CSD Unternehmensberatung GmbH
IT-Risikomanagement
Risikomanagement bedeutet organisiertes, proaktives Beschäftigen mit Risiken. Dabei werden Risiken bewertet und priorisiert. Gegen hoch priorisierte Risiken müssen Maßnahmen gefunden werden, um Schäden abzuwenden.
Ohne Risikomanagement ist Ihre IT im Blindflug unterwegs
Es gibt verschiedene Ansätze, Risiken der Informationssicherheit zu identifizieren und sie zu bewerten. Wir unterstützen dabei einen ganzheitlichen Ansatz, der sich mit Hauptthemen befasst, die sich - ganz nach individueller Situation - beliebig granulieren lassen: Man geht in die Tiefe, wenn es nötig ist und fasst zusammen, was sinnvoll erscheint.
Der klassische Risikoansatz ist durch Schadensausmaß und Eintrittswahrscheinlichkeit bestimmt. Doch in der Informationssicherheit spielt noch ein dritter Parameter eine wichtige Rolle: die Zeitspanne, innerhalb derer ein Risiko, das schlagend geworden ist, aber noch nicht entdeckt wurde wie beispielweise Schadsoftware, die im Hintergrund längst wirkt und Daten über längere Zeit nach draußen kopiert aber noch immer nicht entdeckt wurde.
Vorhandene Tools zur Risikobewertung aus anderen Unternehmensbereichen können meistens auch für Informationssicherheits-Risiken eingesetzt werden. Wichtig ist, dass erkennbar wird, welche Gefährdungen für die vorhandenen Assets bestehen, welche Prioritäten zugeordnet werden und schließlich auch, welche Maßnahmen getroffen werden können. Dabei gibt es vor allem drei große Maßnahmengruppen, die sich oft auch ergänzen können: Reduzieren/eliminieren, versichern oder ein Risiko weiterhin bewusst zu tragen.
Es gibt verschiedene Ansätze, Risiken der Informationssicherheit zu identifizieren und sie zu bewerten. Wir unterstützen dabei einen ganzheitlichen Ansatz, der sich mit Hauptthemen befasst, die sich - ganz nach individueller Situation - beliebig granulieren lassen: Man geht in die Tiefe, wenn es nötig ist und fasst zusammen, was sinnvoll erscheint.
Der klassische Risikoansatz ist durch Schadensausmaß und Eintrittswahrscheinlichkeit bestimmt. Doch in der Informationssicherheit spielt noch ein dritter Parameter eine wichtige Rolle: die Zeitspanne, innerhalb derer ein Risiko, das schlagend geworden ist, aber noch nicht entdeckt wurde wie beispielweise Schadsoftware, die im Hintergrund längst wirkt und Daten über längere Zeit nach draußen kopiert aber noch immer nicht entdeckt wurde.
Vorhandene Tools zur Risikobewertung aus anderen Unternehmensbereichen können meistens auch für Informationssicherheits-Risiken eingesetzt werden. Wichtig ist, dass erkennbar wird, welche Gefährdungen für die vorhandenen Assets bestehen, welche Prioritäten zugeordnet werden und schließlich auch, welche Maßnahmen getroffen werden können. Dabei gibt es vor allem drei große Maßnahmengruppen, die sich oft auch ergänzen können: Reduzieren/eliminieren, versichern oder ein Risiko weiterhin bewusst zu tragen.
