Risiko/Management/tmp

Aus Foxwiki

IT-Risikomanagement - QUELLENSAMMLUNG

Motivation

Risikomanagement/Motivation

Methoden

  • BSI-Standard 200-3
  • Risikoanalyse auf der Basis von IT-Grundschutz
  • klassische Risikoanalyse
  • ISO 27001, 27005, 31000
  • Penetrationstest
  • Differenz-Sicherheitsanalyse

Risikomanagement

Bedeutung
  • Risikomanagement gewinnt an Bedeutung
  • strategischen Bedeutung von
    • IT-Projekten
    • IT-Projekte werden anspruchsvoller und komplexer

Risikomanagement umfasst

Festlegungen von Zielen auf Basis der Definition einer Strategie
  • ggf. auch Visionen der das Risikomanagement anwendenden Stelle
  • Ohne konkrete Ziele lassen sich keine Abweichungen messen
Definition von Werttreibern oder kritischen Erfolgsfaktoren zur Erreichung von Zielen
  • Festlegung einer Risikomanagement-Strategie
  • abhängig von der Risikobereitschaft
    • risikoavers, risikoneutral oder risikofreudig
Identifikation von Risiken
Bewertung/Messung von Risiken
Bewältigung von Risiken
Steuerung der Risikoabwehr
Monitoring, also Früherkennung
  • Strukturierung und Dokumentation in einem Risikomanagementsystem
Prozesse im Risikomanagement
  • Risikomanagementprozess
    • Phasen
      • Risikoanalyse
      • Risikobewertung
      • Risikominimierung
      • Risikokontrolle
      • Risikoverfolgung
Informationssicherheit-Risikomanagement-Prozess
  • Risikomanagement
    • Teile des Risikomanagements
      • Erkennung und Bewertung von Risiken
      • Erarbeitung und Umsetzung von Maßnahmen
      • optimale Lösung finden
      • Risiken auf akzeptable Restrisiken reduzieren
      • wichtigste Gefahrenquellen erkennen und abschwächen
Für jeden dieser Prozesse gilt
  • In Abhängigkeit der Bedürfnisse
  • wird der Aufwand einer oder mehrerer Personen gefordert
  • Jeder Prozess wird mindestens einmal durchlaufen
  • Jeder Prozess tritt in einer oder mehreren Projektphasen auf

Überschneidung der Prozesse ist möglich

Risikomanagement
  • Risikomanagement-Prozesse
    • Risikomanagementplanung
  • Wie wird das Risikomanagement organisiert?
  • Wie viel Risikomanagement ist nötig?
  • Haben wir Erfahrungswerte in dieser Projektart?
  • Zuständigkeiten
  • Checklisten
Risikoidentifikation
  • Identifizierung potenzieller Risiken
  • Dokumentenanalyse
  • Brainstorming
  • SWOT-Analyse
  • Ursache-Wirkungs-Analysen
  • Qualitative Risikoanalyse
  • Eintrittswahrscheinlichkeit sowie Auswirkung
  • Priorisierung (z. B. A, B und C-Risiken)
Risikomanagement
  • Bedeutung
  • Weitere Risiken
  • IT-Operations (Risiken aus dem laufenden Betrieb)
  • Administrative Fehler
  • Systemausfall
  • IT-Security (Sicherheitsrisiken)
  • Unzureichende Sicherheits- und Schutzmaßnahmen für IT-Systeme
  • Fehlende Autorisierung und Authentifizierung für Datenzugriff und -austausch
  • Nicht näher spezifizierte Risiken
  • Fehlende Akzeptanz / Ablehnung der Anwender gegenüber neuer Software

Konzeptionierungsfehler

Aufgrund der beschriebenen Problematik ist erkennbar, dass das Risikomanagement fester Bestandteil aller IT-Projekte sein sollte.

