Risikomanagement ist ein integraler Bestandteil jeder IT-Sicherheitsstrategie. IT-Verantwortliche müssen Risiken, Eintrittswahrscheinlichkeit und Auswirkungen kennen, um angemessen handeln zu können. Wie aber misst und dokumentiert man Risiken? Wie kommuniziert man sie verständlich an das Management? Dieses eBook gibt Antworten.
Inhalt:
Das Risikomanagement entspringt der Erkenntnis, dass es keine absolute Sicherheit in der IT geben kann. Vielmehr gilt es, potenzielle Schwachstellen und Sicherheitslücken zu identifizieren, die Wahrscheinlichkeit der Ausnutzung zu bewerten und den möglichen Schaden eines erfolgreichen Missbrauchs abzuschätzen. Dabei sind Aufwand und Kosten stets im Blick zu behalten. Nach dem „Law of diminishing returns“ wird es immer teurer und aufwendiger, je mehr man sich dem Ideal der „absoluten Sicherheit“ nähert.
Dieser risikobasierte Ansatz liegt auch der aktuellen EU-Gesetzgebung im Bereich der Cybersicherheit zugrunde. Richtlinien und Verordnungen wie NIS 2 (Network and Information Security 2) oder DORA (Digital Operational Resilience Act) verlangen deshalb von Unternehmen nicht, jede Sicherheitslücke zu schließen, sondern sich über Risiken klar zu werden, diese zu dokumentieren und ein angemessenes Cybersicherheitsniveau zu erreichen.
Wie aber misst und dokumentiert man Risiken? Wie kommuniziert man sie so an die Geschäftsleitung, dass diese sie auch versteht?
Antworten gibt das vorliegende eBook.
Es zeigt Ihnen unter anderem:
- Wie Sie Risiken zuverlässig identifizieren.
- Welche IT-Bereiche Sie dabei berücksichtigen müssen.
- Wie Sie die Risikomessung automatisieren und beschleunigen.
Originalauszug aus dem Dokument:
Melden von Risiken, die für die Unternehmensführung von Bedeutung sind
Risiko hat für viele Menschen eine ganz unterschiedliche Bedeutung. Wenn Sie mit IT-Fachleuten über Risiken sprechen, werden Sie wahrscheinlich von der Gefahr von Serverausfällen, Datenverletzungen oder Schwachstellen in der Software hören, die zu Datenschutzverletzungen führen könnten.
Vielleicht hören Sie auch von nicht autorisierten Geräten, Bring-Your- Own-Device (BYOD)-Richtlinien und davon, wie schwierig es ist, den Umgang der Mitarbeiter mit den Unternehmensdaten in ihren Heimnetzwerken zu überwachen, da sie nun aus der Ferne arbeiten.
All diese Dinge – von Serverausfällen bis hin zu externen Mitarbeitern – stellen Risiken der einen oder anderen Art dar. Wenn Sie jedoch für die Risikoberichterstattung an die Geschäftsleitung und den Vorstand Ihres Unternehmens zuständig sind, beabsichtigen Sie dann wirklich, ihnen eine Liste der ungepatchten Systeme oder eine Schätzung der Anzahl an Mitarbeitern vorzulegen, die BYOD-Geräte verwenden?