Weil das Security Management innerhalb ITIL immer mehr an Bedeutung gewinnt, haben wir unser Aus- und Weiterbildungsangebot in diesem Bereich erweitert: Wir freuen uns, Ihnen den 2-tägigen Intensivlehrgang ITIL-Security-Management anzubieten, der sich der praktischen Umsetzung der Informationssicherheit in einer ITIL-orientierten Unternehmensstruktur widmet. Mehr dazu lesen Sie hier!
Was ist ITIL: Die kundenzentrierte Dienstleistungsorientierung ist der Schlüssel moderner IT- Managementkonzepte. Längst vorbei sind die Zeiten, in denen die IT für alles verantwortlich, zuständig und nützlich war. Heute strebt man eine an den gewünschten Geschäftsprozessen ausgerichtete IT-Infrastruktur an, die schnell auf veränderte Anforderungen im Geschäftsumfeld reagieren kann. „Service“ ist das Schlüsselwort in der Rolle der IT als „Dienstleister“. Um diesen Dienstleistungsgedanken zu optimieren, wurde die IT Infrastructure Library (ITIL) geschaffen, eine Beschreibung von Standardprozessen, die das Ziel der IT-Serviceorientierung leichter erreichen helfen.
ITIL beschreibt die für den Betrieb einer IT-Infrastruktur notwendigen Prozesse und wurde in die Norm ISO 20000 IT Service Management übernommen, die als messbarer Qualitätsstandard für das IT Service Management (ITSM) dienen kann. Daneben werden in ISO 20000 die notwendigen Mindestanforderungen an Prozesse spezifiziert und dargestellt, die eine Organisation etablieren muss, um IT-Services in definierter Qualität bereitstellen und managen zu können. Eine erfolgreiche Zertifizierung nach ISO 20000 ist ein allgemein anerkanntes IT-Qualitätsmerkmal.
Wir unterstützen Sie. Möchten Sie Ressourcenengpässe bei Ihren unternehmensinternen Projekten entschärfen oder überbrücken? Die Swiss Infosec AG kann Ihnen schnell und unkompliziert projekterfahrene Spezialisten und Projektleiter anbieten. Mehr Informationen.
Verschärfung der britischen Gesetze: Bis zu 10 Jahre Gefängnis möglich
Die diesen Monat in Grossbritanniern verabschiedete 'Police and Justice Bill 2006' macht es neu zu einem Vergehen, wenn der Betrieb eines Computersystems beeinträchtigt wird.
Ebenso werden jetzt die folgenden Taten strafbar: die Verunmöglichung oder Behinderung des Zugriffs auf in einem Computer gespeicherten Programme oder Daten. Diese neue Legislation löst den 'Computer Misuse Act 1990' ab, der vor dem jetzt weitverbreiteten Internetgebrauch in Kraft getreten war. In diesem Rahmen wurde auch das maximale Strafmass von 5 auf 10 Jahre erhöht.
Einbrecher bestahl Scotland Yard: Outsourcer hat Daten nicht genügend gesichert
Einem Einbrecher gelang es, sich die Kontendetails von 15'000 Scotland Yard-Polizisten zu beschaffen.
Der Einbruch fand bei LogicaCMG statt, die wegen ihrer Arbeit für Scotland Yard eigentlich über die modernsten Sicherheitseinrichtungen verfügt. Da sich auf den 3 gestohlenen Laptops nebst den Kontendetails auch die Social Security Numbers befinden, wird befürchtet, dass so möglicherweise neue Identitäten geschaffen werden sollen. Zwar befanden sich keine Adressen oder Telefonnummern auf den noch nicht aufgefundenen Laptops, man geht aber von der Annahme aus, dass sich auch sensitive Daten über mehrere Tausend Zivilangestellte auf den Geräten befinden.
Online-Broker sind das Ziel: Kunden einer einzigen Firma erlitten $18 Millionen Verlust in einem Quartal
Die Kunden von E-Trade Financial Corp. erlitten einen Verlust von $18'000'000 im dritten Quartal 2006 durch missbräuchliche Benutzung ihrer Konten durch Dritte.
Diese Vergehen sind eine geschickte Verbindung aus Wertpapierbetrug, Identitätsdiebstahl und Hacking und es wird damit gerechnet, dass sich dieser Typus von Online-Betrug weiter ausdehnen wird. Seitens E-Trade sagt man, dass die Angriffe von Osteuropa und Thailand aus initiiert wurden. E-Trade wird seine Kunden für allfällige Verluste entschädigen, obwohl keinerlei Verpflichtung dazu beständen.
Quelle: www.washingtonpost.com; Ellen Nakashima; 24.10.2006
SQL Injection wurde Forensikfirma zum Verhängnis: 10 Jahre lang erzwungene Sicherheitsaudits
Obwohl die amerikanische Forensikfirma Guidance auf ihrer Website mit der Sicherheit der Kundendaten warb, gelang es Unbekannten wärhend eines Servereinbruchs, Namen, Adressen und Kreditkartendetails von 3800 Kunden zu kopieren.
Da der oder die Täter sich einer lange bekannnten SQL Injection Schwachstelle bedienten, hat die amerikanische Federal Trace Commission (FTC) nun entschieden, dass Guidance ein umfassendes Cybersecurity-Programm zu implementieren hat und die diesbezüglichen Aktivitäten während der nächsten 10 Jahre von unabhängigen Sicherheitsauditoren überprüfen lassen muss.
"Sichere" britische Pässe gehackt: Es dauerte knapp 48 Stunden
Der Chip in den angeblich hochsicheren britischen Pässen, von denen bereits 3 Millionen im Umlauf sind, wurde innert 48 Stunden gehackt.
