KPI für Ihr ISMS: So messen Sie den Erfolg Ihrer Security-Maßnahmen
Infoletter #19
Infoletter #19
Ihr Unternehmen hat die Implementierung des Managementsystems für Informationssicherheit (ISMS) erfolgreich abgeschlossen. Nun können Sie Ihre Sicherheitsmaßnahmen weiter optimieren, indem Sie sie kontrollieren, validieren und auf Basis der Messungen Anpassungen vornehmen. Hierbei ist ein effizientes Kennzahlensystem (ISMS KPI-Set) hilfreich.
In unserem aktuellen Infoletter stellen wir Ihnen das Thema KPI (Key Performance Indicator) für Managementsysteme zur Informationssicherheit (ISMS) ausführlich vor. Zudem führen wir anhand einer Case Study vor, wie ISMS KPI erfolgreich entwickelt und implementiert werden können.
Befürchten Sie, dass Ihr Unternehmen Opfer der SolarWinds-Attacke wurde? Mit „Sparrow“ stellen wir Ihnen eine kostenfreie Analyse-Software zur Verfügung.
Zudem machen wir Sie mit unserem neuen Mitarbeiter Till Bormann bekannt, der unser Team seit dem 01. März 2021 als Senior Security Consultant verstärkt.
Wir wünschen Ihnen viel Spaß mit unserem aktuellen Infoletter.
Herzlichst,
Timm Börgers, Carsten Marmulla & Jan Sudmeyer
Geschäftsführer carmasec GmbH & Co. KG
Ein Managementsystem für Informationssicherheit (ISMS) bringt für ein Unternehmen Steuerungsaufwand mit sich. Jan Sudmeyer, Managing Partner und Trusted Advisor bei carmasec, erklärt: „Die Lösung liegt in einem durchdachten Kennzahlensystem zur Unterstützung des ISMS“.
Passende KPI-Systeme variieren stark, da sie von individuellen Risiken sowie vom Umfang und Reifegrad des ISMS im Unternehmen abhängen. Ebenso sind die Cybersicherheitsstrategie (sofern vorhanden) und bereits implementierte Maßnahmen der Cybersicherheit zu berücksichtigen.
In unserem Artikel „ISMS KPI: Fakten statt Annahmen“ stellen wir Ihnen verschiedene Beispiele für effektive ISMS KPI vor und gehen näher auf den Nutzen für CISOs ein.
Lesen Sie den vollständigen Artikel in unserem Themenmagazin
Für die Entwicklung eines Sets von ISMS KPI bietet carmasec Workshops an, die an die individuellen Anforderungen und Zielstellungen des Kunden angepasst sind.
Im Rahmen eines solchen Workshops unterstützten wir im Jahr 2020 ein Unternehmen mit ca. 1500 Mitarbeitern, das als Versorger im Bereich Automotive sensible Nutzerdaten verwaltet. Als entsprechend wichtig schätzte die Geschäftsführung das Thema „Cybersicherheit“ ein. Ein nach der ISO/IEC-Norm 27001 zertifiziertes Managementsystem für Informationssicherheit war zum Zeitpunkt des Workshops bereits im Einsatz.
Wir haben Ihnen zum Ablauf und zu den Ergebnissen des Workshops eine Case Study zusammengestellt.
Den vollständigen Artikel finden Sie auf unserer Website.
Im Dezember 2020 stellten die US-amerikanischen Behörden fest, dass Software-Updates der Orion IT-Überwachsungs- und Managementsoftware des Unternehmens SolarWinds von Angreifern kompromittiert wurden. Alle Anwender, die den Patch ausführten, installierten automatisch einen Trojaner, der die Systeme infiltrierte und eine Sicherheitslücke namens „Sunburst“ öffnete.
Mehr als 18.000 Unternehmen und Behörden waren betroffen – darunter auch einige in Deutschland. SolarWinds hat die Schwachstelle der Patch-Server behoben und ein Sicherheits-Update für Orion veröffentlicht. Allerdings können Systeme, die zum Zeitpunkt der Attacke die Software Orion nutzten, noch immer unwissentlich von „Sunburst“ tangiert sein. Die Cybersecurity & Infrastructure Security Agency (CISA) der US-amerikanischen Homeland Security hat ein Tool bereitgestellt, mit dem sich Anomalien in Azure- und Office365-Umgebungen feststellen lassen.
Die EuroCloud Native (ECN) ist eine Initiative des EuroCloud Deutschland_eco e. V. (EuroCloud), dem Verband der Cloud-Computing-Wirtschaft in Deutschland. Seit 2020 richtet sich die ECN speziell an Anbieter von Public-Cloud-basierten Lösungen und Dienstleistungen. Ziel ist, den oft kleineren und teils hoch spezialisierten Cloud-Native-Anbietern eine eigene Stimme zu geben sowie den Austausch zwischen Experten und Anwendern zu fördern.
carmasec hat sich der Initiative im Februar 2021 angeschlossen. Im Interview spricht Kevin Kloft, Security Solution Architect bei carmasec, über die eigene Expertise, die die Beratungsboutique für Cybersicherheit in das Netzwerk einbringt, und formuliert seine Erwartungshaltung: „Eines der wichtigsten Ziele der ECN sollte der Abbau von Berührungsängsten der Anwender hinsichtlich Cloud-Lösungen sein.“
Das vollständige Interview finden Sie hier.
Wir heißen unseren neuen Mitarbeiter Till Bormann herzlich bei uns willkommen. Der Experte für Cybersicherheit unterstützt carmasec seit dem 1. März als Senior Security Consultant. Sein Schwerpunkt ist die Managementberatung in den Bereichen IT-Governance, -Risk und -Compliance.
Der studierte Ingenieur für Maschinenbau hat zunächst im Bankensektor Compliance- und IT-Projekte gesteuert, bis er vor ca. 15 Jahren sein Interesse für IT-Security entdeckte. Till Bormann bringt langjährige Erfahrung im Security-Projektmanagement, in der Beratung und als Führungskraft mit. Er ist darüber hinaus Experte für Datenschutz und Managementsysteme für Informationssicherheit (ISMS).
Seinen Wechsel zu carmasec begründet Till Bormann mit der Bandbreite der Aufgaben: „Ich bin leidenschaftlicher Security-Projektmanager und Berater. Bei carmasec habe ich Kundenkontakt und kann mich gleichzeitig strategisch in die Unternehmensentwicklung einbringen. Diese Mischung betrachte ich als spannende Herausforderung.“
Sie interessieren sich für eine Mitarbeit bei carmasec? Besuchen Sie unser Karriereportal.