Informationssysteme und deren Sicherheit bereiten den meisten Unternehmern, Managern und Administratoren aufgrund ihrer Komplexität und des vielen Fachjargons große Sorgen. Dieser Artikel hat zum Ziel, die Informationsrisikoanalyse klar und verständlich darzustellen.
1. Der Informationsrisikoanalyse eine existenzielle Wendung geben
Eine Astronautencrew startet ins All, um die Menschheit zu retten. Einer von ihnen steuert das Raumschiff, zusammen mit einem zweiten, dem Kopiloten. Gemeinsam überwachen sie das Handdisplay – ein komplexes System aus Knöpfen und Tönen, das die wichtigsten Informationen für die Entscheidungsfindung anzeigt – um in Echtzeit zu sehen, was passiert. Die Knöpfe leuchten rot auf und die Töne ertönen, was ein Gefühl unmittelbarer Gefahr erzeugt: Das Raumschiff wird in wenigen Sekunden einen Meteoritenschauer durchqueren. Der Unterschied zwischen Erfolg und Misserfolg der Mission ist Leben und Tod, oder anders gesagt: die Zukunft einer ganzen Spezies.
Dies ist ein typisches Szenario in Science-Fiction-Filmen. Sie alle weisen ein ähnliches Muster auf: Der Protagonist ist ein Anführer, der in Krisenzeiten Entscheidungen nur auf der Grundlage einer einzigen Sache trifft: Informationen Informationen aus verschiedenen Quellen und unterstützt durch ein equipo von Spezialisten. In den meisten Fällen hängt das Endergebnis von der Fantasie des Drehbuchautors ab, im wirklichen Leben jedoch von zwei Faktoren: Kreativität und Vorbereitung.
Die Formel scheint klar, doch die richtigen Zutaten und die richtige Mischung zu finden, dürfte für jede Organisation die größte Herausforderung sein:
Erfolg = Menschen + Informationen + Vorbereitung
Was passiert diesmal, wenn Sie die Hauptfigur sind? Was passiert, wenn Ihnen die Informationen oder das Team fehlen, um eine Entscheidung zu treffen? Zugegeben, Sie steuern vielleicht kein Raumschiff und die Menschheit hängt nicht von Ihnen ab, aber Sie haben ein Team und tragen Verantwortung: vielleicht als Manager, Unternehmer, Angestellter oder Teamleiter. Wer unterstützt Sie? Wer berät Sie?
Kreativität, Vision und Erfahrung sind drei Eigenschaften, die selten gleichzeitig in einer Person vorkommen, weshalb sie so begehrt sind. Eine kreative, kompetente und erfahrene Person ist der Goldschatz eines jeden Unternehmens. Sie entscheidet über Erfolg oder Misserfolg im Geschäftsleben: über eine nachhaltige Zukunft oder das Aus.
2. Was ist Risikoanalyse und warum ist sie wichtig?
El Informationsrisikoanalyse Es handelt sich um einen Prozess des Verstehens und Bewertens von Informationsbeständen, ihrer Schwachstellen und Bedrohungen mit dem Ziel, diese zu schützen. Dies beinhaltet die Betrachtung der verschiedenen Systeme des Unternehmens sowie ihrer Beziehungen zu externen Systemen.
Der Artikel Wie man sich in einer Welt mit 12 Cyberangriffen pro Sekunde vorbereitet. Es hat uns bereits gezeigt, dass wir uns weder des Wertes unserer Vermögenswerte noch ihrer Schwachstellen oder all der Bedrohungen bewusst sind, die täglich ihre Sicherheit gefährden.
Es ist allgemein bekannt, dass „Vorbeugen ist besser als heilen.“. Internationale Organisationen und Regierungen investieren zunehmend in Prävention, um die größten Herausforderungen der Menschheit zu bewältigen, denn sie sind sich vollkommen bewusst, dass es keine bessere Lösung gibt: Warum Probleme lösen, wenn man sie verhindern kann? Vorsorge ist der Schlüssel.
