Zum Hauptinhalt springen
SPIE Schweiz
Karriere

Ihre Sicherheitslage beurteilen lassen

GAP Analyse

Es ist ein Unterschied, ob Ihre Organisation Sicherheitskontrollen eingerichtet hat oder ob diese korrekt umgesetzt, konsequent angewendet und auf ein massgebliches Framework oder eine regulatorische Anforderung ausgerichtet sind.

Eine Informationssicherheits-GAP-Analyse liefert einen evidenzbasierten Vergleichsmaßstab für Ihre aktuelle Sicherheitslage, deckt wesentliche Lücken in Ihren Kontrollen auf und liefert ein strukturiertes Set priorisierter Empfehlungen. Ihre Teams können diese mit klaren Aufwandsschätzungen und Zielen zur Risikoreduktion umsetzen.

Mit einem Experten sprechen
Herausforderungen

Warum die Sicherheitslage einen externen Vergleich braucht

Viele Organisationen halten ihre Kontrollen für angemessen, bis ein externes Audit, ein Sicherheitsfragebogen eines Kunden oder eine Zertifizierungsanforderung Lücken aufdeckt, die intern nicht erkennbar waren. Interne Beurteilungen unterliegen dem Bestätigungsfehler: Teams, die die Kontrollen selbst eingerichtet haben, bewerten ihre eigene Arbeit tendenziell wohlwollend. Die Vertrautheit mit den bestehenden Abläufen verhindert, dass sie erkennen, wo diese Abläufe in der Praxis versagen.

Eine GAP-Analyse beantwortet drei präzise Fragen:

  • Sind Ihre aktuellen Sicherheitskontrollen korrekt umgesetzt und werden sie konsequent angewendet, gemessen am Zielframework?
  • Wo liegen die wesentlichsten Lücken und welche Risikoauswirkung haben diese tatsächlich auf Ihre Organisation?
  • Was ist der effizienteste Weg zur Behebung, um den angestrebten Compliance- oder Reifegrad zu erreichen?

Methodik

Sieben Frameworks. Eine einheitliche Methodik.

BSI IT-Grundschutz

Die Basismethodik des deutschen Bundesamts für Sicherheit in der Informationstechnik.

CIS Controls

Das Framework mit priorisierten Sicherheitskontrollen des Center for Internet Security.

ISO 27002/42001

Deckt die Anforderungen an Informationssicherheitskontrollen sowie an Managementsysteme für künstliche Intelligenz ab.

NIST CSF/AI RMF

Dies sind die Rahmenwerke der US-Bundesbehörden für Cybersicherheit und für das Risikomanagement von künstlicher Intelligenz.

PCI/DSS

Der Sicherheitsstandard der Zahlungskartenindustrie.

SWIFT Customer Security Programme (CSP).

Für Finanzinstitute innerhalb des SWIFT-Ökosystems.

TISAX

Der Standard für den sicheren Austausch vertraulicher Informationen in der Automobilzulieferkette.

Vorgehen

Vom Scoping bis zu priorisierten Empfehlungen.

1 Scoping

Festlegung des Beurteilungsumfangs, der Version des Zielframeworks und des relevanten organisatorischen Kontexts. - Abstimmung des Vorgehens zur Evidenzsammlung, des Interviewplans und des Umfangs der Dokumentenprüfung.

2 Evidenzsammlung

Prüfung bestehender Dokumentationen, Richtlinien, Konfigurationen und verfahrensbezogener Nachweise. - Durchführung strukturierter Interviews mit zentralen Ansprechpersonen aus den Bereichen IT, Sicherheit, Compliance, Recht und Betrieb.

3 Beurteilung

Abgleich der gesammelten Evidenz mit jedem Kontrollbereich des Zielframeworks. Zuweisung von Reifegraden je operativer Fähigkeit anhand eines einheitlichen Bewertungsmodells von „Nicht umgesetzt” über „Umgesetzt” und „Gesteuert” bis hin zu „Optimiert”.

4 Reporting

Erstellung eines strukturierten Berichts mit Feststellungen je operativer Fähigkeit, Verweisen auf die jeweiligen Frameworkkontrollen, Reifegradbewertungen und einer priorisierten Empfehlungsmatrix, gereiht nach Wirkung auf die Risikoreduktion und Umsetzungsaufwand.

5 Präsentation

Vermittlung der Ergebnisse an technische und Geschäftsleitungspublikum in getrennten, zielgerichteten Formaten: ein detaillierter technischer Bericht für die Sicherheits- und IT-Teams sowie eine Zusammenfassung der Compliance-Lage für den Verwaltungsrat oder den Prüfungsausschuss.

Ergebnisse

Was die GAP-Analyse liefert

  • Beurteilung des Reifegrads je operativer Fähigkeit, Kontrolltyp und Cybersicherheitskonzept,
  • detaillierte Feststellungen je operativer Fähigkeit mit expliziten Verweisen auf die jeweiligen Frameworkkontrollen,
  • Empfehlungen je Fähigkeit, gereiht nach Wirkung auf die Risikoreduktion und Umsetzungsaufwand,
  • strukturierte Empfehlungsmatrix für die operative und projektbezogene Planung,
  • vorstandstaugliche Zusammenfassung der Compliance-Lage für die Präsentation vor Geschäftsleitung und Prüfungsausschuss.
Kompetenz & Vertrauen

Unabhängige Analyse ohne kommerziellen Interessenkonflikt

Unsere GAP-Analysen werden unabhängig durchgeführt, ohne kommerzielles Interesse am Ergebnis der Beurteilung oder an den Werkzeugen und Anbietern, die Sie anschließend zur Behebung der Feststellungen wählen. Jede Feststellung ist evidenzbasiert und lässt sich auf eine konkrete Frameworkkontrolle zurückführen. Die Empfehlungen werden nach geschäftlicher Priorität gereiht, nicht nach theoretischer Vollständigkeit: Maßnahmen, die mit dem geringsten Umsetzungsaufwand das grösste Risiko reduzieren, stehen an erster Stelle. Jede Empfehlung enthält einen Verweis auf die konkrete Kontrolle oder Klausel, auf der sie beruht.

Nächster Schritt

Vereinbaren Sie ein unverbindliches Scoping-Gespräch

Jedes GAP-Analyse-Mandat beginnt mit einem solchen Gespräch, in dem das Ziel-Framework, der organisatorische Umfang, das Vorgehen zur Evidenzsammlung und der erwartete Zeitplan festgelegt werden. Die meisten Mandate sind je nach Umfang innerhalb von vier bis acht Wochen abgeschlossen.

Ihre Angaben
Newsletter abonnieren
Datenschutzerklärung 
Experten kontaktieren