IT-Risikoanalyse

Ihre Absicht

Sie wollen wissen

• wie weit Ihre Geschäftstätigkeit und Ihr Geschäftserfolg durch potenzielle IT-Schadensereignisse beeinträchtigt werden könnten.
• ob die bestehenden Gegenmassnahmen ausreichen, bzw. welche weiteren Investitionen in die Informationssicherheit notwendig sind.
• wie die Risiken mit akzeptablem Aufwand kontrolliert werden können.

Die Herausforderung

• Selbst unter Fachleuten werden Begriffe und Methoden zum Risk Management, vielleicht sogar zur Informationssicherheit insgesamt,  nicht einheitlich verwendet.  Es bedarf überzeugender, vorbereitender Festlegungen  und Abläufe.
• Die Komplexität (unterschiedliche IT-Systeme, umfangreiche Gefahrenkataloge, vielfältige Sicherheitsmassnahmen, unüberschaubare potenzielle Schwachstellen) erfordert eine Logik, mit der das Risk Management praktikabel wird.
• Man beobachtet Risikoanalysen, bei denen allfällige Schwachstellen nur in einzelnen Bereichen oder überhaupt nicht berücksichtigt werden.  Eine zuverlässige Risikoidentifikation und -bewertung ist so kaum vorstellbar.
• Die Wahrscheinlichkeit von Schadensereignissen in der IT quantitativ (z.B. in %) anzugeben, halten wir für ausgesprochen fragwürdig. Entsprechende Statistiken gibt es schlichtweg nicht. 

Unser Angebot

• Wir richten unsere Risikoanalysen top-down, d.h. auf Ihre Geschäftsprozesse (soweit verfügbar) bzw. Ihren kritischen Anwendungen aus. Im Mittelpunkt steht dabei die Frage, welche Verfügbarkeits– und Vertraulichkeitsverletzungen einen spürbaren Schaden verursachen könnten. (=Management-Sicht)
• Die identifizierten Risiken  werden mit relevanten Gefahren und allfälligen, relevanten Schwachstellen begründet. D.h., Gefahren und Schwachstellen werden zielgerichtet erfasst, nämlich dort wo ein Schadensereignis ausgelöst werden kann. Damit wird die Aussagekraft verstärkt, während sich der Aufwand in Grenzen hält. 
• Mit Kenntnis des Business Impacts, der relevanten Gefahren und Schwachstellen können die Risiken nach Schadensmass und qualitativer Wahrscheinlichkeit eingestuft werden.

Ihr Gewinn

• Sie haben ein Risikoportfolio und eine Methode, um
• die Risiken nachvollziehbar zu erfassen, darzustellen, zu priorisieren und zu kontrollieren.
• Management-Sicht (Business Impact) und Technik (Massnahmen, Schwachstellen) logisch zu trennen. Die Risikobeschreibung verbindet aber die Sichten.     
• über Handlungsbedarf und die geeigneten, weiteren Sicherheitsmassnahmen aus Unternehmenssicht zu entscheiden.
• Änderungen in der Infrastruktur, der Bedrohungssituation oder neue Einschätzungen leicht nachführen zu können.