Eine gute Vorbereitung im Bereich Cybersicherheit bzw. Informationssicherheit erfordert eine Risikoanalyse und ein entsprechendes Risikomanagement. Dazu müssen wir viele Fragen beantworten:
- Was sind unsere Informationsressourcen, welchen Wert haben sie und wo liegen ihre Schwachstellen?
- Welchen Bedrohungen sind die einzelnen Akteure ausgesetzt und welche Auswirkungen haben diese auf die Organisation?
- Wie können wir Schwachstellen minimieren und die Sicherheit gegen Bedrohungen maximieren?
Für unsere Organisation ist die Durchführung einer ordnungsgemäßen Risikoanalyse nicht mit großem Aufwand verbunden, wenn wir von ihrer Nützlichkeit überzeugt sind und vor allem, wenn wir sie mit den Vorteilen vergleichen, die sie uns bringen kann, indem sie uns hilft, die Auswirkungen von Bedrohungen auf das Geschäft und seine Kontinuität zu reduzieren oder sogar zu vermeiden, falls diese eintreten.
Wie Steve Jobs sagte…
3. Risikoanalyse in 7 einfachen Schritten
Für die Durchführung einer umfassenden Risikoanalyse existieren verschiedene Methoden: Magerit, der „Leitfaden zur Durchführung von Risikobewertungen“ des NIST, ISO/IEC 27005:2011 und die entsprechende spanische Norm UNE 71504:2008, um nur einige zu nennen. Allen gemeinsam ist der Vorteil, dass sie die folgenden grundlegenden Schritte befolgen, die wir hier vorstellen:
3.1. Den Umfang der Risikoanalyse bestimmen
Jede Organisation ist ein großes System, das in kleinere, eigenständige, aber dennoch miteinander verbundene Systeme unterteilt ist. Führt man beispielsweise eine Risikoanalyse der gesamten Organisation durch, könnte man mit dem Managementsystem, dem Vertriebssystem oder dem Finanzsystem beginnen.
Dieser Aspekt ist von grundlegender Bedeutung hinsichtlich seiner Konsequenzen und um die notwendigen Investitionen, die für zufriedenstellende Ergebnisse erforderlich sind – sicherere Systeme, eine sicherere Organisation –, kohärent bewerten zu können.
3.2. Listen Sie die Anlagen auf und bewerten Sie deren Kritikalität
Die Informationsressourcen Es handelt sich dabei um Daten oder Systeme, die mit der Verarbeitung von Daten zusammenhängen und als eine Einheit definiert und verwaltet werden, die verstanden, geteilt, geschützt und effizient genutzt werden kann.
Informationsressourcen Sie weisen Wert, Risiko, Inhalt und Lebenszyklen auf, die einer Bewertung und einem Management unterliegen.Daher ist ihr Schutz unerlässlich. Es gibt verschiedene Kategorisierungssysteme, aber der Einfachheit halber ist eine grundlegend nützliche Unterscheidung zu berücksichtigen:
- Greifbar: eine Person, ein Computer, ein Smartphone oder ein Server.
- Immateriell: eine Datenbank, eine E-Mail-Adresse oder Daten von Kollegen und Kunden
Die Identifizierung der Vermögenswerte, die den Prozessen und Dienstleistungen unseres Unternehmens zugrunde liegen, ist ein grundlegender Schritt zur Erreichung der großes Bild und geeignete Maßnahmen zu deren Schutz ergreifen. Daher ist das grundlegende Ergebnis in der Phase der Anlagenidentifizierung die Anlagenübersicht.
|
ID |
Aktiv |
Verantwortlich |
Kritikalität (1-3) |
|
ID_BD01 |
Kundendatenbank für Bankkonten |
Kaufmännischer Leiter |
3 |
|
ID_S01 |
Hauptserver |
Systemdirektor |
3 |
|
ID_PM01 |
Neue Flaggschiff-Prototypen für die Markteinführung 2018 |
Produktmanager/in |
3 |
33. Identifizieren und kategorisieren Sie die Bedrohungen für jedes der Vermögenswerte.
Im nächsten Schritt werden die Bedrohungen für jedes Asset identifiziert und bewertet. Wir untersuchen deren Schwachstellen, die Bedrohungen, denen sie ausgesetzt sind, und die potenziellen Auswirkungen, falls diese Bedrohungen eintreten. Dies ermöglicht uns die Bewertung der Assets und somit die Bestimmung der Auswirkungen auf die von ihnen unterstützten Prozesse und Dienste. In dieser Phase legen wir außerdem fest, welche Risiken das Unternehmen akzeptieren kann und welche weitere Maßnahmen erfordern.
