Ressourcen.

Als letzten Schritt gilt es, diese internen Verfahren zu etablieren, die den aktuellen Schutzstandard nicht nur halten, sondern auch selbstständig durch interne Ressourcen in Revision setzen. Dadurch lässt sich ein Kreislauf generieren, der nicht nur ein Sicherheitsniveau gewährleistet und zyklisch in Revision setzt, sondern auch externe Revisionen und damit einhergehende Kosten deutlich minimiert.
Meilensteine
Schaffung einer Strategie
Es bedarf einer klaren Sicherheitsstrategie, einer Vision und Mission für die IT-Sicherheit. Denn Menschen müssen verstehen, warum Sie tun sollen, was Sie tun sollen. Insbesondere bei einem so heiklen und komplexen Themenfeld wie das der IT-Sicherheit, welches gerne als “Regulierung” verstanden wird. So ist es möglich, auch jeden einzelnen einer Organisation zu mehr Sicherheitsbewusstsein zu motivieren.

Einbindung der gesamten Organisation
IT-Sicherheit ist nicht Chefsache, sondern ein Thema für die gesamte Organisation. Jeder ist für die Sicherheit aller verantwortlich. Die Risiken und Konsequenzen eines Vorfalls und die damit verbundene Verantwortung müssen klar kommuniziert werden. Insbesondere, weil Incidents gerne an die zuständige IT-Abteilung abgegeben werden und dem einzelnen Nutzer die Reichweite seiner Fehlhandlung dadurch nicht bewusst wird. Sicherheit ist eine Verantwortung jedes Einzelnen einer Organisation. Dies gilt es transparent in die Organisation zu kommunizieren, sodass das Sicherheitsbewusstsein alle Bereiche erreicht und innerhalb einer Organisation auch zelebriert wird.

Optimierung der Prozesse
Klare, einfach umsetzbare, wenig regulierende, effektive und praxisnahe Prozessstrukturen, um nicht nur bei Übungen, sondern auch in realen Bedrohungslagen effektiv und gemeinsam Gefahren abwehren zu können.

Zeitgemäßer Einsatz von relevanter Technologie
Zeitgemäße, effiziente und praxisgerechte Umsetzung von Sicherheitstechnologien in der Praxis.

Integration in die Unternehmenskultur
Sicherheit ist keine Hürde oder Regulierung, sondern eine Chance für die Digitalisierung: Gerade weil es Sicherheiten gibt, ist es möglich, mehr machen zu können. Flugzeuge oder Autos stellen gute Paradebeispiele da: Gerade aufgrund von Sicherheiten können diese Technologien genutzt werden. Dieses Framing gilt es auch in der Unternehmenskultur zu manifestieren. Wie Dr. Hasib in seinem Buch “Impact of Security Culture on Compliant Behaviour in Healthcare in the USA” belegt, beeinflusst die Kultur sehr stark, ob Mitarbeiter Ihren Beitrag zur Sicherheit der Organisation leisten oder nicht.
Kalweit ITS steht für die exzellente Verknüpfung von Cybersecurity und Strategie. Als un­ab­hän­gi­ges Be­ra­tungs­un­ter­neh­men bie­ten wir un­se­ren Kun­den ganz­heit­li­che, in­no­va­ti­ve Lö­sun­gen: Vom Risikomanagement, zu Penetrationstests bis hin zur Kon­zep­ti­on und Um­set­zung zu­kunfts­wei­sen­der IT-Sicherheitsstrategien. Durch Zusammenarbeit auf Augenhöhe, neuen Perspektiven und innovativen Ansätzen tragen wir persönlich dafür sorge, dass sich unsere Kunden im Zuge der stetigen Digitalisierung frei und sicher weiterentwickeln können. Denn nur durch Sicherheiten ist Innovation möglich. Kalweit ITS - Dafür stehen wir.