Aktuelle Trends beim Risikomanagement

Kein Glücksspiel

Viele Unternehmen betreiben IT-Sicherheitsmanagement ohne Berücksichtigung der Risikolage. Und in Hinblick auf konkrete Bedrohungen agieren vor allem KMUs häufig nur reaktiv und fehlende Konzepte drängen die IT-Organisation häufig in die Rolle der Feuerwehr. Die Nachteile liegen auf der Hand: Es werden Ressourcen gebunden, die an anderer Stelle nützlicher eingesetzt werden könnten, und auf Bedrohungen kann nicht optimal reagiert werden. Die richtige Balance zwischen maximaler Risikominimierung und minimalen Kosten ist aber ohne ein funktionierendes Risikomanagement nicht zu erreichen. Standards und Frameworks können dabei helfen.
Das Storage-Management und die Virtualisierung der Speicherumgebung stehen im Mittelpunkt der November-Ausgabe des IT-Administrator. Denn längst sind die ... (mehr)

Wichtig ist zunächst einmal die Erkenntnis, dass Risikomanagement ein Prozess ist und ein kontinuierliches Risikomanagement einen wichtigen Bestandteil des Informationssicherheitsmanagements darstellt. Es reicht nicht aus, einmalig einen Risikoplan zu erstellen. Nur ein fortwährender Risikomanagementprozess gewährleistet, dass die verfügbaren Ressourcen mit dem größten Nutzen eingesetzt werden können.

Außerdem ändern sich Risiken im Laufe der Zeit. So ist die Gefahr eines Virenangriffs zwar ein konstantes Risiko, die Bedrohungslage kann sich durch neue Angriffsmuster aber ändern. Und jederzeit können durch neue Technologien zusätzliche Risiken hinzukommen. Hierzu bedarf es eines Prozesses zur regelmäßigen Überprüfung und Anpassung des Risikoplans.

Unübersichtliche Normenvielfalt

Hilfestellung bei der Einführung eines solchen Prozesses leisten verschiedene Standards für das Risikomanagement. Seit den 1990er Jahren entstehen weltweit in zunehmendem Maße systemorientierte Regelwerke und Standards zum Risiko­management. Diese stellen normierte Managementsysteme dar und können als Werkzeug zur Gestaltung formalisierter Risikomanagementsysteme dienen, wie etwa der in der ISO-Norm 31000 spezifizierte Risikomanagementprozess (Bild 1).

Allerdings besteht die Herausforderung darin, aus den weltweit aktuell mehr als 50 Frameworks und Normen sowie unzähligen nationalen und branchenspezifischen Standards den für das eigene Unternehmen passenden zu finden. Zu den bekanntesten Standards zählen die folgenden (jeweils die aktuelle Fassung):

- IEC Guide 73:2009: Risk Management Vocabulary – Guidelines for use in standards (International, November 2009)

- ISO 27005:2011: Information Security Risk Management (International, Juni 2011)

- ISO 31000:2009 Risk Management: Guidelines for principles and implementation of risk management (International, November

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019