Unter Anwendung der Spezifiaktionen der International Civil Aviation Organisation (ICAO), die sich auf deren Website befinden, gelang es einem Spezialisten der Firma Bunker Securre Hosting innert kurzer Zeit, den unverschlüsselten Chip zu hacken. Spezialisten sind der Meinung, dass wenn man den Chip schon lesen kann, man diesen auch duplizieren kann.
Quelle: www.theinquirer.net; Nick Farrell; 17.11.2006
Schmiermittel, alte Socken und eine Banane: Auch eine Festplatte will anständig behandelt werden
Die Firma OnTrack, die sich mit Datenwiederherstellung befasst, hat einige ihrer eher seltsamen Fälle publik gemacht. So hat ein Kunde seine Banane auf dem Harddrive liegen gelassen. Später verrottete diese und tropfte ins Gerät. Die Schaltkreise waren natürlich ruiniert und die Festplatte funktionierte nicht mehr.
Ein anderer Kunde formatierte seine Festplatte nicht nur ein- oder zweimal, sondern gleich 10 Mal, bevor er bemerkte, dass sich darauf noch wichtige Informationen befunden hatten.
In einem anderen Fall schickte ein Kunde seine defekte Festplatte eingewickelt in alte Socken ein. Da diese Verpackung nicht ausreichend war, war der Schaden am Drive grösser als vorher.
Ein Universitätsprofessor löste das Problem mit dem Quietschen aus dem Drive seines Computers damit, indem er das Gerät öffnete und dann das Schmiermittel WD-40 auf die Festplatte sprühte.
Ausfall an der London Metal Exchange (LME): Systemupdate ist schuld
Ein Systemupdate für das Handelsystem der LME führte am 6. November zu einem Gesamtausfalls des Systems.
Obwohl ein Neustart nichts nützte, konnten die Händler immer noch nach dem alten Ausrufsystemm oder per Telefon ihrer taätigkeit nachgehen. Zur vorübergehenden Lösung des Problems wird man auf die alte Systemversion zurückgreifen und versuchen, das Problem anders zu lösen.
IT-Ausgaben von rund £10'000 je End User: Britische Banken Spitzenreiter
In einer kürzlich gemachten Umfrage kam zutage, dass die britischen Finanzinstitute für ihre IT im Schnitt rund £10'000 pro End User ausgeben werden. Dies verglichen mit Durchschnittsausgaben für die IT von £3891 in den anderen Industriesektoren.
205 Unternehmen und Organisatioen nahmen an der Studie des britischen National Computing Centre teil. Die britischen Finanzunternehmen führen auch beim Personaleinsatz: sie setzen pro 1000 End User 75 Personen in der IT ein, verglichen mit 28 Personen für die anderen Sektoren.
Die nigerianische Masche zieht in Grossbritannien sehr gut: Wer immer noch darauf hereinfällt, ist selber schuld
Laut dem Forschungsinstitut Chatham House ist die nigerianische Masche (der angebliche Transfer von Geldern aus einem afrikanischen Staat mittels unbekannten Helfern und Bankkonten aus dem Ausland) in Grossbritannien immer noch ein sehr grosses Problem.
Chatham House rechnet mit jährlichen Kosten für die britische Wirtschaft von ca. £150 Millionen und einem Durchschnittsverlust pro Opfer von rund £30'000.
Ist Sicherheit ein Verkaufsargument?: Viele Kunden sind dieser Meinung
65% der 2000 Teilnehmer einer Befragung gaben an, dass sie schon Erfahrungen mit Computersicherheitsproblemen haben. Von 250 befragten Marketingmanagern gaben über 80% an, dass die Sicherheitsbedenken seitens der Unternehmen und Kunden zunähmen.
Laut der Meinung der Marketingleute machen ihre Arbeitgeber aber nicht viel Aufheben um die Sicherheit, dabei würden mehr als die Hälfte der befragten Kunden 'sehr wahrscheinlich' oder 'ganz sicher' ihr Geschäft von einer Firma abziehen, würden persönliche Informationen gestohlen oder veröffentlicht werden.
Die Kosten für Datenoffenlegungen können immens sein. Das Pokemon Institute kam zum Schluss, dass Firmen, die einen Datenverlust erlitten hatten, durchschnittlich $ 14 Millionen für die damit verbundenen Umtriebe (Anwälte, Anrufe, Preisermässigungen etc.) aufzuwenden hätten und um allem die Krone aufzusetzen, verlieren diese Firmen auch noch 2,6% ihrer Kunden.
Passwörter sind leicht zu knacken: Eines der grössten Sicherheitsrisiken in einer Firma
Im Auftrag einer Firma im Gesundheitsbereich versuchte die Netzwerk-Sicherheitsfirma Neohapsis, die Passwortdatei eines Servers des Auftraggebers zu knacken.
Unter Einsatz eines weit verbreiteten Entschlüsselungsprogramms gelang es Neohapsis, 30% der 10'000 Account-Passwörter der Datei innert einer Stunde zu knacken. Die meisten Passwörter werden immer noch viel zu einfach gewählt, Sequenzen wie 1234 oder qwert, Bezüge zu privaten Informationen wie Automarke, Vornamen etc. oder auch nur die Länge, haben einen grossen Einfluss auf die 'Knackbarkeit' eines Passowrtes.
Wählt man zum Beispiel ein Passwort mit 8 Zeichen, die aus den 95 druckbaren ASCII-Zeichen besteht, so ergeben sich sofort 6,6 Billiarden mögliche Kombinationen und obwohl manche Entschlüsselungsprogramme bis zu 8 Millionen Kombinationen pro Sekunde austesten können, würden selbst die heutigen Computer noch durchschnittlich 13 Jahre brauchen, um ein solches Passwort entschlüsseln zu können.
