In heutigen informationsabhängigen Organisationen ist es von grundlegender Bedeutung, informationsbezogene Risiken sowie die zugrunde liegenden IT-bezogenen Risiken zu bewerten und zu verwalten. Die Bewertung des Informationsrisikos und das Risikomanagement sind von wesentlicher Bedeutung, um sicherzustellen, dass Kontrollen und Ausgaben vollständig den Risiken entsprechen, denen die Organisation ausgesetzt ist.

  • Abschreckende Kontrollen: um die Wahrscheinlichkeit eines vorsätzlichen Angriffs zu verringern
  • Präventive Kontrollen: um Schwachstellen zu mindern oder die Erfolgsaussichten eines Angriffs zu verringern
  • Korrektive Kontrollen: um die Wirkung oder Auswirkung eines Angriffs zu verringern
  • Detektivkontrollen: um Angriffe zu entdecken und vorbeugende oder korrigierende Kontrollen auszulösen

Diese Elemente können durch ein einfaches relationales Modell veranschaulicht werden:

VORTEILE EINES RISIKOBEWERTUNGSPROGRAMMS

Zu den Vorteilen eines Risikobewertungs-/Analyseprogramms gehören laut ISO27000:

Kostenbegründung

Zusätzliche Sicherheit ist fast immer mit zusätzlichem Aufwand verbunden. Da hierdurch keine unmittelbaren Einnahmen erzielt werden, sollte dies immer finanziell begründet werden. Der Risikoanalyseprozess sollte direkt und automatisch eine solche Begründung für Sicherheitsempfehlungen in geschäftlicher Hinsicht generieren.

Ein Risikoanalyseprogramm sollte die Produktivität des Sicherheits- oder Prüfteams steigern. Durch die Erstellung einer Überprüfungsstruktur, die Formalisierung einer Überprüfung, die Bündelung von Sicherheitswissen in der „Wissensbasis“ des Systems und die Nutzung von „Selbstanalyse“-Funktionen ist eine wesentlich produktivere Zeitnutzung möglich. Die Möglichkeit, Fachwissen „einzubauen“, sollte auch den Bedarf an teuren externen Sicherheitsberatern verringern.

Barrieren überwinden – Geschäftsbeziehungen

Die Sicherheit sollte sowohl von der Geschäftsleitung als auch von den IT-Mitarbeitern berücksichtigt werden. Die Unternehmensleitung ist für Entscheidungen in Bezug auf das Sicherheitsrisiko/-niveau verantwortlich, das das Unternehmen zu einem bestimmten Zeitpunkt bereit ist, zu akzeptieren (wozu auch die Berücksichtigung potenzieller geschäftlicher Auswirkungen gehört). Das IT-Management ist für Entscheidungen zu spezifischen Kontrollen und Anwendungen verantwortlich.

Die Risikoanalyse sollte nicht nur geeignete Informationen an jede Gruppe weiterleiten, sondern auch eine wichtige und proaktive Rolle dabei spielen, das Verständnis für die Bedürfnisse und die Rolle der anderen zu verbessern. Es soll die beiden Gruppen näher zusammenbringen. Die Risikoanalyse sollte die Sicherheit direkt mit Geschäftsproblemen in Verbindung bringen.

Selbstanalyse

Das Risikobewertungssystem sollte so einfach sein, dass seine Verwendung ohne besondere Sicherheitskenntnisse oder sogar IT-Expertise möglich ist. Dieser Ansatz ermöglicht es, die Sicherheit auf mehr Bereiche auszudehnen und stärker zu dezentralisieren. Dadurch wird Sicherheit zu einem Teil der Unternehmenskultur und ermöglicht es dem Management der Geschäftseinheiten, mehr Verantwortung für die Gewährleistung eines angemessenen und angemessenen Sicherheitsniveaus zu übernehmen.

Sicherheitsbewusstsein

Die weitreichende Anwendung eines Risikobewertungsprogramms durch die aktive Einbeziehung einer Reihe und größerer Anzahl von Mitarbeitern wird Sicherheit auf die Tagesordnung der Diskussion setzen und das Sicherheitsbewusstsein im Unternehmen erhöhen.

