IT-Sicherheit

Was ist IT-Sicherheit (Cybersecurity) eigentlich?

Cybersecurity ist der Schutz von mit dem Internet verbundenen Systemen wie IoT, NanoIoT, Hardware, Software und Daten vor Cyberbedrohungen. Eine starke Cybersicherheitsstrategie kann eine gute Sicherheitsposition gegen böswillige Angriffe bieten. Diese zielen darauf ab die Systeme und sensiblen Daten eines Unternehmens oder Benutzers zuzugreifen, sie zu ändern, zu löschen, zu zerstören oder zu erpressen. Cybersecurity ist auch von entscheidender Bedeutung, um Angriffe zu verhindern, die darauf abzielen, den Betrieb eines Systems oder Geräts zu deaktivieren oder zu stören.. Um ausgereifte Informationssicherheitsrichtlinien und -programme zu erstellen, wenden sich versierte Unternehmen an ITsyshaus, um Hilfe zu erhalten.

Wir bieten Ihnen ein umfassendes Spektrum an Cyber Security Dienstleistungen und Lösungen, mit denen unsere Kunden ihre Strategie definieren, Bedrohungen und Risiken erkennen und die Betriebsbereitschaft sicherstellen können.

IT-Sicherheitsdienste

Unsere Cybersecuirtydienste erstrecken sich über den gesamten Bereich der Informationssicherheit. Unsere IT-Sicherheits- und Informationssicherheitsberatungsdienste umfassen:

  • Sicherheitsprogramm Strategie zur Planung, Erstellung und Durchführung wirksamer Sicherheitsprogramme
  • Sicherheitsarchitektur und -implementierung in komplexen Umgebungen
  • Unternehmensrisiko- und IT-Compliance-Strategien zur Entwicklung einer sichereren und widerstandsfähigeren Organisation
  • Bildung und Bewusstsein, um menschliches Verhalten anzusprechen, das die IT Sicherheit verbessern und Risiken reduzieren kann
  • Vulnerability Management, einschließlich einer Sicherheitsrisikoabschätzung , um Bedrohungen und Schwachstellen zum nutzen der eigenen IT Sicherheit aufzudecken und zu beheben
  • Identität- und Zugriffs-Management zur Entwicklung von Technologien, die zur Steigerung der Geschäftstätigkeit beitragen und gleichzeitig das Risiko reduzieren
  • Enterprise Incident Management-Services, um bei einem Vorfall von der Krise zur Kontinuität zu gelangen
  • Managed Security Services, bei denen unsere Experten als Erweiterung Ihres Teams dienen, um Abwehrmaßnahmen und Sicherheitsreaktionen zu verbessern

Warum ist Cybersecurity wichtig?


Mit einer steigenden Anzahl von Benutzern, Geräten und Programmen in modernen Unternehmen und der zunehmenden Datenflut – von denen viele sensibel oder vertraulich sind – nimmt die Bedeutung der Cybersecurity weiter zu. Das wachsende Volumen und die Komplexität von Cyber-Angreifern und Angriffstechniken verschlimmern das Problem noch weiter.

Was sind die Elemente der Cybersicherheit und wie funktioniert sie?
Der Bereich Cybersecurity lässt sich in verschiedene Bereiche unterteilen, deren Koordination innerhalb der Organisation entscheidend für den Erfolg eines Cybersicherheitsprogramms ist.

Häufige Cyberbedrohungen

Welche verschiedenen Arten von Cybersicherheitsbedrohungen gibt es?

Der Prozess, mit neuen Technologien, Sicherheitstrends und Bedrohungsinformationen Schritt zu halten, ist eine anspruchsvolle Aufgabe. Es ist notwendig, um Informationen und andere Vermögenswerte vor Cyberbedrohungen zu schützen, die viele Formen annehmen. Zu den Arten von Cyberbedrohungen gehören:

