Für die physische und ökologische Sicherheit sind oft andere Abteilungen als die IT zuständig, z. B. die Abteilung für physische Sicherheit oder die Facility Management-Gruppe. Diese Abteilungen spielen eine wichtige Rolle bei der Bereitstellung stabiler und zuverlässiger Informationen für andere Bereiche des Unternehmens, einschließlich der IT. Der Sicherheitsexperte muss möglicherweise mit diesen anderen Abteilungen zusammenarbeiten, um sicherzustellen, dass die Informationssysteme mit Strom, Brandschutz, physischer Zugangssicherheit, Überwachung und Schutz vor Bedrohungen wie Diebstahl, Vandalismus und Naturkatastrophen versorgt werden.man kann sogar sagen, dass die physische Sicherheit eine höhere Priorität haben sollte als die meisten anderen Formen der Sicherheit wie Passwörter, Firewalls und Verfahren. Wenn sich ein Angreifer physischen Zugang zu einem Serverraum verschaffen kann, dann kann er alle anderen Formen der Kontrolle umgehen und die Sicherheitsvorkehrungen umgehen. Ein Angreifer in einem Serverraum oder Kabelschrank kann unter anderem ein drahtloses Gerät oder einen Sniffer installieren, Kabel durchtrennen oder umverlegen oder Geräte deaktivieren.

Die Erfahrung zeigt, dass es relativ einfach ist, ein Programm zur Aufklärung, Sensibilisierung und Schulung in Sachen Sicherheit für fast jedes Unternehmen einzurichten und aufrechtzuerhalten. Die Schwierigkeit bei einem solchen Programm besteht darin, die Wirksamkeit des Programms messbar zu machen.zwei große Konflikte treten auf, wenn das Sicherheitsteam versucht, mit den Endbenutzern in Kontakt zu treten. Der erste liegt in der Auffassung begründet, dass Sicherheitsmaßnahmen den Endbenutzer Zeit und Mühe kosten, um sie einzuhalten. Die Arbeit könnte viel schneller und einfacher erledigt werden, wenn nicht ständig zusätzliche Sicherheitshürden überwunden werden müssten. Die zweite Ansicht spiegelt die Auffassung der Benutzer wider, dass die meisten Sicherheitsschulungen eine weitere Zeitverschwendung sind. Beide Auffassungen stehen der effektiven Einführung von Sicherheitskontrollen durch die Endbenutzer entgegen und halten sie davon ab, die Verantwortung für ihr eigenes Lernen zu übernehmen und so den größtmöglichen Nutzen aus den ihnen angebotenen Schulungen zu ziehen.wie bei der Zugangskontrolle und dem Identitätsmanagement ist es vielleicht auch bei der Sicherheit mehr als höchste Zeit für eine gesunde Portion Just-in-time-Lernen. Berater und spezialisierte Unternehmen für Sicherheitsschulungen haben ihre Ansätze zur Unterstützung von Anwendern beim Erlernen dessen, was sie brauchen und wann sie es brauchen, erheblich verändert.microtraining zum Beispiel unterteilt die Trainingserfahrung in Schritte, die weniger als eine Minute dauern können. In dieser Minute bindet das Mikrotraining den Lernenden/Benutzer ein, lässt ihn Handlungen ausführen, die mit seiner normalen Arbeit zu tun haben, ist aber als Teil des Lehr- und Lernprozesses strukturiert.auch die Messung der Effektivität eines Trainingsprogramms leidet unter mangelnder Innovation und Reife. Das kann sich ändern. Tools zur Modellierung und Analyse des Benutzerverhaltens können Daten sammeln, die aufzeigen, wann einzelne Benutzer oder Benutzergruppen spezifische Auffrischungsschulungen benötigen.lassen Sie uns sehen, wie Ideen wie diese in die Praxis umgesetzt werden können und wie wir ihre Wirksamkeit bewerten können

Bei der Sicherheitsbewertung wird festgestellt, ob die zur Risikominderung implementierten Kontrollen wie vorgesehen umgesetzt wurden, wie erwartet funktionieren und das gewünschte Ergebnis erzielen.diese Gewissheit kann das Ergebnis von externen Organisationen sein, die das Kontrollumfeld bewerten, oder von Maßnahmen, die die Organisation selbst ergreift, um die Leistung der Kontrollen zu bewerten.die Sicherheitsbewertung wird durch Inspektionen, Audits und Tests durchgeführt.darüber hinaus können auch die Ergebnisse von Untersuchungen von Anomalien und Sicherheitsvorfällen wertvolle Einblicke in einen Sicherheitsbewertungsprozess liefern.die Beurteilungs- und Testprozesse müssen konsequent durchgeführt und die Ergebnisse angemessen kommuniziert werden, damit die Unternehmensleitung die Risiken versteht, denen sie ausgesetzt ist.sicherheits- oder Kontroll-Audits sind formale Bewertungen, die normalerweise durchgeführt werden, um externen Gutachtern zu versichern, dass die Kontrollen einer Organisation die Erwartungen an die Compliance erfüllen.letztlich ermöglichen die Ergebnisse von Audits, Bewertungen und Tests dem Unternehmen, Kontrolllücken und Ineffizienzen zu erkennen.diese Informationen bilden den Ausgangspunkt für kontinuierliche Prozessverbesserungsmaßnahmen.der Sicherheitsexperte sollte mit den Strategien, Techniken und Prozessen vertraut sein, mit denen die Erwartungen der Organisation an die Kontrolle festgelegt, bewertet und verbessert