Ich erstelle aktuell mit Hilfe der SecureAware Software von Neupart eine komplexe Security Policy für einen Kunden. Dabei sind alle Schikanen enthalten, d.h. die Policy muss verschiedene Geschäftsbereiche mit komplett unterschiedlichen Sicherheitsanforderungen abdecken, es gibt Nutzer die unterschiedliche Bereiche der Policy sehen dürfen, andere Bereiche jedoch wieder nicht, wichtige Teile sind mit Betriebsvereinbarungen abgedeckt, Handlungsanweisungen sollen mit der Policy verknüpft werden … also das ganze Programm.
SecureAware erlaubt es, die Policy modular aus vielen kleinen Bausteinen aufzubauen und unterschiedliche Sichtweisen auf das Konzept zu erhalten. Beispielsweise gibt es mehrere Bereiche der Policy, die sich mit Passwort-Regelungen beschäftigen. Diese Bereiche befinden sich unangenehmerweise auch noch in verschiedenen Kapiteln. Wenn man da eine konsistente Policy erhalten will, muss man schon viel blättern. In SecureAware kann man nun die ganzen Bausteine, die sich mit Passwörtern beschäftigen, mit der Inhaltskategorie „Passwortpolicy“ verknüpfen und dann auf einen Blick alle Bausteine sehen, die sich mit Passwörtern beschäftigen. Selbstverständlich können Bausteine und Inhaltskategorien dabei frei erstellt und definiert werden.
Ein zweiter Vorteil ist, dass man einzelne Bausteine für unterschiedliche Benutzergruppen sichtbar oder unsichtbar machen kann. So gibt es jetzt eine Regelung für Benutzerpasswörter und eine Regelung für Administratorpasswörter. Die Regelung für die Administratorpasswörter bekommen normale Nutzer aber gar nicht angezeigt. Dadurch bleibt die Policy für diese Gruppe sehr klein und effizient, was wiederum die Chance erhöht, dass sie tatsächlich gelesen und verstanden wird.
Die in SecureAware enthaltenen Texte, überwiegendÜbersetzungen bzw. Anpassungen des ISO 27001 Standards helfen oft nur in einfachen Sicherheitskonzepten wirklich weiter. Entscheidend für mich ist jedoch die Fähigkeit von SecureAware, ein an die Anforderungen von Sicherheitskonzepten angepasstes Content Management System bereitzustellen. Die Möglichkeiten die sich geben sind wirklich gigantisch, weil man jeden Baustein einer Sicherheitskategorie, einer Inhaltskategorie und einer Zielgruppe zuordnen kann. Die vordefinierten Texte und Kategorien geben jedoch einen sehr guten Überblick der Fähigkeiten von SecureAware.
Zu den anderen Fähigkeiten von SecureAware, z.B. im Bereich Mitarbeiter-Awareness, Risikobewertung und Compliance demnächst mehr.
Fazit: Für die effiziente Erstellung und Verwaltung von Sicherheitskonzepten ist nach meiner Meinung SecureAware von Neupart die beste, aktuell auf dem Markt verfügbare Software, wenn man nicht selbst an die Programmierung Hand anlegen will.
Falls sich jemand für SecureAware und die Möglichkeiten (und Preise) interessiert, einfach eine kurze Mail schicken 🙂
Kommentare gesperrt wegen Spam
Comment by Christian — 7. Juni 2012 @ 06:53