Social Engineering Audit Risikofaktor «Mensch» systematisch überprüft. SWISS INFORMATION SECURITY Verifikation des Sicherheitsverhaltens Ihrer Mitarbeiter Mit unseren Social Engineering Audits überprüfen wir Datenanalyse auf dem Internet sowie die Auswertung nicht einzelne Personen, sondern verifizieren anonymi- von Logfiles und Systeminformationen gehören dabei siert die Einhaltung von sicherheitsrelevanten Geschäfts- zum Angriffsrepertoire der InfoGuard. prozessen und Richtlinien sowie den Umgang mit sensiblen Informationen. Alle Prüfziele und -Methoden Deckt Schwachstellen im Umgang mit sensib- werden vorgängig mit dem Auftraggeber besprochen len Geschäftsinformationen auf. und durch die Verantwortlichen genehmigt. Gezielte Überprüfung der Einhaltung von Je nach Prüfziel und Zielgruppe setzen wir unterschied- sicherheitsrelevanten Geschäftsprozessen, liche Prüfmethoden und Angriffsarten des Social Engi- Benutzerrichtlinien, IT-Sicherheitsrichtlinien neering ein. Diese reichen vom persönlichen Kontakt mit und Zutrittsregelungen. der Zielperson per Telefon oder physisch vor Ort, über den elektronischen Weg über E-Mail, Chat oder SocialNetwork-Plattformen, bis hin zur postalischen Kontaktaufnahme. Aber auch die gezielte Abgabe von manipu- Liefert ein Stärken-Schwächen-Profil gegenüber ISO 27002 und beschreibt konkrete Massnahmen zur Risikominimierung. lierten USB Speichermedien oder die systematische PRÜFZIELE • Sicherheitsrelevante Geschäftsprozesse • Umgang mit sensiblen Geschäftsinformationen • Einhaltung von IT-Sicherheitsrichtlinien • Einhaltung von Zutrittsrichtlinien PRÜFMETHODEN • Information Gathering • Persönlicher Kontakt • Interviews • Phishing und Malware • Analyse von IT-Systemen • Vor Ort Inspektionen KOMMUNIKATIONSWEGE • Persönliches Gespräch • Briefpost • Telefon und SMS • E-Mail und Internet • Social-Network-Plattformen Systematisches Vorgehen von der Bedrohungsanalyse, über die Planung und Durchführung bis zur Risikobewertung und Massnahmenempfehlung. Social Engineering Audit in sechs Schritten 1 Bedrohungsanalyse und Definition der Prüf- 4 Workshop – Risikobewertung ziele Die Ergebnisse der Prüfungen werden mit dem Kun- Die Basis für die Überprüfung bildet eine spezifische den in einem Workshop besprochen. Dabei werden Bedrohungsanalyse, mit Gefahren, Erfolgschancen die ermittelten Schwächen und die wesentlichen und Risikoklassen. Dabei betrachten wir Risiken wie Risiken zur Informationssicherheit, insbesondere zum Datenverlust, -diebstahl oder -manipulation, Identi- «Faktor Mensch» interpretiert und bwertet, um im tätsdiebstahl und Verstoss gegen firmeninterne Pro- letzten Schritt den Bericht abzuschliessen. zesse oder Gesetzesbestimmungen um nur einige zu nennen. In einem Meeting werden die Prüfziele de- 5 Bericht mit Bewertung & Empfehlungen finiert, das Vorgehen terminiert und die Verantwort- Sämtliche Erkenntnisse aus den Analysen und dem lichkeiten und Rahmenbedingungen geklärt. Workshop werden im Gesamtbericht zusammengetragen und durch ein Stärken-/Schwächen-Profil dem 2 Planung der Überprüfung und Ausarbeitung internationalen Standard für IT-Sicherheit ISO 27001 der Prüfmethoden gegenüber gestellt. Die erkannten Schwachstellen In diesem Projektschritt werden die relevanten Benut- werden bewertet und mit Empfehlungen versehen. zerweisungen und vorhandenen Security-Baselines Die konkreten Massnahmenempfehlungen sind dabei des Auftraggebers gesichtet. Um zu erfahren, was im Detail beschrieben und gemäss der Risikoeinschät- erlaubt oder nicht erlaubt ist, analysieren wir die vor- zung priorisiert. handenen Richtlinien und führen ergänzend Gespräche. Anschliessend werden die effektivsten Prüf- 6 methoden ausgearbeitet, geplant und in einem de- Der Schlussbericht wird im Rahmen einer Präsenta- taillierten Drehbuch festgehalten. Dieses wird von tion mit dem Auftraggeber besprochen. Für das Ma- den verantwortlichen Personen des Kunden geprüft nagement wird eine umfassende und aussagekräftige und genehmigt. Abschlussbesprechung Zusammenfassung über die Projektdurchführung, die Erhebungsergebnisse und über die daraus resultieren- 3 Überprüfung den Sicherheitsmassnahmen erstellt. Selbstverständ- Als zentrale Phase folgt nun die Überprüfung mit den lich sind wie dem Kunden bei der Umsetzung gerne definierten Tests. Dieser Schritt umfasst immer einen behilflich. Mix aus verschiedenen Prüfmethoden. Treten dabei schwerwiegende Mängel auf, wird der Kunde sofort informiert, so dass allfällige Sofortmassnahmen umgehend umgesetzt werden können. Social Engineering Audit – Nur ein Bestandteil von umfassenden Sicherheits-Audits und -Reviews. Ihre Geschäftsprozesse funktionieren nur, wenn stets die richtigen Informationen zur richtigen Zeit am richtigen Ort vorzufinden sind. Vertraulichkeit, Integrität und Verfügbarkeit der Informationen spielen dabei eine bedeutsame Rolle. InfoGuard bietet eine unabhängige Überprüfung Ihrer Informationssicherheit. Dabei zeigen wir auf, welche organisatorischen, technischen und personellen Schwachstellen in Ihrem Unternehmen vorliegen und wie Sie diesen begegnen können. Unsere Dienstleistungen umfassen die Bereiche: Security Audit nach ISO 27001/27002 GAP-Analyse hinsichtlich einer ISO 27001-Zertifizierung System- und Architektur-Review Penetration Test nach OSSTMM Vulnerability Scan Social Engineering Audit Ihre Sicherheit ist unser Ziel – © 2012 InfoGuard AG | 120101_IG_L3_SEAudit_d1 wir analysieren und optimieren Ihr Sicherheitssystem! InfoGuard – Schweizer Experte für Informationssicherheits- und Netzwerklösungen Wir sind die Spezialistin für umfassende Informationssicherheits- und innovative Netzwerklösungen. Dabei profitieren Sie von unserer grossen Erfahrung, Professionalität und Zuverlässigkeit in der Architektur, der Beratung und Ausbildung sowie im Betrieb und Support. Zu unseren Kompetenzen zählen massgeschneiderte Dienstleistungen nach internationalen Sicherheitsstandards sowie die Entwicklung und Implementierung technischer Sicherheits- und Netzwerklösungen. Um Ihnen die optimalste Lösung bieten zu können, setzen wir gezielt führende Produkte von ausgewählten Herstellern ein. Wir sind Mitglied der Schweizer «The Crypto Group» und haben unseren Hauptsitz in Zug sowie Auslandvertretungen in London, Frankfurt und Dubai.. Headquarters Representative Offices InfoGuard AG · Lindenstrasse 10 · CH-6340 Baar/ Switzerland · Phone +41 41 749 19 00 · Fax +41 41 749 19 10 · www.infoguard.ch · [email protected] London · Frankfurt · Dubai
© Copyright 2024 ExpyDoc
