Cyber Security Self Assessment
Cyber Security Self Assessment (CSSA) für einen Energieversorger im KRITIS-Bereich
Abstrakt
Im Zuge der geführten Selbstüberprüfung wurden Verbesserungspotenziale systematisch identifiziert und geeignete Handlungsempfehlungen angeleitet.
Ausgangssituation und Problemstellung
Auftraggeber: Energieversorger im KRITIS-Bereich
Scope: Konzern in Österreich mit ca. 2.500 Mitarbeitern
Kaufmännischer Bereich des Konzern im Fokus
Aktuelle Umsetzung der Normen ISO/IEC 27001 und 27002
Einführung einer SIEM-Lösung sowie Aufbau eines Identity- & Access-Managements geplant
Ziele, Projektumfang und Nutzen
Identifikation von Verbesserungspotenzialen je Aufgabenfeld und Kategorie
Ableitung von geeigneten Handlungsempfehlungen
Transparente Aufbereitung und Besprechung von Ergebnissen des CSSA sowie von Verbesserungspotenzialen und Handlungsempfehlungen
Vorgehensweise
Basis des Fragebogens: Cybersecurity Framework Version 1.1 des National Institute of Standards and Technology
Zuordnung zu den Anforderungen der ISO-Norm 27001:2013 ergänzt
Fragebogen mit 5 übergeordneten Aufgabenfeldern, 23 Kategorien und insgesamt 103 Fragen
2-Tages-Onsite-Workshop: Geführte Beantwortung des Fragebogens sowie Quantifizierung der Antworten auf einer Skala von 1 bis 4
Erreichte Ergebnisse und Ausblick
Identifikation von Verbesserungspotenzialen in vier Bereichen des Konzerns und Übersetzung in konkrete Handlungs-empfehlungen
Zielgerichtete Stärkung und Verbesserung der IT-Sicherheit
Vergleichbarkeit durch Standardisierung, sodass die Beurteilung der Wirksamkeit von Maßnahmen durch ein späteres CSSA möglich ist