Gepostet am 29. Januar 2020 von in
Fünf Schritte zum effektiven Informationssicherheitsrisikomanagement
Ein Informationssicherheitsrisiko im Sinne des ISO/IEC 27005 Standards ist das „Potential, dass eine Bedrohung eine Schwachstelle eines Unternehmenswertes ausnutzt und dadurch zu einem Schaden für eine Organisation führt“. Zur Behandlung dieser Risiken sind in regulierten Unternehmen daher gemäß MaRisk AT 7.2 Abs. 4 „angemessene Überwachungs- und Steuerungsprozesse einzurichten, die (…) die Identifikation von IT-Risiken (…) sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen.“
Um diese Anforderungen zu erfüllen, sollte das Unternehmen über ein funktionsfähiges Informationssicherheitsrisikomanagement mit prozessual integrierten Verfahren zur Durchführung von regelmäßigen und anlassbezogenen Analysen zur Identifikation von Risiken verfügen. Idealerweise erfolgen diese Analysen sowohl risikobasiert und fortlaufend auf Basis bereits bekannter Risikokategorien als auch anlassbezogen, wenn Verstöße und operative Risiken zutage treten.
Darüber hinaus empfiehlt es sich Vorkehrungen zu treffen, um bisher intransparente IT-Risikokategorien strukturell zu identifizieren und konsequent in den etablierten Risikomanagementprozess zu integrieren. Die Unkenntnis über bisher nicht aufgedeckte Risikobereiche macht es nahezu unmöglich, Entscheidungen hinsichtlich sinnvoller und adäquater Struktur- und Steuerungsmaßnahmen auf Basis einer glaubwürdigen Grundlage zu treffen. In der Konsequenz sieht sich das Management schnell dem Vorwurf ausgesetzt, kein vollständiges Bild über die Risikosituation des Unternehmens zu haben und dadurch seiner Organisationsverantwortung nicht in ausreichendem Maße nachzukommen
Ganzheitliche Bewertung von IT-Risiken sendet starke Signale an Aufsichtsbehörden
In der Praxis hat sich aus diesem Grund bewährt, zu besonderen Anlässen oder in regelmäßigen Abständen, eine ganzheitliche Bewertung von IT-Risiken über die gesamte Wertschöpfungskette des Unternehmens hinweg durchzuführen. Dies ermöglicht nicht nur ein vollständigeres Bild über die Risikosituation eines Unternehmens, sondern dient zudem auch als starkes Signal gegenüber den Aufsichtsbehörden und Überwachungsgremien hinsichtlich der Wahrnehmung der eigenen Sorgfaltspflicht.
Severn Consultancy, eine auf den internationalen Finanzmarkt spezialisierte Unternehmensberatung, hat eine maßgeschneiderte Vorgehensweise zur Risikobewertung entwickelt. Damit können unsere Kunden mit vergleichsweise geringem Ressourcenaufwand in kurzer Zeit eine vollständige Risikosicht auf Ebene der Geschäftsleitung erreichen. Sie basiert auf verarbeiteten Informationen und Daten, welche das wertvollste Gut einer Bank darstellen (zum Regupedia-Blog).
Die Zielsetzung der Analyse ist es, Themenbereiche zu evaluieren, welche anschließend tiefergehend betrachtet werden können. Sie besteht aus fünf Schritten, die wir in unserem Factsheet zum effektiven Informationsicherheitssrisikomanagement näher erläutern. Sprechen Sie uns einfach an!