Search

Your search keyword '"CISO"' showing total 5 results
Start Over Descriptor "CISO" Language german
5 results on '"CISO"'

3. Target Group-Oriented Segmentation of Security Assessment Reports

Author

Daxbacher, David

Subjects
Information System Owner, Information Security, Topmanagement, CISO, System Engineer, Security Assessment, Security Assessment Bericht, Informationssicherheit, Security Assessment Report
Abstract

Diese Masterarbeit beschäftigt sich mit der Aufbereitung von Security Assessment Berichten für verschiedene Zielgruppen. Diverse Best Practices, wie beispielsweise der Penetration Testing Execution Standard oder der OWASP Testing Guide, bieten für die Erstellung eines solchen Berichts nur eine Vorlage an, in der lediglich das Management und die Techniker*innen berücksichtigt werden. Mit dieser wissenschaftlichen Arbeit wird untersucht, ob die Erstellung eines einzigen Abschlussberichts, mit einer strikten Trennung des Inhalts für das Management und die Techniker*innen, tatsächlich ausreichend ist oder ob es mehrere Zielgruppen zu berücksichtigen gilt, wodurch mehrere Berichte mit einer jeweils individuell angepassten Struktur sinnvoll wären. Dazu werden sämtliche Akteur*innen aus dem Bereich der Informationssicherheit identifiziert und in einem weiteren Schritt nur jene selektiert, für die der Empfang eines Security Assessment Berichts von Relevanz ist. Die verbleibenden Akteur*innen werden schließlich auf Basis einer Literaturrecherche näher auf ihre Aufgaben, Rollen, Verantwortlichkeiten etc. untersucht und gegebenenfalls zusammengefasst. Dadurch ergeben sich vier Akteur*innen, die sich aus dem Topmanagement (vertretend für CEO, CIO und CFO), dem CISO (Repräsentant für sämtliche Personen mit Sicherheitsaufgaben), dem Information System Owner und dem System Engineer zusammensetzen. Für die spätere individuelle Aufbereitung von Security Assessment Berichten werden zunächst konkrete Vorlagen von Best Practices betrachtet. Die Empfehlungen dieser verschiedenen Ansätze werden in einem einzigen Abschlussbericht zusammengeführt, der als weitere Ausgangsbasis dient. Für jede*n Akteur*in wird auf Basis der Informationen durch die Literaturrecherche im Anschluss die optimale Struktur eines Security Assessment Berichts ausgearbeitet. Diese finden als Hypothesen in der Empirie Verwendung. Die Richtigkeit dieser Hypothesen wurde mithilfe einer quantitativen Umfrage, die 42 Fachexpert*innen umfasst, überprüft. Die Aufgabe der Fachexpert*innen lag darin, die präsentierten Annahmen kritisch zu hinterfragen und gegebenenfalls zu korrigieren. Die Ergebnisse der Umfrage zeigen, dass ein einziger Security Assessment Bericht, in welchem die Inhalte für das Management und die Techniker*innen strikt getrennt werden, nicht ausreichend ist. Für die System Engineers sind nicht nur die detaillierten Ergebnisse zur Behebung der Schwachstellen von Bedeutung, sondern auch einige Unterkapitel aus der Zusammenfassung und den organisatorischen Informationen. Die detaillierten Ergebnisse haben zwar keinerlei Relevanz für das Topmanagement, dafür werden die organisatorischen Informationen zur Gänze benötigt. Der CISO hingegen ist sowohl an der kompletten Zusammenfassung, sämtlichen organisatorischen Informationen als auch am Großteil der detaillierten Ergebnisse interessiert. Der Information System Owner wiederum zieht den größten Nutzen aus den Ergebnissen, welche die unter seiner Obhut stehenden Systeme betreffen. Das Endresultat sind verschiedene Security Assessment Berichte, mit welchen klar ersichtlich wird, dass es mehrere Zielgruppen zu berücksichtigen gilt und damit eine individuelle Aufbereitung sinnvoll ist. This master thesis deals with the creation of security assessment reports for different target groups. Various best practices, such as the Penetration Testing Execution Standard or the OWASP Testing Guide, offer only one template for the creation of such a report, in which only management and technicians are taken into account. This scientific thesis examines whether the production of a single final report, with a strict separation of the content for management and technicians, is actually sufficient or whether several target groups need to be considered, which would result in several reports, each with its own customized structure. For this purpose, all actors in the field of information security are identified and in a subsequent step only those are selected for whom the recipience of a security assessment report is relevant. Finally, the remaining actors are examined more closely with regard to their tasks, roles, responsibilities, etc. on the basis of a literature search and combined in one actor if necessary. This results in four actors, consisting of the top management (representing the CEO, CIO and CFO), the CISO (representing all persons with security responsibilities), the information system owner and the system engineer. Specific templates of best practices are initially considered for the subsequent individual creation of security assessment reports. The recommendations of these different approaches will be merged into a single final report, which serves as a further starting point. The ideal structure of a security assessment report is then created for each actor based on the information provided by the literature search. These are used as hypotheses in empirical studies. The validity of these hypotheses was verified by means of a quantitative survey involving 42 experts. The task of the experts was to critically question the assumptions presented and correct them if necessary. The results of the survey show that a single security assessment report, in which the contents are strictly separated for management and technicians, is not sufficient. For system engineers, not only the detailed results to remedy the vulnerabilities are important, but also some sub-chapters from the summary and the organizational information. Although the detailed results are not relevant for the top management, the organizational information is required in its entirety. The CISO, on the other hand, is interested in the complete summary, all organizational information and most of the detailed results. The information system owner derives the greatest benefit from the results concerning the systems under his care. The end result is a number of different security assessment reports, showing clearly that there are several target groups to be considered and therefore an individual creation of the reports is appropriate. Abweichender Titel laut Übersetzung der Verfasserin/des Verfassers Arbeit an der Bibliothek noch nicht eingelangt - Daten nicht geprüft Wien, FH Campus Wien, Masterarb., 2020

