4 verantwortungsbewusste Abkürzungen zu einer genügenden Risikobewertung 
Von Lars Neupart, CEO & Gründer, Neupart - Infor...
3. Vererbung nach oben und unten ist der Name der dritten Abkürzung. "Best practice" und bewährte Standards schreiben es v...
Lernen Sie mehr 
Die vier Abkürzungen können Sie mit, aber auch ohne, dem Risikomanagement Tool, SecureAware Risk TNG von ...
Nächste SlideShare
Wird geladen in …5
×

IT-Risikobewertung - 4 verantwortungsbewusste abkürzungen

295 Aufrufe

Veröffentlicht am

Standards für IT-Sicherheit haben typisch mindestens zwei Merkmale: Sie können Schlafstörungen heilen und einige von ihnen beschreiben eine relativ perfekte Welt, in der Verantwortliche für IT-Sicherheit viel Zeit haben, und wo es genügend Ressourcen gibt, Bedürfnisse zu analysieren, und Entscheidungen zu dokumentieren. Nun, ich habe diesen Beitrag vielleicht ein wenig sarkastisch begonnen, aber ich bin im Kern ein relativ großer Fürsprecher von Standards und von "best practice". Es gibt keinen Grund gute Dinge neu zu erfinden. Gegen die eventuelle Langweiligkeit von Standards, kann ich nichts tun. Aber ich habe einige Vorschläge zu schnelleren Wegen - 4 Abkürzungen - zu einer verantwortungsbewussten IT-Risikobewertung, die Ihnen mit einer pragmatischen Einhaltung des ISO 27001, dem Standard mit dem meisten Rückenwind in Europa, helfen können Zeit zu sparen.

Veröffentlicht in: Business
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
295
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
3
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

IT-Risikobewertung - 4 verantwortungsbewusste abkürzungen

  1. 1. 4 verantwortungsbewusste Abkürzungen zu einer genügenden Risikobewertung Von Lars Neupart, CEO & Gründer, Neupart - Information Security Management Standards für IT-Sicherheit haben typisch mindestens zwei Merkmale: Sie können Schlafstörungen heilen und einige von ihnen beschreiben eine relativ perfekte Welt, in der Verantwortliche für IT-Sicherheit viel Zeit haben, und wo es genügend Ressourcen gibt, Bedürfnisse zu analysieren, und Entscheidungen zu dokumentieren. Nun, ich habe diesen Beitrag vielleicht ein wenig sarkastisch begonnen, aber ich bin im Kern ein relativ großer Fürsprecher von Standards und von "best practice". Es gibt keinen Grund gute Dinge neu zu erfinden. Gegen die eventuelle Langweiligkeit von Standards, kann ich nichts tun. Aber ich habe einige Vorschläge zu schnelleren Wegen - 4 Abkürzungen - zu einer verantwortungsbewussten IT-Risikobewertung, die Ihnen mit einer pragmatischen Einhaltung des ISO 27001, dem Standard mit dem meisten Rückenwind in Europa, helfen können Zeit zu sparen. 1. Die erste Abkürzung heißt: Nicht alle Bestände. Ein Bestand im ISO 27001 ist sehr grob als al das definiert, welches für eine Organisation einen Wert darstellt, und der Standard besagt: "identifizierbare Bestände im Rahmen des Geltungsbereiches" Ich kenne keine Firma, die sämtliche Bestände registriert hat. Man sollte damit beginnen, die wichtigsten Geschäftsprozesse zu bewerten, und nicht alles andere. Und schon gar nicht alles mit einer IP- Nummer, wenn jemand unter Ihnen auf eine solche Idee kommen sollte. Natürlich können Sie später jederzeit erweitern, damit die Dienstleistungen und die Systeme, die Ihre Geschäftsprozesse unterstützen, auch bewertet werden. Sie und Ihre Kollegen haben wahrscheinlich bereits ein gutes Gespür dafür, welche Geschäftsprozesse am wichtigsten sind. Diese Abkürzung ist also ein Wesentlichkeitskriterium, damit Sie als Firma weniger Bewertungen bekommen, und Sie Ihre Zeit für die wesentlichsten Bestände verwenden. 2. Die zweite Abkürzung ist: Nicht alle Bedrohungen. Mehrere Risiko-Standards enthalten ziemlich umfassende Kataloge über mögliche Bedrohungen. Wenn Sie selber einen Brainstorm über al das, was schief gehen könnte, machen, entdecken Sie schnell, warum die Bedrohungskataloge (zu) lang werden können. Die Abkürzung besteht in diesem Fall darin, Bestände in Typen aufzuteilen, und danach zu identifizieren, welche Typen von Bedrohungen für welche Bestandstypen eine mögliche Relevanz haben. Zum Beispiel können nicht alle Typen von Beständen brennen: Geschäftsprozesse, IT-Dienstleistungen, logische Server etc. können nicht brennen. Das können nur die physischen Bestände, wie Hardware und Gebäude. Und selbst innerhalb der physischen Bestände können Sie verantwortliche Abkürzungen machen, indem Sie z.B. nur die Bedrohung eines Brandes im Rechencenter beurteilen, und nicht im Einzelnen auf die Teile der Ausrüstung, die sich auch im Rechenzentrum befinden. Diese Abkürzung gibt weniger Bedrohungsbewertungen.
  2. 2. 3. Vererbung nach oben und unten ist der Name der dritten Abkürzung. "Best practice" und bewährte Standards schreiben es vor, sowohl die BIA ("Business Impact Assessments" d.h. Geschäftsfolgenabschätzungen) als auch die Wahrscheinlichkeitseinschätzungen durchzuführen. Letzteres ist eine Abschätzung der Anfälligkeit Ihrer Bestände auf relevante Bedrohungen. Ich weiß aus meiner Praxis, dass viele Unternehmen im Bezug zu einer Menge von Beständen große Schwierigkeiten damit haben, beide Typen von Einschätzungen zu machen. Es ist zum Beispiel schwierig, für Geschäftsprozesse eine Schwachstellenanalyse zu machen, und es ist auch schwierig, eine Folgenabschätzung für einen Server zu machen. Die Lösung von dieser Art von Herausforderung ist es, die Abhängigkeiten zu identifizieren. In diesem Beispiel geben Sie an, von welchen anderen Beständen der Geschäftsprozess abhängig ist, das heißt also, genau die Bestände, die den Prozess unterstützen. Danach wird die Folgenabschätzung "nur" im Verhältnis zum Geschäftsprozess durchgeführt, während die Schwachstellenanalysen dann "nur" in Bezug auf die unterstützenden Bestände durchgeführt werden. Die Geschäftsfolgen werden also nach unten an die unterstützenden Bestände vererbt, und die Schwachstellenbewertungen werden von den unterliegenden Systemen nach oben an den Geschäftsprozess vererbt. Auf diese Art und Weise ergibt diese Abkürzung weniger Folgenabschätzungen und weniger Schwachstellenanalysen, obgleich es tatsächlich immer noch möglich ist, die Bewertungen, die nötig sind, durchzuführen. 4. Die vierte und letzte Abkürzung heißt übergeordnete Bewertungen zuerst. In einer Folgenabschätzung verhält man sich in der Regel dazu, ob es im Zusammenhang mit einem Sicherheitsvorfall zu erwarten ist, dass Einnahmen, Kosten, das Image oder die Einhaltung vertraglicher und gesetzlicher Verpflichtungen beeinflusst werden. Die vierte Abkürzung ist es, diese Faktoren gemeinsam, und nicht etwa im Einzelnen, zu bewerten. Das gleiche gilt für Schwachstellenanalysen. Hier kann der Schutz gegen mehrere Bedrohungen gemeinsam beurteilt werden. Zugegeben, es ist eine Abkürzung, und man wird wahrscheinlich Experten finden können, die sagen, dass dies nicht gut genug ist. Ich bin aber der Meinung, dass Sie später bei den Beständen viele Möglichkeiten bekommen werden es, dort wo es Sinn macht, zu verfeinern und genauer auszuwerten. Daher ist diese Abkürzung also doch verantwortungsbewusst, vor allem, wenn Ihre Organisation die Risikobewertung noch nicht zu einer wiederkehrenden, regelmäßigen Routine gemacht hat. Hier ist eine kurze Zusammenfassung der Abkürzungen: 1. Nicht alle Bestände 2. Nicht alle Bedrohungen 3. Vererbung nach oben und unten 4. Übergeordnete Bewertungen zuerst Denken sie daran, dass die Risikobewertung und das Risikomanagement - wie alles andere was mit Sicherheit zu tun hat - ein Prozess ist, also weder ein Projekt noch eine Momentaufnahme ist. Dieses Wissen können Sie verwenden, um die Risikobewertungen am Anfang sanft laufen zu lassen, und die Abkürzungen im großen Stil zu verwenden. Später können Sie Ihre Methoden verfeinern und präzisieren, indem Sie z.B. mehrere Bestände, Bedrohungen und Leute miteinbeziehen (mehrere Bewertungen), und/oder detaillierte Bewertungen machen. Mit diesen Abkürzungen sparen Sie Zeit und/oder Sie können das Ziel der ISO 27001 Konformität mit weniger Aufwand erreichen. Völlig verantwortungsbewusst.
  3. 3. Lernen Sie mehr Die vier Abkürzungen können Sie mit, aber auch ohne, dem Risikomanagement Tool, SecureAware Risk TNG von Neupart verwenden. Lesen Sie mehr hier Testen Sie SecureAware hier Weitere Ressourcen Bildungs-Webinare: Begleiten Sie unsere Webinare und erfahren Sie mehr über Informationssicherheits-management Anmelden Sie zum Informationssicherheits-Newsletter: Empfangen Tools & Tricks, White Papers, Artikeln und Webinareinladungen Neupart hilft Unternehmen bei der IT-Risikosteuerung und der Erfüllung von Sicherheitsanforderungen. Neupart unterscheidet sich von herkömmlichen Beratungsfirmen, da unsere selbst entwickelte Information Security Management System, SecureAware, den Unternehmen Zeit spart und weniger Beraterstunden erfordert. Neupart ist Spezialist für ISO 27001, Cobit, PCI DSS und Cloud-Sicherheit. Mehr als 200 Organisationen weltweit sind Neupart Kunden, darunter Staatliche Institutionen, Versorgungsunternehmen, Banken und Versicherungen, IT-Dienstleister und Lotterien. Neupart ist ISO 27001 zertifiziert. © 2014 Neupart Neupart GmbH Kaiserwerther Straße 115 40880 Ratingen/Düsseldorf www.neupart.de

×