Ein riskantes Handlung: Die Wahl dieser richtigen Methodik

Die Risikobewertungsmethodik ist eine grundlegende Säule einer effektiven Informationssicherheit, und es stillstehen zahlreiche Risikomethodologien zur Verfügung, mit denen Organisationen Informationssicherheitsrisiken zum Besten von ihre Informationsressourcen identifizieren, quantifizieren und mindern können. Hingegen wie wir ganz wissen, ist Risiko subjektiv.

Persönliche Erfahrungen, Fachkenntnisse und anekdotische Quellen können zu gemischten Ergebnissen zur Folge haben. Wie wir die Risiken zum Besten von Informationen verstehen und ebendiese Informationen sinnvoll darstellen, ist dieser Zähler, an dem die Risikobewertung ins Spiel kommt, damit dasjenige Unternehmen Risiken identifizieren, potenzielle Auswirkungen forcieren und ebendiese Risiken auswerten kann, um dasjenige Risikoniveau, geeignete Kontrollen und zu forcieren um eine Risikoeinstufung zu Fakturen ausstellen.

Die Klausel dieser richtigen Risikobewertungsmethoden zum Besten von Ihr Unternehmen hängt von mehreren Faktoren ab. Dazu können die Industriezweig in Besitz sein von, in dieser dasjenige Unternehmen tätig ist, seine Größe und sein Umfang sowie die Compliance-Vorschriften, denen es unterliegt.

Die richtige Passform

Dass nicht vertraglich festgesetzt, sollte die Risikomethodik zum Unternehmen passen und nicht umgekehrt. Ein klares Verständnis dieser Risiken, denen dasjenige Zusammenschließen, Verarbeiten, Speichern, Teilen und Vernichten von Informationen ausgesetzt ist, ist dieser Schlüssel, um sicherzustellen, dass ebendiese Risiken umgekehrt den Auswirkungen eines Verstoßes gehandhabt werden, unabhängig davon, ob es sich um eigene oder Kundendaten handelt.

Außerdem sollen Sie entscheiden, ob Sie nachdem einem qualitativen oder quantitativen Verfahren oder einer Verknüpfung aus beiden Methoden suchen, und welches Sie glücken möchten, dh welche Risiken Sie wo mindern möchten. Suchen Sie nachdem Bedrohungen und Schwachstellen? persönliche Informationen, Datensätze oder geschäftskritische Informationen schützen; oder dasjenige Risiko reduzieren, dasjenige zum Besten von die Dienstleistungen des Unternehmens, seine physische Hardware oder seine Mitwirkender besteht?

Dasjenige komponentengesteuerte Risiko konzentriert sich hinauf technische Komponenten und die Bedrohungen und Schwachstellen, denen sie ausgesetzt sind, betrachtet danach einzelne Elemente. Dasjenige systemgetriebene Risiko hingegen analysiert Systeme oder Prozesse denn Ganzes, nimmt danach lieber den Zusammenfassung. Obwohl sie unterschiedlich sind, gelten sie denn komplementär. Die meisten Organisationen wenden die Komponentenmethode an, die von dieser Organisation verlangt, bestimmte Informationsressourcen und die damit verbundenen Risiken zum Besten von ihre Vertraulichkeit, Unbescholtenheit und Verfügbarkeit (nicht zuletzt prominent denn CIA) zu identifizieren.

Die CIA-Triade ermöglicht es dem Sicherheitsteam, Information sicher aufzubewahren und taktgesteuert vereinen legitimen Zugriff hinauf Information zu gewährleisten. Es ist wichtig, es zusammen mit Ihrem Risiko-Framework zu verwenden, da es wie helfen kann, dasjenige Risiko zum Besten von Information zu kontrollieren, dasjenige mit dieser Eröffnung neuer Systeme oder Geräte verbunden ist.

