Penetrationstests: Management Assurance Framework

Cybersecurity - wichtige Aspekte für eine erfolgreiche Prävention.

Immer mehr Unternehmen setzen cloudbasierte SAP-Geschäftsanwendungen ein. Mit der Durchführung der erforderlichen Penetrationstests werden dann häufig vertrauenswürdige und kompetente externe Dienstleister beauftragt. Die zunehmende Bedeutung der extern durchgeführten Penetrationstests wird durch die Trends am globalen Markt bestätigt: Für den Zeitraum von 2018 bis 2027 wird eine jährliche Wachstumsrate (Compound Annual Growth Rate, CAGR) von rund 14,2 % für dieses Marktsegment erwartet (Quelle: https://www.researchnester.com/reports/penetration-testing-market/717). Bis 2027 wird hier ein Betrag von 2,6 Mrd. US-Dollar erreicht werden. 

IT-Sicherheitsteams müssen für die Durchführung von Penetrationstests vorab viele Fragen beantworten: 

  • Nach welchen Kriterien wählen wir den passenden Anbieter aus? 
  • Was sind die Gründe für die Durchführung des Penetrationstests? 
  • Wer sollte nach Abschluss des Penetrationstests die Optimierungsmaßnahmen umsetzen? 
  • Welche Risiken und Einschränkungen sind zu beachten? 
  • Welcher Ansatz ist für unsere Penetrationstests am besten geeignet, d. h. Overt vs. Covert, Grey Box vs. Black Box vs. White Box? 
  • Wie häufig sollte ein Penetrationstest durchgeführt werden? 
  • Wer erstellt und überwacht die Maßnahmenpläne? 
  • Wie kann man Governance in die Penetrationstests einbinden? 
  • Was ist zu beachten, wenn die Anwendungen in einem Rechenzentrum eines Drittanbieters gehostet werden? 

Ein Penetrationstest durchläuft in der Regel folgende Phasen, wobei das Framework für die Qualitätssicherung häufig vernachlässigt wird: 

Mit den Lösungen von Riscomp erhalten Sie einen objektiven Überblick über Ihre Investition in Penetrationstests und die damit verbundenen langfristigen Vorteile. Unser Framework für die administrative Qualitätssicherung deckt Kontrollprozesse für wichtige administrative Aspekte ab und unterstützt Sie bei deren Implementierung: 

  • Testadministration (Umfang, rechtliche Vorgaben, Offenlegung, Berichterstattung) 
  • Testdurchführung (Ansatz, Trennung von Systemen und Funktionen, Übernahme von Tools, Testfrequenz) 
  • Datensicherheit (sichere Speicherung, Übertragung  und Vernichtung von bereitgestellten kritischen oder sensiblen Daten, Endergebnis der Tests und Optimierungsmaßnahmen) 
  • … viele mehr 

Weitere Informationen finden Sie unter https://www.riscomp.ch/beratungsservices-sap-sicherheit/?lang=de