IT Risikoanalyse als Basis für die Abwehr von Cyber Risiken

IT Risikoanalyse und IT/ Digital Risk Assessments

IT Risikoanalyse und IT/ Digital Risk Assessments

Die Durchführung von IT Risikoanalysen/ Digital Risikoanalysen sind ein wichtiges Element bei der Umsetzung eines Digital Risk Managements, des IT Risikomanagements und der unternehmensweiten Risikosteuerung hinsichtlich Sicherheitsinvestitionen in die Informatik. IT Risikoanalysen sind Teil vorsorglicher Planungen und dienen auch der Entscheidungsfindung (IT Chancen-/ IT Risikoabwägungen). Im Vordergrund solcher IT IT Risikoanalysen/ Digital Risikoanalysen stehen die IT/ Digital Risikoidentifizierung und das Einschätzen möglicher Schadenasmasse. Neue digitale Risiken entstehen permanent, während bestehende immer komplexer werden. Um im Markt zu bestehen, die Geschäftsziele erreichen und die digitalen Unternehmensrisiken messen zu können, müssen Unternehmen die entscheidenden IT-/ Telekommunikations und digitalen Risiken identifizieren. Aber welche digitalen Risiken sind zu beurteilen?

Wir können Sie bei der Durchführung einer effizienten IT Risikoanalysen/ Digitalen Risikoidentifizierung und -bewertung unterstützen, um die wichtigsten IT-/ Telekommunikations und digitalen Risiken, die sich nachteilig auf das Erreichen der Unternehmensziele auswirken, zu identifizieren. Unsere Methoden beinhalten Interviews zur digitalen Risikoidentifizierung, Digital Risk Self Assessments (Risikoselbsteinschätzung) und interaktive Digital Risikobewertungs-Workshops (Team Digital Risk Assessment Workshops).

it risikoanalyse, risikoanalyse, it, digital risk assessmentsDurchführung einer IT Risikoanalyse/ Digital Risikoanalyse in fünf Schritten

Um eine möglichst gute und objektive IT & Digitale Risikobewertung zu erhalten, wir eine IT & Digitale Risikoanalyse mit Vorteil in folgenden fünf Schritten erarbeitet:

  • Vorbereitung IT/ Digital Risikoanalyse: Risk Scoping, Systemabgrenzung, Risikoidentifizierung, Risikosystematisierung, Risiokategorien, verschiedene Metriken, Risiko-Massstäbe.
  • Kick-off/ Startsitzung: Information an Teilnehmende der IT/ Digital Risikoanalyse, Aufträge und Auftragserteilung, Erläuterung IT/ Digital Risk Self Assessment Tool.
  • Durchführung IT / Digital Risk Self Assessment RSA (Risikoselbsteinschätzung): Versand RSA Tool, Durchführung RSA durch Teilnehmende an der IT / Digital Risikoanalyse.
  • Auswertung der IT/ Digital Risk Self Assessment Resultate: Zusammenführung der RSA Resultate, Errechnung von Medianen und Varianzen.
  • Durchführung IT/ Digital Team Risk Assessment Workshops: Objektive Risikoeinschätzung, Risikoaggregation, Identifizierung der Top IT/ Digital Risiken, Erstellung der verschiedenen, zielgruppengerechten IT/ Digital Risikoportfolios (Risikografiken).
     

Download Durchführung IT/ Digital Risikoanalyse in fünf Schritten

    Download Informationssicherheit/ Cyber Safety mit Weitsicht - Dienstleistungen

     

    IT/ Digital Risikometriken und Risikomassstäbe sind entscheidend

    		  

    Objektive IT/ Digital Risikobeurteilung mit Varianz und Median

    IT/ Digital Risiken sollten qualitativ möglichst gut beschrieben werden. Traditionelle Risikobewertungen beschreiben das Risiko mit Eintrittswahrscheinlichkeit und Schadeausmass. Die Eintrittswahrscheinlichkeit  ist ein "statistischer Häufigkeitswert der Vergangenheit" mit welchem bestenfalls die Vergangeheit und nur sehr schwer die heutigen und zukünftigen Risiken beurteilen kann. Mesit fehlen statistische Werte zu den Ereignissen, weshalb die Einschätzung der Eintrittswahrscheinlichkeit selbst zur grossen Unsicherheit und damit zum Risiko wird. Besser ist, wenn die IT/ Digital Risiken mit mehrere Risikoparametern und Risikometriken bzw. Risikomassstäbe beschrieben werden. Beispiele dazu sind:

    • Schadenausmass quantitativ
    • Schadenausmass qualitativ
    • Ereignisdetektion
    • Ereignisbewältigung
    • IT/ Digital Risikoverantwortung/-zuordnung
    • IT/ Digital Risikowahrnehmung
    • Compliance
    • Verlust Geschäftssteuerung
    		  

    IT/ Digital Risiken sollten in jedem Fall objektiv und nicht nur subjektiv beurteilt werden. Dazu ist es sinnvoll zuerst im Rahmen einer Risikoselbsteinschätzung (ohne externe Beeinflussung) die zugeteilten Risiken für sich zu beurteilen und danach in einem Team Risk Assessement Workshop die individuellen Beurteilungsresultate abzugleichen zu einer objektiven Bewertung (Team Risk Assessment Workshop). Dabei spielen die Varianz und der Median eine entscheidende Rolle:

    • Median: Der Median oder Zentralwert ist ein Mittelwert für Verteilungen in der Statistik. Der Median einer Auflistung von Zahlenwerten ist der Wert, welcher an der mittleren Stelle steht, wenn man die Werte der Grösse nach sortiert. Allgemein teilt ein Median einen Datensatz, eine Stichprobe oder eine Verteilung in zwei Hälften, so dass die Werte in der einen Hälfte kleiner gleich dem Medianwert sind, in der anderen grösser gleich.
    • Varianz: Die Varianz ist ein Streuungsmass, welches die Verteilung von Werten um den Mittelwert kennzeichnet. Umso höher das Streumass, desto grösser sind die Abweichungen zum Mittelwert. Ist die Varianz zu gross, heisst dies, dass die Bewertungen für dieses Risiko stark auseinanderliegen, d.h. es gibt eine sehr unterschiedliche Bewertung des Risikos (Wahrnehmung und Empfinden des Risikos). Eine Auseinandersetzung mit dem IT/ Digital Risiko im Rahmen des Risikodialogs wird notwendig mit Klärung der Differenzen.

     

    IT Risikoanalyse Beratung, IT Risikoanalyse Methoden Weiterentwicklung oder Coaching?

    Sie starten eine IT Risikoanalyse/ Digital Risikoanalyse für ein Projekt, Ihr Digital Risk Management oder Ihr Unternehmen und brauchen ressourcen-mässig und methodische Unterstützung oder Entlastung? Sie suchen einen Projektleiter, Experten, Berater oder Coach? Dann sollten Sie mit uns sprechen. Gerne erläutern wir Ihnen die verschiedenen Möglichkeiten, um Sie zu unterstützen.
     Kontaktieren Sie uns oder rufen Sie uns an  +41 44 360 40 40.

    Download Broschüre Sicherheits- und Risikomanagement - Leistungen RM Risk Management AG