Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Helpful TipsDas IT-Risikomanagement in den Unternehmen weist nach einer kürzlich durchgeführten Untersuchung durch das Beratungshaus CARMAO häufig erhebliche Schwächen auf.

So besteht hierfür beispielsweise nur in etwas mehr als jedem dritten Fall eine etablierte Strategie und wird eine Ermittlung möglicher Gefahren vielfach ohne systematische Methoden oder gar nicht vorgenommen. CARMAO-Geschäftsführer Ulrich Heun hat deshalb einige Tipps zur Optimierung des IT-Risikomanagements zusammengestellt. 



  • Die Strategie für das IT-Risikomanagement an die Geschäftsziele anpassen: Das Informationsrisikomanagement ist ein Steuerungswerkzeug, das Ihnen dabei hilft, Ihre Geschäftsziele zu erreichen. Dies kann nur optimal gelingen, wenn die Geschäftsstrategie entsprechend ausgerichtet ist.

     
  • Eindeutige Kriterien festlegen: Bevor sie anfangen, Risiken zu „managen“, muss definiert sein, was im Kontext Ihres Unternehmens überhaupt ein Risiko darstellt.

     
  • Die Fachbereiche einbinden: Die IT-Abteilung mag Informationsrisiken verursachen, ohne die entsprechende Fachabteilung kann sie diese aber kaum angemessen adressieren. Den Fachbereichen obliegt deshalb die Pflicht zu definieren, welche Anforderungen sie an die Informationssicherheit ihrer Daten haben.

     
  • Risiken proaktiv managen: Um Risiken effektiv zu managen, muss das Informationsrisikomanagement proaktiv ausgerichtet sein. Hierfür sollten Top-Down und Bottom-Up Ansätze kombiniert werden, d.h. sowohl die Risikoidentifikation aus Geschäftsprozesssicht als auch Analysen auf technischer Ebene (z.B. Schwachstellenscans) durchgeführt werden.

     
  • Hohe Komplexität bei der Risikoklassifizierung vermeiden: Risikoklassifizierungen können aus beliebig vielen Auswirkungs- und Wahrscheinlichkeitsklassen bestehen. Doch je höher die Komplexität ist, desto schwerer wird es, die Risiken adäquat zu bemessen.

     
  • Für Zukunftssicherheit sorgen: Beim Auf- oder Ausbau eines Risikomanagements sollten die Verantwortlichen darauf achten, es möglichst zukunftssicher zu gestalten. Welche Anforderungen können in absehbarer Zeit auf Ihr Unternehmen zukommen? Sowohl externe (IT-Sicherheitsgesetz, Regulatoren wie die BaFin, die Bundesnetzagentur, das BSI etc.) als auch interne Einflussfaktoren sollten hierbei berücksichtigt werden.

     
  • Ein Risikoberichtswesen implementieren: Risiken zu managen bedeutet in erster Linie, sie zu steuern. Ohne eine entsprechende Übersicht und die Möglichkeit zu aggregieren, ist eine gezielte Steuerung aber kaum möglich. Daher ist es wichtig, ein Risikoberichtswesen einzuführen, damit die entsprechenden Interessengruppen fortlaufend über den aktuellen Stand und die Entwicklung der Risiken informiert werden.

     
  • Eine Risikokultur aufbauen: Risiko ist ein negativ geprägter Begriff, daher wird es in Unternehmen oft vermieden, über Risiken zu sprechen. Um negative Ereignisse zu vermeiden, muss ein Unternehmen seine Risiken aber kennen und transparent machen. Mitarbeiter dürfen nicht dafür bestraft werden, der Überbringer schlechter Nachrichten (Risiken) zu sein. Risikomanagement ist deshalb eine aktive Aufgabe für das gesamte Unternehmen; die entsprechende Risikokultur muss von oben vorgelebt werden.

     
  • Auf Standards und Best Practices achten: Es gibt unzählige Standards und Best Practices zum Thema Informationsrisikomanagement, unter anderem BSI Grundschutz, ISO 27005, ISO 31000, COBIT for Risk etc. Die etablierten Standards haben in der Regel eines gemeinsam: Sie alle bieten ein recht vollständiges Rahmenwerk und können von Unternehmen übernommen werden.

www.carmao.de

GRID LIST
Tb W190 H80 Crop Int F051567a083a625588e986bd0718b3d0

Gigamon stellt Integrationen mit Splunk und Phantom vor

Gigamon Inc. (NYSE: GIMO), Anbieter von Traffic-Visibility-Lösungen, hat neue…
Deloitte

Deloitte-Hack: kryptografische Verfahren schützen vor Datenklau

Die Beratungsgesellschaft Deloitte wurde Opfer eines Hackerangriffs: Unbekannte Hacker…
Security Schloss

Neue Lösung für Endpoint Detection and Response (EDR)

Komplexe, zielgerichtete und andauernde Cybergefahren (Advanced Persistent Threats, APTs)…
Wellen Schloß

"Encrypted Waves" ermöglichen in Zukunft die Verschlüsselung

Für globale Unternehmen ist es schwierig, kritische und sensible Daten wirksam zu…
Backup

Oft vergessen, dennoch wichtig: Backup und Netzwerksicherung

Den hohen Stellenwert effektiver IT-Sicherheit haben viele Unternehmen nicht zuletzt…
Security Concept

Sicherheit kritischer Systeme | SLAs im Versicherungskonzern

„Simply Safe“ lautet das strategische Motto des Versicherungskonzern Baloise Group, der…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet