Computerpartner

Sie befinden sich hier: HOMENachrichtenKnow HowIT-Management
28.10.2017

IT-Risiken bewerten und absichern

Laut Europol haben Cyberattacken in den letzten zwölf Monaten stark zugenommen. IT-Risikomanagement sollte daher zu den Aufgaben einer jeden Organisation zählen. Für KRITIS-Unternehmen gehört es ab 2018 im Rahmen der Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) ohnehin zum Pflichtprogramm.

Mathias Hein

Informationstechnologie (IT) ist heute ein wesentlicher Erfolgsfaktor für Unternehmen in nahezu jeder Branche. Dabei unterscheiden sich die Anforderungen an IT-Infrastrukturen von Branche zu Branche. Dennoch stehen alle Unternehmen vor der gleichen Frage: Welche Risiken entstehen durch den möglichen Ausfall von IT-Komponenten? Dabei geht es um den Schutz sensibler Daten, was sowohl rechtliche als auch wirtschaftliche Folgen nach sich ziehen kann. Es geht aber natürlich auch um die allgemeine Leistungsfähigkeit der IT, von den Anwendungen über die Prozesse bis zur Stromversorgung. Durch ein zertifiziertes ISMS sind Unternehmen in der Lage, die IT-Sicherheit gemäß Compliance-Anforderungen zu managen, zu verfolgen und nachzuweisen.

Risikomodelle rechtfertigen Investition in IT-Security

Manager stehen heute unter anderem vor der Herausforderung, Risiken mit ihren jeweiligen statistischen Verteilungen zu formulieren und ihre Aggregation durch Szenario-Analysen zu berechnen. Durch welche Maßnahmen einem Risiko am besten begegnet wird, muss in Abhängigkeit von deren Wirksamkeit und Kosten abgewogen werden. Bei dieser Entscheidung sind auch die Anforderungen aus Normen wie ISO 27001 zu berücksichtigen. Schließlich bedeutet die Zertifizierung viel mehr als nur die Erfüllung von Compliance. Sie schützt das Unternehmen vor Verlust und weist den erreichten Sicherheitsstandard auch Institutionen und Partnern gegenüber nach. "Im Beratungsalltag erleben wir aber immer wieder, wie schwierig es für Risikomanager ist, die richtige Balance zwischen Risikoabschätzung und der Investition in Sicherheitsmaßnahmen zu finden", sagt Dr. Philip Huisgen, General Manager der DATAKOM GmbH. "Mit unserem ganzheitlichen IT-Sicherheitskonzept bieten wir Unterstützung beim Risikomanagement und bei der Einführung eines ISMS. Auf dieser Basis werden die Verantwortlichen in die Lage versetzt, betriebswirtschaftlich vertretbare Entscheidungen zu treffen."

Für die Umsetzung und kontinuierliche Kontrolle der verschiedenen Compliance-Vorgaben setzt DATAKOM auf das Governance, Risk & Compliance (GRC)-Tool CRISAM® von Branchenspezialist Calpana. CRISAM® enthält die Inhalte und Abfragen für verschiedene Standards wie ISO 27000, COBIT, ITIL v2 und v3, ISO 80001, ISO 9001, EN50600, PCI/DSS oder auch die EU-DSGV0. Es stellt den Compliance-Anforderungen die umgesetzten Maßnahmen gegenüber. Verschiedene Berichte geben jederzeit Aufschluss über das erreichte Sicherheitsniveau und über das Delta für die Zertifizierung bzw. Auditierung. +