Fabio Poloni, Regional Manager Basel, hat den Akkreditierungsprozess intern geleitet und sich der umfassenden Anforderungen in den 4 Hauptbereichen

• Betriebliche Prozesse und Standards
• Sicherheitsbewusstsein und Entwicklung der Mitarbeitenden
• Vorgehensweisen vor, während und nach Penetrationstests
• Datensicherheit

angenommen. Er hat uns ein paar Fragen dazu beantwortet.

Fabio, warum hat sich Compass Security zertifizieren lassen?

«Compass Security ist gewachsen. Wir beschäftigen in der Schweiz und Deutschland mittlerweile über 50 Penetration Tester. Mitgewachsen sind auch die internen Prozesse, die die Qualität unserer Arbeit an Kundenaufträgen stark beeinflussen. Diese Prozesse wollten wir mit dem weltweit bekannten CREST-Standard abgleichen. Sind wir auf dem richtigen Weg? Wo braucht es noch Anpassungen?

Zudem suchen potenzielle Kunden nach Partnern, die bestimme Normen erfüllen, die die «gleiche Sprache» sprechen und ihren Ansprüchen an die Servicequalität gerecht werden. Die Qualität unserer Penetrationstests lässt sich nur eingeschränkt im Voraus testen. Im deutschsprachigen Raum profitieren wir u.a. von unserer Bekanntheit und von Kundenempfehlungen, aber im internationalen Umfeld, wo wir noch nicht so bekannt sind, gibt die CREST-Zertifizierung einen Anhaltspunkt zur Professionalität unserer Services. Für bestehende Kunden ist es eine weitere Bestätigung, dass wir ihre Aufträge mit grosser Fachkompetenz bearbeiten.»

Wie ist die Akkreditierung abgelaufen?

«Es wurden viele Bereiche durchleuchtet, immer den Aspekt der Informationssicherheit im Fokus. Zum Beispiel mussten wir mitarbeiterseitig unsere Einstellungs- und Weiterbildungsprozesse für die Security Analysten beschreiben. Festhalten, wie wir Research betreiben. Oder die Absicherung der Infrastruktur erklären, welche die Analysten beim Testen nutzen. Im grössten Teil ging es um die Arbeit am Kundenprojekt. Umfassen die Kunden-Vertragsdokumente alle wichtigen Punkte, zum Beispiel zur rechtlichen Absicherung und zum Umgang mit den Kundendaten? Kommunizieren wir klar und transparent? Wie gestaltet sich die Zusammenarbeit mit dem Security Team des Kunden? Stecken wir den Scope klar ab? Wie bewerten wir die Schwachstellen?

Wir mussten Abläufe und Vorgehensweisen erläutern und Dokumente vorweisen. Im Laufe der Arbeit stellten wir fest, dass wir sehr vieles richtig machen und die geforderten Prozesse bereits gelebt werden. Die Hauptarbeit für mich bestand also darin, alles strukturiert auf Papier zu bringen. Viel Arbeit, aber lieber so als andersrum!»

Wie hat CREST auf verbesserungswürdige Punkte aufmerksam gemacht?

«CREST gibt klare Verbesserungsempfehlungen ab. Wir hatten zum Beispiel kein offizielles Beschwerdemanagement. Wir schätzen uns glücklich, dass wir tatsächlich kaum Reklamationen erhalten. Interne und externe Vorschläge zur Leistungsverbesserung haben wir aber selbstverständlich auch bisher besprochen und wo immer möglich eingepflegt - einfach ohne standardisierten Prozess.»

Und wie geht es weiter?

«Wir lehnen uns jetzt zurück, das CREST-Zertifikat für Pentesting haben wir ja im Sack!

Spass beiseite, natürlich nicht. Wir wollen uns stetig verbessern und die Qualität unserer Arbeit hochhalten. Wir feilen zum Beispiel am On-Boarding-Prozess für neue Mitarbeitende. Hier sind mehrere Stellen involviert, die gut aufeinander abgestimmt sein wollen. Oder wir überdenken auch die Qualität der Reports für unsere Kunden immer wieder. Und das bereits erwähnte Beschwerdemanagement will auch eingeführt werden.»

Dank für den Einblick in deine Arbeit, Fabio. Viel Glück!

* CREST = Council of Registered Ethical Security Tester / https://www.crest-approved.org/

>> Membership Page

>> Certificate (PDF)