Schutz von Unternehmenswerten: Mit der Analyse und Bewertung von Risiken fängt alles an

Wenn ich in meinen Gesprächen bei meinen Kunden auf der Fachseite oder Ebene der Geschäftsführung über Trust in der digitalen Welt rede, dann geht die Diskussion sehr schnell in die Richtung Risiko und Risikomanagement: Wie hoch sind die Risiken, dass mein Unternehmen Schaden erleidet, sei es in Bezug auf Reputation, Verlust von geistigem Eigentum oder Umsatzverluste durch Ausfall von Produktionsprozessen.

Security wird hier oft nur als ein Teilbereich der IT-Abteilung angesehen und als Kostenfaktor betrachtet, der nicht positiv zur Wertschöpfung beiträgt. Dabei wird an dieser Stelle übersehen, dass IT-Security und Compliance in Grunde die technischen Begriffe für eine zentrale und übergeordnete Fragestellung sind – Die Frage nach den Risiken.

In der Regel findet nur wenig konstruktiver Austausch zwischen Fachseite und IT Organisation zu diesem Thema statt. Da Security und Compliance nur als Kostenfaktor von der Fachseite gesehen werden, fühlt sich die IT Abteilung oft nicht angemessen wahrgenommen mit der einen Ausnahme – es ist etwas schief gelaufen.

In der von RSA initierten Gruppe Security for Business Innovation Council wird umfassend dargestellt, wie die Herausfoderungen in einer sich ständig verändernden Gefährdungslandschaft zu einem Umdenken zu Informationssicherheit führt. Als eine von drei Kernthesen wird in dieser Studie festgestellt, dass man sich zunächste Klarheit über die Unternehmensrisiken verschaffen muss, wobei zwei Fragestellungen zu betrachten sind:

  1. Was sind die werthaltigen Assets im Unternehmen – Prozesse, Technologie, Know-how, Daten, Intellectual Property; wie bewerten wir die Bedeutung und Wert dieser Assets
  2. Mit welchen Gruppen von Angreifern und mit welcher Motivation muss ich rechnen: wer hat Interesse an meinen Assets, wer will mir Schaden zufügen – Nationalstaaten, Hacktivisten, kriminelle Vereinigungen, Wettbewerber, Mitarbeiter. Dabei ist auch zu berücksichtigen, dass auch die Angreifer ein Geschäftmodell verfolgen.

Mit diesem Hintergrund wird auch klar, dass ein effizientes und der heutigen Gefährdungslandschaft angemessenes Security Programm nicht aus einer IT-Funktion heraus getrieben werden kann. Nur die Geschäftsverantwortlichen können und müssen aus Ihrer Funktion und Verpflichtung heraus die Risiken bewerten und aktiv bei dem Erstellen einer Strategie für Informationssicherheit und Compliance mitarbeiten. Dabei ist zu beachten, dass dies nicht ein einmaliger Vorgang sondern ein kontinuierlicher Prozess ist.

Zur systematischen Planung, Steuerung und Bewertung der Risiken benötigt man ein konsistentes Governance, Risk und Compliance (IT-GRC) Prozessmodell, das an die Geschäftsanforderungen der Unternehmen angepasst ist und diese optimal unterstützen kann. Mit den RSA Archer GRC-Lösungen lassen sich die Anstrengungen bei der Umsetzung und Betrieb eines effizienten und integrierten Risiko- oder Compliance Programms auf eine einheitliche Basis stellen. Dies erfolgt unter Berücksichtigung und Einbindung von Mitarbeitern, Prozessen und Technologie.