Sein Unternehmen schützen
 

Risiken vorbeugen

Der beste Weg, seine Firma zu sichern, ist einen Risiko-Management-Prozess zu installieren. Er erlaubt , angepasst an die Situation und die Werte der Firma, jene Schutzmaßnahmen zu identifizieren, welche die wichtigsten Vermögenswerte schützen.

Das Risiko kann durch die folgende Berechnung definiert werden: Risiko = Schwachstelle * Bedrohung * Auswirkungen. Es enthält den Faktor "Wahrscheinlichkeit" (von der Bedrohung stammend) und den Faktor "Schaden" (vom Wert der gefährdeten Vermögenswerte bzw. von der Höhe des indirekten Schadens). Die "Schwachstelle" in dieser Funktion berücksichtigt die bereits implementierten Sicherheitsmaßnahmen.

Es ist praktisch unmöglich, ein Risiko zu vermeiden, indem man versucht, auf die Bedrohungen einzuwirken. Jedoch kann man das Risiko durch die Reduzierung der Faktoren "Schwachstelle" und "Auswirkung" verringern:

  • Reduzierung des Faktors "Schwachstelle" durch die Umsetzung gezielter Sicherheitsmaßnahmen

  • Die mögliche Auswirkung verringern, indem man Redundanzen einführt (dies hat jedoch keinen Einfluss auf die Vertraulichkeit der Daten)

Eine Organisation, die noch unerfahren im Bereich der Informationssicherheit ist, kann "best practices" befolgen ohne notwendigerweise spezifische Risiko-Management-Prozesse einzuführen.

Eine Organisation, die entschlossen ist, alle Risiken zu behandeln, wird jedoch den gesamten Risiko-Management-Prozess umsetzen. Dieser Prozess führt regelmäßig Risikoanalysen, Risikoeinschätzungen und Risikobewertungen durch und schlägt Maßnahmen vor (vier Arten der Risikobehandlung sind möglich: Verringerung durch Anwendung geeigneter Maßnahmen, bewusste und objektive Akzeptanz, Vermeidung und Übertragung).

Die folgenden Kapitel beschreiben "best practices" aus vielen Bereichen.

Die "Bedrohungen" bezeichnen alle (im Allgemeinen externen) Elemente, die die EDV-Ressourcen eines Unternehmens kompromittieren können. In einem speziellen Artikel befindet sich eine Liste der Bedrohungen, die ein Unternehmen betreffen können.

Die "Schwachstelle" bezeichnet alle menschlichen und technischen Sicherheitslücken, die von den Bedrohungen ausgenutzt werden können, um Werte zu kompromittieren.

Die "Auswirkung" ist das Resultat der Ausnutzung einer Schwachstelle durch eine Bedrohung, also der verursachte Schaden.

Die Kombination dieser drei Faktoren bildet das Risiko.