Anzeige

Helpful TipsDas IT-Risikomanagement in den Unternehmen weist nach einer kürzlich durchgeführten Untersuchung durch das Beratungshaus CARMAO häufig erhebliche Schwächen auf.

So besteht hierfür beispielsweise nur in etwas mehr als jedem dritten Fall eine etablierte Strategie und wird eine Ermittlung möglicher Gefahren vielfach ohne systematische Methoden oder gar nicht vorgenommen. CARMAO-Geschäftsführer Ulrich Heun hat deshalb einige Tipps zur Optimierung des IT-Risikomanagements zusammengestellt. 



  • Die Strategie für das IT-Risikomanagement an die Geschäftsziele anpassen: Das Informationsrisikomanagement ist ein Steuerungswerkzeug, das Ihnen dabei hilft, Ihre Geschäftsziele zu erreichen. Dies kann nur optimal gelingen, wenn die Geschäftsstrategie entsprechend ausgerichtet ist.

     
  • Eindeutige Kriterien festlegen: Bevor sie anfangen, Risiken zu „managen“, muss definiert sein, was im Kontext Ihres Unternehmens überhaupt ein Risiko darstellt.

     
  • Die Fachbereiche einbinden: Die IT-Abteilung mag Informationsrisiken verursachen, ohne die entsprechende Fachabteilung kann sie diese aber kaum angemessen adressieren. Den Fachbereichen obliegt deshalb die Pflicht zu definieren, welche Anforderungen sie an die Informationssicherheit ihrer Daten haben.

     
  • Risiken proaktiv managen: Um Risiken effektiv zu managen, muss das Informationsrisikomanagement proaktiv ausgerichtet sein. Hierfür sollten Top-Down und Bottom-Up Ansätze kombiniert werden, d.h. sowohl die Risikoidentifikation aus Geschäftsprozesssicht als auch Analysen auf technischer Ebene (z.B. Schwachstellenscans) durchgeführt werden.

     
  • Hohe Komplexität bei der Risikoklassifizierung vermeiden: Risikoklassifizierungen können aus beliebig vielen Auswirkungs- und Wahrscheinlichkeitsklassen bestehen. Doch je höher die Komplexität ist, desto schwerer wird es, die Risiken adäquat zu bemessen.

     
  • Für Zukunftssicherheit sorgen: Beim Auf- oder Ausbau eines Risikomanagements sollten die Verantwortlichen darauf achten, es möglichst zukunftssicher zu gestalten. Welche Anforderungen können in absehbarer Zeit auf Ihr Unternehmen zukommen? Sowohl externe (IT-Sicherheitsgesetz, Regulatoren wie die BaFin, die Bundesnetzagentur, das BSI etc.) als auch interne Einflussfaktoren sollten hierbei berücksichtigt werden.

     
  • Ein Risikoberichtswesen implementieren: Risiken zu managen bedeutet in erster Linie, sie zu steuern. Ohne eine entsprechende Übersicht und die Möglichkeit zu aggregieren, ist eine gezielte Steuerung aber kaum möglich. Daher ist es wichtig, ein Risikoberichtswesen einzuführen, damit die entsprechenden Interessengruppen fortlaufend über den aktuellen Stand und die Entwicklung der Risiken informiert werden.

     
  • Eine Risikokultur aufbauen: Risiko ist ein negativ geprägter Begriff, daher wird es in Unternehmen oft vermieden, über Risiken zu sprechen. Um negative Ereignisse zu vermeiden, muss ein Unternehmen seine Risiken aber kennen und transparent machen. Mitarbeiter dürfen nicht dafür bestraft werden, der Überbringer schlechter Nachrichten (Risiken) zu sein. Risikomanagement ist deshalb eine aktive Aufgabe für das gesamte Unternehmen; die entsprechende Risikokultur muss von oben vorgelebt werden.

     
  • Auf Standards und Best Practices achten: Es gibt unzählige Standards und Best Practices zum Thema Informationsrisikomanagement, unter anderem BSI Grundschutz, ISO 27005, ISO 31000, COBIT for Risk etc. Die etablierten Standards haben in der Regel eines gemeinsam: Sie alle bieten ein recht vollständiges Rahmenwerk und können von Unternehmen übernommen werden.

www.carmao.de


Weitere Artikel

KRITIS

Die Energiewende als Herausforderungen für die Cybersicherheit

Die Energiewende ist in vollem Gange. Doch dabei sollte die Cybersicherheit nicht zu kurz kommen. Denn die neue Technologie bringt auch neue Angriffsvektoren mit sich.
Open Source

Gipfeltreffen zur Sicherheit von Open-Source-Software

Akamai Technologies hat an dem vom Weißen Haus veranstalteten Gipfeltreffen zur Sicherheit von Open-Source-Software teilgenommen und dabei die Gelegenheit genutzt, seine Ansichten und Empfehlungen zu diesem wichtigen Thema darzulegen. Ein Kommentar von…
Home Office Security

Hybrides Arbeiten: IT-Sicherheit neu gedacht

Durch die Coronapandemie haben sich die Koordinaten der Arbeitswelt nachhaltig verschoben. Hybride Arbeitsplätze sind in vielen Unternehmen zum Standard geworden. Das Thema Sicherheit spielt dabei eine zentrale Rolle – nicht nur in puncto Cyberabwehr. Dell…
Phishing

Phishing-Abwehr auf Basis von Crowd-Sourcing erfolgreich

Eine Schweizer Phishing-Studie mit rund 15.000 Teilnehmern in einem 15-monatigen Experiment brachte einige interessante Ergebnisse hervor. Die Studie wurde von Forschern der ETH Zürich in Kooperation mit einem Großunternehmen durchgeführt, das anonym bleiben…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.