No Risk-Management? Not funny!

The not What&Why but How-Blog

Dieser Blog zeigt Ihnen den Weg des „Wie“ hin zu einem skalierbaren Risikomanagements, ohne den ausführlichen theoretischen Hintergrund und die üblichen Drohszenarien mit Gesetzen/Strafen und Restriktionen.

Die Gründe für die Einführung eines Risikomanagementsystems sind vielfältig und die Liste der treibenden Gesetze, Wirtschaftsprüfer, Revisoren, Versicherungen und Kundenforderungen wird immer länger. Sicherlich hat sich auch zwischenzeitlich jeder Klarheit verschafft wie ein Risikomanagement konkret beschaffen sein sollte.

Das „Why“

Stellt sich die Frage: Wie führt man ein Risikomanagementsystem ein? – Dafür gibt es anerkannte Normen. Unsere Erfahrung aus vielen Projekten hat gezeigt, dass die praktikabelste Methode die Vorgehensweise nach BSI Standard 200-1 bis -3 darstellt.

Was benötigen Sie?

Sie benötigen eine geeignete Software zur Unterstützung. Dieses Tool muss entsprechende Prüfkataloge aus den unterschiedlichsten Normen enthalten, um die unterschiedlichen Szenarien und Anforderungen abzudecken. Wir haben ein solches Tool entwickelt und führen damit seit mehr als 10 Jahren Risikomanagementsysteme/ISMS ein.

Unsere Lösung für Ihr Risiko: S&L ComplianceSuite

Die Software deckt alle Schritte des Risikomanagement ab und führt Sie skalierbar bis zu Zertifizierungen nach ISO 27001, 27002, 27019, BSI-Grundschutz oder ITSiG.

Das „How“

Wie gehen wir vor, um ein Risikomanagement bei Ihnen durchzuführen?

  1. Das Erfassen der Infrastruktur / Logisches einpflegen der Assets

In der Compliance Suite können einzelne Assets aus der Strukturanalyse mit Hilfe der Baumstruktur sinnvoll und nachvollziehbar erstellt werden. Durch das Festlegen der Objekt-Klasse fügt das Programm automatisch die möglichen Rollen des Assets hinzu, welche später ausgewählt werden.

Um die Übersicht über die Compliance Suite zu gewähren werden die verschiedenen Assets den jeweiligen Teilbäumen zugeordnet:

  1. Der „Physische-Baum“ zeigt alles vom Standort und Gebäude bis hin zur einzelnen Hardware.
  2. Im „Logischen-Baum“ werden die benutzten Anwendungen und Dienste aufgeführt.
  3. Im „Compliance-Baum“ werden die Geschäftsprozesse und der Datenschutz hinterlegt.

Zum Vereinfachen der Arbeit bietet die Compliance Suite die Möglichkeit, mit einem Modellierungsassistenten die Assets aus eine Tabelle semi-automatisch zu importieren und zu erstellen.

  1. Hinzufügen der Benutzer und deren Rolle

Im nächsten Schritt werden die benötigten Benutzer angelegt und den einzelnen Benutzern eine entsprechende Rolle (nach BSI) zugewiesen. Dies dient zur späteren Zuordnung der zu beantwortenden Fragen zu dem Benutzer.

  1. Zuweisen der Bausteine/ Maßnahmen

Nach der Erstellung der Assets wird diesem eine Rolle zugewiesen. Diese Rollenzuweisung ermöglicht es der Compliance Suite, die relevanten Bausteine automatisch dem Asset zuzuordnen.

  1. Beantwortung

Nachdem die Modellierung abgeschlossen ist, bekommt der Benutzer automatisch in der Beantwortungsmaske die von Ihm zu beantwortenden Fragen ausgerollt. Hier kann er ebenfalls, in einer Übersicht, einsehen wie viele Maßnahmen zu beantworten sind und wie der Status der einzelnen Maßnahmen ist.

