Information Risk Management mit risk2value® - Mehr als Sie erwarten

Die Etablierung eines Information-Risk-Management-Systems (ISMS) ist eine Herausforderung der besonderen Art, denn es erfordert sowohl hohe methodische, als auch inhaltliche Qualität um zum gewünschten Ergebnis zu kommen. Hinzu kommen die Anforderungen verschiedenster interner wie externer Stakeholder, welche jeweils eine spezifische Sichtweise auf das im Einsatz befindliche System haben. avedos™ hat es sich mit der risk2value®-Methode zum Ziel gesetzt, diesen vielfältigen Qualitätsansprüchen durch eine effiziente, wirtschaftliche und trotzdem flexible Lösungsumsetzung gerecht zu werden. Um diese Zielsetzung zu erreichen, bedient sich risk2value® folgender Vorgehensweise, welche sowohl auf der Verwendung etablierter Standards im Risikomanagement (bspw. ISO-27005), als auch auf den Projekterfahrungen der avedos™-Berater basiert.


1. Festlegung Risikokontext

Die Festlegung des Risikokontexts dient in erster Linie der Definition des Risiko-Scopes. Neben der Behandlung klassischer Organisationsvariablen wie Unternehmensgröße, Organisationsstruktur bzw. Aufbau- und Ablauforganisation, sind es v.a. auch Aspekte wie der Grad der IT-Abhängigkeit der Business-Organisation, zu beachtende interne wie externe Zielgruppen des Management-Systems, Risikoneigung, Compliance-Anforderungen, Branchenspezifika und die Berücksichtigung des übergeordneten, fachlichen Risikomanagements, welche diesen Prozessschritt prägen.


2. Ereignisidentifikation

Die Definition möglicher Bedrohungen und Gefährdungen dient dazu, die inhaltliche Risikoarchitektur abzustecken. Aufgrund der Ergebnisse aus Schritt 1 wird entschieden, inwieweit standardisierte Gefährdungskataloge (bspw. auf Basis IT-GSHB) Verwendung finden und zu welchem Grad diese durch individuelle Inhalte ersetzt oder ergänzt werden müssen. Eine verbreitete Variante ist hierbei, in einer ersten Iteration die inhaltlichen Aspekte mit niedriger Priorität auf Basis der risk2value®-Funktionalität einfach inaktiv zu schalten, um für die hoch priorisierten Themen schnell zu aussagekräftigen Analyseergebnissen zu kommen.


3. Festlegung organisatorischer Risikoarchitektur

Die Festlegung der organisatorischen Risikoarchitektur ist kundenspezifisch zu definieren. Die gängigsten Umsetzungsvarianten betreffen an dieser Stelle die Abbildung der Aufbauorganisation, IT-Services (bspw. bei umgesetzten Servicemanagement-Strukturen nach ITIL®) oder SW-Anwendungen oder eine etwaige prozessorientierte Organisationsstruktur. Wenn dieser organisatorische Kontext festgelegt ist, kommt es mit Hilfe der risk2value®-Mapping-Funktionalität zu einer Verbindung der unter Schritt 2 definierten inhaltlichen Risikoarchitektur mit den relevanten organisatorischen Bewertungsobjekten.


4. Risikobewertung

Im ersten Schritt der Bewertungsaktivitäten geht es darum, an den definierten Kreuzungspunkten zwischen Gefährdungen auf der inhaltlichen Seite der Architektur und den definierten Bewertungsobjekten auf Seite der organisatorischen Strukturen, das Risiko mit Hilfe der klassischen Dimensionen Eintrittswahrscheinlichkeit und potentielles Schadensausmaß zu bestimmen, und so zu einer Risikoeinschätzung zu kommen. Durch die flexible Ausgestaltung von Indikatortypen in risk2value® kann diese klassische Bewertungsmethodik einfach erweitert werden: So kann bspw. das Informationssicherheits-Dreieck Vertraulichkeit, Verfügbarkeit, Integrität (CAI) in die risk2value®-Bewertungslogik integriert werden.


5. Performancebewertung (IST)

Der Schritt der Performancebewertung beantwortet die Frage, welchen Grad der Leistungsintensität (auch Prozess-Performance oder Reifegrad genannt) das Unternehmen in den Kreuzungspunkten zwischen Gefährdungen und organisatorischen Bewertungsobjekten besitzt. Um die Informationsbasis für eine objektive Bewertung zu ermöglichen, bedient sich risk2value® eines Fragen- und Maßnahmenmanagements, in welchem an diesen Stellen bspw. Assurance Guides, Testing Procedures, Detailfragen oder bereits in Arbeit oder abgeschlossene Maßnahmen verwaltet und um neue Informationen (Antworten der Informationslieferanten) ergänzt werden. Ein Vorteil von risk2value® an dieser Stelle ist, dass – auf Basis der hinterlegten Berechtigungsvergaben – das Fragenmanagement, die Performancebewertung aber auch die Risikobewertung von unterschiedlichen Benutzerrollen wahrgenommen werden, und somit die Möglichkeit von „beeinflussten“ Bewertungen ausgeschlossen werden kann.


6. Auswertung der Restrisiken

Die Auswertung des Restrisikos basiert auf den gesammelten Informationen der Schritte 4 und 5. Durch die risk2value® zugrunde liegende Datenbank-Technologie ist diese Aktivität ein reiner technischer Vorgang und betrifft v.a. die Darstellung der Ergebnisse in geeigneter grafischer Form und das Berichtswesen.


7. Maßnahmenmanagement (SOLL)

Durch die Darstellung des Restrisikos und der Gegenüberstellung von Risikoeinschätzung und Leistungsintensität, wird das Management mit den Themenbereichen und Kreuzungspunkten konfrontiert, die sowohl Unterperformance (Risiko > Performance) als auch Überperformance (Risiko < Performance) aufweisen. Die Definition von Maßnahmen sollte so gestaltet werden, dass mit einer Maßnahme möglichst viele Themenbereiche beeinflusst werden können, und man sich somit wirtschaftlich und effektiv der Herstellung eines Risiko-Performance-Gleichgewichts annähert. Um die Maßnahmendefinition mit Hilfe von Szenarien auf ihre Wirksamkeit prüfen zu können, bietet risk2value® die Funktionalität „Bewertungszyklen / Timelines“, womit Bewertungszeiträume einfach archiviert und schreibgeschützt abgelegt werden können, und anschließend in temporären Umgebungen die Auswirkung von Maßnahmen auf das Risiko-Performance-Gleichgewicht untersucht werden kann.


8. Risiko-Akzeptanz

Nach Abschluss der oben angeführten Aktivitäten können die neuen Restrisiken – auch unter Einbezug der definierten Maßnahmen – ermittelt und dem Management vorgestellt werden. In einem abschließenden Akt sollte die Akzeptanz des Restrisikos durch das Management gewährleistet werden.