Consulting
p³ ist fokussiert auf IT-Risikomanagement
- Begleitung von Audits
- Unterstützung bei Self-Audits
- Unterstützung bei Zertifizierungen, Rezertifizierungen
- Security Assessments von Anwendungen (z.B. SAP, Webapplikationen) und Infrastrukturen
- Reifegradanalyse von ISMS (Policies, Controls, Prozesse)
- Einführen bzw. optimieren des operationellen Risikomanagements
- Unterstützung bei der fachlichen Erfassung und Bewertung von Risiken, definieren und operationalisieren von Controls und Indikatoren
- Entwicklung von systemgestützten, kundenspezifischen Mess- und Auswertungsverfahren
- Ergänzen der Risiko- und Schadensmessung um eine methodische Frühindikatorerfassung auf Basis der Messung von Schäden, Risiken, Frühindikatoren und Risikominderungsmaßnahmen
Prozessanalyse, -optimierung, -design
- Festlegung von Verfahren, um Abläufe möglichst effizient zu gestalten
- Modellierung
- Design von Richtlinien als Richtlinienrahmenwerk
- Erstellung von Richtliniendokumenten u. a. PWD Policy, IT-Sicherheit am Arbeitsplatz, Unix Security
Unterstützung bei Fusionen, Separationen
- Anwendungsmigration
- Datenmigration
- Berechtigungsmigration
- Tests, Testverfahren, Testkonzepte, und QS
- Unterstützung des kompletten Outsourcing Prozesses von der Analyse und Planung des Outsourcings über Ausschreibung (RfP), Providerauswahl, SLA Gestaltung und Providermanagement
Service Level Management
- Überprüfung von Service Level Agreements
- Definition von internen und externen Service Leveln
- Definition und Aufbau von Messverfahren für SLA-Einhaltungen
VoIP
- Design von sicheren Infrastrukturen
- Sicherheitsüberprüfung von VoIP-Architekturen und-Komponenten
- Implementierung, Design, Konzeption + Durchführung von Sicherheits-Monitoring
- Definition von Prozessen, Zuständigkeiten und Verfahren
- Konzeption von IDM-Systemen
- Analyse und Erstellung von Berechtigungsrollen
- Einführung eines IDM-Systems
- IDM-Konzeption und Umsetzung
- Black-Box
- White-Box
- Individualabstimmung gemäß BSI-Vorgehensmodell
- Auf Wunsch inkl. Prüfung, Prozessen und Dokumentation
- Managed Security Service
- Zentrale Überwachung heterogener Systemlandschaften
- Plattformübergreifende Auswertungen
- Einfache Integration von Spezialsoftware durch modularen Aufbau
- Verfügbarkeitsmonitoring für Webservices
- Projektmanagement
- Coaching des Security Officers
- Security Awareness von Mitarbeitern und Management
- Workshops u.a. zu SAP-Sicherheit, VoIP, Penetrationstest, Outsourcing
Kosten-Nutzen Relation von Schutzmaßnahmen.
- Das weitere Optimieren bereits gut behandelter Aspekte ist ein ineffektiver Ressourceneinsatz
- Ausgabensumme: Verluste und Vorsorgekosten
- Der optimale Kostenpunkt - Ziel des Risikomanagements
- Das weitere Reduzieren der Vorsorge führt zu schnell ansteigenden Schadensrisiken
Sinnvolles Risikomanagement erfordert einen Überblick über alle Aspekte der IT Landschaft und Ihrer Wirkung auf die Geschäftsprozesse. Dies beinhaltet die Zusammenhänge dieser Prozesse, den Produkten und der IT über alle technischen Ebenen von der Grundsicherung des Rechenzentrums über das Netzwerk und dieBetriebssysteme bis in die Applikationen.
Dort ist der Zusammenhang zwischen Betriebssystem, Middleware und Applikation sowie die jeweiligen Berechtigungen zu analysieren. Schließlich ist auch der technische und organisatorische Endpunkt einzubeziehen, also das Endgerät des Anwenders, der Anwender selbst und die Prozesse und Verfahren, mit denen er sich organisiert.
In einer komplexen (IT) Welt greifen viele Bausteine ineinander, die erst in der Summe die Risikosituation ausmachen.
In diesen Themen waren und sind wir in verschiedenen Projektrollen im Einsatz:
- Projektleitung und Organisation (PMO)
- Projektteam mit Spezialisten und Generalisten, technische, organisatorische und kommunikative Schwerpunkte
- Analyse, Konzeption, organisatorisches und technisches Design
- Lösungserstellung (Prozesse, Datenmanagement, Software, Datenbanken, Server- und Netzwerk Infrastruktur, etc.)
- Erstellung von Richtlinien, Dokumentationen und Handbüchern
- Aufbau, Implementierung und Durchführung von Monitoring und Quality Controls