3.4. Schwachstellen und Schutzmaßnahmen identifizieren
Der Vorteil, jeden Informationswert aufzulisten und zu bewerten, besteht in der Möglichkeit, ihn besser kennenzulernen: seine Schwachstellen, und seine Sicherheit zu verbessern: ihn zu schützen.
Vulnerabilität = Exposition x Anfälligkeit / Resilienz
In ähnlicher Weise werden wir unsere aktuellen Sicherheitsmaßnahmen analysieren, um festzustellen, ob diese Schwachstellen derzeit geschützt sind oder ob es im Gegenteil notwendig ist, neue Systeme und Prozesse einzuführen, um sie zu schützen.
Beispielsweise lassen sich Situationen wie fehlende Datensicherungen, veraltete Software oder ein ungünstiger Standort des Rechenzentrums leicht verbessern, wenn man sich dieser bewusst ist.
3.5. Risiko einschätzen
Das Risiko wird berechnet, indem die Wahrscheinlichkeit des Eintritts einer Bedrohung und ihrer Auswirkungen auf Basis unserer Schwachstellen abgeschätzt werden. Die numerische Berechnung ist komplexer, aber diese Tabellen sollen Ihnen ein qualitatives Verständnis davon vermitteln, wie wir das tatsächliche Risiko für Ihre Informationssysteme bewerten:
Tabelle zur Berechnung der Bedrohungswahrscheinlichkeit:
| Qualitativ | Quantitativ | Beschreibung |
| Ablehnen | 1 | Die Bedrohung tritt einmal im Jahr auf. |
| Medien | 2 | Die Bedrohung tritt einmal im Monat auf. |
| Alta | 3 | Die Bedrohung tritt einmal pro Woche auf. |
Tabelle zur Auswirkungsberechnung:
|
Qualitativ |
Quantitativ |
Beschreibung |
|
Ablehnen |
1 |
Der durch die Bedrohung entstandene Schaden hat keine relevanten Konsequenzen für die Organisation. |
|
Medien |
2 |
Der durch die Bedrohung entstandene Schaden hat erhebliche Konsequenzen für die Organisation. |
|
Alta |
3 |
Der durch die Bedrohung entstandene Schaden hat schwerwiegende Folgen für die Organisation. |
Sobald wir die Schwachstellen, Bedrohungen und deren Auswirkungen bewertet und klassifiziert haben, können wir die Risikogleichung lösen:
Risiko = Bedrohung x Schwachstelle x Auswirkung
Mit Hilfe der Risikomatrix Wir können qualitativ einschätzen, welcher Art von Risiko wir ausgesetzt sind:
3.6. Umgang mit dem Risiko: Auswahl und Umsetzung von Sicherheitsmaßnahmen.
Sobald wir uns der Risiken bewusst sind, denen wir ausgesetzt sind, ist die halbe Miete geschafft. Der vorletzte Schritt besteht dann darin, die am besten geeigneten Maßnahmen auszuwählen, um das Risiko zu beseitigen oder auf ein für die Organisation akzeptables Niveau zu reduzieren.
Sobald sie identifiziert sind, werden sie in Programme und Aktivitäten gruppiert, und die für deren Umsetzung Verantwortlichen werden benannt.
3.7. Dokumentieren Sie die Erfahrungen, damit das Wissen im Unternehmen erhalten bleibt: Sichern Sie das Know-how.
El Know-how Es ist einer der größten Wettbewerbsvorteile und, zusammen mit Kreativität, das, was unsere Organisationen und Gesellschaften voranbringt. Aus diesem Grund empfehlen wir stets, Aufzeichnungen über die in der Organisation erlebten Gegebenheiten zu erstellen und zu aktualisieren, um festzuhalten, welche Alternativen funktioniert haben und welche nicht, um diese zu verbessern.
