Prüfung und Beratung zum Reifegrad der Informationssicherheit für CGM

Unser Team bewertete die Informationssicherheit der Produkte eines globalen Unternehmens für medizinische Software und unterstützte es bei der Erstellung eines Rahmens für die Anwendungssicherheit auf der Grundlage von OWASP-Standards.
Kunde:
Führender Anbieter digitaler Lösungen für das Gesundheitswesen
Information security assessment of the products of a global medical software company

  • Geschäftsbedarf

    CompuGroup Medical (CGM) wollte sicherstellen, dass der Sicherheitsstatus seiner Anwendungen über alle Dienste hinweg auf einem hohen Niveau ist. Dazu mussten über 200 Dienste geprüft werden, sodass CGM einen Anbieter für Anwendungssicherheit suchte, der eine umfassende, aber schnelle Prüfung durchführen konnte.

  • Ergebnis

    Als Ergebnis unserer Bewertung der Anwendungssicherheit erhielt CGM ein Gesamtbild seiner Sicherheitslage und einen genauen Plan zur Verbesserung des Sicherheitsrahmens. Wir halfen unserem Kunden auch beim Aufbau eines transparenten Überwachungsprozesses auf der Grundlage benutzerdefinierter Echtzeit-Tools zur Sicherheitsverfolgung.

Quote background
Sigma Software hat uns dabei geholfen, Verbesserungspotenziale für unser Produktsicherheitskonzept zu identifizieren.
Jochen Klein
CISO
CGM

Zusammenarbeit im Überblick

Wichtige Fakten

CompuGroup Medical (CGM) bietet erstklassige medizinische Software für Gesundheitsunternehmen weltweit. Das Unternehmen war dabei, sein Angebot aktiv um weitere Dienste zu erweitern und wollte sicherstellen, dass ihre Informationssicherheit den höchsten Compliance-Standards entspricht.

Daher beauftragte CGM unser Team für IT-Sicherheitsberatung mit der Durchführung eines umfangreichen Audits, der Ermittlung von Verbesserungsmöglichkeiten und der Unterstützung bei der Erstellung eines Plans zur Optimierung der Sicherheit. Wir entwickelten für die Prüfung einen kundenspezifischen Ansatz, um sicherzustellen, dass der Prozess in den vom Kunden vorgegebenen Zeitrahmen passt.

  • Durchführung einer zweistufigen Bewertung der Anwendungssicherheit für 260 Dienste, ergänzt durch eine genaue Zusammenfassung der Ergebnisse und Vorschläge für die Integration bewährter Verfahren
  • Überprüfung des gesamten Rahmens für das Informationssicherheitsmanagement von CGM und Abgabe einer Reihe von Empfehlungen für dessen Weiterentwicklung
  • Einrichtung einer zuverlässigen Fähigkeit zur kontinuierlichen Überwachung des Informationssicherheitsstatus für alle Dienste und Märkte von CGM

Wir suchten nach einer prozess- und technologieunabhängigen Methodik, um verschiedene Dienste (API, App, Web, Desktop usw.) zu bewerten und den gesamten Entwicklungslebenszyklus abzudecken. Unsere Experten für Informationssicherheit wählten die Standards OWASP SAMM, DSOMM und ASVS, um maßgeschneiderte Bewertungskriterien für die einzelnen Dienste und technischen Sicherheitskontrollen festzulegen.

Da unser Team Hunderte von CGM-Diensten bewerten musste, entschieden wir uns für eine zweistufige Prüfung, um die Bearbeitungszeit zu verkürzen. Also haben wir 60 kritische Dienste, die mit sensiblen Daten zu tun hatten, gründlich überprüft und Fragebögen erstellt, um den Rest schnellstmöglich prüfen zu können.