  • Malware ist eine Form von bösartiger Software. Jede Datei oder jedes Programm kann verwendet werden um einem Computerbenutzer Schaden zuzufügen. Dazu gehören Würmer, Viren, Trojaner und Spyware.
  • Ransomware ist eine andere Art von Malware. Dabei sperrt ein Angreifer die Computersystemdateien des Opfers – normalerweise durch Verschlüsselung – und verlangt eine Zahlung, um sie zu entschlüsseln und zu entsperren.
  • Social Engineering ist ein Angriff, der auf menschlicher Interaktion beruht. Dies wird angewandt um Benutzer dazu zu bringen, Sicherheitsverfahren zu brechen, um an sensible Informationen zu gelangen, die geschützt sind.
  • Phishing ist eine Form des Social Engineering, bei der betrügerische E-Mails oder Textnachrichten gesendet werden, die denen von seriösen oder bekannten Quellen ähneln. Die Absicht dieser Nachrichten ist es, häufig zufällige Angriffe durchzuführen, um sensible Daten wie Kreditkarten- oder Anmeldeinformationen zu stehlen.
  • Spear-Phishing ist eine Art von Phishing-Angriff, der einen beabsichtigten Zielbenutzer, eine Organisation oder ein Unternehmen hat.
  • Insider-Bedrohungen sind Sicherheitsverletzungen oder Verluste, die von Menschen verursacht werden – zum Beispiel von Mitarbeitern, Auftragnehmern oder Kunden. Insider-Bedrohungen können bösartiger oder fahrlässiger Natur sein.
  • Distributed-Denial-of-Service- Angriffe (DDoS) sind Angriffe, bei denen mehrere Systeme den Datenverkehr eines Zielsystems, beispielsweise eines Servers, einer Website oder einer anderen Netzwerkressource, unterbrechen. Durch das Überfluten des Ziels mit Nachrichten, Verbindungsanfragen oder Paketen können die Angreifer das System verlangsamen oder zum Absturz bringen und so verhindern, dass es von legitimem Datenverkehr verwendet wird.
  • Advanced Persistent Threats (APTs) sind lang anhaltende gezielte Angriffe, bei denen ein Angreifer ein Netzwerk infiltriert und für längere Zeit unentdeckt bleibt, um Daten zu stehlen.
  • Man-in-the-Middle (MitM) -Angriffe sind Lauschangriffe, bei denen ein Angreifer Nachrichten abfängt und zwischen zwei Parteien weiterleitet, die glauben, dass sie miteinander kommunizieren.

Andere häufige Angriffe sind Botnets, Drive-by-Download-Angriffe, Exploit-Kits, Malvertising, Vishing, Credential Stuffing-Angriffe, Cross-Site-Scripting (XSS) -Angriffe, SQL-Injection-Angriffe, Business-E-Mail-Kompromittierung (BEC) und Zero-Day-Exploits.

Was ist Social Engineering?

Social Engineering ist der Begriff, der für eine breite Palette bösartiger Aktivitäten verwendet wird, die durch menschliche Interaktionen ausgeführt werden. Es nutzt psychologische Manipulation, um Benutzer dazu zu bringen, Sicherheitsfehler zu machen oder sensible Informationen preiszugeben.

Social Engineering Angriffe erfolgen in einem oder mehreren Schritten. Ein Täter untersucht zunächst das beabsichtigte Opfer, um notwendige Hintergrundinformationen wie potenzielle Eintrittspunkte und schwache Sicherheitsprotokolle zu sammeln, die für die weitere Durchführung des Angriffs erforderlich sind.

Was Social Engineering besonders gefährlich macht, ist, dass es auf menschlichem Versagen beruht und nicht auf Schwachstellen in Software und Betriebssystemen. Fehler, die von legitimen Benutzern gemacht werden, sind viel weniger vorhersehbar, was es schwieriger macht, sie zu identifizieren und zu vereiteln als ein Malware-basierter Angriff.

Social Engineering Angriffstechniken

Social Engineering Angriffe gibt es in vielen verschiedenen Formen und können überall dort durchgeführt werden, wo menschliche Interaktion beteiligt ist. Im Folgenden sind die fünf häufigsten Formen von digitalen Social Engineering Angriffen aufgeführt.

Baiting

Wie der Name schon sagt, verwenden Köderangriffe ein falsches Versprechen, um die Gier oder Neugierde eines Opfers zu wecken. Sie locken Benutzer in eine Falle, die ihre persönlichen Daten stiehlt oder ihre Systeme mit Malware verseucht.

Die am meisten geschmähte Form der Köder verwendet physische Medien, um Malware zu verbreiten. Beispielsweise hinterlassen Angreifer den Köder – typischerweise mit Malware infizierte Flash-Laufwerke – in auffälligen Bereichen, in denen potenzielle Opfer sie mit Sicherheit sehen werden (z. B. Toiletten, Aufzüge, der Parkplatz eines anvisierten Unternehmens). Der Köder hat ein authentisches Aussehen, wie ein Etikett, das ihn als Gehaltsliste des Unternehmens präsentiert.

