VERANSTALTUNGEN

USU World 2018
06.06.18 - 07.06.18
In World Conference Center Bonn

CEBIT 2018
11.06.18 - 15.06.18
In Hannover

ERP Tage Aachen
19.06.18 - 21.06.18
In Aachen

next IT Con
25.06.18 - 25.06.18
In Nürnberg

XaaS Evolution 2018
01.07.18 - 03.07.18
In H4 Hotel Berlin Alexanderplatz

mikado ag beschreibt die wesentlichen Elemente der Vorgehensmethodik zur Risikoanalyse als Basis für ein wirkungsvolles IT-Risikomanagement.

Obwohl ein Pflichtprogramm der Unternehmen, werden mögliche Gefährdungen der Informationstechnik nicht kontinuierlich ermittelt. Nach den Beobachtungen der mikado ag finden solche Risikoanalysen häufig nur punktuell oder ohne klare Systematik statt. Dabei ist eine präzise Kenntnis des Gefährdungspotenzials die Grundlage für ein bedarfsgerechtes Risikomanagement. Robert Hellwig, IT-Security-Analyst des Beratungshauses, hat Eckpunkte einer systematischen Risikoanalyse zusammengestellt:

Kenntnis der rechtlichen Anforderungen:

Die rechtlichen Bedingungen im Zusammenhang mit der IT sind heutzutage sehr vielfältig. Sie reichen vom Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) über das Bundesdatenschutzgesetz und die EU-Richtlinien zu den Datenschutzbedingungen bis zu Sarbanes-Oxley Act (SOX) und Basel III. Hinzu kommen branchenspezifische oder standesrechtliche Regelungen, die es zu beachten gilt. Auch Fragen der Vertragsregelungen wie etwa Vertraulichkeitsvereinbarungen mit Mitarbeitern oder Regelungen für den Datenschutz beim Outsourcing gehören dazu.

Kritikalitätsstufen der Unternehmensprozesse bewerten: 

Nicht alle internen Abläufe erzeugen bei einem Ausfall ein hohes wirtschaftliches Sicherheitsrisiko, manche können bei gravierenden Störungen jedoch zu weitreichenden Konsequenzen führen. Dazu zählen beispielsweise viele marktnahe Prozesse, die bei einem Ausfall erhebliche Umsatzeinbußen oder Imageschäden bewirken können. Deshalb gilt es, sie nach Risikostufen wie „gering“, „mittel“ und „hochkritisch“ einzuordnen. Auf Basis dieser Kategorisierung sollten sowohl die Risikovorsorge als auch die Maßnahmen für das Business Continuity Management in Problemfällen geplant werden.

Daten nach ihren Informationswerten kategorisieren: 

In ähnlicher Weise wie die Kritikalitätsbewertung der Prozesse ist auch eine Analyse der Daten vorzunehmen. Ihr jeweiliger Informationswert und Verfügbarkeitsbedarf kann in einem Fall sehr elementar für das Unternehmen sein, in anderen Fällen sind die Folgen eines Datenverlustes relativ gering. Beispielsweise haben die Konstruktionspläne eines Produktherstellers einen hohen Informationswert, weil sie vermarktungsstarke Innovationen in sich bergen. Dagegen sind Informationen aus dem operativen Alltag einer Organisation häufig deutlich weniger sicherheitsrelevant.

Kritische IT-Infrastrukturkomponenten identifizieren: 

Die erhebliche Abhängigkeit der Geschäftsprozesse von der IT verlangt eine hohe Verfügbarkeit der Anwendungen und Verarbeitungssysteme. Für ein Risikomanagement ist es deshalb wichtig zu wissen, welche Komponenten bei einem Ausfall den Geschäftsbetrieb oder wesentliche Teile der Organisation tiefgreifend beeinträchtigen. Deshalb gehört es zu den Grundlagen eines Risikomanagements, dass sie ebenfalls in die Kritikalitätsstufen „gering“, „mittel“ und „hochkritisch“, bei Bedarf auch differenzierter, eingeteilt werden.

Eine Bedrohungs- und Schwachstellenanalyse vornehmen: 

Für eine Vorbereitung auf mögliche Probleme bedarf es einer systematischen Betrachtung, welche Bedrohungs- und Katastrophen-Szenarien denkbar sind und welche Folgen damit verbunden wären. Zudem ist es erforderlich zu untersuchen, welche Schwachstellen bei den Infrastrukturkomponenten und Prozessen denkbar sind, die sich im Problemfall in weitreichender Weise negativ auswirken können. Sowohl die Eintrittswahrscheinlichkeit der Bedrohungs- und Katastrophen-Szenarien als auch die Wahrscheinlichkeit, dass dann die Schwachstellen davon betroffen sein können, müssen einschließlich der damit verbundenen Schadenshöhe kalkuliert werden.

Gefährdungsprofil in den Methoden des IT-Risikomanagements abbilden: 

Durch die ermittelte Definition des konkreten Schutzbedarfs können gezielte Initiativen zur Risikominderung eingeleitet werden. Dies gehört zur Kernfunktion des IT-Risikomanagements als Königsdisziplin in der Informationssicherheit. Sie zielen darauf ab, mögliche Gefahren bereits in den Ansätzen zu erkennen und dort wo nötig vorbeugende Maßnahmen zu ergreifen.

 www.mikado.de

GRID LIST
Tb W190 H80 Crop Int D146f3c663f173a6d5c977c08d1fd9db

Opengear mit neuen Vice President of Sales EMEA

Opengear hat Alan Stewart-Brown zum neuen Vice President of Sales für EMEA ernannt. In…
Tb W190 H80 Crop Int Ce516809206d7a875aeb34ed0ed3ff1f

Neuer Regional Channel Manager bei OutSystems

OutSystems hat mit Friedrich Walker seit Anfang April einen neuen Channel Manager für die…
Tb W190 H80 Crop Int 8ee3d71ff65fec327b3f94f8124bb53e

Rohde & Schwarz Cybersecurity präsentiert neue Sicherheitskonzepte

Rohde & Schwarz Cybersecurity präsentiert auf der CEBIT die Cloud-Security-Lösung R&S…
Tb W190 H80 Crop Int 674d73ccb7181ea925e120545f84d683

SAS prüft mit Siemens autonomes Fahren

Wie lässt sich autonomes Fahren auf der Straße in einer Smart City ideal umsetzen? Dieser…
Tb W190 H80 Crop Int A21a82950cfbb0ceb8ec8d33e38bb870

Cisco tritt Charter of Trust bei

Cisco ist der Cybersecurity-Initiative „Charter of Trust“ beigetreten. Die „Charter of…
Tb W190 H80 Crop Int 45bbfd4bbfbb80252f2e79b7c72935c3

Onepoint Projects veröffentlicht kostenlose Projektportfolio-Dashboard-App

Onepoint Projects hat sein neues Projektportfoliomanagement-Dashboard, Onepoint 360, für…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security