Évaluation de la sécurité
Nos évaluations de sécurité vous aident à identifier et à réduire les failles de sécurité dans votre organisation et à mettre en œuvre efficacement les normes de meilleures pratiques. Tous les aspects de la sécurité de l’information sont pris en compte dans les questions d’organisation, de personnel, de droit et de construction.
Dans une évaluation de la sécurité, nous travaillons selon la famille norme internationale ISO / CEI 2700x et après les catalogues de protection de base informatique de l’Office fédéral pour la sécurité dans les technologies de l’information BSI.
La vue de l’informatique d’une organisation diffère de manière significative dans la perspective à partir de laquelle elle est faite. Du point de vue interne, la disponibilité des serveurs de fichiers ou la confidentialité des données comptables jouent un rôle central. D’un point de vue externe, l’invulnérabilité du site ou l’impénétrabilité des interfaces entre Internet et l’intranet est pertinente. En ce qui concerne la question de savoir quel point l’évaluation devrait prendre en considération, il faut considérer que les entreprises sont de loin les plus durement lésées par les «initiés».
En procédant à une évaluation de la sécurité, vous aborderez de manière proactive le sujet de la sécurité et vous travaillerez avec nous pour formuler une base décisionnelle pour la gestion des risques de l’ensemble de l’entreprise. Après une évaluation de la sécurité informatique, vous saurez quelles sont les dépendances sur les partenaires informatiques internes et externes, quelles informations doivent être protégées, où vous êtes particulièrement vulnérable et quelles mesures peuvent être prises pour les améliorer.
- Gesamtüberblick über Informations- und IT-Sicherheitsorganisation
- Soll-/ Ist-Vergleich anhand von internationalen Standards
- Stärken-/ Schwächen-Analyse anhand von internationalen Standards
- Empfehlungen zur Definition und Implementierung angemessener Massnahmen zur Verbesserung der Informations- und IT-Sicherheit
- Effiziente Allokation von Ressourcen zur Adressierung identifizierter Risiken
- Dienstleistung gestützt auf internationale Standards (ISO 27001, 27002, SANS 20, IEC 62443, NERC CIP etc.)
- Zertifizierte Experten mit langjähriger Erfahrung
- Garantierte Diskretion
Social Engineering
Sogenanntes «Social Engineering» bezeichnet eine Vorgehensweise, bei der die kritische Schwachstelle Mensch ausgenutzt wird. Es wird eine Situation konstruiert in der Absicht die Mitarbeitenden dazu zu bringen normale Sicherheitsvorkehrungen zu umgehen und sensible Informationen preiszugeben. Die bekannteste Form bildet das sogenannte «Phishing», was Versuchen, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen. Social Engineering bildet häufig Teil eines Penetrationstests oder geht einer entsprechenden Schulung zur Sensibilisierung der Mitarbeitenden voraus.
Penetration Test
Penetrationstests stellen eine umfassende Sicherheitsüberprüfung einzelner Rechner, Server und Netzwerksysteme und damit eine bestimmte Form von Ethical Hacking dar. Es werden Mittel und Methoden eines potenziellen Angreifers angewandt, um ins entsprechende System einzudringen. Penetration Tests ermitteln somit die Empfindlichkeit der zu testenden Sicherheitsarchitektur (wie z.B. Data Rooms, Smartphones und Mailserver) gegen derartige Angriffe.
Ethical Hacking
Ethical Hacking bezieht sich auf die Simulation eines Cyber-Angriffs durch einen Hacker. Unsere IT-Spezialisten versuchen die ermittelten Schwachstellen gezielt auszunutzen, um so Zugriff auf einen Computer oder ein Netzwerk zu erhalten.
VULNERABILITY SCANNING
Im Rahmen einer sogenannten Schwachstellenanalyse werden gängige Software- und Konfigurationsfehler auf Infrastruktur- und Applikations-Ebene ermittelt. Die hierbei gewonnen Erkenntnisse bilden häufig die Grundlage für einen weiterführenden Penetrationstest.
