|
|
 |
 |
Risk Management |
| |
|
|
|
Bei Risikomanagement geht es um die Bewertung schützenswerter Objekte einerseits und der Bewertung von Bedrohungen, Schwächen und Vulnerabilities - der Risiko-Analyse andererseits.
Die Bewertung der Verlustmöglichkeit, der Quantifizierung des möglichen Schadens durch Produktivitätseinbußen, wie Ausfall, Wiederherstellung, Untersuchungen und Nachbesserungsmaßnahmen, oder durch Pönale und andere konkrete finanzielle Verluste, sowie Imageschäden oder resultierenden Konflikte mit Gesetzen, mit Kosten für das Verfahren, Strafzahlungen oder gar persönliche Haftung, kann in einem konkretem Wert dem "Exposure Faktor" im Verhältnis zu schützenswerten Daten angegeben werden.
|
|
|
|
Diese Daten sollen die Entscheidung des Risikomanagement fundieren, ob das Risiko akzeptiert wird, oder welche Maßnahme getroffen wird. Wird kein Risikomanagement durchgeführt wird Risiko ignoriert und das läuft schlussendlich auf Risikoakzeptanz hinaus - was natürlich auch eine Entscheidung ist, aber ob man weiß was man tut?
Eine weitere Möglichkeit besteht darin, Risiko auf eine Versicherung zu übertragen. Wenn man sich die Risikoprämie nicht leisten kann, sollte man sich doch überlegen, wie man das Risiko anders mindern könnte. Risikominderung besteht im Verhindern oder Verkleinern von Bedrohungen und Schwächen bzw. implizit deren Auswirkungen, an der Verkürzung der Zeit zur Erkennung von Vorfällen und setzen von angemessenen Aktionen und Vorkehrungen zum optimalen Ablauf, sowie der Wiederherstellung eines sicheren Zustandes.
Ein brauchbarer Ansatz ist auch die Kombination der Minderung, Übertragung und Akzeptanz eines Restrisikos.
|
ROI |
Der Return on Investment (ROI) für IT-Investitionen ist oft schwer zu berechnen, da Einkünfte oder Kostenersparnis nicht trivial zu quantifizieren sind. Die Kosten hingegen sind einfacher zusammenzufassen, deshalb ist der Total Cost of Ownership (TCO) eine wichtige Kennzahl.
Investitionen in die Sicherheit können mit Best Practises oder mit Industriestandards begründet werden, ein genaueres Bild vom Nutzen einer Sicherheitsinvestition bietet eine Betrachtung durch die "Versicherungsbrille". Das setzt aber schon eine Analyse von Bedrohungen, Verwundbarkeiten sowie den vorhandenen Werten, um die Auswirkung einer Maßnahme auf den zu erwartenden jährlichen Schaden (Annual Loss Expectancy) bzw. die Risikominderung quantifizieren zu können, voraus - womit man schon mitten im klassischen Bereich des Risikomanagements ist.
|
... und ROSI |
Das Modell des Return on Security Investment (ROSI) zieht zusätzlich zum Versicherungsmodell auch zusätzliche Erträge und Kosteneinsparungen in Rechnung, was der Sichtweise, das IT-Sicherheit ein "Business Enabler" ist, besser entspricht.
Quantifizierter Schaden den ein Ereignis bewirkt (Ausfall, Wiederherstellung, Image,...) x Anzahl der Ereignisse (annualisiert) = Verlusterwartung (Annual Loss Expectancy)
Der Wert einer Sicherheitsmaßnahme kann durch den Prozentsatz der Risikominderung (durch Verhindern, Erkennen, schnellerem Wiederherstellen,...) und der Verlusterwartung ermittelt werden.
Verlusterwartung x Risikominderung = Wert der Maßnahme
Dieser Wert inklusive zusätzliche Erträge oder Kosteneinsparungen durch ermöglichte Geschäftsprozesse vervollständigen den Return on Security Investment.
|
Sicherheit vs. Komfort |
Sicherheit und Komfort befinden sich meist in einem Trade-Off - Gewinn an Sicherheit wird mit einem Verlust an Komfort erkauft und umgekehrt. Zur Umsetzung von Sicherheitsmaßnahmen gehört auch die Schaffung von Akzeptanz für die Sicherheitsmaßnahmen - dies kann nur über ein Bewusstseinsbildungsprogramm (Awareness-Schaffung) erfolgen.
Sicherheitslösungen sollten also möglichst bequem für den Anwender gestaltet werden, damit reduziert sich der Aufwand für notwendige Awareness und manche Maßnahmen wirken sogar selbst bewusstseinsbildend - die Verwendung von Security Token wie Smart Cards hat soziologische Implikationen - man passt einfach mehr auf.
|
|
|
|
|
Linkstipps |
|
|
|
|
|
|
 |
|
|
|
|
|
|
|
|
|
|
Impressum