Es ist also ersichtlich, dass mit etwas Einsatz und Disziplin sehr sichere Passwörter geschaffen und eingesetzt werden können.
Bei Telearbeitern hat die IT-Abteilung nicht viel zu melden: Man verlässt sich auf die Vorgesetzten
Eine Umfrage im Auftrag von Cisco brachte zu Tage, dass Telearbeiter sehr oft die IT-Abteilung nur als reaktiv erlebten und dass sie manchmal eine viel geringere Rolle bezüglich Sicherheit innehabe, als die direkten Vorgesetzten.
Die Umfrage umfasste 1000 Telearbeiter in 10 Ländern. In 6 von diesen Ländern gaben die Telearbeitern ihren direkten Vorgesetzten die Autorität, ihr Verhalten zu kontrollieren und nicht der IT-Abteilung. 17% Prozent der Befragten waren erstaunlicherweise der Meinung, dass weder IT-Verantwortliche noch Manager ihre Nutzung der Firmen-IT kontrollieren sollten.
Sicherheit könnte $2 Milliarden Umsatz zusätzlich generieren: Online-Händler in der Pflicht
Das Marktforschungsinstitut Gartner ist in einer Studie zum Schluss gekommen, dass die Sicherheitsbedenken der Kunden die Umsätze der Online-Händler um $2 Milliarden reduzieren.
Der wichtigste Grund für die Weigerung der Befragten, ihre Einkäufe online zu tätigen, ist deren Angst vor Datendiebstahl. Einerseits könnten die Online-Händler ihre Sicherheitseinrichtungen massiv verstärken, andererseits darf aber auch die Usability nicht zu sehr beeinträchtigt werden. Hier ist also eine Gratwanderung zu vollziehen.
Warnung des deutschen BND: Verschlüsselungscodes in Gefahr
Der deutsche Bundesnachrichtendienst BND warnt die Deutsche Telekom vor einer Beteiligung der russischen Firma MTS.
Trotz der entspannteren Beziehungen zwischen der BRD und Russland geht man davon aus, dass immer noch sehr viele russische Agenten in Deutschland stationiert sind. Eine Beteiligung der MTS würde nach Meinung insbesondere die Verschlüsselungscodes gefährden, die von der Deutschen Telekom für sichere Kommunikation und weitere Verbindungen eingesetzt werden. Jedoch ist der deutsche Finanzminister der Meinung, dass eine russische Beteiligung an der Telekom nicht möglich sei, da die Regierung immer noch am ehemaligen Monopolisten beteiligt sein.
Pandemieplanung sollte Teil des BCP sein: Die nächste ist überfällig
Seit Jahrhunderten wird die Menschheit regelmässig von Pandemien heimgesucht. Die letzte mit weltweiter Ausbreitung, die 'Spanische Grippe', trug sich im frühen 20. Jahrhundert zu und resultierte in rund einer halben Milliarde Kranker sowie geschätzten 20 bis 50 Millionen Toten. Danach folgten noch zwei weitere, geographisch enger lokalisierte Pandemien in Asien in den Jahren 1957 und 1968, mit je 700'000 bzw. 1'000'000 Toten.
Manche Experten sprechen davon, dass eine Pandemie mit den Ausmassen der 'Spanischen Grippe' durch die Vogelgrippe bzw. SARS ausgelöst werden könnte, andere sind unspezifischer der Meinung, dass so oder so eine Pandemie überfällig ist.
Zieht man in Betracht, mit welchen Personalausfällen in den Geschäftslokalitäten im Falle einer Pandemie zu rechnen ist, empfiehlt es sich sehr, für diesen Fall die entsprechenden Vorkehrungen zu treffen. Nicht nur Fragen wie Telearbeit mit den entsprechenden IT-Anbindungen sind zu überlegen, sondern auch Fragen, wie halte ich meinen Geschäftsbetrieb generell im Falle einer Pandemie aufrecht. Die Ausrüstung von Rechenzentren mit Personal, Nahrungsmitteln, den nötigen Belüftungssystemen etc. fällt darunter, aber auch Probleme der Vorsorge im Sinne von: wie weit kann und muss der Arbeitgeber auch sicher stellen, dass die Angehörigen wohlbehalten sind usw.
Sicher ist die Problematik komplex, vieles kann aber auch bereits im Rahmen einer angemessenen Business Continuity Planung angegangen werden.
Quelle: www.computerworld.com; Patrick Thibodeau; 29.11.2006
Der Computer entscheidet mit…: …ob Sie möglicherweise ein Terrorist sind
Seit den letzten vier Jahren entscheiden amerikanische Computer bei der Ein- und/oder Ausreise mit, ob Sie eventuell ein Terrorist oder Krimineller sind.
Die Einstufung der 'Automated Targeting System' (ATS) beruht auf Kriterien wie: Ihre Herkunft, wie Sie für die Tickets bezahlt haben, wo Sie am liebsten sitzen und ob Sie spezielle Mahlzeiten bestellt haben etc. Flugreisende können diese automatisch generierten Bewertungen weder einsehen noch anfechten, auch will die amerikanische Regierung diese Daten für 40 Jahre aufbewahren und vermutlich auch noch zu anderen Zwecken auswerten.
Vorankündigung: Meet Swiss Infosec!: 24. Januar 2007
Sichere Informationen aus erster Hand!
Am 24. Januar 2007 ist es wieder soweit und Sie können Profis mit interessanten Erfahrungs- und Praxisberichten zu Aspekten der Integralen Sicherheit treffen und das Neuste aus der Welt der Informations- und IT-Sicherheit erfahren.
