Information Risk Management mit CRISAM®

Aufgrund der starken IT-Durchdringung aller Geschäftsprozesse erfordern Risiken, die aus dem Einsatz der Informationstechnologie im Unternehmen resultieren, für sehr viele Unternehmen eine besondere Betrachtung. Nicht zuletzt, weil die IT zum Teil sehr komplexe und vernetzte Strukturen aufweist und eine Fehlfunktion sehr große Auswirkungen auf den Unternehmenserfolg haben kann. Eine vorausschauende bzw. risikoorientierte Planung und Steuerung der Informationstechnologie bedeutet, eine adäquate Zuverlässigkeit in Bezug auf Verfügbarkeit, Vertraulichkeit und Integrität sowie die Compliance zu Normen, Vorschriften und Gesetze sicherzustellen.

Zusätzlich zum Eigenbetrieb von IT-Systemen kommen vermehrt Herausforderungen des Outsourcings und der Nutzung von IT-Services aus der Cloud auf das Unternehmen zu. Diese müssen branchenspezifisch teilweise unter Berücksichtigung sehr enger regulatorischer Vorgaben bewältigt werden. Beispielsweise sind im Gesundheitswesen, im bargeldlosen Zahlungsverkehr, bei Betreibern kritischer Infrastrukturen und weiteren Branchen, Vorschriften vorhanden, die sehr stark auf den Betrieb von IT-Systemen und IT-Infrastrukturen zurückwirken.

CRISAM® stellt im Rahmen des Information Risk Managements (IRM) eine umfassende Lösung zur Verfügung, mit der sowohl IT-relevante Risiken für den Geschäftserfolg erkannt, bewertet und durch effiziente Maßnahmen gesteuert, als auch Kosten und Nutzen des IT-Einsatzes bewertet werden können.

CRISAM® unterstützt den Chief Information Officer (CIO) IT-Services konform den Unternehmensanforderungen und den ebenso geltenden Compliance Vorschriften zu betreiben. Dabei misst CRISAM® die Zuverlässigkeit in Zahlen und Fakten und bewertet die aus dem IT-Betrieb auf das Unternehmen einwirkenden Risiken in monetären Dimensionen.

Um ein Risiko aus dem Einsatz der IT für das Unternehmen quantifizieren zu können, werden Einzelrisiken der IT-Objekte in ihrer Ursache-Wirkungs-Beziehung zu einem Gesamtrisiko aggregiert und ihre Auswirkung am Geschäftsprozess gemessen.

Die Kernfunktionen in CRISAM® für das Information Risk Management sind:

  • Identifikation von Risiken – CRISAM® bewertet Risiken als Abweichung einer vom Management vorgegebenen Risikoakzeptanzschwelle bezogen auf Verfügbarkeits-, Vertraulichkeits-, Integritäts- und Compliance Vorgaben und Vorschriften. Durch die Anwendung der Business Impact Analyse, der Fehlerbaumanalyse und der GAP-Analyse werden Abweichungen der einzelnen IT- Objekte zu einer SOLL-Vorgabe als Risiko identifiziert.
  • Quantifizieren durch Aggregation – IT-Assets sind komplexe, vernetzte und voneinander abhängige Objekte. Risikoaussagen können nur unter Berücksichtigung ihrer gesamthaften Wirkungsbeziehungen getätigt werden. CRISAM® aggregiert IT-Objekte entsprechend einer Ursache-Wirkungsbeziehung analog der Fehlerbaummethode (DIN 25424).
  • Business Impact – Potentielle Schäden aus Fehlfunktionen eines IT-Service entstehen grundsätzlich in den unterstützten Geschäftsprozessen. CRISAM® berücksichtigt bei der Risikomessung im Rahmen der Business Impact Analyse (BIA) die möglichen Auswirkungen auf das Unternehmen. Dabei gilt der Grundsatz: Ein schlechter IT-Service, der beim Geschäftsprozess keinen Schaden anrichten kann, ist kein Risiko!
  • Identifikation von Maßnahmen – Parallel zur Identifikation von IT-Risiken werden Maßnahmen zur Steuerung der Abweichungen vom Ziel identifiziert. Abhängig von der Risikoakzeptanzschwelle wird der Umfang der zu erfüllenden Maßnahmen bestimmt.
  • Effektivitäts- und Effizienzanalyse von Maßnahmen – Nicht alle Maßnahmen zur Verbesserung von IT-Infrastrukturen sind effizient und effektiv. In CRISAM® können beide Aspekte, sowohl Effizienz als auch Effektivität, durch die Simulation und Aggregation umgesetzter Maßnahmen nachvollzogen werden.
  • Compliance – In den CRISAM® Content Libraries werden Normen, Vorschriften und Gesetze als Compliance Referenzen adressiert. Durch ein intelligentes Verfahren wird die Compliance zu diesen Vorgaben automatisiert festgestellt und ausgewertet.
  • Business Continuity Management – Ein ordnungsgemäßer IT-Betrieb bedeutet auch für Notfälle gerüstet zu sein. CRISAM® liefert erforderliche Detailinformationen, um ein standardkonformes Business Continuity Management betreiben zu können.
  • Service Level Management – Werden IT-Dienste von externen Anbietern oder aus der Cloud bezogen, so ist es auch Aufgabe des CIO für eine adäquate Qualität der bezogenen Leistungen in Form vertraglicher Vereinbarungen und fortlaufender Qualitätskontrolle zu sorgen. CRISAM® liefert erforderliche Detailinformationen, um ein ordnungsgemäßes Service Level Management betreiben zu können.
  • Integration in das unternehmensweite Risikomanagement (ERM) – Risiken in Bezug auf die Informationssicherheit sind eine Teilmenge der unternehmensweiten Risiken und müssen im übergeordneten Enterprise Risk Management berücksichtigt werden. CRISAM® bietet einerseits die Möglichkeit, IT-Risiken mit ihren Scoring Kennzahlen in das ERM zu übernehmen. Andererseits bietet CRISAM® auch die Möglichkeit, die im Szenarioanalyse Modul (SAM) ausgewiesenen, monetär bewerteten Risiken in ein ERM zu übernehmen.