VERANSTALTUNGEN

Digital Workspace World
22.10.18 - 22.10.18
In Wiesbaden, RheinMain CongressCenter

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

PM Forum 2018
23.10.18 - 24.10.18
In Nürnberg

MCC Fachkonferenz CyberSecurity für die Energiewirtschaft
24.10.18 - 25.10.18
In Köln

Panda Security: IT Security Breakfast
26.10.18 - 26.10.18
In Spanischen Botschaft in Berlin

Helpful TipsDas IT-Risikomanagement in den Unternehmen weist nach einer kürzlich durchgeführten Untersuchung durch das Beratungshaus CARMAO häufig erhebliche Schwächen auf.

So besteht hierfür beispielsweise nur in etwas mehr als jedem dritten Fall eine etablierte Strategie und wird eine Ermittlung möglicher Gefahren vielfach ohne systematische Methoden oder gar nicht vorgenommen. CARMAO-Geschäftsführer Ulrich Heun hat deshalb einige Tipps zur Optimierung des IT-Risikomanagements zusammengestellt. 



  • Die Strategie für das IT-Risikomanagement an die Geschäftsziele anpassen: Das Informationsrisikomanagement ist ein Steuerungswerkzeug, das Ihnen dabei hilft, Ihre Geschäftsziele zu erreichen. Dies kann nur optimal gelingen, wenn die Geschäftsstrategie entsprechend ausgerichtet ist.

     
  • Eindeutige Kriterien festlegen: Bevor sie anfangen, Risiken zu „managen“, muss definiert sein, was im Kontext Ihres Unternehmens überhaupt ein Risiko darstellt.

     
  • Die Fachbereiche einbinden: Die IT-Abteilung mag Informationsrisiken verursachen, ohne die entsprechende Fachabteilung kann sie diese aber kaum angemessen adressieren. Den Fachbereichen obliegt deshalb die Pflicht zu definieren, welche Anforderungen sie an die Informationssicherheit ihrer Daten haben.

     
  • Risiken proaktiv managen: Um Risiken effektiv zu managen, muss das Informationsrisikomanagement proaktiv ausgerichtet sein. Hierfür sollten Top-Down und Bottom-Up Ansätze kombiniert werden, d.h. sowohl die Risikoidentifikation aus Geschäftsprozesssicht als auch Analysen auf technischer Ebene (z.B. Schwachstellenscans) durchgeführt werden.

     
  • Hohe Komplexität bei der Risikoklassifizierung vermeiden: Risikoklassifizierungen können aus beliebig vielen Auswirkungs- und Wahrscheinlichkeitsklassen bestehen. Doch je höher die Komplexität ist, desto schwerer wird es, die Risiken adäquat zu bemessen.

     
  • Für Zukunftssicherheit sorgen: Beim Auf- oder Ausbau eines Risikomanagements sollten die Verantwortlichen darauf achten, es möglichst zukunftssicher zu gestalten. Welche Anforderungen können in absehbarer Zeit auf Ihr Unternehmen zukommen? Sowohl externe (IT-Sicherheitsgesetz, Regulatoren wie die BaFin, die Bundesnetzagentur, das BSI etc.) als auch interne Einflussfaktoren sollten hierbei berücksichtigt werden.

     
  • Ein Risikoberichtswesen implementieren: Risiken zu managen bedeutet in erster Linie, sie zu steuern. Ohne eine entsprechende Übersicht und die Möglichkeit zu aggregieren, ist eine gezielte Steuerung aber kaum möglich. Daher ist es wichtig, ein Risikoberichtswesen einzuführen, damit die entsprechenden Interessengruppen fortlaufend über den aktuellen Stand und die Entwicklung der Risiken informiert werden.

     
  • Eine Risikokultur aufbauen: Risiko ist ein negativ geprägter Begriff, daher wird es in Unternehmen oft vermieden, über Risiken zu sprechen. Um negative Ereignisse zu vermeiden, muss ein Unternehmen seine Risiken aber kennen und transparent machen. Mitarbeiter dürfen nicht dafür bestraft werden, der Überbringer schlechter Nachrichten (Risiken) zu sein. Risikomanagement ist deshalb eine aktive Aufgabe für das gesamte Unternehmen; die entsprechende Risikokultur muss von oben vorgelebt werden.

     
  • Auf Standards und Best Practices achten: Es gibt unzählige Standards und Best Practices zum Thema Informationsrisikomanagement, unter anderem BSI Grundschutz, ISO 27005, ISO 31000, COBIT for Risk etc. Die etablierten Standards haben in der Regel eines gemeinsam: Sie alle bieten ein recht vollständiges Rahmenwerk und können von Unternehmen übernommen werden.

www.carmao.de

GRID LIST
Tb W190 H80 Crop Int 473f1a871a5501d106c3efe11521f17a

Schwachstellenmanagement ohne Priorisierung ist ein Ding der Unmöglichkeit

Schwachstellenmanagement beziehungsweise Vulnerability Management ist ein unverzichtbarer…
Tb W190 H80 Crop Int 28ce87d7cd96844fa4f1f9d045c20067

Network Box schützt „Kronjuwelen“

Die IT-Branche in Deutschland wächst. Mittlerweile arbeiten rund eine Million Menschen in…
Tb W190 H80 Crop Int 69bd67d0766bcf55730eef75a3612605

IT-Sicherheit nach Maß

65 Experten kümmern sich beim Energieversorger Innogy um die Cybersicherheit,…
Firewall Concept

DSGVO-konform – Die neue TUX-Firewall TG-0500

Zum Schutz personenbezogener Daten verlangt die EU-DSGVO „angemessene technische und…
Hacking Detected

Managed Security Service Provider als Antwort auf den Fachkräftemangel

Aufgrund des anhaltenden Fachkräftemangels im IT-Sicherheitsumfeld steigt die Nachfrage…
Tb W190 H80 Crop Int 004c3381798b4f8b8137447720d1dc24

Zu Risiken und Ausfällen fragen Sie Ihren Geschäftsführer oder Sicherheitsbeauftragten

Ein erfolgreich etabliertes und gelebtes Risikomanagement bildet eines der Kernelemente…
Smarte News aus der IT-Welt