Nutzen Sie die Gelegenheit und nehmen Sie an der ersten Ausgabe im Neuen Jahr der beliebten Meet Swiss Infosec! vom Donnerstag, 24. Januar 2007, im Airport Conference Center, Zürich-Kloten, teil. Tauschen Sie sich aus mit Berufskolleginnen und Berufskollegen über aktuelle Tendenzen, Problematiken und Lösungsvarianten im Bereich der Informations- und IT-Sicherheit.
Tauchen Sie ein in die Welt der Quanten und die Informationssicherheit. Gezeigt werden u.a. die Security-Offensive Microsoft Forefront und eine Live-Demo zum Abhören eines Glasfaser-Kabels und Abfangen eines Windows-Login-Passwortes.
In Partnerschaft mit CA, Microsoft, Olor und Qualys profitieren Sie von Referaten zu folgenden Themen:
Cornel Furrer, Managing Consultant, Swiss Infosec AG Die kritischen Erfolgsfaktoren zur Vorbereitung und Durchführung einer Krisenstabsübung
Stefan Iten, Microsoft Microsoft Forefront: Bereit für die nächste Security Generation?
Lothar Michel, Managing Director - Central Europe, Qualys Risikominimierung und Compliance durch effektives Schwachstellenmanagement
Marc Hentsch, id Quantique Effiziente Verschlüsselung von Daten mit Quantenphysik und Live-Demo Abhören eines Glasfaser-Kabels (Vortrag in englisch)
sowie Referate von CA und Olor.
Ein Apéro am Abend rundet die Veranstaltung ab. Wir freuen uns, Sie an der Meet Swiss Infosec!.
Melden Sie sich noch heute an, ein Telefon +41 (0)31 300 73 73 genügt! Oder gleich jetzt online anmelden. Wir erwarten Ihre Anmeldung gerne bis 10.01.2007 (die Teilnehmerzahl ist limitiert).
Terminverschiebung: Das Fachseminar "Sicherheitsüberprüfung von IT-Systemen": mit Beat Lehmann
Das Fachseminar "Sicherheitsüberprüfung von IT-Systemen" findet neu am 8. - 9. Februar 2007 statt.
Sie sind herzlich eingeladen, am zweitägigen Fachseminar Sicherheitsüberprüfung von IT-Systemen unter spezieller Berücksichtigung von Ethical Hacking und Social Engineering teilzunehmen.
Für diesen Swiss Infosec Special Event freuen wir uns, Beat Lehmann, Fürsprecher, den Informatikrechtler der ersten Stunde, für Sie als Referenten gewonnen zu haben. Beat Lehmann verfügt über umfassende praktische Erfahrungen im Bereich des Informatikrechtes, wie bspw. bei der Umsetzung grenzüberschreitender Outsourcing-Lösungen unter Beachtung der sich dabei stellenden Anforderungen bezüglich Datenschutz und Informationssicherheit.
Beat Lehmann ist Inhaber eines Lehrauftrages für Informatikrecht an der Universität Zürich. Er war u.a. als Mitglied der Expertenkommission an der Schaffung des Bundesgesetzes über den Datenschutz beteiligt und verfolgt dessen heutige Revision.
Wenn Sie sich in der Funktion als CIO, IT-Administrator, verantwortliche Person für Organisation, Personal oder Sicherheit, als Angehöriger der Rechts- und Compliance-Abteilung, als Datenschutzbeauftragter, als Rechtsanwalt oder als Teil einer Untersuchungsbehörde der Aufgabe von Sicherheitsüberprüfungen von IT-Systemen widmen, freuen wir uns speziell, Sie an diesen zwei spannenden Fachseminartagen zu begrüssen.
Melden Sie sich noch heute an! Ihre Anmeldung erwarten wir gerne bis 2.2.2007 (die Teilnehmerzahl ist limitiert). Wir freuen uns, Sie begrüssen zu dürfen!
Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte
Aus der Praxis für die Praxis!
Wir führen Sie umfassend ein in die Grundlagen der Informations- und IT-Sicherheit. Diesen Lehrgang führen wir seit über 10 Jahren erfolgreich durch – profitieren auch Sie vom geballten Wissen aus mehr als 17 Jahren Erfahrung.
Intensivlehrgang für Informations- und IT-Sicherheitsbeauftragte
Sichern und erweitern Sie sich Ihr Fachwissen!
In praktischen Arbeiten und Diskussionen erarbeiten Sie gemeinsam unter fachkundiger Anleitung u.a. eine Sicherheitspolitik, Sicherheitskonzepte und exemplarische Weisungen und Konzepte eines Unternehmens in den verschiedenen Bereichen der Integralen Sicherheit. Die Vielzahl praktischer Umsetzungshinweise ist eine echte Überlebenshilfe für jeden IT-SIBE.
Intensivlehrgang für Beauftragte der Integralen Sicherheit
Sicherheit ganzheitlich betrachtet!
Lernen Sie alles über die organisatorischen, rechtlichen, versicherungstechnischen, physischen, umweltspezifischen, IT-technischen, psychologischen, arbeitssicherheits- und gesundheitstechnischen Aspekte der Integralen Sicherheit. Umfassendes und praxisorientiertes Rüstzeug als Grundlage oder Repetition für einen Sicherheitsbeauftragten.
11. – 15. Dezember 2006
29. Januar – 2. Februar 2007
Mehr Sicherheit dank sicherer Technik!