Die Opfer nehmen den Köder aus Neugier und legen ihn in einen Arbeits- oder Heimcomputer ein, was zu einer automatischen Installation von Malware auf dem System führt.

Köderbetrug muss nicht unbedingt in der physischen Welt durchgeführt werden. Online-Formen der Hetze bestehen aus verlockenden Anzeigen, die zu bösartigen Websites führen oder die Benutzer dazu ermutigen, eine mit Malware infizierte Anwendung herunterzuladen.

Scareware

Bei Scareware werden die Opfer mit Fehlalarmen und fiktiven Drohungen bombardiert. Benutzer werden getäuscht, wenn sie glauben ihr System sei mit Malware infiziert, und sie werden aufgefordert Software zu installieren die keinen wirklichen Nutzen hat außer für den Täter. Scareware wird auch als Täuschungssoftware, betrügerische Scannersoftware bezeichnet.

Ein gängiges Scareware-Beispiel sind die legitim aussehenden Popup-Banner, die beim Surfen im Internet in Ihrem Browser erscheinen und Text wie „Ihr Computer ist möglicherweise mit schädlichen Spyware-Programmen infiziert“ anzeigen. Es bietet entweder die Installation des Tools (oft Malware-infiziert) für Sie an oder leitet Sie zu einer bösartigen Website weiter, auf der Ihr Computer infiziert wird.

Scareware wird auch über Spam-E-Mails verbreitet, die gefälschte Warnungen ausgeben oder Benutzern anbieten, wertlose/schädliche Dienste zu kaufen.

Vorwand

Hier erhält ein Angreifer Informationen durch eine Reihe von ausgeklügelten Lügen. Der Betrug wird oft von einem Täter initiiert, der vorgibt, sensible Informationen von einem Opfer zu benötigen, um eine kritische Aufgabe auszuführen. Der Angreifer beginnt in der Regel damit, Vertrauen zu seinem Opfer aufzubauen, indem er sich als Mitarbeiter, Polizei-, Bank- und Steuerbeamte oder andere Personen mit dem Recht auf Kenntnisnahme ausgibt. Der Vorwand stellt Fragen, die angeblich erforderlich sind, um die Identität des Opfers zu bestätigen, wodurch wichtige personenbezogene Daten gesammelt werden.

Phishing

Als eine der beliebtesten Arten von Social Engineering Angriffen sind Phishing- Betrug E-Mail- und SMS-Kampagnen, die darauf abzielen, bei den Opfern ein Gefühl der Dringlichkeit, Neugier oder Angst zu erzeugen. Anschließend werden sie dazu angehalten, sensible Informationen preiszugeben, auf Links zu bösartigen Websites zu klicken oder Anhänge zu öffnen, die Malware enthalten.

Ein Beispiel ist eine an Benutzer eines Onlinedienstes gesendete E-Mail, die sie auf einen Richtlinienverstoß aufmerksam macht, der sofortiges Handeln erfordert, wie z. B. eine erforderliche Kennwortänderung. Es enthält einen Link zu einer unrechtmäßigen Website – die im Aussehen fast identisch mit ihrer legitimen Version ist – und fordert den ahnungslosen Benutzer auf, seine aktuellen Zugangsdaten und ein neues Passwort einzugeben. Nach dem Absenden des Formulars werden die Informationen an den Angreifer gesendet.

Da in Phishing-Kampagnen identische oder nahezu identische Nachrichten an alle Benutzer gesendet werden, ist es für Mailserver mit Zugriff auf Plattformen zum Teilen von Bedrohungen viel einfacher, sie zu erkennen und zu blockieren.

Speerfischen

Dies ist eine gezieltere Version des Phishing-Betrugs, bei dem ein Angreifer bestimmte Einzelpersonen oder Unternehmen auswählt. Dann passen sie ihre Botschaften auf der Grundlage von Merkmalen, Arbeitspositionen und Kontakten ihrer Opfer an, um ihren Angriff weniger auffällig zu machen. Spear-Phishing erfordert vom Täter viel mehr Aufwand und kann Wochen und Monate dauern. Sie sind viel schwieriger zu erkennen und haben bessere Erfolgsraten, wenn sie geschickt durchgeführt werden.

