Sicherheit

Bei People2.0 sind Sicherheit und Datenschutz die Grundlage für unser Geschäft.
Unser Managementsystem für Informationssicherheit umfasst weltweit fünf ISO 27001-Zertifizierungen und wird durch eine Defense-in-Depth-Architektur, strenge Tests und kontinuierliche Überwachung zum Schutz und zur proaktiven Reaktion unterstützt.

Engagiertes Team für Informationssicherheit und Datenschutz 👥

• Wir unterhalten eine zentralisierte Organisation für Informationssicherheit und Datenschutz geleitet von unserem Global Chief Information Security & Privacy Officer geleitet wird, der die Strategie, die Governance, die Richtlinien und die regionenübergreifende Abstimmung überwacht.
  – Dieses Team arbeitet regionen-, geschäftsbereichs- und technologieübergreifend und arbeitet mit den Bereichen Recht, Compliance, Risiko und Betrieb zusammen, um sicherzustellen, dass Sicherheit und Datenschutz in jeden Aspekt eingebettet sind.
  – Das Team ist verantwortlich für die Entwicklung von Richtlinien, das Risikomanagement, die Koordination von Audits, die Planung der Reaktion auf Sicherheitsverletzungen, die Bewertung der Sicherheit von Anbietern, Sensibilisierungsprogramme und Initiativen zur kontinuierlichen Verbesserung.

1. Globale Sicherheit durch ISO 27001 🏛️

• People2.0 verfügt über die ISO 27001-Zertifizierung in Nordamerika, Großbritannien, der EU, Indien und Australien, die unsere Sicherheitspraktiken in einem weltweit anerkannten Standard verankert.
  – Unser ISMS ist so konzipiert, dass es die gesamte Palette der ISO 27001-Kontrollen (Anhang A-Bereiche) abdeckt, mit regelmäßigen internen und externen Prüfungen zur Validierung und Anpassung der Einhaltung.
  – In allen Regionen wenden wir ein einheitliches Modell zur Risikobewertung, Kontrollumsetzung, Überwachung und kontinuierlichen Verbesserung an.

2. Tiefenverteidigung durch Tier-1-Tooling + Expertise 🛡️

Wir verbinden erstklassige Technologie mit menschlicher Aufsicht, Prüfung und Bereitschaft:

• Endpunkt-/Host-Schutz: SentinelOne EDR + Windows Defender nutzen KI, Verhaltensanalyse, Bedrohungsabwehr und automatische Eindämmung

• DNS/Web-Filterung: Cisco Umbrella schützt am Rande von Domänen und routbaren Bedrohungen

• E-Mail- und Phishing-Schutz: Cloudflare Area1 überprüft eingehende E-Mails auf Phishing, BEC und gezielte Angriffe

• Identitäts- und Zugriffsmanagement: OKTA ermöglicht eine zentralisierte Identitätskontrolle, MFA, Single Sign-On und die Durchsetzung der geringsten Privilegien

• Anwendungs-/Code-Sicherheit: Snyk ist in unsere SDLC-Pipelines eingebettet, um Schwachstellen in Abhängigkeiten, Containern und Code zu identifizieren.

• Penetrationstests: Wir setzen interne und externe Pentester ein, um Anwendungen, APIs und Infrastrukturen zu untersuchen und dabei Angreifer zu simulieren, um Schwachstellen aufzudecken.

• SIEM/Analytik: Rapid7 verarbeitet Ereignisprotokolle, korreliert Anomalien und löst plattformübergreifend Alarme aus.

• Anti-Ransomware / KI-Abwehr: Halcyon AI bietet verhaltensbasierte Erkennung und Schutz vor Ransomware und komplexen Bedrohungen

• 24×7 Überwachung und Kontrolle: Zwei globale Security Operations Centers überwachen und eskalieren Vorfälle auf der Grundlage definierter Protokolle

• Reaktion auf Vorfälle und Forensik: Wir bewahren S-RM DFIR um bei Bedarf bei der Eindämmung, Ursachenforschung und Behebung zu helfen

Durch die Kombination von KI, Automatisierung, Intelligenz, menschlichen Analysten und Tests verringern wir die Abhängigkeit von einer einzelnen Kontrolle.

3. Governance, Prozess und Aufsicht 🧭

• Unser ISMS wird von der Geschäftsleitung und den internen Sicherheitsausschüssen beaufsichtigt, um die Übereinstimmung mit den Unternehmensrisiken und den gesetzlichen Vorschriften zu gewährleisten.
  – Wir verfügen über ein solides Risikomanagementprogramm, mit dem wir Sicherheitsrisiken in allen Geschäftsbereichen, Regionen und Technologiebereichen kontinuierlich bewerten, priorisieren, behandeln und überwachen.
  – Alle Mitarbeiter, Auftragnehmer und Drittanbieter müssen rollenbasierte Schulungen zum Sicherheitsbewusstsein, Phishing-Simulationen und Auffrischungen zur sicheren Kodierung absolvieren.
  – Richtlinien, Verfahren und Standards werden regelmäßig überarbeitet und aktualisiert, wenn neue Bedrohungen oder gesetzliche Änderungen auftreten.
  – Wir setzen Sicherheitsbewertungen durch Dritte und eine Sorgfaltsprüfung der Anbieter durch; externe Systeme und Partner müssen vor der Integration unsere Sicherheitskriterien erfüllen.

4. Transparenz, Rechenschaftspflicht und Vertrauen 🔍

• Wir führen revisionssichere Protokolle, zusammengefasste Sicherheitsmetriken und Zertifizierungsnachweise, die wir unter angemessenen Vertraulichkeits- oder Vertragsbedingungen an unsere Kunden weitergeben können.
  – Wenn ein Sicherheitsvorfall eintritt, folgen wir einem dokumentierten Ablaufplan für die Reaktion auf den Vorfall, engagieren die Unterstützung des DFIR, benachrichtigen die Beteiligten und führen Analysen der Ursachen und der gewonnenen Erkenntnisse durch.
  – Unabhängige Audits, externe Zertifizierungen und externe Pentesting-/Forensik-Partnerschaften unterstützen die objektive Aufsicht und Rechenschaftspflicht.

5. Was das für die Kunden bedeutet 🤝

• Einheitlicher Schutz: Wo auch immer Ihre Daten gespeichert sind, unterliegen sie denselben grundlegenden Kontrollen und der gleichen Aufsicht.
  – Mehrschichtiger und geprüfter Schutz: Mehrere, sich überschneidende Kontrollen helfen, einzelne Fehlerquellen zu reduzieren.
  – Proaktives Testen und Härtung: Penetrationstests decken Schwachstellen auf, bevor es die Angreifer tun.
  – Widerstandsfähigkeit und Reaktion: KI + Automatisierung + menschliche SOCs + forensische Unterstützung geben uns die Fähigkeit, zu erkennen, einzudämmen und wiederherzustellen.
  – Gesichertes Vertrauen: ISO-Zertifizierungen, Audit-Berichte und externe Tests liefern greifbare Beweise für Ihre Sicherheits- und Compliance-Teams.
  – Verwaltetes Risiko, keine perfekten Garantien: Wir versprechen kein Null-Risiko, aber wir verpflichten uns zum Einsatz von branchenführenden Tools, strengen Kontrollen, kontinuierlichen Tests und Transparenz.