Blog

CISSP

Die Certified Information Systems Security Professional (CISSP) Zertifizierung wurde vom (ISC)2 (dem International Information Systems Security Certification Consortium, Inc.) entwickelt. Diese Zertifizierung ist die Schlüsselqualifikation für Professionals, die eine leitende Position in der Informationssicherheit anstreben. Diese Personen weisen damit umfassende Kenntnisse in den folgenden Themenbereichen (CBK, Common Body of Knowledge) nach:

  1. Sicherheit und Risikomanagement
  2. Asset Sicherheit
  3. Security Architecture und Engineering
  4. Kommunikation und Netzwerksicherheit
  5. Identitäts- und Zugangssteuerung
  6. Sicherheitsbewertung und Testing
  7. Security Operations
  8. Software-Bereitstellungsschutz

CRISC

Eine CRISC™-Zertifizierung ist eine Personenzertifizierung und wird erworben von Fachexperten, die sich auf dem Gebiet von IT-Risikomanagement und Enterprise Risk Management weitergebildet haben.

Das CRISC™-Examen ist keine Qualifikation für Berufsanfänger. Es bedarf fundierte Berufserfahrung im Bereich Risikomanagement sowie interner IT-Kontrollen.

Diese Zertifizierung wird von der ISACA ausgegeben.

Erkennen fehlender Sicherheits-Maßnahmen

Der Prozess zur Identifikation struktureller Schwachstellen oder fehlender spezifischer Sicherheits-Maßnahmen wird als Threat Modeling bezeichnet.

Bei diesem Vorgehen werden die typischen Angriffs-Vektoren durchgespielt und die begehrtesten Systeme bzw. Schnittstellen untersucht. Das Ergebnis des Threat Modelings zeigt auf, an welchen Stellen das System am einfachsten zu kompromittieren ist. Wird diese Ergebnisliste nach Kritikalität priorisiert, erhält man eine Meilensteinplanung zum Ausbau der Verteidigungslinie.

Return on Security Invest

Der Begriff Return on Investment (ROI) ist eine betriebswirtschaftliche Bezeichnung für Kapitalrendite. Security Executives (Chief Security Officers, CSOs) haben diesen Begriff um den Invest in Sicherheitsmaßnahmen erweitert und so ergibt sich der RoSI (return on security invest).

Die Kosten für Sicherheitsmaßnahmen sollen spezifische Risiken neutralisieren, daher hilft der RoSI bei der Konzentration auf ein definiertes Risiko. Er berechnet sich wie folgt:

Risiko = (SLE * ARO * MitigationRatio - Kosten) / Kosten

Die „Single Loss Expectancy“ (SLE) beschreiben die Kosten bei einem Ausfall einer spezifischen Komponente.

Die „Annual Rate of occurrence“ (ARO) definiert die Häufigkeit mit der diese Komponente ausfallen könnte.

Das „MitigationRatio“ beschreibt um wieviel Prozent eine Sicherheitsmaßnahme den Ausfall dieser Komponente verhindert könnte.

Subtrahiert man von dem Produkt der drei vorgenannten Elemente die Kosten und dividiert das Ergebnis dann durch diese Kosten, ergibt sich das prozentuelle Risiko welches nach der Installation der Sicherheitsmaßnahme bleibt. Mit diesem Wert wird die Entscheidung für oder gegen den Invest zur Installation dieser Sicherheitsmaßnahme vereinfacht.