Schwerpunkte BIA und Risikobewertung
Sich mit Risiken auseinanderzusetzen ist nicht gerade das beliebteste Thema für Unternehmen. Aber überlebenswichtig! Eine Risikobewertung, ohne eine Business Impact Analyse durchzuführen, ist allerdings keine gute Idee. Doch wie können Sie sinnvoll mit diesen beiden Themen umgehen?
Zeigen wir Ihnen hier!
Nicht die Risiken sind das Problem, sondern der Impact, den diese auf Unternehmen haben können. Um diesen Impact allerdings realistisch abschätzen zu können, braucht es eine Übersicht über Abhängigkeiten im Unternehmen, aber auch darüber hinaus: und zwar bezogen auf Produkte, Lieferketten, Prozesse, Assets und Hardware. Scannen Sie Ihr Unternehmen!
Die Business Impact Analyse (kurz: BIA) hilft Ihnen dabei, die kritischen Faktoren Ihrer Organisation zu ermitteln und zu bewerten.
Die BIA stellt somit den Ausgangspunkt für das Risikomanagement dar und bildet die Grundlage für eine Sicherheitsstrategie, die vor Sicherheitsvorfällen schützt, deren Auswirkungen mindert oder verhindert, die Organisation widerstandsfähiger macht und in Notfällen und Krisen unterstützt.
Eine BIA sollte dreiteilig aufgeteilt werden:
Im Mittelpunkt eines Risikomanagements stehen Prozesse/ Tätigkeiten. Diese sog. Primären Werte nutzen sog. Unterstützende Werte (Supporting Resources und Supporting Assets)[1], wie z.B. Hardware, Software, Netzwerke, Personal, Standorte, Leistungszulieferer etc. Diese „greifbaren“ Objekte tragen Verwundbarkeiten, das heißt sie sind empfänglich für z.B. Schadsoftware, brauchen Energie zum Funktionieren, oder können ausfallen. Es geht also darum herauszufinden, wie wahrscheinlich ein Ausfall einer Supporting Resource durch Bedrohungen ist. Risikoanalyse und Business Impact Analyse brauchen also einander. Die Risikobewertung liefert vor allem Kenntnisse darüber, wie durch Maßnahmen die Resourcen und damit die Organisation widerstandsfähiger, also resilienter, werden.
[1] Gemeint sind „Supporting Assets“ (Unterstützende Werte) gem. ISO/IEC 27005, B.1.2
Das finden Sie etwas zu kompliziert?
Dann gehen Sie erst einmal pragmatisch an das Thema Risikobewertung heran. Starten Sie ganz einfach, indem Sie überlegen in welchen Themenbereichen Risiken auftreten können, z.B.
Im zweiten Schritt überlegen Sie, welche unterstützenden Werte (Supporting Resource oder Supporting Asset) sich in diesen Bereichen verbergen. Damit sind alle die Ausrüstungsgegenstände gemeint, die zum Beispiel zur Verarbeitung von Informationen dienen und die es zu schützen gilt, z.B.
Danach überlegen Sie wie dieses Supporting Asset gefährdet ist, also welche Bedrohungen dafür bestehen, z.B.
Es besteht also das Risiko, dass personenbezogene Daten von unberechtigten Personen entwendet oder manipuliert werden können. Das könnte zu einem Verlust der Vertraulichkeit, Verfügbarkeit und Integrität der Informationen führen.
Zu guter Letzt können Sie auf Basis dieser Überlegungen jetzt einstufen, welchen Impact (negativen Einfluss) ein solcher Vorfall auf Ihr Unternehmen haben würde. Diese Bewertung sollte die Grundlage für die Ableitung notwendiger Maßnahmen sein! Die Einschätzung der Eintrittswahrscheinlichkeit ist auch ein valides Mittel, sollte aber eher für eine Priorisierung von Maßnahmen genutzt werden und nicht dazu, Risiken wegzudiskutieren.
Gehen Sie an das Thema Risikomanagement mit gesundem Menschenverstand heran und verlieren Sie sich nicht in Theorien und Methoden!
Wir melden uns binnen 24h bei Ihnen.
Werktags zw. 9 – 17 Uhr.
