IT-Sicherheit: risikoorientiert und bedarfsgerecht

Beitrag der Adiccon GmbH Advanced IT & Communications Consulting
Ingo Beckert, Geschäftsführer, Adiccon GmbH Advanced IT & Communications Consulting
Beitrag Adiccon GmbH Advanced IT & Communications Consulting Beitrag

Herr Beckert, ist für Betreiber kritischer Infrastruktur ein zusätzliches IT-Risikomanagement wirklich ein Muss?
Nun, das BSI-Gesetz nach § 8a, Absatz1 verlangt von den Betreibern Vorkehrungen, um Störungen der Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu vermeiden. Mit einem Risikomanagement, wie etwa bei der ISO 27001 üblich, schaffen Sie die Voraussetzung für entsprechende Vorkehrungen. Aus meiner Sicht deshalb ein klares Ja.

 

Der Initialaufwand für dessen Einführung ist in der Regel recht hoch. Wie sehen die Vorteile aus – vor allem langfristig?
Viele Unternehmen scheuen den Aufwand und übersehen dabei leicht den realisierbaren Nutzen. Deshalb haben wir unlängst einmal 26 Vorteile durch die Einführung eines ISMS zusammengestellt. Ein an den Geschäftsprozessen orientiertes IT-Risikomanagement hilft beispielsweise, nicht mehr genutzte Unternehmens-Assets einzusparen.

 

Wie kann ein IT-Risikomanagement möglichst effizient und schlank gestaltet werden?
Da sprechen Sie ein richtiges Reizthema an. Aus meiner Sicht sollten drei Voraussetzungen geschaffen sein: Sie haben erstens die Ziele für das Risikomanagement festgelegt, zweitens einen Verantwortlichen benannt und nutzen drittens eine Software, die Sie im Risikomanagement-Prozess optimal unterstützt. Es gibt natürlich hervorragende Excel-Vorlagen für Risikoanalysen. Bei größeren Umgebungen ist das jedoch nicht mehr handhabbar. Wenn Sie das Risikomanagement als Prozess verstehen, dann kommen Sie um eine spezielle Software nicht herum.

 

Lohnt sich ein IT-Risikomanagement grundsätzlich – auch jenseits der kritischen Infrastruktur?
Aber sicher. Ein IT-Risikomanagement kann Ihren IT-Betrieb kontinuierlich optimieren. Wer heute noch gießkannenartig seine IT-Sicherheitsmaßnahmen plant, verspielt die Chance, sein Budget für Informationssicherheit risikoorientiert und damit bedarfsgerecht einzusetzen.

 

www.adiccon.de

Nächster Artikel