An einem Spear-Phishing-Szenario kann ein Angreifer beteiligt sein, der sich als IT-Berater eines Unternehmens ausgibt und eine E-Mail an einen oder mehrere Mitarbeiter sendet. Es ist genau so formuliert und signiert, wie es der Berater normalerweise tut, und täuscht die Empfänger so, dass es sich um eine authentische Botschaft handelt. Die Nachricht fordert die Empfänger auf, ihr Kennwort zu ändern, und stellt ihnen einen Link zur Verfügung, der sie auf eine schädliche Seite umleitet, auf der der Angreifer nun seine Anmeldeinformationen erfasst.

Social Engineering-Prävention

Sozialingenieure manipulieren menschliche Gefühle wie Neugier oder Angst, um Pläne auszuführen und Opfer in ihre Fallen zu ziehen. Seien Sie daher vorsichtig, wenn Sie sich von einer E-Mail beunruhigt fühlen, von einem Angebot auf einer Website angezogen werden oder wenn Sie auf verirrte digitale Medien stoßen. Aufmerksam zu sein kann Ihnen dabei helfen, sich vor den meisten Social Engineering Angriffen im digitalen Bereich zu schützen.

Darüber hinaus können die folgenden Tipps dazu beitragen, Ihre Wachsamkeit in Bezug auf Social Engineering Hacks zu verbessern.

  • Öffnen Sie keine E-Mails und Anhänge von verdächtigen Quellen – Wenn Sie den betreffenden Absender nicht kennen, brauchen Sie keine E-Mail zu beantworten. Auch wenn Sie sie kennen und misstrauisch sind, überprüfen und bestätigen Sie die Nachrichten aus anderen Quellen, z. B. per Telefon oder direkt von der Website eines Diensteanbieters. Denken Sie daran, dass E-Mail-Adressen ständig gefälscht werden. sogar eine E-Mail, die angeblich von einer vertrauenswürdigen Quelle stammt, kann tatsächlich von einem Angreifer initiiert worden sein.
  • Verwenden Sie die Multifaktor-Authentifizierung – Eine der wertvollsten Informationen, nach der Angreifer suchen, sind Benutzeranmeldeinformationen. Die Verwendung der Multifaktor-Authentifizierung trägt dazu bei, den Schutz Ihres Kontos im Falle einer Systemkompromittierung sicherzustellen. Imperva Login Protect ist eine einfach zu implementierende 2FA-Lösung, die die Kontosicherheit für Ihre Anwendungen erhöhen kann.
  • Seien Sie vorsichtig bei verlockenden Angeboten – Wenn ein Angebot zu verlockend klingt, überlegen Sie es sich zweimal, bevor Sie es als Tatsache akzeptieren. Wenn Sie das Thema googeln, können Sie schnell feststellen, ob es sich um ein legitimes Angebot oder eine Falle handelt.
  • Halten Sie Ihre Antiviren-/Antimalware-Software auf dem neuesten Stand – Stellen Sie sicher, dass automatische Updates aktiviert sind, oder machen Sie es sich zur Gewohnheit, jeden Tag als erstes die neuesten Signaturen herunterzuladen. Überprüfen Sie regelmäßig, ob die Updates installiert wurden, und scannen Sie Ihr System auf mögliche Infektionen.

Was ist eine Cybersecurity Mesh Architecture (CSMA)?

Es gibt einzelne Sicherheitslösungen mit dem Ziel ein, bestimmte Sicherheitsrisiken zu verhindern. CSMA ist Konzept, das dir dabei helfen soll, isolierte Sicherheit zu einem flexibleren System zu vereinigen. CSMA wurde entwickelt, um Sicherheit modularer und skalierbarer zu gestalten und über die Schichten zusammenzuarbeiten. Es eignet sich gut für Multi-Cloud-Umgebungen, in denen du möglicherweise konsistente Sicherheit in expandierenden IT-Umgebungen bereitstellen solltest.

CSMA definiert vier Schichten

Security Analytics & Intelligence: Sammeln, Aggregieren & Analysieren von Sicherheitsdaten

Mit diesen Daten werden dann Security Information and Event Management (SIEM) und Security Orchestration Automation and Response (SOAR)-Tools beliefert um potenzielle Bedrohungen analysieren und geeignete Bedrohungsreaktionen auslösen zu können.

Distributed Identity Fabric: Identitäts- und Zugriffsverwaltungsdiensten & Zero-Trust-Sicherheit

Eine dezentralisierte Identitätsverwaltung, Verzeichnisdienste, Identitätsprüfung, Berechtigungsverwaltung oder adaptiver Zugriff werden dadurch übersichtlich verwaltbar.