Die Teilnehmenden erlernen die Grundlagen der Datenkommunikation und verstehen, wie die einzelnen Netzwerkdienste aus dem Blickwinkel der Sicherheit funktionieren und welche Risiken sie bergen. Durch das Ausführen von Attacken gegen Testsysteme lernen Sie auch die Vorgehensweise eines Angreifers und die notwendigen technischen Schutzmassnahmen praktisch kennen und verstehen.
CISSP-Zertifizierung erfolgreich erlangen dank seriöser Vorbereitung!
Die Certified Information Systems Security Professional (CISSP)-Zertifizierung ist weltweit anerkannt. Dieser Lehrgang bereitet die Teilnehmenden auf die CISSP-Prüfung vor und deckt den gesamten Prüfungsumfang ab.
Einführung und Überblick über die Normen ISO/IEC 17799 und ISO/IEC 27001
Wir geben Ihnen einen fundierten, aktuellen und praxisorientierten Überblick über die Bedeutung und den Inhalt dieser beiden Standards. Wir zeigen Ihnen die Schritte zu deren erfolgreicher Umsetzung auf. Lernen Sie die Voraussetzungen eines funktionierenden ISMS (Information Security Management System) kennen.
Anwendung und Nutzung der Normen im Hinblick auf eine Zertifizierung
Dieser Kurs vermittelt Ihnen praxisorientiert das Grundwissen zur erfolgreichen Zertifizierung Ihres Unternehmens gemäss ISO 27001. Die einzelnen Teilschritte der Einführung eines gelebten und normkonformen Information Security Management Systemes werden u.a. im Rahmen von Gruppenarbeiten gemeinsam erarbeitet und vertieft. Eine fundierte Einführung für den Praktiker!
Zertifiziertes Wissen und Know-how zu ISO/IEC 27001
Dieser Lehrgang führt Sie umfassend in das Auditing bezüglich ISO/IEC 27001 und ISO/IEC 17799 ein. Am Ende des Kurses erfolgt die Zertifizierung als ISO/IEC 27001 Lead Auditor.
Wenn Sie den Lehrgang «BS 7799 Lead Auditor» besucht und erfolgreich bestanden haben, haben Sie die Möglichkeit, Ihren Titel neu in «ISO/IEC 27001 Lead Auditor» umzuwandeln. Dieser Konvertierungskurs informiert Sie über die wichtigsten Änderungen und Neuerungen des ISO/IEC 27001.
Verantwortung im Sicherheitsbereich unternehmensweit wahrnehmen!
Mitglieder der Geschäftsleitung oder Verantwortliche für die Unternehmenssicherheit lernen die Bedeutung, den Aufbau, den Umfang und die verschiedenen Integrationsmöglichkeiten der Informations- und Informatiksicherheit für ihr Unternehmen kennen. Anhand von zahlreichen Praxisbeispielen erhalten die Teilnehmenden in kurzer Zeit einen umfassenden Einblick in diesen unternehmenswichtigen Bereich.
Elektronische Archivierung, eine wichtige und komplexe Materie
Dieser Kurs vermittelt umfassend die rechtlichen, konzeptionellen und technischen Grundlagen im Hinblick auf die erfolgreiche Durchführung eines Projektes Elektronische Archivierung. Die vermittelte fachliche Kompetenz erlaubt es Ihnen, Fragen und Problemstellungen im Zusammenhang mit der elektronischen Archivierung zu identifizieren und Lösungsvorschläge darzustellen.
Security Management in einer ITIL-orientierten IT-Organisation
Sie erhalten Kenntnis von den Inhalten und Strukturen einer "Best Practice"-Informationssicherheit, und praktische Hilfsmittel zur qualitativen und quantitativen Einordnung des Themas Sicherheit in anderen ITIL- Disziplinen.
Datenschutz und rechtliche Aspekte
Wir vermitteln Ihnen die datenschutzrechtlichen Grundlagen praxisorientiert und zeigen Vor- und Nachteile der möglichen Umsetzungsmassnahmen auf. Praktische Beispiele runden jeweils die Grundlagenvermittlung ab und ermöglichen den Teilnehmern, Fragen aus dem Alltag zu diskutieren und zu beantworten.
Wann sprechen wir von Internet-Kriminalität?
Sie können in einem Verdachtsfall richtig vorgehen und kennen die Grenzen und rechtlichen Grundlagen im Zusammenhang mit Protokollierungen, Auswertung und den Zugriff auf übrige "persönliche" Daten.
Vergünstigung auf Ausbildung, Beratung und Publikationen!: Einmaliges Angebot
Nutzen Sie die einmalige Gelegenheit unseres Gutscheinangebotes, Gutscheine einlösbar für die kommenden zwei Jahre für Ausbildung, Beratung und Publikationen und profitieren Sie von bis zu 20% Sonderrabatt.
Wenn Sie bis zum 31.12.2006 Gutscheine im Wert von CHF 10'000.-- kaufen, garantieren wir Ihnen einen Sonderrabatt von 10%.
Wenn Sie sich dafür entschliessen, Gutscheine im Wert von CHF 20'000.-- zu buchen, können wir Ihnen bis zu 20% Rabatt einräumen.
Diese Sonderkonditionen gelten für unser gesamtes Ausbildungsangebot, das Sie nach Belieben abrufen können, sei es bei Ihnen vor Ort oder in einem unser öffentlichen Kurse. Sie können die Gutscheine bis Ende 2008 auch für unsere Publikationen oder Tagungen einlösen.
Es gelten unsere üblichen Konditionen, welche hier abrufbar sind.
Rufen Sie uns unverbindlich an unter +41 (0)31 300 73 73. Wir beraten Sie gerne.
