Ein Buch für Manager, die Ihre Verantwortungen wahrnehmen wollen, für Studenten, die wissen müssen und Interessierte, die wissen möchten, wie IT-Sicherheit Bestandteil der Unternehmenskultur gemacht wird.
Ein Buch über IT-Sicherheit, das nicht deren technologischen Aspekte im Vordergrund stellt, sondern die notwendigen Massnahmen erklärt und beschreibt, die von den Chefetagen bis unten im Rechenzentrum
implementiert werden müssen.
Heute ist Informationstechnologie zum „Business-Enabler par excellence" geworden. Jede Technologie bringt ihre Vorteile aber auch ihre Risiken mit sich. Ausschlaggebend für die Wettbewerbsfähigkeit der Unternehmen ist demzufolge nicht nur das Angebot der Produkte, sondern die Art und Weise, wie ein Unternehmen mit den Risiken im Allgemeinen und den IT-Risiken im Besonderen umgeht. So sollen die Entscheide für ein kluges und erprobtes Risiko-Management selbstverständlich auf der höchsten Managementstufe getroffen werden. Der zu etablierende Risiko-Management-Prozess sollte ganzheitlich alle Unternehmensstufen berücksichtigen.
Das vorliegende Buch beantwortet die in diesem Zusammenhang wesentlichen Fragen und zeigt, wie man es in der Praxis machen soll.
Mit welchen Instrumenten werden die Risiken analysiert, bewertet und bewältigt?
Ein Risikokatalog wird erstellt. Die Aggregation der Risiken liefert eine „Risikolandschaft", aus welcher sich die Massnahmen, die erarbeitet und umgesetzt werden müssen, ableiten lassen.
Wie wird das Risiko-Management durchgeführt?
Analyse, Bewertung, Bewältigung der Risiken werden in einem Prozess miteinander verknüpft. Um die Effizienz und Effektivität des Prozesses sicherzustellen, müssen diese Dimensionen von flankierenden Aktivitäten wie Risiko-Kommunikation, -Kontrolle und Reportings begleitet werden. Gezielte Rückkopplungen steigern die Qualität der erzielten Ereignisse.
Wer trägt im Unternehmen die Verantwortung für die Risiken und was hat Corporate Governance mit Risiko - Management zu tun?
Die wesentlichen Aspekte punkto Risiken, resultierend aus den Gesetzen und Regulationen wie KonTraG, Swiss Code of best Practices for Corporate Governance, Basel II und Sarbanes-Oxley, werden aufgezeigt.
Wie verhält sich Risiko-Management zum Management-System eines Unternehmen?
Risiko - Management ist ein Teil des Management -Systems !
Die Aufgabe des Risiko-Managements besteht dabei in der Gewährleistung, dass alle wesentlichen Risiken des Unternehmens systematisch identifiziert, bewertet, bewältigt und überwacht werden. Es muss auf drei Managementebenen wirken können: Der normativen (Langzeit-) Perspektive, der strategischen (Mittelfrist-) Perspektive und der operativen (Kurzfrist-) Perspektive.
Dabei muss das IT- Risiko- Management in die globale Geschäftstrategie eingebunden und die Rollen und Verantwortlichkeiten definiert werden.
Eine Führungspyramide gibt Aufschluss über den Aufbau und die Dynamik der notwendigen Führungsinstrumente.
Wie wird IT-Risiko-Management in wichtige Unternehmensprozesse integriert?
Es werden Auswirkungen von Outsourcing auf die globale Unternehmenssicherheit diskutiert. Auch werden die Zusammenhänge zwischen Unternehmenssicherheit und der Geschäftskontinuitäts- Planung aufgezeigt: Darin werden die wichtigen Fragen beantwortet, wie ein ganzheitliches Vulnerability- und Incident-Management konzipiert werden soll und mit welchem IT-Notfallplan die dauerhafte und unterbrechungsfreie Geschäftstüchtigkeit des Unternehmens mit vordefinierter Kostenstruktur gewährleistet werden kann.
Wie werden Informations- und IT-Risiken definiert und systematisch behandelt?
Mit geeigneten Modellvorstellungen werden die Risiken veranschaulicht und Anleitungen gegeben, wie die Risiken geschätzt werden können.
Welche Kriterien sollen für deren Behandlung angewendet werden und warum?
Ein ausgereiftes Risikomanagement betrachtet den Schutz der Informationen und deren Gefässe, Hardware-Plattform, die Kommunikationsnetze und die angehängten Prozesse in einem globalen Lifecycle.
Wie lautet der Brückenschlag zwischen IT-Risiko-Management und Standard-Regelwerken?
Die Zusammenhänge, Einsatzweisen und spezifischen Merkmale werden an bedeutenden Regelwerken wie
- CobiT
- ISO/IEC 15408
- BS 7799-1/2
- ISO/IEC 17799:2000
- BSI-Grundschutzhandbuch
aufgezeigt.
Welche sind die wichtigen Methoden und Werkzeuge mit ihren Einsatzweisen zum IT Risikomanagement?
Neben den auf das IT-Risiko-Management abgestimmten Sicherheitskonzepten werden Methoden wie CRAMM Fehlermöglichkeits- und Einflussanalyse sowie die Fehlerbaum-Analyse vorgestellt und kritisch diskutiert.
PD. Dr. Gabriel Felley
Fachhochschule Solothurn-Nordwestschweiz