Risikomanagementplanung
  • Wie sollen die Aktivitäten des Risikomanagement durchgeführt werden?
  • Risikomanagementplanung legt Vorgehensweise fest
  • Planung soll sicherstellen
  • Risikomanagement ist in Bezug auf Risiken und der Bedeutung des Projektes angemessen
  • Es stehen ausreichende Ressourcen für die Aktivitäten zur Verfügung
  • Erfolgschancen erhöhen
  • gut strukturierte und sorgfältig vorbereitete Planung
  • erleichtert Durchführung der anderen Risikomanagement-Prozesse
  • Erstellung eines Risikomanagementplans
  • Zusammenarbeit mit
  • Projektleitern und -mitgliedern
  • Stakeholdern
  • für das Risikomanagement im Unternehmen zuständige Mitarbeiter
  • Auswirkungen haben dabei Risikobereitschaft und Risikotoleranz
  • des Unternehmens und
  • der Projektbeteiligten
  • Hilfreich zur Erstellung
  • bereits definierte Ansätze und Konzepte für das Risikomanagement im Unternehmen
  • allgemein oder aus vorangegangenen Projekten
  • Prozesse im Risikomanagement
Risikomanagementplan
  • Inhalte
  • Methodologie
  • Ansätze, Werkzeuge und Datenquellen für das Risikomanagement
  • Rollen und Verantwortlichkeiten
  • Organisation des Projektteams, Hierarchien
  • Budgetierung
  • Kostenschätzung, benötigte Einsatzmittel
  • Zeitliche Planung
  • Festlegung von Terminen für die Ausführung des Risikomanagement-Prozesses während der Projektlaufzeit
Risikokategorien
  • Strukturen für die Risikoidentifikation festlegen
  • Definition der Risikowahrscheinlichkeiten und -auswirkungen
  • als Unterstützung der Risikoanalyse
  • Prozesse im Risikomanagement
Risikoidentifikation
  • Für eine Beherrschung der Risiken, muss man diese zunächst kennen
  • Bestimmung von Risiken unterschiedlicher Art
  • Kontinuierliche Durchführung und Bestimmung
  • einzelne Risiken sind zu Beginn nicht absehbar
  • es entwickeln sich neue oder übersehene Risiken
  • Projektteam sollte in den Prozess einbezogen werden, damit es sich für die Risiken und die entsprechenden Risikobewältigungs- maßnahmen zuständig und verantwortlich fühlt.
  • Nach Identifizierung von Risiken
  • Priorisierung mit Hilfe der Risikoanalyse
Risikokategorien
  • Für eine systematische Identifizierung der Risiken ist es wichtig, die verschiedenen Kategorien von Risiken zu kennen
  • Die Unterteilung kann dabei je nach Verständnis, Betrachtungsweise und Kontext unterschiedlich sein.
  • Im betriebswirtschaftlichen Sinne gibt es z. B. die Unterscheidung von externen, internen, finanziellen und operativen Risiken.

Aufbereitung identifizierter Risiken

Risikoaufbereitung

Bewertung und Messung von Risiken

Bewertung und Messung von Risiken

Bedrohungsanalyse

Bedrohungsanalyse

Risikoberechnung

Schlussfolgerung

  • Auch bei einfachem Angreifermodell sehr hohes Risiko
  • Passworte sollten nur verschlüsselt übertragen werden!
  • Zeitliche Entwicklung beachten

Sicherheitsgrundfunktionen

Sicherheitsgrundfunktionen

BSI-Standard 200-3

BSI/Standard/200-3

Prozesse im Risikomanagement

Leitbild für das IT-Management

  • Angesichts der immer weiter steigenden Bedeutung der IT (Informationstechnologie) und den damit verbundenen Anforderungen, sowie einer Komplexität an IT-Infrastruktur Projekten, erfordert dies eine reibungslose Integration in die bestehenden Geschäftsprozesse.
  • Um dies sicherzustellen, wurde die sogenannte IT-Governance, eine Weiterentwicklung der Corporate Governance, entworfen.
  • Die IT-Governance richtet sich nach den Kernpunkten des COBIT Modells für das IT-Management.
  • Das Modell ist generell anwendbar, international akzeptiert und lehnt sich besonders an die IT-Prozesse und die bestehenden Kontrollziele an.
  • In einem Unternehmen sollten diese Kontrollziele nach Möglichkeit erreicht werden, um eine verlässliche Anwendung der IT zu gewährleisten.
  • COBIT beschäftigt sich mit der Organisation von Daten, Anwendungen, Anlagen, der Technologie und dem Personal, um die gestellten Anforderungen an die Geschäftsprozesse zu erfüllen.

Bedrohungsanalyse

Risikograph

Anhang

Siehe auch

Dokumentation

Links

Projekt