Ausrichtung auf Sicherheit

Die Sicherheit sollte richtig ausgerichtet sein und in direktem Zusammenhang mit potenziellen Auswirkungen, Bedrohungen und bestehenden Schwachstellen stehen. Gelingt dies nicht, kann es zu übermäßigen oder unnötigen Ausgaben kommen. Die Risikoanalyse fördert eine weitaus bessere Zielausrichtung und erleichtert entsprechende Entscheidungen. Dies gilt nicht nur für die Bereiche eines bestimmten Systems, sondern auch für die Geschäftssysteme. Durch die Anwendung der Risikoanalyse über mehrere Geschäftsbereiche hinweg ist es möglich, schnell die Bereiche zu ermitteln, in denen das größte Risiko für das Unternehmen als Ganzes besteht.

„Grundlegende“ Sicherheit und Richtlinie

Viele Unternehmen verlangen die Einhaltung bestimmter „Grundstandards“. Dies kann verschiedene Gründe haben, wie z. B. Gesetze (z. B. Datenschutzgesetz), Unternehmensrichtlinien, behördliche Kontrollen usw. Die Methodik der Risikoanalyse sollte solche Anforderungen unterstützen und eine schnelle Identifizierung etwaiger Mängel ermöglichen.

Konsistenz

Ein großer Vorteil der Anwendung der Risikoanalyse besteht darin, dass sie einen konsistenten und objektiven Ansatz für alle Sicherheitsüberprüfungen bietet. Dies gilt nicht nur für verschiedene Anwendungen, sondern auch für verschiedene Arten von Geschäftssystemen. Es sollte auch die Systeme umfassen, die nicht der direkten Kontrolle des IT-Managements unterliegen: papierbasierte Systeme, PC-Systeme oder Systeme, die andere Bürogeräte nutzen.

Kommunikation

Durch die Einholung von Informationen aus verschiedenen Teilen einer Geschäftseinheit unterstützt eine Risikobewertung die Kommunikation und erleichtert die Entscheidungsfindung.

Es gibt auch eine Reihe anderer wichtiger, aber weniger greifbarer Vorteile, die sich aus der Anwendung der Risikoanalyse ergeben.

SOFTWAREPAKETE ZUR RISIKOBEWERTUNG

FORFIRM-Softwarepakete zur Risikobewertung sind verfügbar und diese Tools stellen eine Alternative zur manuellen Durchführung des Risikobewertungsprozesses dar, da sie eine automatisierte Möglichkeit zur Ausführung von Teilen des Risikobewertungsprozesses bieten. Einige sind für die Analyse großer integrierter Informationssysteme konzipiert, während andere kleinere, eigenständige Systeme bewerten.

Während der Einsatz automatisierter Tools die Datenerfassung und -analyse erleichtern kann, sind Tools weder notwendig noch erforderlich, um eine wirksame Risikobewertung durchzuführen. Darüber hinaus reduzieren Risikobewertungstools selten den Grad der Einbindung des Kunden, weshalb die Entscheidung für den Einsatz eines solchen Tools im Ermessen des Engagement Managers liegt.

Überblick über die Methodik und Ziele

Die FORFIRM-Risikobewertungsmethodik zielt darauf ab, Folgendes zu erleichtern und zu unterstützen:

  • Eigenständige Projekte zur Risikobewertung
  • Risikobewertung im Rahmen eines ESAS-Projekts (Enterprise Security Architecture System).
  • Risikobewertung für Compliance-/Zertifizierungsprojekte in der Regulierungsbranche

Um eine Risikobewertung durchführen zu können, muss ein Klassifizierungsschema vorhanden sein. Diese Methodik beginnt mit der Präsentation von Vorschlägen und Richtlinien zur Durchführung einer Informationsklassifizierungsübung. Sobald die Ergebnisse dieser Übung vorliegen, wird eine umfassende Risikobewertung durchgeführt, um alle identifizierten kritischen Geschäftsinformationen abzudecken.

