Nach den grundlegenden Informationen im Security Pilot Weekend Briefing Nr. 5 zum Thema Risikomanagement steigen wir jetzt richtig ein.
Schritt 1 im Risikomanagement (nach Sammeln aller Assets, Konkretisierung des Geschäftsumfeldes usw.) ist die Risikoidentifikation.
Kurz zur Erinnerung, wo befinden wir uns?
Was ist das Ziel der Risikoidentifikation?
Ziel ist es, alle Risiken, die mein Geschäft betreffen aufzulisten, um das Risiko später bewerten zu können.
Die Identifikation ist also ein essenzieller Schritt, bevor eine qualitative und quantitative Bewertung des Risikos erfolgen kann.
Wie identifiziere ich Risiken für mein Geschäft?
Natürlich gibt es hierfür kein Patentrezept, aber einfach formuliert kann ich
durch Beobachten
durch eigene Erfahrungen und die Anderer
durch Heranziehen historischer Daten
durch Kenntnis von Vorschriften
viele Risiken identifizieren.
Fiktives Beispiel:
Im Fachmagazin „Bretterbude“ wird darauf hingewiesen, dass im vergangenen Monat 12 Arbeiter beim Aufbauen einer Bretterbude Arbeitsgerät auf den blanken Fuß gefallen war.
Welche Risiken identifizieren wir?
Schmerzen am Fuß, möglicherweise unfallbedingter Arbeitsausfall
Mögliche Beschädigung des Arbeitsgeräts
Verzögerung des Aufbaus durch fehlende Arbeitskraft und defektes Arbeitsgerät
Mögliche Verstöße gegen Sicherheitsvorschriften
Usw.
Das Ergebnis ist eine Liste mit allen Risiken, die identifiziert worden sind, z.B. in der Form
Risiko |
---|
Schadsoftware |
Rechtliche Anforderungen für Cybersicherheit |
Spam |
Fehlende Softwarelizenzen |
Datensicherheit |
Unsichere Passwörter |
Jedem Risiko sollte eine Beschreibung hinzugefügt werden, damit auch später noch ersichtlich ist, was genau mit dem Risiko gemeint war, als es identifiziert wurde.
Risiken können natürlich mehrfach vorhanden sein, bspw. Schadsoftware auf Windows, auf MAC OS, Linux, etc., je nachdem, was konkret betrachtet wurde.
Risiken der gleichen Art können dann zusätzlich gruppiert werden, beispielsweise
IT-Risiken
Softwarerisiken
Netzwerkrisiken
Compliance-Risiken
Personalrisiken
Risiken im physischen Schutzbereich
Usw.
Diese Gruppierung mag nach dem nächsten Schritt anzupassen sein, wenn die Behandlungen der Risiken voneinander abweichen, da dies ansonsten das Management erschwert.
Weitere wichtige Informationen, die im Rahmen der Risikoidentifikation bereits erhoben werden sollten, sind:
Wer ist der Risikoeigner, also wem ist das Risiko verantwortlich zuzuordnen?
Wer ist Eigentümer des Assets, für welches Risiken identifiziert wurden?
Welchen potenziellen und tatsächlichen Wert hat das Asset für den Geschäftsbereich / das Unternehmen?
Wie sind die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit des risikobehafteten Assets?
Daten welcher Art (Stichwort "Datenklassifikation") werden mit dem Asset verarbeitet, welches Risiken birgt?
Antworten auf diese Fragen helfen im nächsten Schritt, bei der Risikobewertung (auch Risikoassessment genannt).
Damit wäre Schritt 1 von 4 abgeschlossen.
Wer ist für die Risikoidentifikation zuständig?
Ich erinnere an folgende Darstellung aus meinem vorigen Briefing.
Für die Risikoidentifikation sind die 1. und 2. Verteidigungslinie zuständig.
Die 1. Verteidigungslinie ist dabei direkt dran am Business und identifiziert alle Risiken in ihrem Zuständigkeitsbereich. Das Ergebnis teilt sie mit der 2. Verteidigungslinie.
In der 2. Verteidigungslinie werden alle Risiken gesammelt, ggf. gruppiert und (sobald möglich) priorisiert.
Die 2 Verteidigungslinie ist in dieser Darstellung das Risikomanagement-Team um den CISO / Sicherheitsverantwortlichen des Unternehmens. Dieses Team muss den Überblick behalten und kann so übergreifende Risiken identifizieren.
Übergreifende Risiken erfordern die Geschäftsbereichs-übergreifende Festlegung der Zuständigkeit, da diese üblicherweise nicht durch einen einzelnen Bereich behandelt werden können.
Die 2. Verteidigungslinie spielt dabei ebenfalls die Rolle der Qualitätskontrolle, d.h. Prüfung, ob Informationen, die für den weiteren Prozess erforderlich sind, gesammelt wurden.
Die Aufgabe der 3. Verteidigungslinie ist es, zu prüfen, dass die 1. und 2. Verteidigungslinie ihren Aufgaben im Rahmen des Risikomanagements im erforderlichen Umfang und mit der erforderlichen Gewissenhaftigkeit nachkommt.
Fazit:
Im Rahmen der Risikoidentifikation schauen wir uns im Unternehmen nach möglichen Risiken u.a. mit folgenden Fragestellungen um
Was kann alles schief gehen?
Welche Assets (Geräte, Daten, Prozesse etc.) sind von Risiken betroffen?
Was ist schon mal schief gegangen?
Was ist bei Anderen (ähnliches Business) schon mal schief gegangen?
Was wird z.B. in Berichten von Versicherungen als Risiken genannt oder was in Fachmagazinen oder einfach in den täglichen Nachrichten?
Wir betrachten dabei alles unter Berücksichtigung unseres individuellen Geschäftsmodells, unserer Lokation, unserer technischen Infrastruktur, unserer Kunden, Mitarbeiter und Partner usw.
Zum Schluss dieses 1. Schrittes verfügen wir über eine Auflistung unserer Risiken.
Dieser Beitrag ist als Kurzübersicht zu verstehen, das Thema Risikomanagement ist insgesamt wesentlich komplexer, bei Fragen kommen Sie gern direkt auf mich zu.
コメント