lockpoint
ENDEHR

Start / Leistungen / Clarity Assessment / Die Baseline

Methodik Veröffentlichte Maßstäbe, keine Tagesmeinung

Was „gut“ bedeutet, wenn wir es sagen.

Jede Bewertung in einem Clarity Assessment wird an etwas gemessen, das Sie nachschlagen können. Keine proprietäre Blackbox, kein Bauchgefühl. Diese Seite listet die Maßstäbe, die Hausregeln, die wir darauflegen, und wie aus beidem eine Prioritätsreihenfolge wird.

Die Maßstäbe

Sechs Messlatten, alle nachprüfbar.

KonfigurationÖffentlicher Standard

CIS Benchmarks

Der Konsens-Härtungsstandard für Betriebssysteme, Cloud-Plattformen und SaaS. Ihre AWS-, GCP-, Azure- und M365-Konfiguration wird Zeile für Zeile mit dem jeweiligen Benchmark verglichen – die Lücken werden aufgelistet, nicht zusammengefasst.

CloudEndpoints
GovernanceÖffentlicher Standard

ISO 27001 Annex A

Das Kontrollset hinter der weltweit meistverlangten Sicherheitszertifizierung. Wir bewerten, welche Kontrollen existieren, welche nur auf dem Papier existieren und welche fehlen – ein späteres Zertifizierungsprojekt startet damit aus einer bekannten Position.

KontrollenISMS
RegulatorikEU-Recht

DORA- & NIS2-Mappings

Sind Sie betroffen, werden Befunde auf die Artikel gemappt, die eine Aufsicht zitieren würde: IKT-Assetregister, Drittparteienregister, Bereitschaft zur Vorfallsmeldung. Das Assessment-Ergebnis ist so formatiert, dass es direkt als DORA-Register dient.

DORANIS2
ArchitekturVom Hersteller veröffentlicht

Hersteller-Referenzarchitekturen

AWS, Google und Microsoft veröffentlichen selbst, wie ihre Plattformen gebaut sein sollten. Wir messen Sie an der veröffentlichten Architektur des Herstellers, nicht am Bundle eines Resellers – was uns leichtfällt, weil wir keines davon verkaufen.

AWSGCPAzure / M365
BetriebLockpoint-Skala

Automatisierungsgrad

Unsere Hausskala für den Joiner-Mover-Leaver-Lebenszyklus und das Gerätemanagement, von Grad 0, alles von Hand, bis Grad 4, zero-touch. Die meisten Firmen, die wir prüfen, stehen bei 1. Die Skala ist unten veröffentlicht – ordnen Sie sich ein, bevor wir es tun.

SCIMMDMOffboarding
DesignLockpoint-Regeln

Prinzipien sauberen Designs

Die Regeln, die eine Umgebung erfüllen muss, bevor irgendjemand sie automatisieren oder zertifizieren sollte. Sie sind kurz, sie sind streng, und sie stehen weiter unten auf dieser Seite vollständig.

Hausregeln

Der Automatisierungsgrad

Woher kommt der Laptop eines neuen Mitarbeiters?

Eine Frage platziert die meisten Unternehmen auf dieser Leiter. Der Grad misst, wie viel des Identitäts- und Gerätelebenszyklus läuft, ohne dass ein Mensch klickt.

STUFE 0 von Hand, aus dem Kopf STUFE 1 dokumentiert, noch manuell STUFE 2 geskriptet, pro System STUFE 3 integriert: SCIM + MDM STUFE 4 zero-touch, aus HR-Daten die meisten geprüften Firmen das Zielband

„Wenn jemand geht: Wie lange dauert es, bis alle Zugänge entzogen sind? Grad 1 antwortet in Wochen. Grad 4 antwortet in Minuten – mit Protokoll.“

Schatten-IT

Die Tools, zu denen sich niemand bekennt, sind trotzdem Ihre Haftung.

Jede Umgebung hat Software, die die Finanzabteilung bezahlt und von der die IT nie gehört hat – oder die ein Team vor drei Jahren mit einer Kreditkarte eingeführt hat. Ein DDQ, der beantwortet wird, ohne sie zu finden, ist ein falsch beantworteter DDQ.

  • Wir gleichen drei Quellen ab: Anmeldedaten des Identity-Providers, Finanz- und Spesendaten und das, was Ihre Teams uns in Interviews sagen. Tools, die in einer Liste auftauchen, aber nicht in den anderen, sind der Befund.
  • Jeder Fund bekommt ein Urteil: ordentlich übernehmen (Verantwortlicher, SSO, Vertrag), durch etwas bereits Lizenziertes ersetzen oder kündigen. Kein Tool bleibt ohne Eigentümer.
  • Warum es über Ordnung hinaus zählt: Schatten-Tools halten Unternehmensdaten außerhalb Ihres Offboardings, Ihrer Backups und Ihrer DDQ-Antworten. Sie sind die Lücke zwischen dem, was Sie bestätigen, und dem, was wahr ist.

Prinzipien sauberen Designs

Die Hausregeln, die jede Zielarchitektur bestehen muss.

  • Jedes Tool hat eine Aufgabe und einen benannten Verantwortlichen. Zwei Tools mit derselben Aufgabe sind eine Entscheidung, die noch aussteht; wir treffen sie.
  • Zugang leitet sich aus HR-Daten ab, nicht aus dem Gedächtnis. Eintritte, Wechsel und Austritte ändern sich in einem System – alles andere folgt.
  • Nichts Privilegiertes ohne Protokoll. Admin-Rechte sind kontrolliert, zeitlich begrenzt und aufgezeichnet – unsere eingeschlossen.
  • Die Architektur passt auf eine Seite. Was sich nicht zeichnen lässt, lässt sich nicht verteidigen – im Audit wie im Vorfall.
  • Was Sie nicht erklären können, können Sie nicht bestätigen. Jede DDQ-Antwort muss auf ein System zurückführen, das jemand auf Ihrer Seite versteht.
  • Entfernen geht vor Hinzufügen. Ein Befund, der sich durch Löschen lösen lässt, wird durch Löschen gelöst.

Von der Bewertung zur Priorität

Die Rechnung ist einfach. Das Urteil ist das Produkt.

Jede Domäne bekommt aus den Maßstäben oben einen Ist-Grad und einen Ziel-Grad. Jede Lücke wird zu einem Befund mit zwei Eigenschaften: Exponierung – was es Sie kostet, wenn sie bleibt – und Aufwand – was es braucht, sie zu schließen. Hohe Exponierung bei geringem Aufwand kommt zuerst. Die schriftliche Begründung jeder Einstufung steht im Bericht, damit Ihr Team oder Ihr Vorstand uns in der Sache widersprechen kann.

Was wir bewusst nicht tun: gegen ein Rahmenwerk bewerten, das für Sie nicht gilt, die Befundliste aufblähen, um ein größeres Mandat zu rechtfertigen, oder danach sortieren, was für uns am profitabelsten zu beheben wäre. Die Baseline ist öffentlich, damit Sie uns daran festhalten können.

Nächster Schritt

Jetzt wissen Sie, was die Bewertung bedeutet. Holen Sie sich Ihre.

Das Clarity Assessment legt jeden Maßstab dieser Seite an Ihre Umgebung an. €4,000–6,000, fix, Ihres zum Behalten.

Assessment buchen Zurück zum Assessment