Risikobewertungen, die von konkreten Unternehmenszielen ausgehen, sind nicht nur für die Geschäftsführung sehr hilfreich. Auch die Informationssicherheitsbeauftragten profitieren von unternehmensbasierten Risikobewertungen, denn so können für die knappen Ressourcen die richtigen Prioritäten gesetzt werden.
Bei der Erstellung von Risikobewertungen orientieren sich manche Informationssicherheits-beauftragte an einem festen Ablauf. Sie gehen von einer Reihe von Systemen und Prozessen aus, die irgendwann einmal als kritisch definiert wurden, und arbeiten die Liste von Bedrohungen ab. Sind Schwachstellen in einem System bekannt, vertiefen sie sich in die Details und nehmen eine konkrete Bewertung der Bedrohung für dieses System vor – auch wenn es keine zentrale Rolle für den Betrieb des Unternehmens hat.
„Grundsätzlich ist gegen diese Vorgehensweise nichts einzuwenden. Es werden auf diese Weise Schwachstellen erkannt. Anstatt aber sämtliche Bedrohungen zu bewerten, raten wir dazu, nur die Risikobewertungen vorzunehmen, die direkt mit den Zielen des Unternehmens verbunden sind“, erklärt Jakob Holm Hansen, Geschäftsführer von NorthGRC.
"Anstatt sämtliche Bedrohungen zu bewerten, raten wir dazu,
nur die Risikobewertungen vorzunehmen, die direkt mit den Zielen des Unternehmens verbunden sind"
Jakob Holm Hansen, Geschäftsführer von NorthGRC
Teilziele aufschlüsseln
Unabhängig davon, ob es um eine Behörde geht, die Bürgerservice anbietet, oder ein Unternehmen, das ein Produkt verkauft: In jedem Fall wurde von der Behörden- oder Geschäftsleitung eine Strategie festgelegt. In der Regel besteht die Strategie aus Unternehmenszielen, festgelegten Werte oder Ähnlichem.
„Informationssicherheitsbeauftragte sollten die übergeordneten Ziele in Teilziele aufschlüsseln und die Systeme und Prozesse, die das jeweilige Teilziel unterstützen, auf Bedrohungen prüfen.
„Besteht die übergeordnete Strategie eines Unternehmens beispielsweise darin, Dänemarks besten Kundenservice zu bieten, sollte der Sicherheitsbeauftragte die Bedrohungen für die Kommunikationskanäle bewerten, die ermöglichen, dass die Kunden jederzeit mit dem Unternehmen in Kontakt kommen können.“
Verstärkter Dialog mit der Geschäftsführung
Eine Risikobewertung, die von den Unternehmenszielen ausgeht, trägt zu einer verstärkten Zusammenarbeit mit der Geschäftsführung bei. Denn als Sicherheitsbeauftragter kann man nicht erwarten, dass die Geschäftsführung eine technische Risikobewertung der gesamten Systemlandschaft und Infrastruktur versteht. Geht die Sicherheitsbewertung dagegen von den Zielen aus, die die Geschäftsleitung selbst formuliert hat, wird sie wesentlich verständlicher.
„Beispielsweise kann das Wachstum des Unternehmens in den kommenden zwei bis drei Quartalen an die Einführung eines neuen Produkts geknüpft sein. Geht man als Sicherheitsbeauftragter von der Produkteinführung aus, kann man der Geschäftsführung gezielt eine Risikobewertung für die Bereiche vorlegen, die für sie am relevantesten sind. Denn das Management weiß genau, was es für ein Unternehmen bedeutet, wenn die Produkteinführung beispielsweise aufgrund von IT-Sicherheitsproblemen verschoben werden muss.“
Gesunder Menschenverstand
Eines möchte Jakob Holm Hansen aber ganz deutlich machen: Informationssicherheitsbeauftragte müssen ihre Arbeitsmethoden zur Analyse von Bedrohungen ausgehend von Unternehmenszielen nicht neu erfinden. Es geht vor allem darum, die bisherige Herangehensweise zu modifizieren.
„Nach wie vor müssen Bedrohungen bewertet werden. Es muss nur von den richtigen Prioritäten ausgegangen werden. In vielen Fällen kann man sich auch auf seinen gesunden Menschenverstand verlassen. Es geht darum, mit den Risikobewertungen an den Stellen anzusetzen, an denen das Unternehmen am meisten profitiert. So lassen sich auch Ressourcen sparen und die eigenen Arbeitsabläufe effizienter gestalten.“
Schluss mit „Das haben wir schon immer so gemacht“
Risikobewertungen mit Unternehmenszielen zu verbinden, führt nicht selten dazu, dass die „Das haben wir schon immer so gemacht-Haltung“ in einem Unternehmen auf den Prüfstand kommt.
„Viele Risikobewertungen laufen nach der Devise „Das haben wir schon immer so gemacht“. Das heißt eigentlich nur, dass es Systeme und Prozesse gibt, die im Unternehmen irgendwann einmal für kritisch befunden wurden. Aber sind sie das noch?“, fragt Jakob Holm Hansen und sagt abschließend:
„Wenn man Risikobewertungen auf der Grundlage von Unternehmenszielen vornimmt, spielt man sich automatisch stärker in den Vordergrund und zeigt unternehmerisches Verständnis. Eine gute Weise, Managemententscheidungen näher zu kommen.“
NorthGRC Plattform unterstützt Sie bei der Durchführung effizienter Risikobewertungen. Erfahren Sie hier mehr
Mehr über Risikobewertung und Risikobehandlung erfahren
So führen Sie Risikobewertungen durch (video 22:00)
Hier erhalten Sie direkten Zugriff auf das Video und erfahren, wie Sie bei einer Risikobewertung und beim Risikomanagement vorgehen. Zur Darstellung der anfallenden Tätigkeiten wurde NorthGRC Lösung eingesetzt. Das Video ist in Englisch.
Kostenloser Leitfaden zum Risikomanagement
Laden Sie unseren Leitfaden herunter und erfahren Sie, wie Sie bei der Informationssicherheit mit den tatsächlichen Risiken umgehen können, die sich für Ihr Unternehmen stellen. Ganz im Einklang mit den Vorgaben der ISO 27001. Der Leitfaden wurde ausgehend vom Standard für Risiko-Management ISO 27005 erstellt. |