Ganzheitliche IT-Security Beratung: Bodenständig und mit Passion.
Externer, virtual CISO
Abseits eines Informationssicherheitsbeauftragten (ISB) für ein ISMS nach ISO/IEC 27001:2022, biete ich Ihnen auch die Rolle eines „virtuellen“ Chief Information Security Officer (CISO) an. Die Rolle des CISOs sehe ich differenzierter als die des ISBs.
Auch ohne ein ISMS nach ISO/IEC 27001:2022, kann ich durch meine tiefgreifende Praxiserfahrung Ihr Unternehmen im Bereich der IT-Sicherheit kräftig unterstützen. Wie kann das im Detail aussehen?
Die grundsätzliche Vorgehensweise von mir ist grob in diesen Schritten und in dieser Reihenfolge aufgeteilt:
- Strukturelles IT-Security Assessment und begleitende Korrektur von Maßnahmen, welche sich hieraus ergeben.
- Begleitung des Asset-Managements und Einarbeitung in Ihre Infrastruktur.
- Von mir durchgeführtes Schwachstellen Management und System Härtungen, in Zusammenarbeit mit Ihrem IT-Team.
- Einführung oder Erweiterung eines ganzheitlichen, sehr detaillierten Infrastruktur-Monitorings. Hier nutze ich gerne die niederländische Phrase "Meten is Weten", zu Deutsch "Messen ist Wissen". Insbesondere eine Überwachung von fast allem kann eine böse Überraschung verhindern.
- Optionale Einführung eines SIEMs mittels Wazuh.
- Testen des Monitorings und des SIEMs, anhand von vorab besprochenen Use Cases.
- Begleitung der Risikobewertung Ihrer Assets.
- Gemeinsame Erstellung von Richtlinien und Prozessen, speziell was die Notfall-Pläne angeht. Pläne sind jedoch erst mal nichts wert, wenn diese nicht getestet werden. Entsprechend werden Szenarios mit Ihrem IT-Team „geübt“. Diese Übungen verifizieren nicht nur einen Notfall-Plan, sondern testen auch das Monitoring und das Desaster-Recovery.
- Kontinuierliche Kontrolle der Sicherheitseinrichtungen, des Monitorings, der aktuellen Bedrohungslage, etwaige Anpassungen und das aktive Einfordern einer gesunden Awareness.
- Aufbau (soweit es möglich ist) eines SOCs.
- 24 × 7 Rufbereitschaft
- Und meiner Ansicht nach besonders wichtig: Führung durch gutes Beispiel.
Die stete Kommunikation mit dem IT-Team und dem Top-Management ist dabei selbstverständlich.
Aus den obigen Punkten lässt sich allerdings erkennen, dass ein
externer CISO viel Zeit investieren muss und auf die Zuarbeit der IT angewiesen ist.
Eine passende Unterstützung des Top-Managements ist demnach Pflicht. Auch wenn Ihr Unternehmen gar keine ISO Zertifizierung anstrebt, sind die Parallelen meiner Tätigkeiten doch verblüffend. Schaut man auch in die NIS-2 Gesetzgebung rein, findet man so ziemlich alles wieder.
Unterschiedliche Pakete, für unterschiedliche Bedürfnisse.
Immer mit dem Anspruch auf eine langjährige Partnerschaft sind auch individuelle Lösungen möglich.
Jedes Paket hat die Option,
ohne Aufschlag, auch werktags nach 18:00 Uhr bzw. am Wochenende durchgeführt zu werden.
Alle Pakete lassen sich auch individuell mit anderen Dienstleistungen kombinieren.
Profitieren Sie von interessanten Rabatten.
| SMALL | MEDIUM | LARGE | EXTRA LARGE | |
|---|---|---|---|---|
| (kleine Umgebungen bis ~50 Assets) | (mittlere Umgebungen bis ~150 Assets) | (größere Umgebung ~150-250 Assets) | (custom) | |
| Zugriff auf echtes Experten-Wissen | ✔ | ✔ | ✔ | ✔ |
| Kein aggressives Up-Selling | ✔ | ✔ | ✔ | ✔ |
| Tätigkeit auch nach 18:00 Uhr und am Wochenende OHNE Aufpreis | ✔ | ✔ | ✔ | ✔ |
| Vorarbeiten* | Ihr Wegweiser zur IT-Sicherheit (gesondertes Paket) | Ihr Wegweiser zur IT-Sicherheit (gesondertes Paket) | Ihr Wegweiser zur IT-Sicherheit (gesondertes Paket) | Ihr Wegweiser zur IT-Sicherheit (gesondertes Paket) |
| Schwachstellen-Management inkl. automatisierte Konfigurationskontrolle** | ✔ | ✔ | ✔ | nach Rücksprache |
| Ihr Wegweiser zur IT-Sicherheit - Maßnahmen einfordern | ✔ | ✔ | ✔ | ✔ |
| Ihr Wegweiser zur IT-Sicherheit - Audit durchführen | 1x im Jahr (gesondertes Paket) | 1x im Jahr (gesondertes Paket) | 1x im Jahr (gesondertes Paket) | 1x im Jahr (gesondertes Paket) |
| CISO Tätigkeiten in PT*** | Ab 10 PT pro Monat | Ab 12 PT pro Monat | Ab 15 PT pro Monat | nach Rücksprache |
| Aktive Mitarbeit bei der Maßnahmen-Umsetzung | gesonderter Auftrag | gesonderter Auftrag | gesonderter Auftrag | gesonderter Auftrag |
| Mindestvertragslaufzeit | 6 Monate | 6 Monate | 12 Monate | 12 Monate |
* Nötig für eine gezielte Erst-Analyse
** Soweit technisch unterstützt. Meine Anwendungen aktualisieren sich täglich. VPN Zugriff und erhöhte Rechte nötig. Das Asset-Inventar muss vollständig sein.
*** Nicht genutzte Stunden/Personentage verfallen am Ende des Monats.
Mein Qualitätsversprechen
Meine Dienstleistung lässt Sie nicht allein, ich stehe aktiv mit Rat und Tat an Ihrer Seite.
- Objektiv, bodenständig und 100 % persönlich.
- Ohne den Teufel an die Wand zu malen.
- Dinge genau unter die Lupe nehmen, Fehler beim Namen nennen und vorausschauend arbeiten.
- Technik und Compliance aus einer Hand.
- Immer in Zusammenarbeit mit Ihrem IT-Team.
- Mit tiefgreifendem IT-Security Wissen aus der Praxis.
- Mit tiefgreifendem IT-Infrastruktur Wissen aus der Praxis.
- Mit intensivem Know-how der ISO/IEC 27001:2022 + ISO/IEC 27002:2022.
- Mit intensivem Know-how der CIS Critical Security Controls®.
- Bei Bedarf, 24x7!
- In Oberhausen/NRW ansässig, in Deutschland zu Hause.
© 2024 – Gray-Hat IT-Security Consulting Stephan H. Wenderlich - Einzelunternehmen