Die meisten Organisationen wissen, dass die Durchführung einer Risikobewertung gängige Praxis ist. Allerdings führen nicht alle Organisation eine solche Risikoeinschätzung tatsächlich durch, und diejenigen, die es tun, wählen möglicherweise den falschen Ansatz. Allzu oft werden Risikobewertungen als einmaliges Projekt mit betrachtet, das endlich ist. Die Realität sieht jedoch ganz anders aus, dort sind Risikobewertung und Risikobehandlung ein fortlaufender Prozess.
Der Prozess der Risikobewertung und Risikobehandlung
Risikobewertung ist ein Prozess und kein einmaliges Projekt. Die Gründe dafür können auf diese drei Punkte differenziert werden:
- Ihr Geschäft entwickelt sich ständig und verändert sich, genau wie die Welt um uns herum - und das beinhaltet potenzielle Auswirkungen, Bedrohungen und Schwachstellen!
- Sobald Sie Ihr Risiko beurteilt haben, müssen Sie es behandeln! Risiken hören nie auf zu existieren, und so auch nicht die Notwendigkeit, sie zu beurteilen und zu behandeln.
- Sie müssen Ihr gesamtes Informationssicherheitsmanagement kontinuierlich verbessern und Ihr Risikomanagement muss mithalten.
Die Quintessenz ist, dass man nicht stillstehen darf. Denken Sie darüber nach: Wie viel ist Ihr Informations-Sicherheits-Management-System wert, wenn es nicht die unvermeidlichen Änderungen Ihres Unternehmens und der Welt, der es unterliegt, widerspiegelt?
Verringern, und anschließend weiter verringern
Die Norm ISO 27001 besagt, dass eine Risikobewertung ein fortlaufender Prozess in der Sicherheitsarbeit ist und dass eine Risikobewertung dazu beiträgt, dass das Management sicher sein kann, dass die Risiken, denen das Unternehmen unterworfen ist identifiziert werden.
Nachdem die Bedeutung einer Risikobewertung klar geworden ist, kann sie durchaus abschreckend wirken, das sollte Sie aber nicht daran hindern loszulegen und die wichtigsten Maßnahmen zur Risikobehandlung durchzuführen. Sie müssen regelmäßig eine Risikobewertung durchführen, die Sie zur Erleichterung des Einstiegs durch aus wie folgt abkürzen können:
- Vermögenswerte: Beginnen Sie mit der Beurteilung Ihrer wichtigsten Geschäftsprozesse und IT-Services. Alle anderen Arten von Vermögenswerten lassen Sie erstmal außer Acht. Sie können später immer noch ergänzen.
- Bedrohungen: Unterteilen Sie Ihre Assets in Asset-Typen und identifizieren Sie, welche Bedrohungen für verschiedene Asset-Typen relevant sind. Auf diese Weise verhindern Sie, dass Ihr Bedrohungskatalog zu lang wird und beginnen schon mal mit der Bewertung.
- Up- und Down-Vererbung: Profitieren Sie von weniger Business-Impact-Abschätzungen und weniger Häufigkeitsbewertungen, indem Sie Abhängigkeiten zwischen Ihren Vermögenswerten identifizieren.
- High-Level-First: Beginnen Sie zuerst mit der Bewertung des höchsten Risikos. Die Risikobewertung ist ein Prozess, den Sie zu einem späteren Zeitpunkt immer noch verfeinern können indem Sie Ihre Vermögenswerte im Detail bewerten.
Wenn alles eingerichtet ist, müssen all diese Schritte und Prozesse beibehalten werden, und das könnte leichter gesagt als getan sein. Der Schlüssel dazu ist der Überblick. Das Schlimmste, was Sie tun können, ist, das Sie diese Prozesse in statischen Kalkulationstabellen vorhalten, die es erforderlich machen, sie manuell zu aktualisieren und sie immer genau zu beobachten. Ein interaktives Tool, das Ihnen hilft, diesen Überblick zu behalten, kann den Arbeitsaufwand drastisch minimieren, um Ihre Risiken kontinuierlich zu beurteilen und zu behandeln.