Risk Assessment

Lernen Sie die Ressourcen, Bedrohungen, Schwachstellen und Risiken kennen, und optimieren Sie mithilfe dieser Informationen die Sicherheit

Nächste Schritte:

Übersicht

Die Risikobewertung mithilfe des Risk Assessment von McAfee Foundstone stellt eine unabhängige Prüfung vorhandener Risiken dar. Es werden Strategien eingeführt, mit denen Sie Ihr Risiko-Management verbessern können. Außerdem werden Prozesse und Systeme erläutert, mit denen die Risikobedingungen vermindert werden können. Regelmäßig durchgeführte Risikobewertungen sind ein zentraler Bestandteil bei der Einhaltung der Bestimmungen des US-Bundes und der Bundesstaaten. Darunter fallen auch folgende Bestimmungen: GLBA, HIPAA, California Senate Bill (SB) 1386 und PCI DSS. Außerdem stellt eine Risikobewertung eine zentrale Komponente in einem effizienten Sicherheitsprogramm dar.

Die Bewertung von Risiken bildet die Grundlage für die Entwicklung von Risiko-Managementstrategien innerhalb eines Unternehmens. Mit der Foundstone-Methode werden Ressourcen ermittelt, die Geschäftsvorgänge unterstützen, es werden Schwachstellen aufgedeckt und mögliche Bedrohungen dieser Ressourcen festgestellt.

Wichtige Vorteile

Mit dem Risk Assessment von Foundstone wird Ihr Unternehmen in folgenden Bereichen unterstützt:

  • Ermittlung zentraler betrieblicher Ressourcen
  • Schutz der wichtigsten Informationsressourcen vor möglichen Bedrohungen
  • Optimierung der Sicherheitsinvestitionen
  • Maximierung der Sicherheitsrendite
  • Unterstützung bei der Formulierung von Sicherheitsstrategien

Methode

Beim Risk Assessment von Foundstone werden Ressourcen ermittelt, die von zentraler Bedeutung für Ihre Geschäftsvorgänge sind. Außerdem wird festgestellt, welchen Wert diese Ressourcen für Ihr Unternehmen haben. Wir ermitteln Bedrohungen, die sich auf diese Ressourcen auswirken könnten, und prüfen Schwachstellen, um die Wahrscheinlichkeit der Auswirkungen zu bestimmen. Foundstone verwendet zur Bewertung des Risikoprofils eines Unternehmens einen ausgewogenen Ansatz. Statt uns auf Selbsteinschätzungen und Fragebögen zu verlassen, nutzen wir zur Risikobestimmung Gespräche, Dokumentationsprüfungen und technische Analysen.

Ermittlung von Ressourcen, Schwachstellen und Bedrohungen
In dieser Phase spricht Foundstone mit Geschäftsführern und technischen Mitarbeitern und prüft die Dokumentation zu Informationssicherheit und Ressourcen, einschließlich der Netzwerktopologie. Beim Risk Assessment durch Foundstone werden kritische betriebliche Ressourcen ermittelt, darunter auch Rechenzentrumssysteme, Mitarbeitercomputer, Netzwerkkommunikationsgeräte und -kanäle, Remote-Arbeitsplätze wie die Home-Computer der Mitarbeiter, Kundendaten, Mitarbeiterdaten und geistiges Eigentum. Ein besonderes Gewicht wird hierbei auf Systeme gelegt, die persönliche Daten verarbeiten, speichern, verwalten und übertragen. Wir prüfen, wie die Ressourcen der Informationstechnologie von den verschiedenen Systembenutzern verwendet werden, darunter auch Administratoren, Kunden und Mitarbeiter. Anschließend weisen wir jeder Ressource je nach dem Wert, den sie bei einem möglichen Ausfall für das Unternehmen hätte, einen Rang zu.

Foundstone spricht mit technischen Mitarbeitern, um mögliche Schwachstellen festzustellen. Außerdem werden Dokumentationsprüfungen und technische Analysen durchgeführt (bei Kombination mit einer Schwachstellenbewertung), um mögliche unsichere Bereiche aufzudecken. Schwachstellen werden auf der Grundlage des Schweregrads klassifiziert, der das Risiko einer Ressource bestimmt. Zum Zweck der Risikobewertung stellt die Schwachstellenbewertung eine hochkarätige Prüfung dar. Durch diese Bewertung ermittelte Schwachstellen werden einer detaillierten technischen Bewertung unterzogen, die ebenfalls von Foundstone durchgeführt wird.

Mithilfe von Bedrohungsmodellen erstellt Foundstone Szenarien, die mögliche Ereignisse wiedergeben. Jede Ressource wird mit den möglichen Kosten analysiert, die eine Beeinträchtigung dieser Ressource verursachen würde. Dazu gehören die direkten Kosten bei tatsächlicher Zerstörung oder Verlust, bei Verlust des Kundenvertrauens, bei Nichteinhaltung der gesetzlichen Bestimmungen und bei Katastrophen. Das Ergebnis ist eine Rangfolge der Bedrohungen basierend auf der Häufigkeit ihres Vorkommens. Diese Rangfolge gibt an, ob eine Bedrohung die Fähigkeit und das Motiv zur Beeinträchtigung einer Ressource hat.

Umfassende Analyse
Nach der Katalogisierung der Ressourcen, Bedrohungen und Schwachstellen durch Foundstone beginnt die Analyse. Ein Risiko ist vorhanden, wenn kritische Ressourcen, glaubwürdige Bedrohungen und vorhandene Schwachstellen vorliegen. Foundstone legt den Schwerpunkt auf eine qualitative Risikobewertung und nicht auf den Versuch, möglichen Verlusten finanzielle Werte gegenüberzustellen.

Planung einer Sicherheits-Roadmap
Foundstone konzentriert sich auf Strategien, die eine maximale Risikominderung bei minimalen Sicherheitsinvestitionen bedeuten. Wir erstellen eine Sicherheits-Roadmap, die die Details der vier Risiko-Management-Strategien von Foundstone umfasst: Minderung, Übertragung, Vermeidung und Akzeptanz. Die Strategien werden nach der Höhe der Risikominderung und der relativen Kosten eingestuft. Die Ergebnisse werden in einem Aktionsplan für die Sicherheits-Roadmap dokumentiert, der Systemprobleme und -lösungen basierend auf den Ressourceneinschränkungen und den Risikozielen Ihres Unternehmens beschreibt.

Am Ende des Projekts erhalten Sie einen umfassenden technischen Bericht zum Risk Assessment, eine Zusammenfassung, Vorschläge für nächste Schritte sowie einen halbtägigen Workshop mit einer Präsentation der Ergebnisse.