protection level button with low, medium and high positions, button is positioned in the highest position, black and blue background, blur effect

IT-Risikomanagement

Wozu benötigen Sie ein IT-Risikomanagement?

Nur mit einem funktionierenden IT-Risikomanagement hat man eine Entscheidungsbasis, um betriebswirtschaftlich sinnvolle Maßnahmen zu realisieren, um wesentliche IT-Risiken vom Unternehmen fern zu halten, zu reduzieren oder zu begrenzen.

  • IT-Risikomanagement setzt die Geschäftsrelevanz bei der IT-Sicherheit an die erste Stelle

  • IT-Risikomanagement hilft, die Schwachstellen der Unternehmens-IT-Infrastruktur zu bestimmen und zu bewerten

  • IT-Risikomanagement ist Grundlage der IT-Sicherheitsstrategie zur Entscheidung, welches Budget bzw. wie viele Ressourcen für welche Maßnahmen eingesetzt werden sollten.

  • IT-Risikomanagement ist Erfüllungsgrundlage zur für gesetzliche (Datenschutz Grundverordnung) oder normative Anforderungen (ISO 27001)

Was ist das IT-Risikomanagement?

Das IT-Risikomanagement ist ein kontinuierlicher Prozess, der die Risiken auf wesentliche Unternehmenswerte betrachtet mit dem Ziel, diese auf ein akzeptables Maß zu bringen und danach stetig zu reduzieren.

 

Wesentliche Unternehmenswerte (Assets) bezüglich IT-Sicherheit sind insbesondere IT-Systeme, Software in jeglicher Form, Netzwerke, Daten und Informationen, Personen und Organisationen. Da dies oft sehr schnell unüberschaubar wird reduziert man oftmals auf durchgehende Kernprozesse, wie z.B. den „Betrieb eines Webshops“.

 

Ein Risiko liegt immer dann vor, wenn eine Bedrohung auf eine vorhandene Schwachstelle trifft und wird durch die Eintrittswahrscheinlichkeit und die Auswirkungen beschrieben (siehe Abbildung)

Wie ist das Vorgehen für ein IT-Risikomanagement?

  1. Zuerst werden die Unternehmenswerte bestimmt und die anzuwendenden Schutzziele. Die Schutzziele sind in der Regel Vertraulichkeit, Integrität und Verfügbarkeit, zunehmend auch die Zurechenbarkeit.

  2. Es erfolgt die Identifikation von Schwachstellen

  3. Eine Risikoanalyse bringt Eintrittswahrscheinlichkeit und Schadenshöhe in Korrelation. Die Risikoanalyse nutzt quantitative und qualitative Abschätzungen

  4. Eine Risikobewertung führt zur Risikoeinschätzung und anschließend zur Risikobehandlung. In der Risikobewertung wird eine konsistente Entscheidungsgrundlage für den nächsten Schritt geschaffen.

  5. In der Risikobehandlung werden Risiken akzeptiert, reduziert, eliminiert oder transferiert (z. B. an eine IT Versicherung). Das Ignorieren der Risiken ist keine Option.

  6. Es wird ein stetiger Prozess mit angemessenem Reporting etabliert, das IT Risikomanagement.

Was sind unsere Leistungen für Ihr IT-Risikomanagement?

  1. Wir unterstützen Sie bei der Auswahl eines geeigneten Standards wie ISO31000, COBIT, der geeigneten Ergänzungen wie ISO27005, BSI Grundschutzkompendium und notwendigen Ergänzungen aus Best Practices (z.B. COBIT5, NIST SP800-30, CMMI).

  2. Wir bauen mit Ihnen ein geeignetes IT-Risikomanagement auf.

  3. Wir helfen Ihnen dies wirtschaftlich zu betreiben und stetig zu verbessern.

Kontakt

Falls wir Ihr Interesse geweckt würden wir uns auf ein Gespräch freuen. 

Rufen Sie uns an oder kontaktieren Sie uns per Email und vereinbaren Sie einen Termin mit uns. 

 

Telefon: (0821) 5675041

Email: Info@secobit.de