Stimmen zum Kurs: Management-Einführung Informations- und IT-Sicherheit
Grundlagen zum Auf- und Ausbau der Informationssicherheit im Unternehmen
Die Kursteilnehmenden wurden umfassend und systemneutral in die praxisorientierten Grundlagen der Informations- und Informatiksicherheit eingeführt. Die Teilnehmenden lernten die Bedeutung des Themas für das Unternehmen und verschiedene Möglichkeiten, Informationssicherheit innerhalb ihres Unternehmens sinnvoll zu integrieren und auszubauen. Mit zahlreichen Beispielen aus dem Alltag wurden die direkten Fragen der Teilnehmenden zu ganz konkreten Problemstellung ideenreich beantwortet resp. die Teilnehmenden wurden dadurch zur Umsetzung motiviert.
Stimmen zum Kurs Ich möchte grundsätzlich sagen, ich bin mit dem Kurs sehr zufrieden, da kann ich nur gratulieren. Vielen Dank!
H.N., Datenschutzbeauftragter, Industriebetrieb, Frauenfeld
Sehr angenehme Atmosphäre. Keine Luftschlösser sondern praktische Ratschläge. Besten Dank! Mir hat besonders das Fachwissen mit Praxisbezug von C. Furrer gefallen wie das Eingehen auf konkrete Situationen der Teilnehmenden.
Dr. P.S., Head of Corporate SHE, Basel
1. Grundschutz-Testat in der Schweiz durch die Swiss Infosec AG: Überprüfung der Gesamtorganisation
Die Swiss Infosec AG, vertreten durch ihren Grundschutz-Auditor und Managing Consultant Matthias Grütter, hat ein Softwareunternehmen auditiert, dass das Grundschutz-Testat des deutschen BSI erlangen wollte. Das Unternehmen hat als Resultat das Grundschutz-Testat des deutschen BSI erhalten.
Das Grundschutz-Testat ist die Vorstufe zur Erteilung des Zertifikates ISO 27001 auf der Basis von IT-Grundschutz.
Voraussetzung für die Vergabe eines ISO 27001-Zertifikats auf der Basis von IT-Grundschutz oder eines Auditor-Testats ist eine Überprüfung durch einen vom BSI lizenzierten ISO 27001-Grundschutz-Auditor. Zu den Aufgaben eines ISO 27001-Grundschutz-Auditors gehört eine Sichtung der von der Institution erstellten Referenzdokumente, die Durchführung einer Vor-Ort-Prüfung und die Erstellung eines Audit-Reports.
Die Swiss Infosec AG beschäftigt drei ISO 27001-Grundschutz-Auditoren, welche jederzeit und unverbindlich gerne bereit sind, mit Ihnen Ihr Audit-Projekt zu besprechen.
Überbrückung von Ressourcen- oder Kompetenzengpässen: Kompetent, unkompliziert und flexibel
Möchten Sie einen aktuellen Ressourcen- oder Kompetenzmangel überbrücken?
Möchten Sie Engpässe bei unternehmensinternen Projekten entschärfen?
Die Swiss Infosec AG bietet Ihren Kunden projekterfahrene Spezialisten und Projektleiter an, die unkompliziert und kompetent Engpässe in einem Unternehmen überbrücken können. Unsere Spezialisten übernehmen Aufgaben und Projekte, setzen diese um und bringen sie erfolgreich zum Abschluss.
Kompetenz, Erfahrung und Erfolg, seit 1989. Swiss Infosec AG verfügt für Projekte im Bereich der Integralen Sicherheit sowie der Informations- und IT-Sicherheit über Spezialisten mit Know-how und Erfahrung. Die Swiss Infosec AG zählt organisatorische, konzeptionelle, rechtliche, ökonomische, psychologische, technische und physische Aspekte der Integralen Sicherheit, Informations- und IT Sicherheit zu Ihren Kompetenzen. Das sind auch die Stärken unserer Spezialisten!
Wir unterstützen Sie. Seit 1989 bringt Swiss Infosec AG erfahrene Projektleiter und -mitarbeitende sowie Experten im In- und Ausland erfolgreich zum Einsatz.
+ Pool von Projektleitern mit mehrjähriger Projektleitungserfahrung
+ zur Überbrückung von Kapazitäts- und Know-how-Engpässen
+ zur Verstärkung Ihrer Projektteams
+ zur Beschleunigung von Projekten
+ Konzept- und umsetzungsstarke Spezialisten
+ Know-how-Transfer
Persönlich und flexibel. Unsere Spezialisten helfen Ihnen, Spitzenbelastungen erfolgreich abzudecken. Neben einer externen und neuen Sichtweise, die eine mögliche „Betriebsblindheit“ kompensieren hilft, führt eine externe Unterstützung auch zu einem Know-how-Transfer.
Die von Ihnen ausgewählten Spezialisten können auftreten als Linien-/Stabsmitarbeiter, Projektleiter oder als Projektmitarbeiter: unsere Spezialisten in Wort und Bild.
Unsere Spezialisten zeichnen sich aus durch ihre Motivation, Organisationsvermögen und Eigendisziplin sowie ihre Erfahrung in den Bereichen Projektleitung und haben Interesse an einer lösungsorientierten Zusammenarbeit mit direktem Kundenkontakt. Sprachen in Wort und Schrift: Deutsch, Englisch, Französisch.
Sie entscheiden wo und wann. Der Einsatz kann von Ihnen frei definiert werden. Wir unterscheiden zwischen frei einteilbarer Arbeitszeit und einzelnen Fixterminen bei Ihnen vor Ort oder fixem Einsatz vor Ort. Der Spezialist kann von Ihnen wie ein eigener Mitarbeiter eingesetzt werden. Der Umfang des Einsatzes kann wöchentlich/monatlich flexibel festgelegt werden. Das Mandat kann unkompliziert verlängert oder aufgelöst werden.
