Direkt zum Inhalt
denkfabrik groupcom GmbH

Agentur

Praxistipps für das IT-Risikomanagement


14. Juni 2016, 12:13
PRESSEMITTEILUNG/PRESS RELEASE

Häufig fehlt es an etablierten Strategien und werden mögliche Gefahren nicht systematisch ermittelt

(Limburg, 14.06.16) Das IT-Risikomanagement in den Unternehmen weist nach einer kürzlich durchgeführten Untersuchung durch das Beratungshaus CARMAO häufig erhebliche Schwächen auf. So besteht hierfür beispielsweise nur in etwas mehr als jedem dritten Fall eine etablierte Strategie und wird eine Ermittlung möglicher Gefahren vielfach ohne systematische Methoden oder gar nicht vorgenommen. CARMAO-Geschäftsführer Ulrich Heun hat deshalb einige Tipps zur Optimierung des IT-Risikomanagements zusammengestellt.

•Die Strategie für das IT-Risikomanagement an die Geschäftsziele anpassen: Das Informationsrisikomanagement ist ein Steuerungswerkzeug, das Ihnen dabei hilft, Ihre Geschäftsziele zu erreichen. Dies kann nur optimal gelingen, wenn die Geschäftsstrategie entsprechend ausgerichtet ist.
•Eindeutige Kriterien festlegen: Bevor sie anfangen, Risiken zu „managen“, muss definiert sein, was im Kontext Ihres Unternehmens überhaupt ein Risiko darstellt.
•Die Fachbereiche einbinden: Die IT-Abteilung mag Informationsrisiken verursachen, ohne die entsprechende Fachabteilung kann sie diese aber kaum angemessen adressieren. Den Fachbereichen obliegt deshalb die Pflicht zu definieren, welche Anforderungen sie an die Informationssicherheit ihrer Daten haben.
•Risiken proaktiv managen: Um Risiken effektiv zu managen, muss das Informationsrisikomanagement proaktiv ausgerichtet sein. Hierfür sollten Top-Down und Bottom-Up Ansätze kombiniert werden, d.h. sowohl die Risikoidentifikation aus Geschäftsprozesssicht als auch Analysen auf technischer Ebene (z.B. Schwachstellenscans) durchgeführt werden.
•Hohe Komplexität bei der Risikoklassifizierung vermeiden: Risikoklassifizierungen können aus beliebig vielen Auswirkungs- und Wahrscheinlichkeitsklassen bestehen. Doch je höher die Komplexität ist, desto schwerer wird es, die Risiken adäquat zu bemessen.
•Für Zukunftssicherheit sorgen: Beim Auf- oder Ausbau eines Risikomanagements sollten die Verantwortlichen darauf achten, es möglichst zukunftssicher zu gestalten. Welche Anforderungen können in absehbarer Zeit auf Ihr Unternehmen zukommen? Sowohl externe (IT-Sicherheitsgesetz, Regulatoren wie die BaFin, die Bundesnetzagentur, das BSI etc.) als auch interne Einflussfaktoren sollten hierbei berücksichtigt werden.
•Ein Risikoberichtswesen implementieren: Risiken zu managen bedeutet in erster Linie, sie zu steuern. Ohne eine entsprechende Übersicht und die Möglichkeit zu aggregieren, ist eine gezielte Steuerung aber kaum möglich. Daher ist es wichtig, ein Risikoberichtswesen einzuführen, damit die entsprechenden Interessengruppen fortlaufend über den aktuellen Stand und die Entwicklung der Risiken informiert werden.
•Eine Risikokultur aufbauen: Risiko ist ein negativ geprägter Begriff, daher wird es in Unternehmen oft vermieden, über Risiken zu sprechen. Um negative Ereignisse zu vermeiden, muss ein Unternehmen seine Risiken aber kennen und transparent machen. Mitarbeiter dürfen nicht dafür bestraft werden, der Überbringer schlechter Nachrichten (Risiken) zu sein. Risikomanagement ist deshalb eine aktive Aufgabe für das gesamte Unternehmen; die entsprechende Risikokultur muss von oben vorgelebt werden.
•Auf Standards und Best Practices achten: Es gibt unzählige Standards und Best Practices zum Thema Informationsrisikomanagement, unter anderem BSI Grundschutz, ISO 27005, ISO 31000, COBIT for Risk etc. Die etablierten Standards haben in der Regel eines gemeinsam: Sie alle bieten ein recht vollständiges Rahmenwerk und können von Unternehmen übernommen werden.

Über CARMAO
Die 2003 gegründete CARMAO GmbH bietet mit einem Expertenpool von etwa 60 zertifizierten Consultants Beratung, Dienstleistungen und Seminare mit den Schwerpunkten Informationssicherheit, IT-Risikomanagement, IT-Compliance sowie Datenschutz an. Zu den Besonderheiten von CARMAO gehören das Framework CHARISMA zur intelligenten und aufwandsschonenden Projektrealisierung sowie ein eigenes Forensik-Labor. Für ihre zunehmend global tätigen Kunden ist das Beratungshaus sowohl national als auch international aktiv. Zum Kundenstamm zählen verschiedene DAX- und eine Vielzahl weiterer renommierter Unternehmen aus allen wichtigen Branchen.www.carmao.de.

Redaktionskontakt
denkfabrik groupcom GmbH
Wilfried Heinrich
Pastoratstraße 6, D-50354 Hürth
Telefon: +49 2233 6117-72
@email

Kontakt
Wilfried Heinrich
+49 0 22 33 – 61 17 72