Risikomanagement/tmp: Unterschied zwischen den Versionen

IT-Risikomanagement - QUELLENSAMMLUNG

Risikomanagement

Bedeutung

• Risikomanagement gewinnt an Bedeutung
• strategischen Bedeutung von IT-Projekten
• IT-Projekte werden anspruchsvoller und komplexer

Risikomanagement umfasst

Festlegungen von Zielen auf Basis der Definition einer Strategie

• ggf. auch Visionen der das Risikomanagement anwendenden Stelle
• Ohne konkrete Ziele lassen sich keine Abweichungen messen

Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen

• Festlegung einer Risikomanagement-Strategie
• abhängig von der Risikobereitschaft
  • risikoavers, risikoneutral oder risikofreudig

Identifikation von Risiken

Bewertung/Messung von Risiken

Bewältigung von Risiken

Steuerung der Risikoabwehr

Monitoring, also Früherkennung

• Strukturierung und Dokumentation in einem Risikomanagementsystem

Prozesse im Risikomanagement

• Risikomanagementprozess
  • Phasen
    • Risikoanalyse
    • Risikobewertung
    • Risikominimierung
    • Risikokontrolle
    • Risikoverfolgung

Informationssicherheit-Risikomanagement-Prozess

• Risikomanagement
  • Teile des Risikomanagements
    • Erkennung und Bewertung von Risiken
    • Erarbeitung und Umsetzung von Maßnahmen
    • optimale Lösung finden
    • Risiken auf akzeptable Restrisiken reduzieren
    • wichtigste Gefahrenquellen erkennen und abschwächen

Für jeden dieser Prozesse gilt

• In Abhängigkeit der Bedürfnisse
• wird der Aufwand einer oder mehrerer Personen gefordert
• Jeder Prozess wird mindestens einmal durchlaufen
• Jeder Prozess tritt in einer oder mehreren Projektphasen auf

Überschneidung der Prozesse ist möglich

Risikomanagement

• Risikomanagement-Prozesse
  • Risikomanagementplanung
• Wie wird das Risikomanagement organisiert?
• Wie viel Risikomanagement ist nötig?
• Haben wir Erfahrungswerte in dieser Projektart?
• Zuständigkeiten
• Checklisten

Risikoidentifikation

• Identifizierung potenzieller Risiken
• Dokumentenanalyse
• Brainstorming
• SWOT-Analyse
• Ursache-Wirkungs-Analysen
• Qualitative Risikoanalyse
• Eintrittswahrscheinlichkeit sowie Auswirkung
• Priorisierung (z. B. A, B und C-Risiken)

Risikomanagement

• Bedeutung
• Weitere Risiken
• IT-Operations (Risiken aus dem laufenden Betrieb)
• Administrative Fehler
• Systemausfall
• IT-Security (Sicherheitsrisiken)
• Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
• Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
• Nicht näher spezifizierte Risiken
• Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software

Konzeptionierungsfehler

Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.

Risikomanagementplanung

• Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
• Risikomanagementplanung legt Vorgehensweise fest
• Planung soll sicherstellen
• Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
• Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
• Erfolgschancen erhöhen
• gut strukturierte und sorgfältig vorbereitete Planung
• erleichtert Durchführung der anderen Risikomanagement-Prozesse
• Erstellung eines Risikomanagementplans
• Zusammenarbeit mit
• Projektleitern und -mitgliedern
• Stakeholdern
• für das Risikomanagement im Unternehmen zuständige Mitarbeiter
• Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
• des Unternehmens und
• der Projektbeteiligten
• Hilfreich zur Erstellung
• bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
• allgemein oder aus vorangegangenen Projekten
• Prozesse im Risikomanagement

Risikomanagementplan

• Inhalte
• Methodologie
• Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
• Rollen und Verantwortlichkeiten
• Organisation des Projektteams, Hierarchien
• Budgetierung
• Kostenschätzung, benötigte Einsatzmittel
• Zeitliche Planung
• Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit

Risikokategorien

• Strukturen für die Risikoidentifikation festlegen
• Definition der Risikowahrscheinlichkeiten und -auswirkungen
• als Unterstützung der Risikoanalyse
• Prozesse im Risikomanagement

Risikoidentifikation

• Für eine Beherrschung der Risiken, muss man diese zunächst kennen
• Bestimmung von Risiken unterschiedlicher Art
• Kontinuierliche Durchführung und Bestimmung
• einzelne Risiken sind zu Beginn nicht absehbar
• es entwickeln sich neue oder übersehene Risiken
• Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
• Nach Identifizierung von Risiken
• Priorisierung mit Hilfe der Risikoanalyse

Risikokategorien

• Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
• Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
• Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.

Schlussfolgerung

• Auch bei einfachem Angreifermodell sehr hohes Risiko
• Passworte sollten nur verschlüsselt übertragen werden!
• Zeitliche Entwicklung beachten

Leitbild für das IT-Management

• Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
• Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
• Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
• Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
• In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
• COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.