Zum Hauptinhalt springen
SPIE Schweiz
Karriere

Von der Gefährdung zum kontrollierten Risiko

Risk Assessment

Da sich Bedrohungen der Informationssicherheit kontinuierlich weiterentwickeln, müssen auch die Abwehrmassnahmen entsprechend angepasst werden. Eine Risikobeurteilung verschafft Ihrer Organisation ein strukturiertes und evidenzbasiertes Verständnis der Risiken, die die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Informationen gefährden könnten.

Das Ergebnis ist keine theoretische Übung. Es ist ein dokumentiertes, priorisiertes Risikoregister. Damit kann Ihre Organisation Sicherheitsmassnahmen auf Basis geschäftlicher Bedürfnisse und einer begründeten Kosten-Nutzen-Abwägung auswählen und umsetzen. Zudem kann sie die Auswahl gegenüber Prüfern, Aufsichtsbehörden und der Geschäftsleitung belegen.

Mit einem Experten sprechen
Herausforderungen

Warum das informelle Risikomanagement zu kurz greift

Die ISO 27001, der NIST-CSF und die IKT-Risikovorgaben der FINMA verlangen allesamt formale und dokumentierte Risikobeurteilungen. Über die Compliance hinaus neigen Organisationen, die Risiken informell verwalten, dazu, in Kontrollen mit der grössten Schutzwirkung zu wenig und in technisch sichtbare, aber wenig wirksame Maßnahmen zu viel zu investieren. Ohne formale Beurteilung gibt es keine belastbare Grundlage für Entscheidungen zur Risikoakzeptanz auf Verwaltungsratsebene und keine strukturierte Möglichkeit, einer Aufsichtsbehörde oder einem Prüfer nachzuweisen, dass wesentliche Risiken erkannt und behandelt wurden.

Unabhängige Risikobeurteilungen beseitigen den internen Bestätigungseffekt und liefern eine belastbare, prüfbare Sicht auf das Risiko, auf deren Grundlage die Geschäftsleitung handeln und die Aufsichtsbehörde diese überprüfen kann.

Leistungen

Flexibler Umfang, durchgehende Sorgfalt

Der Umfang einer Risikobeurteilung kann das gesamte Portfolio der Informationswerte einer Organisation, eine einzelne Geschäftseinheit, eine kritische Anwendung oder ein System oder einen definierten regulatorischen Geltungsbereich umfassen, etwa den für die FINMA relevanten IT-Bereich oder den Geltungsbereich einer ISO-27001-Zertifizierung. Methodik, analytische Tiefe und Berichtsformat werden an Ihren spezifischen Kontext, Ihren Zeitplan und die Anforderungen Ihrer Zielgruppen angepasst.

Strukturierte Methodik

Vom Informationswert bis zum Umsetzungsplan

1 Profilierung von Werten und Bedrohungen

Identifikation und Klassifizierung der Informationswerte nach geschäftlicher Kritikalität. Erfassung relevanter Bedrohungsakteure, realistischer Angriffsvektoren und plausibler Bedrohungsszenarien für Ihre Branche, Ihr Betriebsumfeld und Ihre Abhängigkeiten von Dritten.

2 Risikobewertung

Beurteilung der Eintrittswahrscheinlichkeit und der möglichen geschäftlichen Auswirkungen jedes identifizierten Bedrohungsszenarios je Informationswert. Die Risikobewertung folgt einer dokumentierten Methodik in Anlehnung an ISO 27005 und NIST SP 800-30.

3 Beurteilung der Wirksamkeit bestehender Kontrollen

Beurteilung der Wirksamkeit bestehender Sicherheitskontrollen bei der Reduktion der identifizierten Risiken. Dieser Schritt verhindert redundante Investitionen und schafft eine klare Sicht auf das Restrisiko nach Anwendung der bestehenden Kontrollen.

4 Planung der Risikobehandlung

Für jedes wesentliche Risiko wird eine Handlungsoption festgelegt und begründet. Akzeptieren, Reduzieren, Übertragen oder Vermeiden. Die Empfehlungen zur Risikoreduktion umfassen konkrete Kontrollmassnahmen mit Bezug zu ISO 27002 oder dem jeweils anwendbaren Framework.

5 Kommunikation mit den Stakeholdern

Die Ergebnisse werden für zwei unterschiedliche Zielgruppen aufbereitet: für technische Teams, die für die Umsetzung der Massnahmen verantwortlich sind, sowie für die Geschäftsleitung oder den Verwaltungsrat, die für Entscheidungen zur Risikoakzeptanz und für Sicherheitsinvestitionen verantwortlich sind.

Ergebnisse

Was Sie erhalten

  • Dokumentierte Risikomethodik in Anlehnung an ISO 27005 und NIST SP 800-30
  • Vollständiges Risikoregister mit Klassifizierung der Informationswerte, Bedrohungsszenarien, Eintrittswahrscheinlichkeit, Auswirkung und Risikobewertung
  • Ergebnisbericht der Risikobeurteilung mit priorisierten Massnahmen und Kontrollempfehlungen
  • Analyse der Risikoverteilung nach Kategorie der Informationswerte und Art der Bedrohung
  • Risikokommunikationsdokument auf Geschäftsleitungsebene, aufbereitet für die Präsentation vor dem Verwaltungsrat oder der Geschäftsleitung
Vertrauen & Kompetenz

Unabhängig, belastbar, revisionssicher

Unsere Risikobeurteilungen werden von Beraterinnen und Beratern durchgeführt, die kein kommerzielles Interesse an den empfohlenen Kontrollen oder Technologieanbietern haben. Methodik und Ergebnisse sind vollständig dokumentiert und lassen sich auf die zugrunde liegende Evidenz zurückführen. Organisationen in FINMA-regulierten Branchen können das Ergebnis der Beurteilung direkt in ihren Antworten an die Aufsichtsbehörde verwenden. Kandidatinnen und Kandidaten für eine ISO-27001-Zertifizierung erhalten eine Beurteilung, die den Anforderungen von Ziffer 6.1.2 entspricht und direkt in das Statement of Applicability sowie den Risikobehandlungsplan einfliesst.

Nächster Schritt

Legen Sie den Umfang Ihres Risk Assessment fest

Jede Risikobeurteilung beginnt mit einer kurzen Scoping-Sitzung. In dieser werden der Geltungsbereich der Informationswerte, die relevante Bedrohungslage, der regulatorische Kontext und die Beurteilungstiefe festgelegt. Diese Sitzung dauert in der Regel einen halben Arbeitstag und bildet die Grundlage für das gesamte Mandat.

Ihre Angaben
Newsletter abonnieren
Datenschutzerklärung 
Experten kontaktieren