Risikomanagement

Risikomanagement

Ein wirksam betriebenes IT Risikomanagement bewahrt das Unternehmen vor möglichen Schäden und ist trotz vielfältiger Änderungen in der IT-Landschaft in der Lage, vorausschauend Gefahren zu identifizieren und entsprechende Risikobegegnungsmaßnahmen rechtzeitig einzuleiten. Damit ist das IT-Risk Management ein nicht zu unterschätzender Faktor im Risikomanagement des Unternehmens.

Für das IT-Risk Management können unterschiedliche Methoden in Betracht gezogen werden, wie z.B. die Basisbewertung, die Informations-/ Erfahrungsbezogene Bewertung, die detaillierte Risikobewertung oder eine kombinierte Risikobewertung.
WMC GmbH arbeitet nach einer kombinierten Methode zur Risikobewertung, wie sich auch der Norm ISO 13335-3 ausdrücklich empfohlen wird.

Diese beinhaltet die übergeordnete Risiko Analyse:

Aus der Sicht der wichtigen Geschäftsprozesse werden alle beteiligten IT-Systeme identifiziert und in die groben Risikostufen Hoch, Mittel oder Niedrig klassifiziert. Diese Klassifikation ist im Asset Management zu dokumentieren.

Die Risiken werden hierzu nicht aus technischer Sicht, sondern aus geschäftlicher Sicht betrachtet.

 
Schematischer Ablauf des IT Risk Assessments (ISO/IEC 27005)

Vereinfacht dargestellt geht es um die Frage: Welche IT-Systeme tragen wesentlich zum Geschäftserfolg des Unternehmens bei?

Um zu einer Bewertung zu gelangen, ist zu analysieren

  • welches Unternehmensziel mit dem jeweiligen IT-System erreicht wird,
  • in welchem Grad der Geschäftsbetrieb von diesem IT-System abhängt. Hierbei sind folgende Aspekte zu berücksichtigen:
    Vertraulichkeit, Integrität, Verfügbarkeit, Haftbarkeit, Glaubwürdigkeit, Funktionssicherheit,
  • wie hoch die Investitionen zur Erstellung, Wartung und Entwicklung des IT-Systems waren oder im Falle eines Ersatzes sind,
  • welche Teilsysteme gegebenenfalls zu diesem IT-System gehören und ebenfalls zum Wert des Gesamtsystems maßgeblich beitragen,
  • wie viele andere IT-Systeme vom betrachteten IT-System aufgrund der unterstützten Geschäftsprozesse abhängig sind.
Wird einer der aufgeführten Bereiche mit Risiko Hoch eingestuft, ist für dieses IT-System eine detaillierte Risiko Analyse durchzuführen. Allgemein werden Systeme mit der Einstufung Mittel oder Niedrig mit allgemeinen Schutzmaßnahmen abgesichert. Systeme mit der Einstufung Mittel können bei Unklarheit zusätzlich einer detaillierten Risiko Analyse unterzogen werden.
Die Bewertung aller IT-Systeme nach diesem Schema ist jedes Jahr zu überprüfen. Neue Systeme sind schon in der Planungsphase zu bewerten.

Und die detaillierte Risiko Analyse:

Eine detaillierte Risiko Analyse muss nur für Systeme durchgeführt werden, die für das Unternehmen als kritisch oder mit hohem Risiko behaftet eingestuft wurden. Dabei werden alle Risiken und deren Größenklasse bzw. deren Ausmaß identifiziert.

Im Weiteren werden nun sogenannte ungewollte Ereignisse auf deren mögliche schadhafte Auswirkungen auf den Geschäftsbetrieb und ihre Eintrittswahrscheinlichkeit beurteilt. Die Eintrittswahrscheinlichkeit ist davon abhängig, wie attraktiv ein System für potentielle Angreifer ist, wie wahrscheinlich das Auftreten bestimmter Bedrohungen wie z.B. Feuer, Diebstahl usw. ist, und wie einfach eventuell vorhandene Schwachstellen auszunutzen sind. Die Ergebnisse dieser Risiko Analyse dienen dann zur Bestimmung der Sicherheitsmaßnahmen, welche eingesetzt werden, um den Risiken zu begegnen und sie auf ein tragbares Maß zu reduzieren.

WMC Wüpper Management Consulting GmbH berät seit vielen Jahren Kunden erfolgreich im IT-Risikomanagement und verfügt über namhafte Referenzen.
Als Hersteller der QSEC Software Suite haben wir das IT-Risk Management nach DIN EN ISO/IEC als Modul der QSEC-Suite komfortabel für unsere Kunden umgesetzt.
Die Lösung ist ein zukunftsorientiertes Werkzeug zur Einführung und zum nachhaltigen Betrieb eines Information Security Management Systems (ISMS), mit dem „Best Practice“ pragmatisch umgesetzt und dauerhaft Ressourcen und Kosten eingespart werden können.

Erfahren Sie mehr über das QSEC IT-Risk Management-Modul:

IT-Risk Management mit QSEC