werden.er sollte in der Lage sein, den grundlegenden Ablauf von Prüfungs- und Bewertungsaktivitäten zu erklären und die Tools und Artefakte zu beschreiben, die eine datengestützte Entscheidungsfindung unterstützen.zusammengenommen sollten diese Informationen den Sicherheitsfachmann in die Lage versetzen, ein für das Unternehmen geeignetes Bewertungsprogramm zu entwickeln.es ist verlockend zu glauben, dass ein Großteil der Belastung durch Sicherheitsbewertungen und -tests in der Entwicklungsphase des Lebenszyklus eines großen Softwaresystems stattfindet. Zwei Faktoren zeigen uns jedoch, dass dies eine unkluge und unsichere Annahme für Sicherheitsexperten oder Systembesitzer wäre.der erste ist, dass viele Systeme an die Benutzer übergeben werden, ohne dass die Funktionstests abgeschlossen sind. Die Erfahrung zeigt, dass viele Systementwicklungsprojekte hinter dem Zeitplan zurückbleiben, und da es die letzten Aufgaben auf der Zeitachse sind, die den Druck spüren, an allen Ecken und Enden zu sparen, werden die Tests oft übereilt, abgekürzt oder übersprungen.zweitens werden viele kommerzielle Systeme mit einem weniger robusten Blick auf die Notwendigkeit von Sicherheit, Schutz, Belastbarkeit und Datenschutz entwickelt, als zur Abwehr der heutigen hochentwickelten Bedrohungen erforderlich ist.beide Faktoren führen dazu, dass viele Unternehmen heute bei Sicherheitsbewertungen, Audits und Compliance-Prüfungen durchfallen oder keine neuen Geschäftsmöglichkeiten erhalten, weil sie ihre Geschäftsprozesse auf einer unsicheren Software- und Systembasis aufbauen.das bedeutet auch, dass Sicherheitsexperten häufig mit installierten, in Betrieb befindlichen Systemen konfrontiert werden, die einer gründlichen Sicherheitsbewertung, einschließlich Tests, bedürfen, um den sich entwickelnden Geschäftsanforderungen und der sich verändernden Bedrohungslandschaft gerecht zu werden. Dies beginnt (wie auch dieses Modul) damit, dass Sie zunächst die Ziele einer Sicherheitsbewertung verstehen, die zur Entwicklung der Strategie führen, die die Durchführung der Bewertung leitet.daraus ergibt sich der Rahmen für Schwachstellenbewertungen und die Testtechniken, mit denen sie durchgeführt werden.dazu gehört auch ein tieferer Einblick in die Sicherheitstests für drahtlose Netzwerke.ethische Penetrationstests können und sollten ein regelmäßiger Bestandteil der Sicherheitsbewertung und des Betriebsplans fast jedes Unternehmens sein. Wir werfen einen genaueren Blick darauf, was dies einzigartig und wertvoll macht und wie die ethischen Penetrationstester mit der Unternehmensleitung und den technischen und Sicherheitsteams zusammenarbeiten, um die Integrität der Tests bei minimaler Beeinträchtigung des Tagesgeschäfts des Unternehmens zu wahren. Audits, sowohl formelle als auch informelle, bieten eine strukturierte Möglichkeit, alle Kontrollsysteme des Unternehmens zu überprüfen. Viele dieser Systeme sind als interne Kontrollen für die Finanzberichterstattung (ICOFR oder ICFR) bekannt. In Zeiten, in denen Lösegeldangriffe ein großes Geschäft sind, müssen Sicherheitsexperten viel besser wissen, wie der Informationsfluss über den Geldfluss geschützt werden muss

Der Triage-Prozess für Vorfälle (beschrieben in Modul 1) kann ergeben, dass ein bestimmtes Ereignis oder eine Reihe von Ereignissen mehr als nur die Reaktion auf einen Vorfall erfordert, um sich selbst zu bewältigen. In der Regel werden zwei spezifische Arten von Plänen verwendet, um diese Reaktionen zu definieren, die Organisation vorzubereiten und ihre Teams bei der Bewältigung solcher Ereignisse anzuleiten.es ist ein leicht zu begehender Fehler zu glauben, dass Notfallpläne (Disaster Recovery Plans, DRPs) breit angelegt und allumfassend sind, um sich von Erdbeben, Wirbelstürmen, Bränden oder großen Cyberangriffen zu erholen; in Wirklichkeit ist der Anwendungsbereich von DRPs viel enger gefasst.dRPs und ihre Aktivitäten befassen sich mit der Wiederherstellung von Informations- und Kommunikationssystemen und -technologien, die dringende geschäftliche oder organisatorische Anforderungen unterstützen.(Es wäre nicht verwunderlich, wenn Unternehmen, die sich auf IoT-, SCADA- oder Prozesssteuerungssysteme verlassen, ihre klassischen DRPs umgestalten würden, um auch ihre kritischen OT-Systeme und -Funktionen zu berücksichtigen)der Plan zur Aufrechterhaltung des Geschäftsbetriebs (Business Continuity Plan, BCP) berücksichtigt das viel breitere Spektrum an Aktivitäten, die erforderlich sind, um ein Unternehmen am Leben und in Betrieb zu halten, während es sich sowohl von den unmittelbaren Auswirkungen eines Störfalls als auch von der Wiederherstellung nicht kritischer Dienste und Aktivitäten erholt, um weiterarbeiten zu können. Sehen wir uns an, wie der Sicherheitsexperte diese Pläne sowohl bei ihrer Entwicklung als auch bei ihrer operativen Aktivierung und Nutzung unterstützen kann.