Jederzeit genau Ihrer Situation entsprechend und somit für jede Situation geeignet. Einsatz nach Mass! Genau so lange und genau so, wie Sie es wünschen.
Gerne stehen wir Ihnen für ein unverbindliches Gespräch zur Verfügung.
E-Mail infosec@infosec.ch; Telefon +41 (0)31 300 73 73.
ISO 17799 und ISO 27001 als Beratungskompetenz
Führendes Know-how und über 15 Jahre Erfahrung machen die Swiss Infosec AG zu Ihrem Ansprechpartner Nummer 1
Die rasante Entwicklung sowie die fortschreitende Globalisierung im Bereich der Informationstechnologien stellen immer höhere Ansprüche an Mensch und Maschine. Integrität und Verfügbarkeit der Daten gewinnen weiter an Bedeutung. Die Anforderungen an IT-Systeme – eigene wie fremde – steigen stetig. Eine Möglichkeit um Transparenz hinsichtlich der Sicherheitseigenschaften von IT-Produkten zu schaffen, ist die Prüfung und Bewertung von IT-Produkten und -Systemen nach einheitlichen Kriterien durch unabhängige Stellen.
Der ISO/IEC 17799 beschreibt ein System, mit dem sichergestellt wird, dass bei der Entwicklung und Anwendung von IT-Systemen definierte Sicherheitsaspekte berücksichtigt werden. Zudem können IT-Systeme nach ISO 27001 (der frühere BS 7799-2) auditiert und zertifiziert werden. Der Standard ist international anerkannt und unterstützt Unternehmen bei der Definition und Umsetzung einer optimalen Sicherheitsstrategie.
Mit ISO 27001 wird der Aufbau eines Informationssicherheitsmanagements (ISMS) beschrieben. Der Standard ISO 27001 hilft mittels Empfehlungen und einfach formulierten Regeln – sog. Baselines – dabei, die Informationssicherheit zu erhöhen und dabei den wirtschaftlichen, rechtlichen und unternehmerischen Ansprüchen gerecht werden. Informationen sind kritische Erfolgsfaktoren, die es dauernd und angemessen zu schützen gilt. Der Aufbau eines Informationssicherheitsmanagement ist hier die Antwort.
Profitieren Sie von über 15 Jahren Erfahrung und dem führenden Know-how der Swiss Infosec AG. Unsere Berater – einige davon lizenzierte BS 7799 Lead Auditoren und IT-Grundschutz-Auditoren nach BSI – helfen Ihnen gerne weiter!
Beispiele unseres Portfolios rund um ISO 17799 und 27001:
• Erarbeitung und Umsetzung ISO 27001-konformer Security Frameworks
• Durchführung von ISO 27001-Sicherheitsaudits
• Vorbereitung einer Zertifizierung nach ISO 27001
• Toolunterstützung bei der Umsetzung von ISO 27001-Anforderungen
• Ausbildungen zu ISO 1799 und ISO 27001
Nicht Sicherheit um jeden Preis, sondern angemessene Sicherheit ist das Ziel.
Um dieses Ziel zu erreichen, erarbeiten unsere Berater zusammen mit Ihnen individuelle Lösungsansätze, zugeschnitten auf Ihre Bedürfnisse.
Erarbeitung eines Security Frameworks
Die Swiss Infosec AG erarbeitet zusammen mit dem Projektteam des Kunden das Security Framework - eine umfassende, stufenweise aufzubauende und modulare Gesamtlösung, die sich u.a. aus folgenden Dokumenten zusammensetzt und vollumfänglich konform ist mit ISO 17799 und ISO 27001:
• die Security Policy als oberstes Strategiepapier
• das Security Concept mit den Anforderungen und der Sicherheitsorganisation
• das Security Regelwerk (Baselinekatalog) mit Sicherheitsregeln
Durchführung von Sicherheitsaudits
Audits dienen dem Offenlegen von Schwachstellen und Sicherheitsmängeln sowie der Kontrolle der Wirksamkeit von Massnahmen. Sicherheitsaudits werden dazu benutzt, die praktische Umsetzung und Einhaltung von Sicherheitsmassnahmen innerhalb des Unternehmens zu kontrollieren sowie die Einhaltung und Tauglichkeit der Massnahmen durch jeden einzelnen Mitarbeiter zu überprüfen.
Beratung im Vorfeld einer Zertifizierung
Die Swiss Infosec AG unterstützt Sie bei der Vorbereitung einer Zertifizierung im Bereich ISO 27001.
Unterstützung durch ISMS Tool Box
Die Weiterentwicklung des bekannten Baseline Tool zur ISMS Tool Box bietet Ihnen die Möglichkeit zum Aufbau eines kostengünstigen ISMS inkl. Sicherstellung der Legal Compliance. Profitieren Sie darüberhinaus von der Erfahrung von über 40 Mitgliedern im ISMS Expert Forum.
Ausbildung zu ISO 17799 und ISO 27001
Nur Swiss Infosec bietet Ihnen Beratung und Ausbildung aus einer Hand: Profitierens Sie von unserer täglichen Consulting-Erfahrung mit den ISO 17799- und ISO 27001-Kursen „Einführung“, „Vertiefung“ und „ISO 27001 Lead Auditor“.
Alle Informationen zu unserem Ausbildungsangebot finden Sie auf www.infosec.ch oder im neuen Kursprogramm.
ISMS Tool Box - Der unentbehrliche Werkzeugkasten!: Weshalb das Rad neu erfinden?
