500+ Kunden schenken uns ihr Vertrauen, von Startups bis zu Großunternehmen
Ihr Ziel
Sie wollen den Fokus auf Ihre kritischen Assets legen und die darauf wirkenden Bedrohungen, Schwachstellen und Risiken identifizieren sowie daraus gezielt wirksame, angemessene und wirtschaftlich sinnvolle Maßnahmen ableiten.
Unsere Leistung
Wir unterstützen Sie bei der Etablierung eines effektiven und doch pragmatischen Risikomanagements innerhalb Ihres Informationssicherheitsmanagementsystems (ISMS) inkl. Methodik, Rollen, Gremien und Verantwortlichkeiten.
Das Ergebnis
Sie haben Ihre Assets identifiziert, inklusive der darauf wirkenden Bedrohungen und Risiken. Und Sie haben angemessene Maßnahmen, um diese Risiken und die Angriffsfläche zu reduzieren beziehungsweise zu minimieren.
Wir unterstützen Sie
Mit mehr als 10 Jahren Erfahrung in der Informationssicherheit
- Design und Implementierung einer wirksamen Methodik im Umgang mit Informationssicherheitsrisiken.
- Durchführung und Moderation von Workshops zur Identifizierung und Bewertung der relevanten Risiken.
- Definition und Identifikation angemessener Maßnahmen.
- Wahlweise auch Beratung und Unterstützung bei der Auswahl eines für Sie geeigneten Risikomanagement- bzw. GRC-Tools (= Governance-, Risk- and Compliance).
Die Schritte zu Ihrem InfoSec-Risikomanagement
Schaffen der Rahmenbedingungen
Risikomanagementprozess und -Governance
Bevor wir mit dem Erfassen Ihrer Risiken starten, definieren wir zuvor die notwendigen Rahmenbedingungen. Dazu zählen:
- Definition des Risikoappetits sowie der genauen Risikomethodik (Schutzbedarfs- bzw. Risikostufen, zu beachtende Aspekte bei der Risikobetrachtung, ...).
- Definition und Zuordnung der Verantwortung für die (regelmäßige) Durchführung des Risikomanagementprozesses.
- Definition und Zuordnung der Verantwortung für (Rest-)Risiken.
- Festlegung der Rahmenbedingungen für die Akzeptanz von Risiken.
- Etablierung erforderlicher Kommunikationskanäle und Schnittstellen (z. B. in das unternehmensweite Risikomanagement bzw. zu anderen Risikomanagement-Systemen).
Primäre Assets identifizieren
Schutzbedarfsfeststellung
Bei der Schutzbedarfsfeststellung erfassen wir alle "primären Assets" (= Prozesse und Informationen) im Geltungsbereich des ISMS und bewerten diese nach den Schutzbedarfen
- Verfügbarkeit,
- Vertraulichkeit und
- Integrität.
Ausgehend von den primären Assets identifizieren wir die erforderlichen Ressourcen (= Anwendungen, Systeme, Netzwerke, Personen, Gebäude / Räume bzw. weitere Informationstragende), die zum Betrieb der Prozesse bzw. zur Verarbeitung der Informationen erforderlich sind und bewerten auch deren Schutzbedarf.
Risiken gründlich identifizieren
Detaillierte Risikobetrachtung
Für kritische Assets wird eine detaillierte Risikobetrachtung durchgeführt. Diese umfasst eine tiefergehende Analyse möglicher Schadensszenarien inkl. der Bewertung von deren Eintrittswahrscheinlichkeit, sowie des Schadensausmaßes im Falle eines tatsächlichen Eintretens.
Da eine detaillierte, szenariobasierte Risikobetrachtung nur für kritische Assets durchgeführt wird, kann sichergestellt werden, dass der Fokus jeweils auf den relevanten Assets liegt, aber dennoch ein pragmatischer Ansatz verfolgt wird.
Risiken soweit wie möglich eliminieren
Risikobehandlung und Umsetzungstracking
Je nach ermitteltem Risikowert müssen individuelle technische und / oder organisatorische Maßnahmen definiert werden, um das Risiko auf einen angemessenen Wert (gemäß des definierten Rahmens für die Risikoakzeptanz) zu reduzieren. Die verbleibenden (Rest-)Risiken sollen formal durch den Risikoverantwortlichen getragen werden können.
Neben der Maßnahmendefinition behandelt diese Phase insbesondere auch die Nachverfolgung der definierten Maßnahmen bzw. deren zeitgerechte und wirksame Umsetzung.
Erfolgsfaktoren beim Risikomanagement
Im Risikomanagement für Informationssicherheit (InfoSec-Risikomanagement) spielen sowohl gängige Normen wie ISO 27005 oder ISO 31000, als auch Best Practices und organisationsspezifische Gegebenheiten eine große Rolle. Die verschiedenen Risikomanagement-Systeme der Detailebene (IT- oder Informationssicherheit) sollen in die Gesamtsicht des unternehmensweiten Risikomanagements (Enterprise Risk Management) integriert werden.
Neben verschiedenen Normanforderungen muss ein InfoSec-Risikomanagement vor allem in der Lage sein aus der Vielzahl an Schwachstellen und Bedrohungen die wirklich relevanten Risiken zu identifizieren. Das bedeutet, für die identifizierten Risiken müssen angemessene (attraktiv aus Sicht der dadurch erzielten Sicherheitsniveaus) und verhältnismäßige (attraktiv aus wirtschaftlicher Sicht) Maßnahmen definiert und umgesetzt werden.
Das Management von Informationssicherheitsrisiken ist ein zentraler und wichtiger Baustein für den Betrieb eines wirksamen ISMS. Es ist ein Instrument für die Auswahl, Priorisierung und Etablierung angemessener Maßnahmen zur Behandlung identifizierter Bedrohungen und Schwachstellen.
Unser Ziel ist es, gemeinsam mit Ihnen eine pragmatische und zugleich wirksame Methode umzusetzen. Dabei setzen wir auf bewährte Standards und Best Practices wie die ISO 27001, ISO 27005, BSI Standard 200-3, ISO 31000 und vor allem unsere Erfahrung und unser Gespür für das Wesentliche.
Effizientes Risikomanagement gefällig?
Lassen Sie uns in einem Webmeeting kennenlernen und über Ihre Situation und Ziele sprechen. Wir zeigen Ihnen, wie wir in vergleichbaren Kundensituationen geholfen haben.
Weitere Services zum Management von Risiken
Schützen Sie Ihre sensiblen Unternehmensinformationen nach Best Practices.
Erfahren Sie, wie Sie Ihre relevanten Unternehmensinformationen nach VDA ISA schützen.
Wir gestalten mit Ihnen Ihr unternehmensspezifisches ISMS für KRITIS Unternehmen, etablieren die erforderlichen Prozesse und Richtlinien und verankern diese im Unternehmen. Jetzt Unterstützung anfragen!
Schützen Sie Ihr Unternehmen mit maßgeschneidertem Business Continuity Management: IT-Ausfälle vermeiden, Risiken minimieren, Kernprozesse absichern. Jetzt Unterstützung anfragen!