Konsolidierte Richtlinien- und Posture-Verwaltung: Konsistenter Sicherheitsrichtlinien

Richtlinien in die Regeln werden in Konfigurationen gespeichert und können dynamische Laufzeitautorisierungsdienste bereitstellen und auf neue Systeme schnell übertragen werden.

Dashboards: Für Einblick und Übersicht in die gesamte Sicherheitsarchitektur

Verschiedene Dashboards ermöglichen eine effizientere Erkennung, Untersuchung und Reaktion auf relevante Sicherheitsfälle.

Damit Ihr System stabil und Ausfallsicher bleibt und frei von Schadsoftware wie Trojanern, Malware oder anderen unterwünschten Vorgängen bleibt, fokussieren wir uns auf bei der Beratung um Umsetzung von IT-Sicherheitslösungen auf folgende 4 dargestellten Bereiche:

ITsys.haus IT-Sicherheit

Machine Learning für eine effektivere Analyse

Machine Learning automatisiert den gesamten Datenanalyse-Workflow, um tiefere, schnellere und umfassendere Erkenntnisse zu gewinnen.

Wie das funktioniert? Maschinelles Lernen ist eine Teilmenge der KI, die Algorithmen nutzt, um riesige Datenmengen zu analysieren.

Diese Algorithmen arbeiten ohne menschliche Voreingenommenheit oder Zeitbeschränkungen und berechnen jede Datenkombination, um die Daten ganzheitlich zu verstehen. Darüber hinaus versteht Machine Learning Analytics die Grenzen wichtiger Informationen.

Jeder technologiegetriebene Geschäftsprozess ist Sicherheits- und Datenschutzbedrohungen ausgesetzt. Ausgereifte Technologien sind in der Lage, Cybersicherheitsangriffe abzuwehren, aber diese reichen nicht aus: Unternehmen müssen sicherstellen, dass Geschäftsprozesse, Richtlinien und das Verhalten der Mitarbeiter diese Risiken minimieren oder mindern.

Da dieser Weg weder einfach noch klar ist, setzen Unternehmen Frameworks ein, die zu Empfohlenen Vorgehensweisen zu Gunsten der IT Sicherheit führen. Hier kommen IT Security Management Systeme ins Spiel.


Was ist ein IT Security Management System?

Ein IT Security Management System ist ein Rahmen von Richtlinien und Kontrollen, die Sicherheit und Risiken systematisch und im gesamten Unternehmen verwalten. Diese Sicherheitskontrollen können gängigen Sicherheitsstandards folgen oder stärker auf Ihre Branche ausgerichtet sein.

Der Rahmen für IT Security Management Systeme konzentriert sich normalerweise auf die Risikobewertung und das Risikomanagement. Betrachten Sie es als einen strukturierten Ansatz für den ausgewogenen Kompromiss zwischen Risikominderung und den entstandenen Kosten.

Unternehmen, die in streng regulierten Branchen wie dem Gesundheitswesen oder dem Finanzwesen tätig sind, benötigen möglicherweise ein breites Spektrum an Sicherheitsaktivitäten und Strategien zur Risikominderung.

Kontinuierliche Verbesserung der Informationssicherheit

Während IT Security Management Systeme darauf ausgelegt sind, ganzheitliche Funktionen für das Informationssicherheitsmanagement zu etablieren, erfordert die digitale Transformation von Unternehmen, dass sie ihre Sicherheitsrichtlinien und -kontrollen fortlaufend verbessern und weiterentwickeln.

Die von einem IT Security Management System definierten Strukturen und Grenzen gelten möglicherweise nur für einen begrenzten Zeitraum und die Belegschaft kann in der Anfangsphase Schwierigkeiten haben, sie zu übernehmen. Die Herausforderung für Unternehmen besteht darin, diese Sicherheitskontrollmechanismen zu entwickeln, wenn sich Risiken, Kultur und Ressourcen ändern:

IT Security Management System Sicherheitskontrollen

IT Security Management System Sicherheitskontrollen umfassen mehrere Domänen der Informationssicherheit. Der Katalog enthält praktische Leitlinien mit folgenden Zielen:

