Anzeige

Anzeige

VERANSTALTUNGEN

DIGITAL FUTUREcongress
14.02.19 - 14.02.19
In Frankfurt, Congress Center Messe

SAMS 2019
25.02.19 - 26.02.19
In Berlin

INTERNET WORLD EXPO
12.03.19 - 13.03.19
In Messe München

secIT 2019 by Heise
13.03.19 - 14.03.19
In Hannover

IAM CONNECT 2019
18.03.19 - 20.03.19
In Berlin, Hotel Marriott am Potsdamer Platz

Anzeige

Anzeige

Helpful TipsDas IT-Risikomanagement in den Unternehmen weist nach einer kürzlich durchgeführten Untersuchung durch das Beratungshaus CARMAO häufig erhebliche Schwächen auf.

So besteht hierfür beispielsweise nur in etwas mehr als jedem dritten Fall eine etablierte Strategie und wird eine Ermittlung möglicher Gefahren vielfach ohne systematische Methoden oder gar nicht vorgenommen. CARMAO-Geschäftsführer Ulrich Heun hat deshalb einige Tipps zur Optimierung des IT-Risikomanagements zusammengestellt. 



  • Die Strategie für das IT-Risikomanagement an die Geschäftsziele anpassen: Das Informationsrisikomanagement ist ein Steuerungswerkzeug, das Ihnen dabei hilft, Ihre Geschäftsziele zu erreichen. Dies kann nur optimal gelingen, wenn die Geschäftsstrategie entsprechend ausgerichtet ist.

     
  • Eindeutige Kriterien festlegen: Bevor sie anfangen, Risiken zu „managen“, muss definiert sein, was im Kontext Ihres Unternehmens überhaupt ein Risiko darstellt.

     
  • Die Fachbereiche einbinden: Die IT-Abteilung mag Informationsrisiken verursachen, ohne die entsprechende Fachabteilung kann sie diese aber kaum angemessen adressieren. Den Fachbereichen obliegt deshalb die Pflicht zu definieren, welche Anforderungen sie an die Informationssicherheit ihrer Daten haben.

     
  • Risiken proaktiv managen: Um Risiken effektiv zu managen, muss das Informationsrisikomanagement proaktiv ausgerichtet sein. Hierfür sollten Top-Down und Bottom-Up Ansätze kombiniert werden, d.h. sowohl die Risikoidentifikation aus Geschäftsprozesssicht als auch Analysen auf technischer Ebene (z.B. Schwachstellenscans) durchgeführt werden.

     
  • Hohe Komplexität bei der Risikoklassifizierung vermeiden: Risikoklassifizierungen können aus beliebig vielen Auswirkungs- und Wahrscheinlichkeitsklassen bestehen. Doch je höher die Komplexität ist, desto schwerer wird es, die Risiken adäquat zu bemessen.

     
  • Für Zukunftssicherheit sorgen: Beim Auf- oder Ausbau eines Risikomanagements sollten die Verantwortlichen darauf achten, es möglichst zukunftssicher zu gestalten. Welche Anforderungen können in absehbarer Zeit auf Ihr Unternehmen zukommen? Sowohl externe (IT-Sicherheitsgesetz, Regulatoren wie die BaFin, die Bundesnetzagentur, das BSI etc.) als auch interne Einflussfaktoren sollten hierbei berücksichtigt werden.

     
  • Ein Risikoberichtswesen implementieren: Risiken zu managen bedeutet in erster Linie, sie zu steuern. Ohne eine entsprechende Übersicht und die Möglichkeit zu aggregieren, ist eine gezielte Steuerung aber kaum möglich. Daher ist es wichtig, ein Risikoberichtswesen einzuführen, damit die entsprechenden Interessengruppen fortlaufend über den aktuellen Stand und die Entwicklung der Risiken informiert werden.

     
  • Eine Risikokultur aufbauen: Risiko ist ein negativ geprägter Begriff, daher wird es in Unternehmen oft vermieden, über Risiken zu sprechen. Um negative Ereignisse zu vermeiden, muss ein Unternehmen seine Risiken aber kennen und transparent machen. Mitarbeiter dürfen nicht dafür bestraft werden, der Überbringer schlechter Nachrichten (Risiken) zu sein. Risikomanagement ist deshalb eine aktive Aufgabe für das gesamte Unternehmen; die entsprechende Risikokultur muss von oben vorgelebt werden.

     
  • Auf Standards und Best Practices achten: Es gibt unzählige Standards und Best Practices zum Thema Informationsrisikomanagement, unter anderem BSI Grundschutz, ISO 27005, ISO 31000, COBIT for Risk etc. Die etablierten Standards haben in der Regel eines gemeinsam: Sie alle bieten ein recht vollständiges Rahmenwerk und können von Unternehmen übernommen werden.

www.carmao.de

GRID LIST
Trojaner

Hausgemachte Sicherheitsdefizite machen es „Ryuk“ einfach

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor dem…
Hacker

Unterschätzte Bedrohung Datendiebstahl

Datendiebstahl zählt zu den größten Bedrohungen in der Cyberwelt. So wurden im Jahr 2017…
Phishing

Spear Phishing mit Emotet - Tipps zum Schutz gegen Trojaner

Ein neuer Trojaner verbreitet derzeit Schrecken: Emotet flattert mit ausgesprochen…
Strommasten

Einführung der ISO 27001 bei Telemark

Stadtwerke haben für ihre Fernwirkanlagen die gesetzliche Forderung einer Zertifizierung…
2019

Security Predictions 2019 - Automatisierung ist Trumpf

Im Jahr 2019 wird sich nicht alles ändern: es wird dieselben Sicherheitsprobleme geben…
Smarte News aus der IT-Welt