Was Sie heute über Risikomanagement-Experten wissen müssen

Was ist Risikomanagement? Dieser Beitrag zielt darauf ab, neue statistische Methoden im Rahmen des Risikomanagements zu entwickeln. Die Motivation besteht darin, das Bewusstsein für die Verfügbarkeit einer großen Menge an Informationen zu schärfen. Diese Informationen sind jedoch heterogen: einerseits quantitative Daten und andererseits qualitative und textuelle Daten. Ab sofort nennen wir qualitative Daten Expertenmeinungen, die in der Regel über Fragebögen und Interviews (Fokusgruppen) erhoben werden. Im Rahmen des Risikomanagements spielen Expertenmeinungen von Risikomanagement-Managern eine Schlüsselrolle, da sie eine Bereicherung und Kompensation quantitativer Daten ermöglichen. Tatsächlich ist es häufig so, dass historische Daten nicht ausreichen, um Ereignisse mit höherem Risiko zu bewerten.

Basierend auf den Erfahrungen und Meinungen einer Reihe interner „Risikomanagement-Experten“ des Unternehmens wurde ein Ansatz namens „Scorecard“ entwickelt, anhand dessen verschiedene Risikobewertungen und eine Prioritätenliste von Interventionen zur Verbesserung der relevanten Kontrollen erstellt werden. Scorecard-Modelle stellen jedoch nur den ersten Schritt in der Risikomanagementanalyse dar: Sie müssen Meinungen zum Selbstwertgefühl verwenden und diese dann in quantitative Modelle integrieren. In der Literatur finden wir verschiedene Ansätze, die hauptsächlich wie folgt verallgemeinert werden können: lineare Aggregation, Fuzzy-Methoden, Bayes’sche Ansätze. Eine unbestreitbare Methode zur Integration subjektiver Meinungen wird jedoch nicht angegeben. Darüber hinaus führen wir ein weiteres Element der Analyse ein: Das gleiche Problem (Risiko) wird nicht nur von Experten, sondern auch von Nutzern der zu bewertenden Dienste unter verschiedenen Gesichtspunkten bewertet.

Das Risikomanagement ist im Allgemeinen ein Prozess, der auf ein wirksames Gleichgewicht zwischen der Realisierung von Gewinnchancen und der Minimierung von Schwachstellen und Verlusten abzielt. Das Risikomanagement sollte ein sich ständig wiederholender Prozess sein, der aus Phasen besteht, die bei korrekter Implementierung den Entscheidungsprozess kontinuierlich verbessern und die Produktivität steigern können.

Das Informationssicherheits-Risikomanagement (IS) kann Teil des umfassenderen Risikomanagementprozesses des Unternehmens sein oder separat implementiert werden. Angesichts der Tatsache, dass die Informationstechnologie im Allgemeinen (und die Informationssicherheit im Besonderen) die fortschrittlichsten Technologien umfasst, die sich ständig ändern und erweitern, wird empfohlen, das IS-Risikomanagement als fortlaufenden Prozess innerhalb der Organisation zu etablieren.

Sicherheitsexperten sagen, und Statistiken bestätigen dies: Administratoren der Informationstechnologiesicherheit sollten damit rechnen, dass sie etwa ein Drittel ihrer Zeit für technische Aspekte aufwenden werden. Die verbleibenden zwei Drittel sollten für die Entwicklung von Richtlinien und Verfahren, die Durchführung von Sicherheitsüberprüfungen und Risikoanalysen, die Notfallplanung und die Sensibilisierung für die Sicherheit aufgewendet werden. Sicherheit hängt mehr vom Menschen als von der Technik ab; Mitarbeiter stellen eine weitaus größere Bedrohung für die Informationssicherheit dar als Außenstehende. Sicherheit ist wie eine Kette. Er ist so stark wie sein schwächstes Glied; Der Grad der Sicherheit hängt von drei Faktoren ab: dem Risiko, das Sie eingehen möchten, der Funktionalität des Systems und den Kosten, die Sie bereit sind zu zahlen. Sicherheit ist kein Zustand oder Schnappschuss, sondern ein laufender Prozess.

Dies ist nicht nur die Größe, sondern insbesondere die spezifische Geschäftstätigkeit der Organisation, die die Sicherheitsanforderungen auf rechtlicher, behördlicher und operativer Ebene bestimmt. Kleine Unternehmen mit einer eingeschränkten Informationssysteminfrastruktur, für deren Aktivitäten keine Verarbeitung, Speicherung und Verarbeitung personenbezogener oder vertraulicher Daten erforderlich ist, sind in der Regel geringfügigen Risiken oder Risiken mit geringerer Wahrscheinlichkeit oder geringerer Auswirkung ausgesetzt.

Die Wirksamkeit des Risikomanagements hängt in hohem Maße davon ab, inwieweit es gelingt, Teil der Unternehmenskultur zu werden, dh der Philosophie, der Praxis und der Geschäftsprozesse. Daher liegt das Risikomanagement in der Verantwortung aller Mitarbeiter der Organisation. Die Entwicklung und Implementierung des Risikomanagementprozesses in einer bestimmten Organisation wird immer beeinflusst von: der Mission und den Zielen der Organisation; seine Produkte und Dienstleistungen; Management- und Betriebsprozesse; angewandte spezifische Praktiken; lokale physikalische, umweltbedingte und behördliche Bedingungen.