Exakte Regeln für diffuse Risiken - geht das?

Exakte Regeln für diffuse Risiken - geht das?

Artikel erschienen in IT Magazine 2014/06
Das Beispiel zeigt jedoch noch mehr. Risikomanagers und Security-Officers müssen an mehrere (mindestens drei) Zielsetzungen gleichzeitig denken. Da wäre einmal die offensichtliche Zielsetzung, dass (1) den wichtigsten mit der Massnahme zusammenhängenden Risiken Rechnung zu tragen ist. Zusätzlich ist darauf zu achten, dass (2) die Massnahme im Tagesgeschäft mit realistischem Schulungs-, Sensibilisierungs- und Kontrollaufwand auch eingehalten wird (überhaupt eingehalten werden kann). Diese zwei Zielsetzungen zu beachten ist Teil der klassischen Überlegungen eines Security-Officer oder Risikomanagers. Als weitere Zielsetzung gilt es – transparent und nachvollziehbar – (3) der (hoffentlich bereits generell festgelegten) Risikotoleranz Rechnung zu tragen.

Die Diffusität wird oft unnötig erhöht

Was bei Risiken im Allgemeinen von Realitätssinn und Erfahrung zeugt, namentlich das Eingeständnis der vorhandenen Diffusität, ist bei der Festlegung der Risikotoleranz nicht angebracht. Wie aber bringt man einen Verwaltungsrat und/oder eine Geschäftsleitung dazu, die Risikotoleranz festzulegen? Und das erst noch im Bereich der Technologie, wo bereits einfachere Fragestellungen auf der Strecke bleiben. Meine persönliche Erfahrung ruft hier die Kommunikation auf den Plan. Und zwar sind zwei an sich logische Sachverhalte unmissverständlich zu kommunizieren. Erstens ist eine Organisation bereit ein gewisses Risiko einzugehen, wenn überhaupt Technologie eingesetzt wird – was sicherlich bei fast allen Organisationen der Fall ist. Das gleiche gilt für Informationen: wenn mit ihnen «umgegangen» wird, wird ein Informationsrisiko eingegangen. Wie hoch dieses ist, hängt nun vor allem vom zweiten Sachverhalt ab, der zu kommunizieren ist. Es geht darum, wie viel vom eingegangenen Risiko (z.B. Informationsrisiko) akzeptiert wird. Die beiden hier referenzierten Begriffe sind 1. Risikobereitschaft und 2. Risikotoleranz. Eine interessante Abhandlung zu diesen Begriffen ist beispielsweise in der Schweizer Finanzmarktregulierung zu finden (vgl. FINMA-Rundschreiben 2008/21).

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
SPONSOREN & PARTNER