Feedback

Gepostet am 29. Januar 2020 von  Andreas Götz, Projektmanager bei Severn Consultancy in IT-Sicherheit

Fünf Schritte zum effektiven Informationssicherheitsrisikomanagement

Die ganzheitliche Betrachtung von Informationssicherheitsrisiken trägt bei Aufsichtsbehörden und Aufsichtsgremien erheblich zur Vertrauensbildung bei. Doch wie erkennen Unternehmen Informationssicherheitsrisiken überhaupt und wie gehen sie angemessen damit um?

Ein Informationssicherheitsrisiko im Sinne des ISO/IEC 27005 Standards ist das „Potential, dass eine Bedrohung eine Schwachstelle eines Unternehmenswertes ausnutzt und dadurch zu einem Schaden für eine Organisation führt“. Zur Behandlung dieser Risiken sind in regulierten Unternehmen daher gemäß MaRisk AT 7.2 Abs. 4 „angemessene Überwachungs- und Steuerungsprozesse einzurichten, die (…) die Identifikation von IT-Risiken (…) sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen.“

Um diese Anforderungen zu erfüllen, sollte das Unternehmen über ein funktionsfähiges Informationssicherheitsrisikomanagement mit prozessual integrierten Verfahren zur Durchführung von regelmäßigen und anlassbezogenen Analysen zur Identifikation von Risiken verfügen. Idealerweise erfolgen diese Analysen sowohl risikobasiert und fortlaufend auf Basis bereits bekannter Risikokategorien als auch anlassbezogen, wenn Verstöße und operative Risiken zutage treten. 

 

Darüber hinaus empfiehlt es sich Vorkehrungen zu treffen, um bisher intransparente IT-Risikokategorien strukturell zu identifizieren und konsequent in den etablierten Risikomanagementprozess zu integrieren. Die Unkenntnis über bisher nicht aufgedeckte Risikobereiche macht es nahezu unmöglich, Entscheidungen hinsichtlich sinnvoller und adäquater Struktur- und Steuerungsmaßnahmen auf Basis einer glaubwürdigen Grundlage zu treffen. In der Konsequenz sieht sich das Management schnell dem Vorwurf ausgesetzt, kein vollständiges Bild über die Risikosituation des Unternehmens zu haben und dadurch seiner Organisationsverantwortung nicht in ausreichendem Maße nachzukommen

Ganzheitliche Bewertung von IT-Risiken sendet starke Signale an Aufsichtsbehörden

In der Praxis hat sich aus diesem Grund bewährt, zu besonderen Anlässen oder in regelmäßigen Abständen, eine ganzheitliche Bewertung von IT-Risiken über die gesamte Wertschöpfungskette des Unternehmens hinweg durchzuführen. Dies ermöglicht nicht nur ein vollständigeres Bild über die Risikosituation eines Unternehmens, sondern dient zudem auch als starkes Signal gegenüber den Aufsichtsbehörden und Überwachungsgremien hinsichtlich der Wahrnehmung der eigenen Sorgfaltspflicht. 

Severn Consultancy, eine auf den internationalen Finanzmarkt spezialisierte Unternehmensberatung, hat eine maßgeschneiderte Vorgehensweise zur Risikobewertung entwickelt. Damit können unsere Kunden mit vergleichsweise geringem Ressourcenaufwand in kurzer Zeit eine vollständige Risikosicht auf Ebene der Geschäftsleitung erreichen. Sie basiert auf verarbeiteten Informationen und Daten, welche das wertvollste Gut einer Bank darstellen (zum Regupedia-Blog)

Die Zielsetzung der Analyse ist es, Themenbereiche zu evaluieren, welche anschließend tiefergehend betrachtet werden können. Sie besteht aus fünf Schritten, die wir in unserem Factsheet zum effektiven Informationsicherheitssrisikomanagement näher erläutern. Sprechen Sie uns einfach an!


Zum Kontaktformular


Login 

Passwort vergessen?

Newsletter abonnieren


















Captcha*

Bitte beachten Sie, dass Sie zur Anmeldung eine dienstliche E-Mail benötigen. Außerdem können wir Anmeldungen von Branchendienstleistern nicht berücksichtigen.