Published
2020

4. Profikurs Sicherheit von Web-Servern:Ein praxisorientiertes Handbuch — Grundlagen, Aufbau und Architektur — Schwachstellen und Hintertüren — Konkrete Praxisbeispiele realisiert unter Windows und Unix/Linux

Author

Hockmann, Volker and Knöll, Heinz-Dieter

Subjects
Vulnerab, Ils, Wirtschaftsinformatik, Computersicherheit, Hacking, Internt Information Services, Apache Webserver, Profikurs, Architektur/Aufbau, IT-Projektleiter, Security Officer, Sicherheitsbeauftragte, Sicherheit, CSO, Sicherheitslöcher, Chief Security Officer, KES, Security, Absicherung, CISO
Abstract

Wie einfach ist es, einen Web-Server zu hacken - aber wie einfach kann es auch sein, Web-Server effektiv zu schützen. Das Buch zeigt, wie es geht. Erfahren Sie alles, was Sie zur Realisierung und Absicherung von Web-Servern unter Windows- und Unix/Linux-Systemen benötigen. Behandelt werden der Apache und der Internet Information Server, installiert auf Windows und/oder Linux. Wo liegen die Schwachstellen und wie können diese effektiv beseitigt werden? Die Autoren liefern zuverlässiges Erfahrungswissen.

Published
2008
Full Text
View/download PDF

5. IT Security Risk Management als wichtiger Bestandteil der Unternehmensstrategie - Handlungsempfehlungen und Rahmenbedingungen für eine erfolgreiche Einführung

Author

Struck, Erik

Subjects
Risikomanagement, Risk Management, IT Security Risk Management, CISO, ISMS, IT Security, IT-Sicherheit
Abstract

IT Security Risiken sind auf dem Vormarsch und haben sich in den letzten Jahren zum Nr. 1 Risiko der Versicherungsunternehmen entwickelt. Die fortschreitende Digitalisierung, Vernet-zung und Globalisierung der Unternehmen beschleunigten diese Entwicklung weiter. Diese Ar-beit beschäftigt sich daher mit der Einführung eines IT Security Risk Managements, den nötigen Rahmenbedingungen, Voraussetzungen aber auch Herausforderungen im Betrieb. Um ein pra-xisnahes Bild zu erhalten wurden 7 Experteninterviews mit erfahrenen Security Verantwortlichen und ISO Auditoren durchgeführt. Nach der qualitativen Inhaltsanalyse der Interviews zeigte sich, dass es sehr pragmatische Ansätze gibt, ein Security Management zu betreiben, aber auch die ISO und normbasierte Ansätze, um hier den gesetzlichen Anforderungen gerecht zu werden. Als Voraussetzung war hier die Rolle der Geschäftsführung als Enabler sehr wichtig und dass es eine zentrale Organisation mit einen Verantwortlichen Risk Manager gibt, welcher Richtlinien erstellt, Prozesse definiert und eine Sicherheitsmanagement aufbaut. Als kritischer Punkt wurde auch der zunehmende Personalmangel beleuchtet, bei welchen Prozesse vereinfacht werden und man einen Best-of-Breed Ansatz verfolgt. Besonders empfohlen wurden Tools wie CRI-SAM, welche bei der Einführung aber auch dem Betrieb unterstützen. Die finanzielle und quanti-tative Bewertung von Risiken wurde als sehr kritisch betrachtet und ist in der Praxis oftmals sehr komplex. Helfen kann hier ein Enterprise Riskmanagement mit einheitlichen Vorgaben und viel Know-How., Erik Struck, Masterarbeit Universität Klagenfurt, Universitätslehrgang Business Manager/in 2022

Catalog

Books, media, physical & digital resources
See catalog results