Kommentar: Compliance-Budget
Warum versagt das Risikomanagement in der IT?
Fortsetzung des Artikels von Teil 2
Threat-Management versus Risikomanagement
Wird sich ein Sicherheitsbeauftragter eines großen Unternehmens jeden Morgen mit dem Risikomanagement auseinander setzen? Er müsste alle Fabrikationsstandorte, alle Büros und natürlich auch alle weltweiten Niederlassungen und deren kritischen Infrastrukturen beurteilen. Der Aufwand wäre irrsinnig: Eine Armee von Risikoprüfern hätte sich im Vorfeld auf ein einheitliches und gewichtetes Punktesystem zur Beurteilung jedes Vermögenswerts (Asset) einigen und die jeweiligen Parameter gewichten müssen. Auch wenn ein solcher Risikoreport erstellt werden könnte, was würde dieser an dem Tag an dem ein Umspannungstransformator explodierte oder Server abbrannte, ausgesagt haben?
Es geht in der IT-Praxis nicht um die Risikobewertung für Vermögenswerte, sondern um die generelle Bedrohung der Unternehmens-IT. Es geht um die allgemeine Bedrohungslage, die Absichten und die Möglichkeiten der Angreifer. Die Abwehrmaßnahmen basieren auf den realen Bedrohungen, den akuten Gefahren und definieren die notwendigen Ressourcen zur Gefahrenabwehr. Dies sind die Grundlagen eines Threat-Managements, einem Lösungsansatz, der sich sehr viel effektiver und preiswerter erweist, als alle Risikomanagementmethoden.
- Warum versagt das Risikomanagement in der IT?
- Risikomanagement: weitere Probleme
- Threat-Management versus Risikomanagement
Lesen Sie mehr zum Thema
