Standardisierte Kontrolle der entscheidenden IT-Risiken

Für alle IT-Systeme dieselben Maßnahmen zu fordern, bedeutet nach dem Gießkannenprinzip das IT-Security-Budget zu verteilen. Effizienter ist es, dort zu investieren, wo hohe Risiken das eigentliche Geschäft gefährden. IT-Risikomanagement (ITRM) verschafft die notwendige Übersicht über das Gesamtrisikopotential in Bezug auf relevante Geschäftprozesse. Damit legitimiert es ein IT-Security-Management und macht den Return on Security Invest (ROSI) greifbarer. Nur wer entstehende Kosten in Abhängigkeit vom operativen Geschäft darstellen kann (und wenn es über gesetzliche Grundlagen oder die Reputation des Unternehmens geht), schafft eine Basis für die Kommunikation mit anderen Abteilungen, wie IT-Governance (u.a. SOX), IT-Controlling, Corporate Risk Management, interne Revision, SLA-Management der IT sowie der IT-Security-Abteilung des (internen oder externen) IT-Dienstleisters.

Welche Ziele können Sie mit der Implementierung eines IT-Risikomanagement-Prozesses erreichen?

• Verbesserung des IT-Security-Reportings zu CIO und Corporate Risk Management,
• Prozessdokumentation nach CobiT 4.1 zur Unterstützung von SOX- bzw. EuroSOX / BilMoG-Anforderungen,
• Definition passender Prozess-KPIs zur Kontrolle der Effektivität des IT-Security-Managements,
• Etablierung und Automatisierung des Prozesses auf Basis von eigenen Formularen, Nutzung bzw. Kopplung von vorhandenen Workflow-Plattformen und Datenbanken oder Einführung einer ITRM-Software,
• Bewusstseinsschärfung der Systemverantwortlichen für den Mehrwert eines strukturierten ITRMs durch Schulungsmaßnahmen und Durchführung/Begleitung von Risikoanalyse-Interviews.

Bei folgenden Aktivitäten unterstützt Sie das Team der ConSecur GmbH zur Realisierung des IT-Risikomanagement-Prozesses:

1	_Methodik zur Risikoanalyse und -bewertung auswählen und an das Unternehmen anpassen: Erstellen, Entwickeln und Überarbeiten vorhandener IT-Sicherheitsregelwerke (Policies, Richtlinien). Ausrichten an Standards wie ISO 27001
2	_Prozesse abstimmen und festschreiben, u.a. High Level Business Impact Analyse Freigabeprozess für IT-Projektbudget Ausnahmegenehmigung zu Security-Policies Freigabeprozess für Firewallfreischaltungen

3	_Werkzeuge (Formulare, Fragebögen, Software, Workflows) bereitstellen: Vorlagen für IT-Sicherheitskonzepte, Freigabeantragsformulare, Dokumentationsvorlagen zur Risikoeinschätzung, zum Risikobericht und zur Restrisikoerklärung etc.
4	_Prozessschnittstellen etablieren, z.B. anhand von Übergabevereinbarungen
5	_Arbeitsanweisungen erstellen: abteilungsintern sowie für die Prozessschnittstellen
6	_Pilot durchführen
7	_Roll-out durchführen, mit Schulungen unterstützen und Prozess durch Interviews begleiten
8	_Prozess kontrollieren und verbessern: Automatisierung durch Tooleinführung, erweitertes GS-Tool für den komplexen Grundschutzansatz oder ISO27002-orientierten Kurzcheck über CheckRisk-Formulare

© by ConSecur

Lesen Sie unser ausführliches Yellow Paper! >>

von
Dipl.-Phys. D. Rudolph,

<< zurück zur Übersicht