Audit-Bewertung

Um die Ergebnisse eines IT Sicherheits-Audits grafisch darzustellen, verwendet ncode ein Bewertungssystem mit den Noten 1 (ungenügend) bis 6 (überdurchschnittlich). Die Aufgabe der Grafik ist, den Momentanzustand der IT Infrastruktur einer Firma darzustellen und das Verbesserungspotential in den einzelnen Bereichen aufzuzeigen.

Datensicherheit

Bewertet: Business Continuity Management, Backup/Restore, Datenträger Ausfallsicherheit, Backup-Medien Management und -Lagerung, Dokumentation

1: Es ist kein Datensicherungs-Konzept vorhanden, Datenverlust ist jederzeit möglich. Server-Festplatten sind nicht redundant, es besteht kein Szenario, was nach einem Totalausfall der Infrastruktur zu tun ist.

6: Alle Daten sind zu jeder Zeit gesichert und wiederherstellbar. Datenwiederherstellung wird regelmässig getestet, Szenarien werden laufend überprüft. Zusätzlich sind Massnahmen wie Sofortwiederherstellung, Redundanz und Verschlüsselung der Daten implementiert.

Zugriffskontrolle

Bewertet: Passwort-Management, Zugriffs-Privilegien, Protokollierung

1: Passwörter werden nicht verwendet oder sind extrem schwach, Daten sind für jedermann jederzeit zugänglich. Verschlüsselung wird nirgends verwendet.

6: Es werrden überall starke Passwörter erzwungen und wo nötig Zwei-Faktor Authentifizierung und SSL verwendet. Dateien sind mit ACLs vor Zugriff geschützt und wo nötig verschlüsselt, Benutzer- und Gruppen-Konzepte sind vorhanden und lassen sich nicht einfach umgehen. Zugriffe werden protokolliert.

Kommunikation

Bewertet: E-Mail, Groupware, Chat, Social Networks

1: E-Mail wird über private Konten abgewickelt, es existiert kein einheitliches Konzept über Zugriff, Archivierung und Software. E-Mail Sicherheit oder Richtlinien sind in keiner Weise vorhanden.

6: E-Mail wird sicher und einheitlich abgewickelt, Verschlüsselung und Signierung ist verfügbar und werden auch benutzt, Mails werden auf Viren, Spam, Malware, etc. geprüft, Richtlinien über die Mail-Nutzung sind vorhanden und werden befolgt.

Portable Geräte

Bewertet: Smartphones, Laptops, portable Speichermedien (USB Sticks, etc.)

1: Laptops sind ungeschützt, es existiert kein Sicherheitsbewusstsein. Es wird keine Sicherheitssoftware oder Firewall verwendet, kritische Daten werden ungeschützt mitgenommen.

6: Alle mobilen Geräte und Speicher sind verschlüsselt, verfügen über die neuste Software und es gibt Richtlinien zu deren Verwendung.

Netzwerk

Bewertet: Firewall, Netzwerkgeräte, Verkabelung, Remote Access, Wireless LAN

1: Das Netzwerk ist offen, eine Firewall wird nicht oder nicht richtig verwendet, es ist ein ungeschützter WLAN Access Points im Netz, das Netz wird mit anderen Firmen geteilt, die Infrastruktur ist anfällig für Störungen oder Abhörmassnahmen.

6: Das Netz verfügt über moderne, ev. sogar redundante Komponenten (Firewall, Switches), Überwachung ist möglich, WLANs - wenn vorhanden - sind geschützt und verschlüsselt, die Topologie ist sicher.Der Zugang von aussen ist nicht möglich oder streng kontrolliert und limitiert (VPN).