Evaluation möglicher CIS Controls für das Datacenter der BU Managed Services der Bechtle Schweiz AG
Ein stetig wachsendes IT-Dienstleistungsunternehmen aus der Schweiz, möchte mit diesem Projekt für die Business Unit Managed Services, welche ihren Kunden Dienstleistungen und Services aus ihrem Schweizer Rechenzentrum anbietet, ihre Cybersecurity Massnahmen stärken.
Richner, Aldo, 2021
Art der Arbeit Bachelor Thesis
Auftraggebende Bechtle Schweiz AG
Betreuende Dozierende Löffler, Emanuel
Keywords Cybersecurity, IT-Sicherheit, Frameworks, Best-Practices, CIS, ISO/IEC27001, CIS Controls, Assessment
Views: 25
Aufgrund der stark zunehmenden Bedrohungslage sowie die sich ändernden Kundenanforderungen, hat der Auftraggeber die Notwendigkeit, Massnahmen im Bereich der Cybersecurity zu treffen, bereits erkannt. Aus diesem Anlass hat sie parallel und unabhängig der Umsetzung des ISO/IEC 27001 Standards, innerhalb dieser Bachelor Thesis den Auftrag erteilt, die 20 CIS Controls als zusätzliche Cybersecurity Massnahmen zu evaluieren. Das Ziel ist es, den aktuellen Stand der Cybersecurity Massnahmen aufzuzeigen und anschliessend eine Empfehlung mit den zu implementierenden CIS Controls abzugeben.
Gestartet wurde mit der Vorstellung der beiden Frameworks. Im zweiten Hauptteil wurde eine Kontextanalyse durchgeführt, welche den Rahmen für das Assessment der CIS Controls vorgibt. Mit dem Resultat des Assessments wurde anschliessend eine Priorisierung mit den zu empfehlenden, nicht implementierten CIS Controls erarbeitet. Parallel zum Assessment wurden Interviews mit Stakeholder geführt, um den Standpunkt der Organisation zum Thema Cybersecurity zu evaluieren. Zuletzt wurde das Zwischenfazit gezogen, wie die CIS Controls im Kontext der Business Unit die ISO/IEC 27001 erweitern können.
In dieser Arbeit wurden drei Lieferergebnisse für den Auftraggeber identifiziert und geliefert. Das erste Lieferergebnis ist der Standpunkt der aktuell eingesetzten Cybersecurity Massnahmen. Dem Auftraggeber wird dabei eine Übersicht geboten, welche Controls wie gut umgesetzt sind sowie ein Vergleich zum Industrie Durchschnitt. Das zweite Lieferergebnis ist der Standpunkt der Organisation zum Thema Cybersecurity. Darin enthalten ist das Fazit aus der Gegenüberstellung der Top Management Interviews mit der zu diesem Thema aktuell gefundenen Literatur. Das dritte Lieferergebnis ist der Actionplan. Dieser beinhaltet eine Priorisierung der nicht implementierten Controls. Mit Hilfe der Priorisierung wurden für den Auftraggeber drei verschiedene Sichten erstellt, die zur späteren Entscheidung, darüber welche Controls als nächstes implementiert werden sollen, unterstützen. Weitere Ergebnisse dieser Bachelor Thesis, welche dem Auftraggeber einen indirekten Mehrwert liefern, ist die umfangreiche Vorstellung der CIS Controls und ISO/IEC 27001 sowie die Beantwortung der Fragestellung, wie die CIS Controls im Kontext der BU Managed Services das ISO/IEC 27001 Framework erweitern können.
Studiengang: Wirtschaftsinformatik (Bachelor)
Vertraulichkeit: vertraulich