99% SICHERHEIT = (MENSCH + PROZESSE + TECHNOLOGIE) + RISK-MANAGEMENT

99% SICHERHEIT = (MENSCH + PROZESSE + TECHNOLOGIE) + RISK-MANAGEMENT

13. September 2014 - Von Fridel Rickenbacher

Der Titel dieses Artikels will aussagen, dass es die 100% Sicherheit nicht gibt – der Rest ist reines Risk-Management und nicht Technologie.
Artikel erschienen in IT Magazine 2014/09
(Quelle: Isaca)
Diverse Ansätze / Methoden / Compliance Anforderungen / Regulatoren / Zertifizierungen wie z.B. Business Recovery System (BRS), Contingency Plan, CISA, CISM, ISO 22301/BCMS, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001 ISMS, IEC17799, SOX, IT GSHB, DSG, VDSG können schon sehr viele generische Risiken und Gegenmassnahmen abdecken.
Jedoch sind diese eben «nur generisch» und müssen daher massgeschneidert an die Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele (z.B. mittels ICT-Governance) der Firmen-Gesamt-Strategie angelehnt werden.

Es bleiben immer Rest-Risiken übrig, welche im Risk-Management verwaltet werden müssen – und dies auf Ebene der Führung oder Verwaltungsrat.
Innerhalb des Risk-Management-Systems / ICT-Governance geht es um einen laufenden Loop von «Erkennung», «Bewertung und Klassifizierung», «Managen» und «Überwachung und Kommunikation».
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: «Es ist vieles abdeckbar mit den Akteuren Menschen, Prozessen, ICT-Technologien und vor allem Baseline / Tests / Monitoring. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich etwas mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage, sondern eine Kombination von wiederkehrenden Gesamt-Audit-Prozessen».
 
Seite 1 von 11

Neuen Kommentar erfassen

Anti-Spam-Frage Welche Farbe hatte Rotkäppchens Kappe?
Antwort
Name
E-Mail
SPONSOREN & PARTNER