Risikomanagement - Umgang mit identifizierten Risiken
Zur Erinnerung: In Schritt 5 wurden alle Risiken aus dem Risikoinventar analysiert und auf der Grundlage der Risikobereitschaft des Unternehmens individuell priorisiert. Die Risiken müssen dann im letzten Schritt auf der Grundlage der zugrundeliegenden Priorisierungsreihenfolge in Form einer Risikobewältigung (Risikosteuerung) behandelt werden. Dafür ist dieser Blog-Beitrag gedacht.
Behandeln und überwachen Sie Ihre Risiken
Die Übernahme von Risiken ist nicht immer die einzige und beste Möglichkeit der Risikobehandlung (Risikosteuerung). Im Allgemeinen gibt es in der Berufswelt, unabhängig von der Branche, vier Hauptmethoden für den Umgang mit Risiken. Dazu gehören:
- Vermeiden von Risiken
- Risiko vermindern oder abschwächen
- Risiko übertragen
- Risiko akzeptieren
Ein weit verbreitetes Problem bei diesem vierstufigen Ansatz der Risikosteuerung besteht darin, zu wissen, welche Methode für welches Risiko angemessen ist. Schließlich ist jede Branche anders. Darüber hinaus bewertet jedes Unternehmen die Risiken anders.
(a) Wie man Risiken vermeidet
In vielen Fällen ist die Strategie, sich vor jeder wahrgenommenen Gefahr durch Risikovermeidung zu schützen, überholt. In manchen Situationen ist der Ansatz der Risikovermeidung jedoch tatsächlich notwendig. Wenn die Wahrscheinlichkeit hoch ist, dass eine Aktivität eintritt, die zudem einen erheblichen finanziellen Schaden führt, ist es besser, sie ganz zu vermeiden.
Wenn für Ihre Branche lokale und landesweite Vorschriften gelten, besteht ein erhebliches Risiko darin, gegen das Gesetz zu verstoßen. Um dieses Risiko zu vermeiden, gibt es in diesem Szenario eine einfache Antwort: Brechen Sie nicht das Gesetz. Indem Sie die von den Regulierungsbehörden festgelegten Richtlinien befolgen, vermeiden Sie das Risiko von Bußgeldern, Strafen und Verteidigungskosten.
(b) Wie lassen sich Risiken verringern
Die Verringerung von Risiken erfordert ein gutes Verständnis der Aktivitäten, die das Potenzial haben, die Eintrittswahrscheinlichkeit zu verringern und die zugrundeliegenden finanziellen Auswirkungen positiv zu beeinflussen. Lassen Sie uns die risikomindernden Aktivitäten anhand eines einfachen Beispiels von technologieorientierten Fintechs veranschaulichen, die sich aus einem technologischen Grundgerüst heraus entwickeln. Es liegt auf der Hand, dass eine der größten Gefahren für diese Unternehmen von Cyber-Kriminellen ausgeht.
Daher setzen viele Unternehmen in dieser Branche einen Risikomanagementplan ein, um ihre Gefährdung durch diese Kriminellen zu verringern:
- Einführung eines Identitätsmanagements
- Förderung des Sicherheitsbewusstseins
- Behebung von Sicherheitsmängeln
Selbstverständlich kann keine dieser bewährten Cybersicherheitspraktiken vollständig verhindern, dass ein Cyberkrimineller einem Unternehmen Schaden zufügt. Allerdings wird genau dieses Risiko dadurch erheblich gemindert.
(c) Wie lassen sich Risiken übertragen
Vor allem im Falle eines finanziell verheerenden Ereignisses ist wahrscheinlich die beste Option der Risikosteuerung, das Risiko zu teilen oder sogar zu übertragen. Die alleinige Bewältigung des Risikos könnte zu erheblichen Rückschlägen, wenn nicht gar zur völligen Schließung des Unternehmens führen. In den meisten Fällen ist es sehr unwahrscheinlich, dass Risiken dieser Kategorie eintreten. Die Möglichkeit besteht jedoch, und die Übertragung des Risikos stellt daher oftmals die beste Option dar.
Beispiele für solche Risiken sind Naturkatastrophen, z.B. könnte ein Feuer oder ein heftiger Sturm ein ganzes Produktionsgebäude zerstören, wodurch sehr hohe Kosten für die Wiederherstellung und den Produktionsausfall anfallen würden. Die Investition in eine Sachversicherung ist wahrscheinlich ein gutes Vorgehen, solange die Versicherungsgesellschaft für den Schaden in ausreichendem Maße aufkommt.
(d) Risiken akzeptieren
Es ist nicht immer so, dass Unternehmen Risiken vermeiden, verringern oder übertragen können. Manchmal bleibt nichts anderes übrig, als das Risiko zu akzeptieren. Wenn die Übernahme des Risikos profitabler ist als jede andere Option, dann ist dies letztendlich auch die optimale Strategie. Auch wenn es schwierig ist, Risiken zu akzeptieren, so ist doch ein gewisses Maß an Risikoakzeptanz in der heutigen Businesswelt erforderlich.
Erfahrung in Sachen IT-Risikobehandlung (Risikosteuerung)
SRC Consulting verfügt über die nötige Erfahrung im Umgang mit Risiken, um Ihre Risikobereitschaft zu verstehen und für jedes Risiko individuell optimierte Best-Practice-Lösungen vorzuschlagen. Die Unterstützung durch SRC Consulting umfasst die technische und/oder organisatorische Umsetzung der Maßnahmen zu Ihrer vollsten Zufriedenheit.
Fazit und Ausblick
Die Kombination der sechs Schritte:- Verstehen Sie Ihre schutzbedürftigen Vermögenswerte
- Bestimmen Sie die Kritikalität der zu schützenden Werte
- Soll-Ist-Abgleich von Sicherheitsmaßnahmen
- Aufnahme von Sicherheitsmängeln in Ihr Risikoinventar
- Analysieren und priorisieren Sie Ihre Risiken
- Behandeln und überwachen Sie Ihre Risiken
ergibt zusammen einen ganzheitlichen Ansatz zur systematischen Identifizierung und Behandlung von Informationssicherheitsrisiken. Eine wichtige Anforderung von moderner Informationssicherheit sind automatisierte und integrierte Managementsysteme. Im Bereich der Informationssicherheit oder auch des IT-Grundschutzes ist Excel oft das Werkzeug der Wahl - allgemein nutzbar und geeignet für eine schnelle Darstellung von Richtlinien wie ISO 27001. In Zeiten komplexer und sich schnell verändernder Zusammenhänge, neuer globaler Risiken und dynamischer Geschäftsprozesse hat Excel jedoch viele Schwächen. Unzulänglichkeiten bei der Darstellung von Zusammenhängen, hoher Pflegeaufwand, wenig bis keine Automatisierung, keine Sicherstellung der Compliance, keine Interoperabilität sind einige der Gründe, die gegen MS Excel sprechen. SRC Consulting plädiert dafür, dieses Tool durch einen ganzheitlichen digitalen Ansatz zu ersetzen, bei dem SRC-Berater Sie in diesen sechs Schritten beratend und implementierend begleiten.