Expertise und Tätigkeitsfelder

Sie suchen einen zuverlässigen Partner für Ihre Risk- & Compliance-Projekte. Sie müssen wissen, was er leisten kann, über welches Know-how er verfügt und mit welchen Tätigkeiten er bereits Erfahrung hat.

terreActive ist seit 25 Jahren in der Cyber Security zu Hause, die aus vielen verschiedenen Komponenten besteht. Die Spannbreite reicht dabei von mehr oder weniger technischen bis hin zu  strategischen Komponenten. Im Folgenden finden Sie eine Auswahl unserer Fachgebiete, die speziell für Risk- & Compliance-Projekte interessant sind.

Monitoring und Analyse

Die Umsetzung ist das eine, das andere ist der Erhalt der Qualität der aufgebauten Lösungen — die Kontrolle und die Steuerung. Dazu dienen Performance und Risk Identificators. Basierend auf Ihren Geschäftsprozessen definieren wir die passenden Metriken und können die Sammlung und Analyse der Daten umsetzen. Dies hilft einerseits beim Reporting ans Management und dem Nachweis der Effektivität Ihrer Sicherheitsmassnahmen. Andererseits aber auch bei der proaktiven Erkennung einer bevorstehenden Degradierung der Qualität und der Einleitung von proaktiven Verbesserungsmassnahmen.

Compliance und Frameworks

Unternehmen müssen sowohl eine Compliance zu internen Vorgaben aufweisen, als auch eine Compliance zu regulatorischen externen Vorgaben oder branchenspezifischen Praktiken. Darüber hinaus möchten sich Unternehmen im Bereich Cyber Security oftmals auch an anerkannten Frameworks anlehnen und ihr Umfeld nach deren Methodik gestalten. terreActive kann Sie hierbei unterstützen:

  • BSI Grundschutz
  • PCI DSS
  • ISO 27002
  • CIS Controls und CIS Benchmarks
  • NIST Cyber Security Framework
  • FINMA-Regulatorien

Policies und Weisungen

Die Policies und Weisungen im Unternehmen sind ein massgebliches Kriterium bei der Erreichung des gewünschten Schutzlevels. Sie stellen sicher, dass aus rein intuitiven Arbeiten wiederholbare Prozesse werden. Wichtig sind dafür mitunter:

  • Informationssicherheits-Policy
  • Organisatorische Vorgaben
  • Datenschutzhandbuch
  • Übergreifende IT-Security Policy
  • Weisungen zur Nutzung und Betrieb der IT
  • Hardening-Guidelines
  • Prozesse, wie Change Management, Incident Management und Lifecycles
  • Berechtigungsmanagement
  • Patching & Vulnerability Management
  • Nutzung kryptografischer Methoden

Risikoanalyse und Riskomanagement

terreActive erkennt Risiken und ermöglichen Ihnen den bewusten und planbaren Umgang damit. Wir können einerseits projektbezogenes Risk-Assessment vornehmen, andererseits einzelne Teilgebiete Ihres Risk-Managements übernehmen oder beim Angebot CISO-as-a-Service die Pflege Ihres gesamten Risk-Registers und die Steuerung des Risk-Managements übernehmen. Wir arbeiten nach den anerkannten Standards ISO 31000 und ISO 27005.

Dabei darf das Portfolio der Geschäftsprozesse nicht vergessen werden: Da das oberste Ziel des Risk-Managements der Schutz der Geschäftsprozesse ist, sollten Risiken immer in diesem Kontext beurteilt werden. Insbesondere beim CISO-as-a-Service sind dafür Kenntnisse zu Prozessen und Anforderungen notwendig.

ISO Management System Standards (MSS)

ISO stellt verschiedene Management System Standards (MSS) zur Verfügung. Bei der Cyber Security ist das Information Security Management System (ISMS, ISO 27001) relevant.

Ein ISMS besteht aus verschiedenen Elementen wie beispielsweise Konzepten, Monitoring, Frameworks und Risikomanagement. Durch das ISMS werden diese gebündelt und dadurch die effiziente und konsistente Erreichung der Sicherheitsziele ermöglicht. Beim Security-Officer-on-Demand übernimmt terreActive für Sie spezifische Teilgebiete, während wir beim CISO-as-a-Service den Aufbau und den Betrieb des ISMS insgesamt verantworten.

Darüber hinaus können wir Sie auch bei der Business Continuity und der Privacy unterstützen. Für die meisten Firmen ist es lohnenswert, zumindest punktuell einzelne Elemente des Business Continuity Managements umzusetzen.

Was Sie auch noch interessieren könnte