Der unentbehrliche Werkzeugkasten für Sicherheitsbeauftragte
Die ISMS Tool Box bietet vielfältige und praxisorientierte Funktionalitäten für den Aufbau, Betrieb und Unterhalt eines Information Security Management System. Die ISMS Tool Box erlaubt Ihnen, Regelwerke schnell und einfach zu erarbeiten und diese mehrsprachig intranetbasiert zu kommunizieren. Die Regelwerke können in einer Arbeitsgruppe elektronisch reviewt und validiert werden, die Umsetzung geplant und laufend überprüft werden.
Die Tool Box unterstützt neben dem Ownership Modell die Inventarisierung und Klassifizierung von Schutzobjekten. Die für die Schutzobjekte verantwortlichen Funktionen können übersichtlich dargestellt werden. Business Continuity-Aktivitäten können mittels des Tools effektiv unterstützt werden.
Neben der Möglichkeit, ein Glossar und eine Linksammlung intranetbasiert zu führen, kann auch ein Basel II-konformes Security Incident Management aufgebaut werden. Daneben existieren Instrumente für die Durchführung von Risikoanalysen und Audits.
Dezentrale Stellen können mittels einer Self Assessment-Funktion in die Aufrechterhaltung und laufende Verbesserung des ISMS eingebunden werden. Das Tool erlaubt den direkten intranetbasierten Zugriff auf ISO 17799/ BS 7799, Cobit, BSI-Grundschutzhandbuch und den ISO Plus-Katalog der Swiss Infosec AG. Mandantenfähigkeit, LDAP-Kompatibilität, Import- und Exportfunktionen, Reportgeneratoren und vieles andere mehr komplettieren die ISMS Tool Box. Daneben bietet Ihnen die ISMS Tool Box die Möglichkeit, innerhalb des Praxisforums viermal jährlich Erfahrungen in einer geschlossenen Benutzergruppe auszutauschen.
Die Swiss Infosec AG sucht…: Consultant / Junior Consultant / Penetration-Tester (m/w)
Ihr Aufgabengebiet:
Sie betreuen Kundenprojekte im Bereich der technischen Sicherheit, führen Sicherheits-Audits sowie Penetration Tests durch und begleiten den Kunden bei der Umsetzung der von Ihnen vorgeschlagenen Massnahmen. Zusätzlich beschäftigen Sie sich mit Fragen in den technischen Bereichen des Social Engineerings, System Hardening und Ethical Hacking.
Ihr Aufgabengebiet umfasst folgende Tätigkeiten:
Durchführung von Penetration Tests und Security Reviews
Durchführen von Web-Application Security Reviews (Portale, etc.)
FW- und VPN-Tests
Tests von Viren- und Contentfiltern
Prüfen und Hardening von Serversystemen verschiedener Plattformen
Prüfen und Hardening von Application Servern
Source Code Analysen
Konzeptionelle Ausarbeitung von technischen und organisatorischen Massnahmen zum Schutz der IT-Systeme
Verfassen von Testberichten zuhanden des Kunden
Idealerweise verfügen Sie über folgendes Profil:
Fachhochschulabschluss in Informatik oder gleichwertiger Ausbildung
Sehr gute Kommunikationsfähigkeit in Wort und Schrift (d/e)
Webapplikationen (HTML/HTTP/SMTP/FTP sowie XML basierte Protokolle wie SOAP und SAML)
Programmierung (JavaScript, PHP, ASP oder Java wünschenswert)
Verständniss für die Architektur von Webapplikation
Webserver (Apache und IIS)
typischen Angriffsarten wie SQL-Injection, Input Validation, etc.
Haben wir Ihr Interesse geweckt?
Wir bieten Ihnen eine verantwortungsvolle Tätigkeit mit interessanten Entwicklungsmöglichkeiten. Für eine erste Kontaktnahme wenden Sie sich bitte an Herrn Cornel Furrer, Chief Operation Officer, Tel. +41 (0)79 209 17 36.
Die Swiss Infosec AG ist seit 1989 das führende unabhängige Beratungs- und Ausbildungsunternehmen der Schweiz im Bereich der Informations- und IT-Sicherheit sowie der Integralen Sicherheit.
Die erfolgreiche Lösung von Aufgaben im Bereich der Informations- und IT-Sicherheit erfordert die interdisziplinäre Zusammenarbeit diverser Fachleute: 30 Sicherheitsspezialisten stehen Ihnen zur Seite und unterstützten Sie in der Funktion als Coach des Managements, IT-Leitung, IT-SIBE, als temporärer externer Security Officer, als Psychologe, Konfliktmanager und Mediator, als Auditor, Kursleiter oder externer Krisenmanager, als Begutachter, Jurist oder forensischer Experte, als neutrale Stelle und noch vieles mehr.
Sie möchten sich an- oder abmelden?
Sie erhalten dieses Mail als Abonnent der Internet Infosec News.
Möchten Sie die Internet Infosec News neu in Englisch erhalten, klicken Sie hier: News in Englisch
Möchten Sie die News zukünftig in TXT-Format erhalten, klicken Sie hier: News in TXT-Format
Möchten Sie eine andere E-Mail-Adresse anmelden, so klicken Sie bitte hier: Andere E-Mail-Adresse anmelden
Möchten Sie Informationen zur Swiss Infosec AG erhalten, klicken Sie bitte hier: Informationen bestellen
Möchten Sie zukünftig keine News mehr erhalten, so klicken Sie bitte hier: E-Mail-Adresse abmelden
Sollten Sie weitere Fragen und Anregungen haben, dann schicken Sie uns doch bitte ein Mail an: infosec@infosec.ch