Kapitel 8 fasst viele verschiedene Aspekte der Sicherheit von Informationssystemen zusammen und verbindet sie mit einigen wichtigen Ideen.erstens müssen Systeme verwaltet werden, wenn sie geschützt und sicher gehalten werden sollen.eine Form der Verwaltung ist das Konfigurationsmanagement, bei dem wir sicherstellen, dass Änderungen nur dann vorgenommen werden, wenn sie autorisiert sind; wenn es effektiv ist, können CM-Systeme Teil des Arsenals der Fähigkeiten zur Erkennung von Eindringlingen werden.physische Sicherheitsmaßnahmen wurden in den Kontext des Schutzes und der Aufrechterhaltung der Organisation, ihrer Systeme und ihrer Mitarbeiter gestellt.in vielen Organisationen sind diese Kontrollsysteme für die physische Sicherheit datengesteuert und daher eng mit den allgemeinen IAAA- und Incident Detection-Funktionen integriert.sUNBURST und andere jüngste Angriffe auf SCADA-, ICS- und andere OT-Systeme (Operational Technology) haben deutlich gemacht, dass viele Organisationen und Sicherheitsexperten ihren Horizont erweitern müssen, um Dinge jenseits der TCP/IP-Netzwerke, Datenbanken und Webseitenansichten der Organisation und der Bedrohungslandschaft zu erfassen.wir haben auch gesehen, dass ein effektives Systemmanagement Messungen, Beobachtungen, Tests und Analysen erfordert, um zu wissen, wie es wirklich um die Sicherheit bestellt ist, und um Überlegungen anzustellen, wo, wann und wie diese Sicherheit verbessert werden kann. Inspektionen, Bewertungen, Audits und ethische Penetrationstests wurden alle in diesem Zusammenhang betrachtet.zwei weitere wichtige Themenbereiche - Geschäftskontinuität und Sicherheitserziehung, -schulung und -bewusstsein - kommen auf überraschende Weise zusammen. Viele von uns, die in den Streitkräften, der Polizei oder den Rettungsdiensten unserer Nation gedient haben, wissen, dass Menschen in hochgradig störenden Situationen oft auf ihr Training zurückgreifen müssen, um ruhig zu bleiben, nicht in Panik zu geraten und die Situation Schritt für Schritt zu bewältigen.das Mikrotraining ist ein hervorragendes Beispiel dafür. Indem eine Phishing- oder Malware-Attacke vorgetäuscht wird, wenn ein Endbenutzer sie am wenigsten erwartet, gibt das Mikrotraining den Benutzern die Möglichkeit, entweder gedankenlos in die Gewohnheit zurückzufallen oder innezuhalten, zu beobachten, sich auf ein potenzielles Sicherheitsproblem einzustellen und dann Entscheidungen zu treffen. Sensibilisierungs-, Schulungs- und Aufklärungsmaßnahmen können den Mitarbeitern die Fähigkeiten und die Einstellung vermitteln, die sie benötigen, um mit Störungen umzugehen, unabhängig von ihrem Ausmaß und unabhängig davon, ob es sich um simulierte oder reale Störungen handelt.wie auch bei anderen Aspekten der Sicherheit von Informationssystemen erfordern die Kontinuität des Betriebs und die Wiederherstellung im Katastrophenfall eine umfassende Vorbereitung, und eine der wichtigsten Aufgaben dabei ist die Vorbereitung der Mitarbeiter auf die Anpassung und Bewältigung als Team.