Logo des Repositoriums
 

Informationssicherheit – ohne methodische Risikoidentifizierung ist alles Nichts

dc.contributor.authorDecker, Karsten M.
dc.date.accessioned2018-01-08T07:52:37Z
dc.date.available2018-01-08T07:52:37Z
dc.date.issued2017
dc.description.abstractInformationssicherheit ist kein IT-Problem und kann nicht auf die IT-Abteilung reduziert werden. Eine wirksame Wahrung der Vertraulichkeit, Integrität und Verfügbarkeit muss in der ganzen Organisation verankert werden. Um dieser Herausforderung effizient zu begegnen, ist ein risikobasiertes Vorgehen erforderlich. Dazu muss zunächst der organisatorische Kontext bestimmt werden. Bei der Durchführung des Risikomanagementprozesses ist die Qualität der Risikoidentizfierung ausschlaggebend. Risiken, die hier nicht identifiziert werden, fehlen in der nachfolgenden Risikoanalyse und -bewertung und somit auch bei der Risikohehandlung. Für die methodische Risikoidentifizierung existieren verschiedene Ansätze, von denen zwei vorgestellt werden: der vorwiegend wirkungsorientierte Ereignis-basierte Ansatz und der ursachenorientierte auf Werten, Bedrohungen und Schwachstellen basierte Ansatz. Damit die Umsetzung der Risikoidentifizierung in der Praxis gelingt, müssen verschiedene Voraussetzungen erfüllt sein. Ausschlaggebend ist, dass die oberste Leitung ihre Führungsrolle umfassend und wirksam wahrnimmt. Die zentrale Herausforderung ist, den Umfang der Risikoidentifizierung handhabbar zu halten. Dazu haben sich in der Praxis die Vorgehensweisen der Fokussierung und Vergröberung bewährt. Unabhängig vom gewählten Ansatz zur Risikoidentifizierung ist auf jeden Fall ein fundiertes Beurteilungsvermögen unerlässlich. Mittels des Prozesses der fortlaufenden Verbesserung kann schliesslich ein anfänglich grobes, aber eindeutiges Bild der Informationssicherheitsrisiken Schritt für Schritt verfeinert und den aktuellen Anforderungen und Bedrohungen angepasst werden.AbstractInformation security is not an IT problem and cannot be reduced to the IT department. Effective protection of confidentiality, integrity and availability must be anchored throughout the organization. To address this challenge efficiently, a risk-based approach is required. To this end, the organizational context must first be determined. When applying the risk management process, the quality of risk identification is crucial. Risks that are not identified here are missing in the subsequent risk analysis and risk evaluation and thus also in risk treatment. There are various approaches for methodological risk identification, two of which are presented: the predominantly effect-oriented event-based approach, and the cause-oriented approach based on the consideration of assets, threats and vulnerabilities. In order to implement risk identification in practice, various prerequisites must be fulfilled. It is crucial that top management takes its leadership role comprehensively and effectively. The key challenge is to keep the scope of risk identification manageable. To this end, the approaches of focusing and coarsening have proved successful in practice. Irrespective of the chosen approach to risk identification, a profound assessment capacity is essential. By means of the process of continual improvement, an initially high level but clear picture of the information security risks can be refined step by step and adapted to the current requirements and threats.
dc.identifier.pissn2198-2775
dc.identifier.urihttps://dl.gi.de/handle/20.500.12116/10756
dc.publisherSpringer
dc.relation.ispartofHMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1
dc.relation.ispartofseriesHMD Praxis der Wirtschaftsinformatik
dc.subjectAusbildung
dc.subjectContinual improvement
dc.subjectEducation
dc.subjectFortlaufende Verbesserung
dc.subjectFührung und Verpflichtung der obersten Leitung
dc.subjectInformation security
dc.subjectInformationssicherheit
dc.subjectLeadership and commitment of top management
dc.subjectRisikobewusstsein
dc.subjectRisikoidentifizierung
dc.subjectRisikomanagementprozess
dc.subjectRisk awareness
dc.subjectRisk identification
dc.subjectRisk management process
dc.subjectSchulung
dc.subjectSensibilisierung
dc.subjectSensitization
dc.subjectTraining
dc.titleInformationssicherheit – ohne methodische Risikoidentifizierung ist alles Nichts
dc.typeText/Journal Article
gi.citation.endPage36
gi.citation.startPage21

Dateien