Security Audit und Review
Physical Security Assessment
Im Rahmen eines Security Audits und Reviews wird die Einhaltung bestehender Sicherheitsstandards und Sicherheitsrichtlinien durch Mitarbeiter sowie beauftragte Unternehmen und Dienstleister einer Prüfung unterzogen.
Mit dieser Art der Auditierung erzielen wir eine Ist-Aufnahme um Fehler und Schwachstellen zu erkennen und zu beheben.
Die CIM Auditors dokumentieren festgestellte Sachverhalte sowie Vorgehens- und Verhaltensweisen auf Basis von Beobachtungen, Fragebögen und Audit-Checklisten. Die Dokumentation erfolgt auf Anforderung auch in Bildform.
Im Gegensatz zu Social Engineering Audits oder Red Teaming Audits (Pentests) ist das Security Audit und Review keine offensive Auditierungsmethode. Denn hier nehmen die CIM Audit-Spezialisten lediglich eine fragende, beobachtende oder erfassende Rolle ein.
Die CIM Auditors haben im Security Audit und Review folgende Möglichkeiten der Prüfung und Untersuchung:
- Interview der eigenen Mitarbeiter oder der externen Dienstleister (konzeptionelles Security Audit)
- Beobachtungen und Dokumentation ("verdecktes" Security Audit, teilweise auch konzeptionelles Security Audit)
- Einsichtnahme in Dokumente (konzeptionelles Security Audit)
Konzeptionelles und "verdecktes" Security Audit
In sensiblen Sicherheits- und Unternehmensbereichen sind "verdeckte" Security Audits, die in der Regel meist aus Beobachtung und Dokumentation bestehen, unerlässlich. Sie finden immer dann Anwendung, wenn sich objektive Erkenntnisse in einem konzeptionellen Security Audit (von dem Mitarbeiter Kenntnis haben) nicht erlangen lassen. Dennoch kann es sinnvoll sein, nach Abschluss des "verdeckten" Security Audits ein konzeptionelles Security Audit anzuschließen, um ganzheitliche Erkenntnisse zu erzielen.
- Fallbeispiel: Das Security-Audit in unserem Beispiel hat zum Ziel, das Verhalten von Geld- und Werttransport-Mitarbeitern in Bezug auf die Einhaltung von Sicherheitsvorschriften zu überprüfen. Hierzu ist es notwendig, dass sich die CIM Auditoren ein unabhängiges Bild von der Arbeitsweise der Geld- und Werttransport-Mitarbeiter machen. Würden die Mitarbeiter Kenntnis von dem Security Audit haben, würden sie ihr Verhalten bewusst verändern, um eine fehlerfreie Arbeitsweise zu "demonstrieren". Eine objektive Beurteilung wäre dann unmöglich. Demnach ist in einem solchen Fall ausschließlich ein "verdecktes" Security Audit die geeignete Maßnahme.
Security Audit Kompetenz
Die CIM Auditoren verfügen über langjährige praktische Erfahrungen auf den interdisziplinären Feldern der Sicherheit. Internationale und namhafte Unternehmen, Konzerne und Organisationen vertrauen auf ihre Kompetenz und Expertise im Bereich der Security Audits.