Pitti259 15 Geschrieben 20. März 2016 Melden Teilen Geschrieben 20. März 2016 Folgende Vorgehensweise würde ich vorschlagen: Eine IT-Strukturanalyse durchführen, d.h. ein Gesamtkunstwerk aus dem auszulesen ist, welche Anwendungen auf welchen Servern mit welchen Netzen verbunden sind (Räumlichkeiten spielen hier ausnahmsweise mal keine Rolle). Bewertung der, in den Anwendungen gehandhabten Informationen hinsichtlich Schutzbedarf (Vertraulichkeit, Integrität, Verfügbarkeit). Vermutlich wird dann schon deutlich (Bauchgefühl), ob eine einzelne Firewall und MSSE auf den Clients ausreicht. Ansonsten nehme man sich den Baustein Sicherheitsgateway aus den Grundschutzkatalogen des BSI vor und prüfe die dort aufgelisteten Maßnahmen. Ja ja ja, greift natürlich viel zu kurz. Wir wissen nicht, ob es Geschäftsprozesse gibt welche eine direkte Verbindung "fremder" Systeme in den IT-Verbund haben. Wir kennen nicht die Anforderungen aus den Geschäftsprozessen. Wir wissen nichts über den Umgang mit Geschäftsdaten im Unternehmen. Eine "vernünftige" IT-Sicherheit bekommen wir mit dem verkürzten obigen Ansatz nicht her. Aber das war ja auch nicht die Fragestellung. Ciao Pitti Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. März 2016 Melden Teilen Geschrieben 20. März 2016 Nun, der TO war seit dem 28.02 nicht mehr am Board. Wir wissen nicht (ob wir es erfahren), ob sein Gesprächspartner beim Auftraggeber dazu steht, ob der seine Meinung geändert hat, ob er einen Auftrag zu einer Strukturanalyse erteilt. Ich wüsste nicht, wie ich so etwas anstellen sollte. Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 20. März 2016 Melden Teilen Geschrieben 20. März 2016 Ich wüsste nicht, wie ich so etwas anstellen sollte. Eine IT-Strukturanalyse? Das ist relativ einfach. Auf welchem Server läuft welche Anwendung, wird über welche Netzsegmente verknüpft... Gibt es diverse Tools, welche einen dabei unterstützen. Das Problem ist die Schutzbedarfsanalyse. Die können wir aus der IT-Sicht keinesfalls machen. Da brauchen wir die Fachverantwortlichen, die sogenannten Informationseigentümer. Also Chef Buchhaltung, Chef Vertrieb, Chef Einkauf, Chef Produktion usw. Denen die wahrhaftige Einschätzung zu entlocken, kann einen zur Verzweiflung bringen. Aber nur so kann ein korrektes Bild entstehen. Sollte übrigens in jedem Unternehmen bereits vorhanden sein, für das Datenschutz-Verfahrensverzeichnis... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. März 2016 Melden Teilen Geschrieben 20. März 2016 (bearbeitet) Hm.....was sollte ich dem Leiter Aufstiegsfortbildung oder Leiter Irgendwas entlocken können? Ich stelle mir mal die Antwort vor. Ist dafür nicht der Datenschutzbeauftragte zuständig? Oder die Bitte könnte sein, er vertraue mir, ich solle es sicher macher. Nun, in unserem Falle hoffe ich, der Leiter der Zentralen Dienste wird damit eine qualifizierte Person oder Unternehmen beauftragt haben. Kommen wir aber noch einmal zurück auf den Fall des TO. Ich habe mit dem dafür verantwortlichen Mitarbeiter gesprochen und er ist der festen Überzeugung, das seine Sophos Firewall in Verbindung mit Microsoft Security Essentials auf den Clients völlig ausreichend sei. Ich nehme mal an, der TO wollte dem Kunden, dessen Beauftragten etwas empfehlen, verkaufen, der will aber nicht anspringen, hat eine Überzeugung. Ob er da eine Analyse machen kann? bearbeitet 20. März 2016 von lefg Zitieren Link zu diesem Kommentar
Pitti259 15 Geschrieben 20. März 2016 Melden Teilen Geschrieben 20. März 2016 Ich nehme mal an, der TO wollte dem Kunden, dessen Beauftragten etwas empfehlen, verkaufen, der will aber nicht anspringen, hat eine Überzeugung. Ob er da eine Analyse machen kann? An Stelle von TO würde ich dem Kunden erst mal eine Analyse verkaufen wollen. Allerdings, wenn der Verantwortliche dort eine feste Meinung zu dem Thema hat, wird er auch keine entsprechende Analyse haben wollen. Dennoch, wäre ich TO würde ich erst mal nach den Geschäftsprozessen und der Schutzwürdigkeit der Daten fragen, bevor ich versuche diesem meine neuen Firewall-Produkte oder was auch immer zu verkaufen. P.S. Der Datenschutzbeauftragte sollte tatsächlich dem Leiter Aufstiegsfortbildung bereits solche Fragen gestellt haben. Unbedingt! Der DSB selbst kann dies nämlich nicht beantworten, braucht die Infos aber für das Verfahrensverzeichnis... Zitieren Link zu diesem Kommentar
lefg 276 Geschrieben 20. März 2016 Melden Teilen Geschrieben 20. März 2016 (bearbeitet) An Stelle von TO würde ich dem Kunden erst mal eine Analyse verkaufen wollen. Allerdings, wenn der Verantwortliche dort eine feste Meinung zu dem Thema hat, wird er auch keine entsprechende Analyse haben wollen. Der TO schrieb, der Verantwortliche sei überzeugt, ich denke mir so etwas als schweren Fall, beratungsresistent. (Psychologische Falle im Entscheidungsprozess). Es könnte aber auch an der Sicht des TO liegen, was deckt Security Essentials nicht ab, was deckt Defender nicht ab, was die Sophos Fw nicht? Gibt es eine Lücke, die durch ein anderes Produkt geschlossen werden muss? Falls man die Lücke kennt, könnte man sie dem Kunden aufzeigen und auf einen Auftrag hoffen. Falls nicht, dann bleibt wohl nur abwarten. bearbeitet 20. März 2016 von lefg Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.