Das bei weitestem anspruchsvollste Thema, das die ISO 27001 fordert, ist das Risikomanagement (sog. Informationssicherheits-Risikomanagement).
Wir möchten Ihnen hier in fünf einfachen Schritten erklären, wie Sie das Thema für Ihre Organisation problemlos in den Griff bekommen.
Los geht's!
Schritt 1: Von welchen "Dingen" gehen Risiken aus?
Im ersten Schritt überlegen Sie sich bitte, für welchen Bereich Sie Risiken managen möchten. Also ganz konkret: Für welche Abteilung? Für welche Räumlichkeiten? Für welchen Arbeitsprozess?
Im Anschluss können Sie überlegen, welche Arbeitsmittel, Geräte und auch Menschen denn hier überhaupt arbeiten:
- Welche Computer sind im Einsatz?
- Wer arbeitet mit diesen Computern?
- Welche Netzwerke transportieren die Daten?
- Wie ist die Arbeit hier organisiert?
- Wie ist das alles hier räumlich angeordnet - wie kommt man hier hinein?
- Welche Software wird für die Arbeiten eingesetzt?
Dabei kommen i.d.R. einige Dinge zusammen - wie Sie die am besten aufschreiben, erfahren Sie hier.
Anhand dieser Fragen können Sie eine Liste all derjenigen Dinge (und auch Menschen) erstellen, von denen potentiell Risiken ausgehen können.
Schritt 2: Welche Risiken gibt es hier?
Der nächste Schritt beim Risikomanagement ist dann, sich zu überlegen, welche Risiken von allen gefundenen "Dingen" (und natürlich auch: Menschen) ausgehen, sich also zu fragen:
- Wo sind hier Schwachstellen?
- Welche Bedrohungen gibt es, die eintreten können und genau unsere Schwachstellen ausnutzen?
Ganz konkret:
Schwachstelle Räumlichkeiten: diese liegen eventuell im Erdgeschoss. Bedrohung hier: Es kann jemand durch eine eingeschlagene Scheibe einsteigen und geschützte Informationen entwenden.
Schwachstelle Software: Das eingesetzte Programm hat eine bekannte Sicherheitslücke. Bedrohung hier: Ein Hacker kann diese gezielt ausnutzen, um geschützte Informationen zu verfälschen.
Schwachstelle Mensch: Mitarbeiter schreiben zu komplizierte Passwörter leider gerne auf. Bedrohung hier: Unberechtigte Mitleser finden diese und geben diese an übel meinende Zeitgenossen weiter.
Schritt 3: Welche Risiken sind naheliegend und wieviel Schaden geht von ihnen aus?
Nicht jedes Risiko ist wirklich naheliegend - und gottseidank entsteht auch nicht bei jedem Risiko sofort großer Schaden.
Risikomanagement bedeutet, jedes der in Schritt 2 gefundenen Risiken einzusortieren
- auf der Skala "unwahrscheinlich", "kann schon mal vorkommen" und "ziemlich sicher"; sowie noch ein weiteres Mal
- auf der Skala "kaum Schaden", "einiger Schaden" und "sehr teuer".
Schritt 4: Welche Risiken sollten als erstes angegangen werden?
Risikomanagement bedeutet - Sie ahnen es schon: Risiken, die sowohl "unwahrscheinlich" sind als auch "kaum Schaden" anrichten, markieren wir in diesem Schritt grün und lassen danach außer Acht.
Risiken, die allerdings "ziemlich sicher" sind und auch noch "sehr teuer", sind bei uns allerdings rot - und um sie kümmern wir uns dann natürlich sofort!
Schritt 5: Was wollen wir tun?
Zum Schluss schauen wir uns an, was wir gegen die roten Risiken tun wollen. Wir schauen uns mögliche Gegenmaßnahmen an:
- Was können wir gegen die Software mit der Sicherheitslücke tun? Vielleicht eine neuere Version einsetzen?
- Was können wir dagegen tun, dass Menschen ihre Passworte aufschreiben? Vielleicht nicht so lange Passworte verlangen?
- Was können wir dagegen tun, dass Eindringlinge nur eine Scheibe einzuschlagen brauchen und dann schon "mittendrin" sind? Vielleicht das Büro in die zweite Etage umziehen?
Und damit wir hier nicht planlos agieren, werden wir die möglichen Maßnahmen natürlich ins Verhältnis setzen zu ihren Kosten.
Und schon ist das Risikomanagement fertig!
Haben Sie Fragen zu Ihrem Risikomanagement? Dann vereinbaren Sie doch einfach einen kostenlosen Gesprächstermin mit uns! Oder Sie schreiben uns etwas gleich hier auf der Seite in den Chat (rechts unten).