  • Richtlinien zur Informationssicherheit. Eine allgemeine Anleitung und Unterstützung helfen bei der Festlegung geeigneter Sicherheitsrichtlinien. Die Sicherheitsrichtlinie ist einzigartig für Ihr Unternehmen und wurde im Kontext Ihrer sich ändernden Geschäfts- und Sicherheitsanforderungen entwickelt.
  • Organisation der Informationssicherheit. Dies adressiert Bedrohungen und Risiken innerhalb des Unternehmensnetzwerks, einschließlich Cyberangriffe von externen Einheiten, interne Bedrohungen, Systemstörungen und Datenverlust.
  • Vermögensverwaltung. Diese Komponente deckt organisatorische Assets innerhalb und außerhalb des Unternehmens-IT-Netzwerks ab, die den Austausch sensibler Geschäftsinformationen beinhalten können.
  • Sicherheit der Humanressourcen. Richtlinien und Kontrollen in Bezug auf Ihr Personal, Ihre Aktivitäten und menschliche Fehler, einschließlich Maßnahmen zur Reduzierung des Risikos durch Insider-Bedrohungen und Mitarbeiterschulungen, um unbeabsichtigte Sicherheitslücken zu reduzieren.
  • Physische und Umweltsicherheit. Diese Richtlinien umfassen Sicherheitsmaßnahmen zum Schutz der physischen IT-Hardware vor Beschädigung, Verlust oder unbefugtem Zugriff. Während viele Unternehmen die Vorteile der digitalen Transformation nutzen und vertrauliche Informationen in sicheren Cloud-Netzwerken extern aufbewahren, muss die Sicherheit der physischen Geräte, die für den Zugriff auf diese Informationen verwendet werden, berücksichtigt werden.
  • Kommunikations- und Betriebsmanagement. Systeme müssen unter Beachtung und Wartung der Sicherheitsrichtlinien und -kontrollen betrieben werden. Der tägliche IT-Betrieb, wie die Bereitstellung von Diensten und das Problem Management, sollte den IT-Sicherheitsrichtlinien und IT Security Management System Kontrollen folgen.
  • Zugangskontrolle. Diese Richtliniendomäne befasst sich mit der Beschränkung des Zugriffs auf autorisiertes Personal und der Überwachung des Netzwerkverkehrs auf anormales Verhalten. Zugriffsberechtigungen beziehen sich sowohl auf digitale als auch auf physische Medien der Technologie. Die Rollen und Verantwortlichkeiten der einzelnen Personen sollten klar definiert sein und der Zugang zu Geschäftsinformationen nur bei Bedarf möglich sein.
  • Erwerb, Entwicklung und Wartung von Informationssystemen. Empfohlene Vorgehensweisen für die Sicherheit sollten während des gesamten Lebenszyklus des IT-Systems beibehalten werden, einschließlich der Phasen der Anschaffung, Entwicklung und Wartung.
  • Informationssicherheit und Incident Management. Identifizieren und lösen Sie IT-Probleme auf eine Weise, die die Auswirkungen auf die Endbenutzer minimiert. In komplexen Netzwerkinfrastrukturumgebungen können fortschrittliche Technologielösungen erforderlich sein, um aufschlussreiche Vorfalls Metriken zu identifizieren und potenzielle Probleme proaktiv zu mindern.
  • Wirtschaftskontinuitätsmanagement. Vermeiden Sie nach Möglichkeit Unterbrechungen von Geschäftsprozessen. Im Idealfall folgt auf jede Katastrophensituation sofort eine Wiederherstellung und Maßnahmen zur Schadensminimierung.
  • Einhaltung. Sicherheitsanforderungen müssen von den Aufsichtsbehörden durchgesetzt werden.
  • Kryptographie. Unter den wichtigsten und effektivsten Kontrollen zum Schutz sensibler Informationen ist es kein Allheilmittel für sich. Daher regeln IT Security Management Systeme, wie kryptografische Kontrollen durchgesetzt und verwaltet werden.
  • Lieferantenbeziehungen. Drittanbieter und Geschäftspartner benötigen möglicherweise Zugriff auf das Netzwerk und sensible Kundendaten. Bei einigen Lieferanten ist es möglicherweise nicht möglich, Sicherheitskontrollen durchzusetzen. Es sollten jedoch angemessene Kontrollen eingeführt werden, um potenzielle Risiken durch IT-Sicherheitsrichtlinien und vertragliche Verpflichtungen zu mindern.

Diese Komponenten bieten allgemeine empfohlene Vorgehensweisen. Obwohl diese von einem Framework zum anderen subtil variieren können, bietet die Berücksichtigung und Ausrichtung auf diese Domänen viel in Bezug auf die IT Sicherheit.