Nachdem eine Maßnahme ausgewählt wurde, kann der Benutzer die offenen Fragen sehen und beantworten. Um die Arbeit zu erleichtern, bietet die Compliance Suite die Möglichkeit Antwort-Sets zu erstellen und somit mehrere Assets gleichzeitig zu beantworten.

  1. Bewertung

Nach dem Abschluss der Beantwortung werden im nächsten Schritt die Antworten durch das Fachpersonal der S&L bewertet und überprüft, ob die jeweiligen Maßnahmen erfüllt, teilweise erfüllt oder nicht erfüllt sind. Sollte eine Antwort nicht ausreichen, bzw. nicht oder nur teilweise erfüllt sein so wird eine Empfehlung unsererseits ausgesprochen, was zu tun ist, um dem gewünschten Standard zu genügen.

Wie ist hier die Risikoanalyse verankert?

Durch das Zuweisen der verschiedenen Elemente an die Assets wird automatisch eine Gefahrenübersicht erstellt und ein Risikowert berechnet.

Das wird sowohl grafisch, durch die Rot-Grün Färbung, als auch in Zahlen dargestellt. Je „Grüner“ der Balken umso Besser! Wenn noch keine Maßnahmen durchgeführt wurden, erhält diese keine Punkte und bei Erfüllung volle Punktzahl. Sollte die Maßnahme nur teilweise erfüllt sein, bekommt diese auch nur einen Anteil der Punkte. Nach erfolgreichem Abschluss der Maßnahmen, sollte diese volle Punktzahl erreicht haben und der Balken sich Grün gefärbt haben. Dies bedeutet, dass die Gefahr erfolgreich verringert wurde.

Sind alle Maßnahmen abgeschlossen, die Maximalpunktzahl erreicht, ist der Balken „GRÜN“ und somit die Gefahr verringert.

Wie bereits bei der Beantwortung und Bewertung existiert eine Übersicht über alle dem Asset zugewiesenen Gefahren. Hiermit wird dem Benutzer eine einfache Übersicht über die aktuelle Gefahrenlage des Assets ermöglicht, mittels Grafischer Darstellung.

Zusätzlich hierzu können Risiken, also die Einschätzung des Betrachters, manuell erstellt werden und grafisch in einer Risikomatrix festgehalten werden.

Um eine einfache und schnelle Übersicht über die erfassten Risiken zu erhalten verfügt die Compliance Suite über ein Tool, welches die gesamten Risiken in der Risikomatrix aufführt.

Im praktischen Gebrauch der Compliance Suite werden jedoch nicht zwangsläufig jedem Asset ein Schutzbedarf zugewiesen, da dies meist nicht notwendig ist. Hier arbeitet das Programm mit einer Vererbung!

Das bedeutet, dass im „Compliance Baum“ den Geschäftsprozessen ein Schutzbedarf zugewiesen wird und dieser dann an die verknüpfte Anwendung weitervererbt werden kann. Diese Anwendung läuft auf einem Server, welcher wiederum mit dem Router und Switch die Verbindung zum Nutzer herstellt und somit verknüpft werden kann. Mit diesen Verknüpfungen wird sichergestellt, dass der Schutzbedarf des Geschäftsprozesses erfüllt wird.

Dieser Blog zeigt einen kleinen Teil der S&L Compliance Suite. Umfangreiche Reports und Cockpit-Sichten geben Ihnen jederzeit den gewünschten Überblick.

Setzen Sie auf die S&L Compliance Suite!

Kontaktieren Sie uns für ein unverbindliches Erstgespräch oder gleich für eine Online- oder Livedemonstration bei Ihnen vor Ort. Selbstverständlich haben wir auch alle Dienstleistungspakete für Ihre Anforderungen mit an Bord.

Fragen zum Thema Risikomanagement?

Gemäß geltendem Datenschutz möchten wir Sie über unsere Datenverarbeitung aufklären. Dies entnehmen Sie bitte der Datenschutzerklärung. Sollten Sie mit der Verarbeitung gemäß unserer Datenschutzerklärung einverstanden sein, aktivieren sie bitte das Auswahlkästchen