Microsoft-Tool zur IT-Risiko-Selbsteinschätzung
Das Tool zur Einschätzung der Sicherheit "Microsoft Security Assessment Tool" (kurz MSAT) ist eine Software zur Risikobewertung.
Es hat zweierlei Aufgaben: Zu Informieren, und Empfehlungen auszusprechen.
Es informiert Unternehmen über bewährte Methoden zur Erhöhung der Sicherheit in der IT-Infrastruktur. Und spricht Empfehlungen bezüglich geeigneter Verfahren (Industriestandards) zur Steigerung der Sicherheit aus. Diese Risikoeinschätzung beruht auf anerkannten Standards sowie bewährten Methoden und Verfahren, um die in IT-Umgebungen bestehenden Risiken zu mindern. Dabei kommt das DiD-Konzept (Defense-in-Depth) zum Einsatz, das eine mehrstufige Verteidigung unter Verwendung von technischen, organisatorischen und operativen Kontrollen vorsieht.
Nach Abschluss einer Risikobewertung werden Ihnen die Ergebnisse in einem umfangreichen Bericht präsentiert. Sie können Ihre Ergebnisse auch anonym an den sicheren MSAT-Webserver übermitteln. Dadurch können Sie die Ergebnisse zusätzlich den Ergebnissen anderer Unternehmen gegenüberstellen. Diese sind nach Branche und Unternehmensgröße vergleichbar.
Die Anwendung ist für Unternehmen mit 50 bis 500 Desktopcomputern konzipiert.
Nutzung von MSAT:
Das Microsoft Security Assessment Tool führt zwei Einschätzungen durch: eine Risikoprofil (Business Risk Profile, BRP) und eine Bewertung der mehrstufigen Verteidigung (Defense-in-Depth, DiD).
Das Profil ist maßgebend für die Risiken, denen Ihr Unternehmen ausgesetzt ist. Die Bewertung gibt darüber Auskunft, in wie weit Ihr Unternehmen über ausreichende Sicherheitsmaßnahmen verfügt. Sie können mehrere DiD-Einschätzungen durchführen. Dies ist beispielsweise sinnvoll, um den Fortschritt der Sicherheitsmaßnahmen in Ihrem Unternehmen im Laufe der Zeit zu bestimmen. Jede Bewertung wird zu Ihrem Profil in Beziehung gesetzt, um ein vollständiges Bild Ihrer Sicherheitsumgebung zu präsentieren.
Geschäftsrisikoprofil:
Zur Nutzung des Microsoft Security Assessment Tools müssen Sie zunächst ein Profil erstellen. Dieses Profil umfasst mehrere allgemeine Fragen zu Ihrem Unternehmen sowie eine vollständige Risikoeinschätzung.
Der Name und die Größe Ihres Unternehmens gehören zu den allgemeinen Fragen. Der Name Ihres Unternehmens wird lediglich für die Anzeige in Ihrem vollständigen Bericht benötigt. Der Name Ihres Unternehmens – die einzige persönliche Information, die wir von Ihnen anfordern – wird nicht an Dritte weitergegeben.
Nachdem Sie die Seite mit den allgemeinen Informationen ausgefüllt haben, werden Sie aufgefordert, Ihr Risikobewertungsprofil zu vervollständigen. Im normalen Verlauf der geschäftlichen Aktivitäten trifft auch Ihr Unternehmen regelmäßig technische und geschäftliche Entscheidungen, die zu Sicherheitsrisiken führen können. Diese Sicherheitsrisiken müssen so weit wie möglich umgangen werden. Das Profil hilft Ihnen dabei, diese Risiken zu erkennen und legt ein Basisniveau fest, mit dem Sie die erreichte Punktzahl für die realisierte mehrstufige Verteidigung vergleichen können, die aus Ihrer Bewertung hervorgeht.
Bewertung der mehrstufigen Verteidigung (Defense-in-Depth, DiD)
Die DiD-Bewertung umfasst vier Analysebereiche:
| • | Infrastruktur |
| • | Anwendungen |
| • | Betriebsabläufe |
| • | Personen |
Aufgrund des Geschäftsrisikoprofils und der DiD-Bewertung wird die Analyse durchgeführt. Aus der Analyse resultiert der Sicherheits-Risiko-Bericht.
Der Bericht:
Der Bericht beschreibt die Sicherheitssituation Ihres Unternehmens. Er unterbreitet Ihnen Empfehlungen und nennt die Industriestandards für die wichtigsten Bereiche der IT-Infrastruktur, der Anwendungen, sowie für deren Betrieb und Organisation. Darüber hinaus enthält der Bericht Links zu Ressourcen, mit denen Sie Ihre Betriebsumgebung noch sicherer machen können.
Das Tool:
Das Microsoft Tool zur IT-Risiko-Selbsteinschätzung steht in mehreren Sprachen zur Verfügung. Unter anderem in Deutsch und Englisch.
Hier können Sie das Tool herunterladen: https://www.securityguidance.com/