  • Selbstbewertung der Beteiligten auf Grundlage der benutzerdefinierten Fragebögen und Anweisungen, die unsere Experten dem Team des Kunden während der Prüfung zur Verfügung stellen
  • Überprüfung und Analyse der Ergebnisse der Selbstbewertung, um Dienste zu priorisieren und diejenigen auszuwählen, die eine zusätzliche Inspektion erfordern
  • Persönliche Interviews und Prüfung von Nachweisen mit Beteiligten, um die Sicherheit priorisierter Dienste eingehender zu untersuchen
  • Analyse der Auditergebnisse zur Erstellung eines Berichts über den Reifegrad der Informationssicherheit, einschließlich der verbesserungswürdigen Bereiche und der Aktionspunkte zur Verfeinerung des Compliance-Managements für die Informationssicherheit sämtlicher Dienste

 

Als führendes Unternehmen für medizinische Software befasst sich CGM intensiv mit Informationssicherheit. Das Endziel der Sicherheitsprüfung und -beratung für Apps bestand also nicht nur darin, das Informationssicherheitsniveau jedes einzelnen Dienstes zu prüfen, sondern auch das gesamte Sicherheitskonzept zu optimieren.

Daher führten unsere Experten sowohl die Prüfung durch als auch die Einrichtung der erforderlichen Tools, um den IT-Sicherheitsmanagementrahmen des Kunden zu verbessern und CGM die fortlaufende Überwachung der Wirksamkeit seiner Initiativen zur Informationssicherheit zu ermöglichen.

  • Darstellung der wichtigsten Sicherheitsmetriken, die den Reifegrad der Informationssicherheit in allen CGM-Diensten aufzeigen
  • Entwicklung eines Power BI-Dashboards für die Echtzeit-Überwachung der Informationssicherheit, die Untersuchung historischer Daten und die Verfolgung neuer Sicherheitstrends
  • Erstellung einer Power App, die es den Verantwortlichen ermöglicht, den Sicherheitsstatus der Dienste schnell zu aktualisieren und die Dashboard-Indikatoren aktuell zu halten

Umfang und Dauer

9 FTE, April 2023 – September 2023

Highlights

Umfang und Dauer

9 FTE, April 2023 – September 2023

INDUSTRIE
LAND
LöSUNGEN
DIENSTE
TECHNOLOGIEN

Erfahrungsberichte

Trotz des engen Zeitplans konnte Sigma Software das Projekt aus technischer und organisatorischer Sicht perfekt managen. Die identifizierten Verbesserungspotenziale werden uns dabei helfen, unsere Sicherheitslage weiter zu stärken und die Daten unserer Kunden angemessen zu schützen.
Jochen Klein, CISO at CGM
Jochen Klein

CISO

CGM

Die Zusammenarbeit mit CGM war eine bereichernde, aber auch herausfordernde Erfahrung. Uns war klar, dass eine konventionelle Methode, bei der jeder Dienst nach denselben Kriterien geprüft wird, teuer, ineffizient und zeitaufwendig wäre. Daher haben wir uns für einen „smarten“ Ansatz entschieden, um mehr Effizienz und Mehrwert zu erzielen. So konnten wir das Bewusstsein für Informationssicherheit stärken, nach jeder Prüfung Verbesserungsschritte ermitteln und genaue Vorschläge für allgemeine Verbesserungen unterbreiten.
Liza Kopylova
Liza Kopylova

Hauptprojektleiterin

Sigma Software

Berater für Cybersicherheit im Gesundheitswesen
Lassen Sie uns besprechen, wie unser Team zu Ihrem Erfolg beitragen kann

Verwandte Leistungen

Entwicklung kundenspezifischer Anwendungen

Erhalten Sie kundenspezifische Web-, Mobil- und Unternehmensanwendungen, um Ihre Geschäftsziele zu erreichen.
Mehr lesen

Entwicklung von Software für das Gesundheitswesen

Profitieren Sie von unserem Nischen-Fachwissen, um Ihre Software für das Gesundheitswesen zu entwickeln und zu integrieren
Mehr lesen

Dienste zum Testen von Software

Nutzen Sie unsere Dienste zur Automatisierung von Tests, um die Qualität Ihrer Produkte effizient zu bewerten
Mehr lesen

Beratungsdienste für Cybersicherheit

Verlassen Sie sich auf unser technisch versiertes Team, das Ihnen ein komplettes individuelles Sicherheitskonzept erstellt.
Mehr lesen