Risikomanagement (RM) – Bewusster Umgang mit Risiken
Jedwede Art der Informationsverarbeitung, sei es die Erzeugung, die Speicherung, die Konvertierung oder die Übertragung von Informationen ist Risiken ausgesetzt. Da Informationen für die meisten Unternehmen einen wertvollen Rohstoff darstellt, ist es also vitales Interesse jeglicher Organisation, den Schutzbedarf seiner Informationen zu kennen und entsprechende Maßnahmen umzusetzen, die dem jeweiligen Schutzbedarf angemessen sind. Diese Aufgabe übernehmen Methoden und Prozesse des Information Risk Management (IRM). Je nach Aufgabenstellung können verschiedene Vorgehensweisen zweckmäßig sein:
- Geht es um einen ganzheitlichen Ansatz, der es einer Organisation ermöglicht, einen Überblick über bestehende Risiken und Maßnahmen zu gewinnen, und so Risiken und Maßnahmen zu steuern (managen), dann ist es sinnvoll, sich mit einem unternehmensweiten Prozess zum IRM zu befassen.
- Wenn dagegen Risiken bei Einführung einer Technologie, Durchführung eines Vorhabens oder Implementierung eines IT-Systems betrachtet werden sollen, kommen Methoden der Risikoanalyse und der Erstellung eines Sicherheitskonzeptes zum Einsatz.
Neben grundsätzlichen Fragen wie
- sollen Informationsrisiken identifiziert und bewertet werden?
- Wann betrachte ich Brutto/Nettorisiken?
- Welche Rollen und Aufgaben gibt es dabei, z. B. wer darf Risiken akzeptieren, wer muss umsetzen?
Lassen sich auch weiterführende Aspekte betrachten, wie bspw.:
- Wie kann das IRM mit dem allgemeinen Chancen- und Risikomanagement eines Unternehmens interagieren?
IRM-Projekte der TTS
- Für einen Stromnetzbetreiber wurden die Informationsrisiken bei der Zusammenlegung von Netzleitstellen betrachtet und geeignete Maßnahmen erarbeitet.
- Für einen Telekommunikationsanbieter wurden die Risiken beim Ankoppeln von Kundennetzen analysiert und Gegenmaßnahmen vorgeschlagen.
- Für einen Energiekonzern wurden IT-Risiken bei verschiedenen Unternehmensverkäufen analysiert und risikomindernde Maßnahmen identifiziert.
Dienstleistungen der TTS im Umfeld IRM
- Durchführung von Business Impact Analysen
- Technische und / oder organisatorische Sicherheitsanalysen
- Design von Sicherheitsarchitekturen
- Erstellung von Sicherheitskonzepten
- Unterstützung bei der Maßnahmenumsetzung
- Etablierung eines IRM im Unternehmen