Durch all dieser Variablen stillstehen natürlich zahlreiche Frameworks zur Sammlung. Wenige dieser bekanntesten sind wie ISO 27005:2011, ISF IRAM2, NIST (SP800-30), Octave Allegro und ISACA COBIT 5 zum Besten von Risiken. Es gibt keinen einheitlichen Verfahren, und ganz nach sich ziehen ihre Stärken und Zehren, welches dazu führt, dass viele Teams mehr denn vereinen Verfahren verfolgen.

Fallstricke zu vermeiden

Risikomethoden werden immer nur so gut sein wie die Information, die wir in sie stecken. Dies bedeutet, dass es relativ zig-mal vorkommt, dass Teams in ihrem Umfang zu restriktiv sind und Ressourcen versäumen. Ohne Maß oft nach sich ziehen wir Beispiele zum Besten von Extra-Listen gesehen, die nur IT-Assets enthalten, wie keine Informations-Assets. Ein Informationswert hat seinen eigenen Zahl, dieser sich nicht ändert, ob er in physischer, elektronischer oder stillschweigender Form vorliegt, zugegeben wenn er aus dieser Vermögenswertliste dieser Organisation Ding der Unmöglichkeit würde, würden die Ergebnisse verzerrt.

Ein weiteres häufiges Versäumnis besteht darin, die Klasse und Weise, wie die Risikobewertung verwendet wird, einzuschränken. Es wird oft denn negative Erfahrung gemocht, weil es um die Erfolg von Kontrollen geht. Von dort ist es wichtig, dem entgegenzuwirken, während sichergestellt wird, dass die Ordnung den Zielen dieser Organisation zugute kommt und ihren Gelingen nicht gestört oder erstickt.

Es ist nicht zuletzt wichtig zu verstehen, welches hinterm Risiko steckt, dh die Bedrohungen/Schwachstellen und ihre Realisierungswahrscheinlichkeit – und dies muss sinnvoll übersetzt werden.

Die Risikobewertung kann dazu zur Folge haben, dass Risikoregister Risikomatrizen und rot-gelb-grüne (RAG) Statusindikatoren erstellen, ohne die relativen Auswirkungen in einer Geschäftssprache zu vermitteln. Die Möglichkeit, Risiken effektiv an diejenigen zu kommunizieren, die zum Besten von die Verwaltung dieser Geldbörsen zuständig sind, ist von entscheidender Wichtigkeit, um Mittel zum Besten von den Risikoschutz zu sichern. Z. B. wird die Darstellung eines Risikos denn rot oder 43 zum Besten von die meisten Laien sehr wenig bedeuten, während eine Darstellung dieser Auswirkungen hinauf den Produktionsstätte, den Ruf, die Kapital oder Strafmaßnahmen die Probleme in einer Geschäftssprache charakterisieren, die leichtgewichtig verständlicherweise ist Geschäftsleitung. Tatsächlich wird die Wichtigkeit dieser Fähigkeit, Risiken in sinnvolle geschäftliche Auswirkungen umzuwandeln, oft unterschätzt.

Dasjenige Ergebnis von Risikobewertungen sollte dasjenige Unternehmen dazu anleiten, in die Kontrollen zu investieren, die seine Ziele das Mittel der Wahl gerecht werden. Sie sollten nicht zuletzt, ebenso wichtig, hervorheben, wenn Ausgaben zum Besten von neue Technologien oder Kontrollen nicht zu diesen Zielen hinzufügen.

Schließlich ist es wichtig, dass die angewandte Risikomethodik eine Umgebung schafft, in dieser konsistente, wiederholbare Ergebnisse erzielt werden. Dies hilft dem Unternehmen zu beurteilen, ob die Risiken zugenommen nach sich ziehen, ob bestehende Kontrollen sinnvoll sind und wo die Gefährdung zugenommen hat, welches zu einem genaueren Risikoprofil und einem klareren Verständnis dieser gesamten Sicherheitsrisikolage führt.