Ein kurzer Rückblick der vorherigen bevor Schritt 4 im Rahmen dieses Blogs diskutiert wird: In Schritt 1 werden alle sicherheitsrelevanten Assets ermittelt, dessen Kritikalität dann in Schritt 2 im Hinblick auf Schutzziele bestimmen werden. In Schritt 3 werden Sicherheitsmängel identifiziert. Diese stellen Risiken dar, die in Schritt 4 aufzunehmen sind.
Aufnahme von Sicherheitsmängeln in Ihr Risikoinventar
Einfach gesagt, geht es bei Schritt 4 darum, alle Sicherheitsmängel in das Risikoinventar aufzunehmen. Woher kommen diese Sicherheitsmängel oder Schwachstellen?
Einerseits werden durch den in Schritt 3 besprochenen Soll-Ist-Vergleich Schwachstellen aufgedeckt, die sich auf nicht oder nur unzureichend umgesetzte Sicherheitsmaßnahmen beziehen. Diese stellen natürlich Risiken dar, die es zu beheben gilt. Andererseits werden neben diesen Mängeln auch identifizierte Sicherheitsschwachstellen aus internen oder externen Audits oder identifizierte Schwachstellen im Rahmen des Dienstleistermanagements (ISAE 3402) in ihrer Gesamtheit in das IT-Risikoinventar aufgenommen.
Was ist ein Risikoinventar?
Alle Risiken zusammen bilden das Risikoinventar. Ein Risikoinventar enthält insbesondere Informationen über die einzelnen Risiken, die Bewertung der Risiken, die Beurteilung der risikopolitischen Maßnahmen, Vorschläge zur Verbesserung des status quo und eine Priorisierung der Maßnahmen. Zweck eines Risikoinventars ist es insbesondere den Entscheidungsträgern einen komprimierten Überblick über die Risikosituation des Unternehmens zu geben. Neben der quantitativen Beurteilung kann auch eine qualitative Bewertung (z.B. potenzielle Schäden als Folge von Industriespionage) vorgenommen werden.
Eigenschaften des Risikoinventars
Es ist wichtig, die Liste der Risiken nach verschiedenen Risikomerkmalen kategorisieren zu können, z.B. nach dem Risikoeigner, der Art des Risikos usw. Gerade wenn die Liste an Risiken im Inventar wächst, ist die Risikobeschreibung eine wichtige Stütze, die Risiken zu differenzieren und nachvollziehbar darzustellen. Risiko-ID und Risikoname sind ebenfalls für den Sprachgebrauch aber auch in der Visualisierung in einer Risikomatrix wichtig. Die digitalen Lösungen von SRC bieten Ihnen eine kompakte, übersichtliche Zusammenfassung von Risiken aus verschiedenen Risikobereichen. Die Risiken können nach den jeweiligen Risikoattributen gefiltert werden, um benutzerfreundliche Dashboards oder Berichte zu erstellen.