Auf diese Weise werden wir nicht nur das Wissen unserer Organisation gut im Blick behalten, sondern auch das Verständnis dafür bei zukünftigen Kooperationspartnern erleichtern.
4. Kosten und Nutzen einer Risikoanalyse
Im Juni haben wir uns bereits damit befasst. Wie man sich in einer Welt mit 12 Cyberangriffen pro Sekunde vorbereitet. die Durchschnittliche Kosten der Vernachlässigung Ihrer Cybersicherheit:
Laut dem „Globale Umfrage zum Stand der CybersicherheitEiner Studie des Beratungsunternehmens PwC zufolge könnten die Verluste spanischer Unternehmen, die ausschließlich durch Cyberangriffe entstehen, im Durchschnitt etwa 1,4 Millionen Euro im Jahr 2016Wenn wir uns auf den Fall von KMU konzentrieren, schätzt der Versicherer Mapfre auf Grundlage verschiedener Studien, dass sich die Summe auf zwischen durchschnittlich 20.000 € und 50.000 €.
All diese Informationsverluste können für Unternehmen hohe Kosten verursachen, nicht nur im Hinblick auf die Unterbrechung des Geschäftsbetriebs, sondern auch in Bezug auf den Verlust von Image, Vertrauen und sogar Kunden sowie die Wiedererlangung der Informationsbestände selbst.Obwohl dieser Betrag von der Geschäftstätigkeit des Unternehmens und der Sensibilität der verlorenen Daten abhängt, schätzt dieselbe Studie die durchschnittlichen Wiederherstellungskosten eines durch einen Cyberangriff verlorenen Datensatzes auf 152 €. Dieser Betrag ist deutlich höher als die Kosten, die durch Systemfehler oder menschliches Versagen entstehen und auf 119 € bzw. 123 € geschätzt werden. Diese Zahlen verdeutlichen die gravierenden Folgen, die der Verlust mehrerer Tausend Datensätze mit sensiblen Geschäftsinformationen für ein Unternehmen haben kann.
Als Unternehmen, das Informationssicherheits- und Managementdienstleistungen in Anspruch nimmt, hängen Ihre Kosten vom Projektumfang und der Qualifikation der beauftragten Fachkraft ab. EPUNTO Interim Management bietet Ihnen erfahrene Manager mit über 15 Jahren Erfahrung in Informationssystemen und -sicherheit, die projektbezogen für die von Ihnen benötigte Dauer tätig sind. So stellen wir Ihnen einen temporären Manager zur Seite, der Sie bei der Bewältigung Ihrer Herausforderungen unterstützt und Ihnen hilft, Lösungen zu finden, dazuzulernen und Ihre Management-Eigenständigkeit zu stärken.
Die Vorteile der Verwaltung und Sicherheit von Informationssystemen Sie sind klar:
- Vermeiden Sie Probleme
- Reagieren Sie schneller und genauer
- Mehr Effizienz: Bessere Ergebnisse mit weniger Investitionen
- Wir möchten unser Verständnis unserer Organisation und unserer Mitarbeiter erweitern und verbessern.
- Sei schlauer.
Schlussfolgerungen
Wir begannen mit einem Gespräch über Szenen, also über eine Abfolge von Einzelbildern. Und das liegt daran, dass Alles verändert sich mit der Zeit: die Prozesse, die Ressourcen, die Dienstleistungen, die Mitarbeiter, die Schwachstellen, die Bedrohungen und deren Auswirkungen.
Informationstechnologie ist ein Sektor, der naturgemäß exponentiell und rasant wächst. Daher sind ständige Aufmerksamkeit und Sorgfalt unerlässlich, um in einer Welt mit 12 Cyberangriffen pro Sekunde gerüstet zu sein. Es handelt sich um einen kontinuierlichen Verbesserungsprozess, dessen technische Natur ein erfahrenes Team mit sowohl allgemeinem als auch detailliertem Wissen erfordert.