
risk.Checkup: Risiko-Workshop auf Basis unsers Risiko-Tools
An erster Stelle vieler Ansätze im Rahmen einer strukturierten Herangehensweise an die Informationssicherheit oder den Datenschutz steht eine strukturierte und umfassende Risikoanalyse. Die Schwierigkeit bei der Durchführung der Risikoanalyse ist die richtige „Flughöhe“ im Rahmen der Risikoanalyse zu identifizieren und konsequent umzusetzen. Wählt man die Flughöhe zu hoch, generiert man für die eigene Institution keinen Mehrwert, da die Risiken zu abstrakt erfasst werden. Wählt man die Flughöhe zu niedrig, verstrickt man sich schnell in Detailfragen, was den Aufwand erheblich erhöht und das Ergebnis im Sinne eines ganzheitlichen Ansatzes schmälert.
Genau um diesem entgegenzuwirken haben wir ein Produkt entwickelt, dass es uns erlaubt unseren Risiko-Workshop genau auf Ihre Anforderungen und Unternehmensgröße zuzuschneiden. Im Rahmen unserer Risikoanalyse sehen wir ein zweistufiges Verfahren vor. Zum einen evaluieren wir das Risiko in Kombination mit der ISO 27001. Hierzu wird der Stand der aktuellen Risikosituation im Haus erfasst und bewertet. Zum anderen werden im Rahmen der Risikoanalyse die Anforderungen der unternehmensinternen Prozesse an Schutzziele und die Bedeutung der einzelnen unternehmensinternen Prozesse für das Unternehmen evaluiert.
Die Ergebnisse der Risikoanalyse werden im Rahmen eines übersichtlichen Berichtes zur Verfügung gestellt und können so ebenfalls in die nächsten Schritte im Rahmen eines Aufbaus eines Managementsystems einfließen.
Ist eine Risikoanalyse überhaupt notwendig?
Vor allem für eine Zertifizierung (bspw. ISO 27001, TISAX, BSI Grundschutz) ist eine Risikoanalyse zwingender Bestandteil für ein Unternehmen um ein Zertifikat bzw. eine Freigabe zu erhalten. Aber auch beim Aufbau eines Managementsystems (bspw. Informationssicherheits- oder Datenschutzmanagementsystem), welches nicht das Ziel hat zertifiziert zu werden, ist eine Risikoanalyse integraler Bestandstandteil eines strukturierten und funktionierenden Managementsystems. Ohne eine Risikoanalyse können keine zielgerichteten und wirkungsvollen Maßnahmen ergriffen werden, da nicht klar ist wo diese zu ergreifen sind.
Warum ein ganzer Workshop? Dafür gibt es ja Software!
Die Durchführung eines Workshops zusammen mit einem fachkundigen Berater steigert den Wert der durchgeführten Risikoanalyse für das Unternehmen erheblich. Neben der fachkundigen Erläuterung und der Unterstützung bei der Wahl der richtigen Flughöhe, Herangehensweise und Bewertung steigert eine entsprechende Beteiligung die Wiederverwendbarkeit und die Fortnutzung der strukturiert dargestellten Ergebnisse wesentlich. Des Weiteren unterstützt ein Workshop unter Beteiligung der relevanten Verantwortlichen im Haus die Kommunikation zwischen und mit den einzelnen Fachbereichen, sodass bereichsspezifische Besonderheiten und abweichende Risikowahrnehmungen dokumentiert und in nachfolgenden Prozessschritten berücksichtigt werden können. Ebenso stellte ein gemeinsam durchgeführter Workshop ein konsensfähiges und abgestimmtes Ergebnis unter allen Beteiligten sicher.
Reicht eine singuläre Betrachtung/ einstufiges Verfahren nicht aus?
Ziel des Workshops und des zweigestuften Ansatzes der UIMC ist es den Nutzen für das aufzubauende Managementsystem zu maximieren und einen optimal auf die Risikosituation ausgerichteten Projektverlauf zu unterstützen. So ist eine reine Betrachtung des Risikos auf Grundlage von verschiedenen informationssicherheitstechnischen Themen in der Regel nicht zielführend, ohne die (Kern-) Prozesse eines Unternehmens in einen entsprechenden Kontext zu setzten. Durch das zweigestufte Verfahren besteht zudem die Möglichkeit auf einen Blick Risiken im Rahmen der Unternehmensorganisation und im Rahmen der umgesetzten Maßnahmen direkt und übersichtlich zu identifizieren.
Lässt sich der Workshop in die bestehende Unternehmensstruktur einbinden?
Der Workshop und seine Ergebnisse können unkompliziert in bestehende Unternehmensstrukturen eingebettet werden. Für den Workshop wird kein Vorwissen von den am Workshop beteiligten Personen gefordert. Die einzige Voraussetzung für den Workshop ist ein vierstündiger Zeitraum, an dem alle Beteiligten an dem Workshop teilnehmen können.
Zudem können die Ergebnisse ebenfalls relativ problemlos auf weitere Unternehmensgesellschaften übertragen werden, sofern IT-Systeme zentral verwaltet und in den einzelnen Gesellschaften eine weitestgehend einheitliche/oder zentralisierte Organisationsstruktur existiert.
Was ist das Ergebnis des Workshops?
Die Ergebnisse des Risiko-Workshops sind:
- Identifizierung der Risikogebiete auf Basis der umgesetzten Maßnahmen
- Identifizierung der Risikogebiete auf Basis der Unternehmensprozesse
- Abbildung des aktuellen Standes der Risikodokumentation
- Konsensfähige und abgestimmte Risikowahrnehmung
- Gemeinsame Festlegung einer Risikobehandlung