Informationssicherheit
Governance & Strategie
Wirksame Informationssicherheit ist kein Produkt, das man einfach kaufen kann. Sie ist eine Governance-Disziplin, die aufgebaut werden muss: strukturiert, dokumentiert, auf Ihre Geschäftsziele und Ihr regulatorisches Umfeld ausgerichtet und auf jeder Ebene messbar.
Ob Sie die Verantwortlichkeiten für Cybersicherheit auf Stufe Verwaltungsrat verankern, sich auf die ISO-27001-Zertifizierung vorbereiten, die Anforderungen des revidierten Datenschutzgesetzes erfüllen oder eine geprüfte Resilienz gegenüber Betriebsstörungen aufbauen möchten: Unser Governance- und Strategie-Team liefert Ergebnisse, die revisionssicher, geschäftsorientiert und auf den Schweizer regulatorischen Kontext ausgelegt sind.
Herausforderungen
Diese Governance Lücken gefährden Schweizer Unternehmen
Den meisten Unternehmen fehlt es nicht an Bewusstsein für Cybersicherheit. Es fehlen jedoch die Governance-Strukturen, die dokumentierte Verantwortlichkeit und die geprüften Prozesse, die dieses Bewusstsein in ein verteidigungsfähiges und revisionssicheres Sicherheitsprogramm überführen würden. Bei FINMA-regulierten Finanzinstituten, im Gesundheitswesen und bei Betreibern kritischer Infrastrukturen in der Schweiz hat diese Lücke direkte regulatorische und finanzielle Folgen.
Die häufigsten Situationen, mit denen wir konfrontiert werden, sind:
- Kein formell ernannter CISO oder keine dokumentierte Sicherheitsstrategie auf Geschäftsleitungsebene,
- Fehlendes Engagement und mangelnde Unterstützung durch Geschäftsleitung und Verwaltungsrat,
- Kein strukturiertes Informationssicherheitsprogramm, d. h. kein etablierter Fahrplan,
- Veraltete oder unvollständige Informationssicherheitsrichtlinien, die einer Prüfung nicht standhalten,
- Eine von Kunden, Partnern oder Aufsichtsbehörden geforderte ISO-27001-Zertifizierung ohne Umsetzungsplan,
- Offene Pflichten aus dem revidierten Datenschutzgesetz, das seit September 2023 in Kraft ist,
- Kein geprüfter Business-Continuity-Plan oder Disaster-Recovery-Plan trotz Vorgaben aus dem FINMA-Rundschreiben 2023/1 oder DORA,
- Keine strukturierte Fähigkeit zur Krisenbewältigung und kein Nachweis von Simulationen oder Tests.
Leistungen
Sieben Services. Ein integriertes Governance Framework.
Unsere Governance- und Strategiepraxis deckt das gesamte Spektrum der Anforderungen an Informationssicherheits-Governance ab. Jeder Service kann einzeln genutzt oder zu einem umfassenden Governance-Programm kombiniert werden.
CISO as a Service
Strategische Cybersicherheitsführung in Vollzeit, auf Interimsbasis oder virtuell. Wir übernehmen die Sicherheitsausrichtung, die Risikoaufsicht und das Reporting auf Geschäftsleitungsebene und stimmen diese auf Ihren regulatorischen Kontext und Ihre geschäftlichen Prioritäten ab.
Wichtigstes Ergebnis: eine definierte Sicherheitsstrategie, ein Governance-Framework und ein dokumentiertes Risikomanagementprogramm.
DPO as a Service
Wir stellen einen unabhängigen externen Datenschutzbeauftragten für Schweizer Unternehmen, die dem revidierten Datenschutzgesetz und der DSGVO unterstehen. Unser interdisziplinäres Team aus technischen und rechtlichen Beraterinnen und Beratern handelt unparteilich und ohne Interessenkonflikte.
Das wichtigste Ergebnis ist eine vollständige Compliance mit dem revidierten Datenschutzgesetz und der DSGVO, ein dokumentiertes Verzeichnis der Verarbeitungstätigkeiten und ein geprüfter Prozess zur Reaktion auf Datenschutzverletzungen.
GAP-Analyse
Wir beurteilen Ihre Sicherheitslage anhand von ISO 27002, NIST CSF, SWIFT, TISAX, CIS oder acht weiteren Frameworks. Sie erhalten evidenzbasierte Feststellungen, Reifegradbewertungen und priorisierte Empfehlungen.
Das wichtigste Ergebnis ist ein objektiver Vergleichsmaßstab für Ihre Compliance-Lage und ein klarer, priorisierter Massnahmenplan.
Risk Assessment
Eine methodisch fundierte Bewertung Ihrer Informationssicherheitsrisiken. Wir identifizieren Bedrohungsszenarien, beurteilen deren Wahrscheinlichkeit und geschäftliche Auswirkung und erstellen ein priorisiertes Risikoregister mit Behandlungsoptionen.
Wichtigstes Ergebnis: ein dokumentiertes Risikoregister, ein Risikobehandlungsplan und eine Risikokommunikation auf Geschäftsleitungsebene.
ISMS-Einführung
Wir begleiten Sie umfassend bei der Einführung von ISO 27001: von der ersten GAP-Analyse über die Dokumentation und Risikointegration bis hin zur Sensibilisierung der Mitarbeitenden und der Vorbereitung auf das Zertifizierungsaudit.
Wichtigstes Ergebnis: ein revisionssicheres ISMS, eine vollständige Pflichtdokumentation und die Bereitschaft für die ISO-27001-Zertifizierung.
Business Continuity und Operational Resiliency
Entwicklung von BIA, BCP und DRP in Übereinstimmung mit ISO 22301, dem FINMA-Rundschreiben 2023/1 und DORA. Wir definieren RTO- und RPO-Ziele, die zu Ihrem Geschäft passen, dokumentieren Wiederherstellungsverfahren und validieren die Pläne durch Übungen.
Das wichtigste Ergebnis ist eine geprüfte Business-Continuity-Fähigkeit und eine regulatorisch konforme Resilienzdokumentation.
Krisenmanagement
Wir bieten eine strukturierte Dokumentation für die Krisenbewältigung, schulen das Krisenteam und führen halb- oder ganztägige Simulationsübungen mit einer formalen RETEX-Auswertung durch. Unsere Lösungen sind für den realen Einsatz unter Druck entwickelt worden – nicht für die Schublade.
Das wichtigste Ergebnis ist ein geschultes Krisenteam, geprüfte Abläufe und ein dokumentierter Verbesserungsplan.
«Wir arbeiten seit mehreren Jahren mit diesem Partner zusammen, insbesondere mit Frédéric Noyer, in den Bereichen CISO und Daten-Governance – in einer Beziehung, die auf echtem Vertrauen basiert. Die Begleitung zeichnet sich durch ein hohes Mass an Professionalität, aufmerksames Zuhören und eine ausgeprägte Fähigkeit aus, sich auf unsere spezifischen Herausforderungen einzustellen. Dank ihrer Expertise konnten wir ein robustes, wertschöpfungsstarkes ISMS für unsere Organisation aufbauen und langfristig weiterentwickeln.»
Nächster Schritt
Vereinbaren Sie eine Governance-Beratung
Sie sind sich nicht sicher, welcher Service zu Ihrer Situation passt? Wir bieten ein erstes Beratungsgespräch an, um Ihre wichtigsten Prioritäten zu ermitteln, die geltenden regulatorischen Anforderungen gemäss revidiertem Datenschutzgesetz, FINMA, ISO 27001 oder DORA zu erfassen und einen praktischen Weg nach vorne aufzuzeigen.