Eine Risikobewertung befasst sich mit externen, internen, zufälligen und absichtlichen Bedrohungen für die Organisation, dem Grad der Anfälligkeit der Organisation gegenüber diesen Bedrohungen und bestimmt letztendlich den Grad des Risikos , dem die Organisation ausgesetzt ist. Tatsächlich sind diese Vorstellungen von Bedrohung, Verletzlichkeit und Risiko von grundlegender Bedeutung für jede Risikobewertung. Dieses Dokument dient dazu, diese Ideen in einen Zusammenhang zu bringen und dem Leser ein grundlegendes Verständnis einer Risikobewertung zu vermitteln; deckt wichtige Bereiche ab, die in den internationalen Risikomanagementstandards dargelegt sind.

Diese Übungshilfe bietet außerdem einen allgemeinen Leitfaden für die Durchführung einer umfassenden Risikobewertung.

Ein weiteres grundlegendes Konzept ist das Risikomanagement, das sich mit Möglichkeiten zum Umgang mit Risiken befasst. Sicherheitskontrollen sollten entsprechend der Bedeutung der Informationen implementiert werden. Vielleicht noch wichtiger ist, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Informationen durch die verbesserten Kontrollen verbessert werden kann.

Risikobewertung und FORFIRM Information Security Framework

In Anbetracht der Tatsache, dass die „Risikobewertung“ ein wesentliches Element innerhalb des FORFIRM-Informationssicherheitsrahmens ist, bietet der nächste Abschnitt einen Überblick darüber, wo sie aus einer übergeordneten Perspektive passt und wie sie dem Sicherheitsrahmen der Organisation insgesamt zugute kommt.

Das FORFIRM Information Security Framework ist ein umfassendes und bewährtes Modell. Es definiert die verschiedenen miteinander verbundenen Aspekte der Informationssicherheit, die untersucht und umgesetzt werden müssen, um sicherzustellen, dass eine Organisation effizient und effektiv gesichert ist. Das Information Security Framework wurde entwickelt, um die Sicherheitsherausforderungen einer Organisation aus geschäftlicher Sicht aufzuzeigen und einen strukturierten Ansatz zur Unterstützung von Unternehmenssicherheitsinitiativen bereitzustellen.

Das Information Security Framework besteht aus vielen verschiedenen Bausteinen, die eine solide Grundlage und Struktur bilden. Das Ergebnis ist ein umfassendes, zusammenhängendes Modell zur Bewertung der Informationsschutzbemühungen, das alle Aspekte einer Organisation berücksichtigt – von Geschäftsprozessen über Technologien bis hin zu Endbenutzermitarbeitern.

Elemente und Komponenten des Information Security Framework

Das Informationssicherheits-Framework lässt sich in vier grundlegende Bereiche mit jeweils einzigartigen Elementen unterteilen. Zu diesen Bereichen gehören:

Die vier Säulen:

  • Sicherheitsvision und -strategie
  • Engagement der Geschäftsleitung
  • Schulungs- und Sensibilisierungsprogramm
  • Struktur des Informationssicherheitsmanagements

Die Entscheidungstreiberelemente:

  • Technologiestrategie und -nutzung
  • Geschäftsinitiativen und -prozesse
  • Risikobewertung

Die Entwicklungselemente

  • Richtlinien und Standards
  • Sicherheitsmodell
  • Sicherheitsarchitektur und technische Sicherheitsstandards

Die Implementierungselemente

  • Durchsetzungsprozesse
  • Überwachungsprozesse
  • Reaktions- und Wiederherstellungsprozesse

FORFIRM nutzt das Information Security Framework, um die aktuelle Informationsschutzumgebung einer Organisation zu bewerten und Verbesserungen für das Sicherheitsprogramm einer Organisation zu empfehlen. Der Einsatz des Information Security Framework gewährleistet eine umfassende Abdeckung einer Sicherheitsumgebung auf Unternehmensebene. Wie im Rahmenwerk dargestellt, ist die Durchführung einer Risikobewertung ein wichtiges Entscheidungselement für den Informationsschutz und muss beim Aufbau eines umfassenden unternehmensweiten Sicherheitsprogramms berücksichtigt werden.

SIE KÖNNTEN AUCH INTERESSIERT SEIN: