IT-Risk Management

Inhalt

1. Einleitung

2. Was bedeutet Risiko?

3. Risikokultur.
3.1 Risikokulturwürf
3.1.1 Identifizieren und Anerkenne
3.1.2 Kommunizieren
3.1.3 Handeln und Verhindern.

4. IT-Risiken.
4.1 Personalrisike
4.2 Technische Risiken
4.3 Organisationsrisik
4.4 Rechtliche Risik
4.5 Höhere Gewalt.

5. IT-Risk Managemen
5.1 IT-Risk Management-Prozess
5.1.1 Plane
5.1.2 Identifizieren.
5.1.3 Bewerte
5.1.4 Beantworten.
5.1.5 Überprüfe

6. Die Vorteile von IT-Risk Management & Schlußbemerkun

1. Einleitung

Diese Präsentation geht es um “IT-Risk Management”. Sie besteht aus 6 Teilen. Am Anfang werden die Bedeutungen und Erklärungen der Begriffe “Risiko”, “Risikokultur” und “Risikokulturwürfel” gegeben. Dann werden einige IT-Risiken und die Informationen über IT-Risk Management angeboten. Zum Schluß befindet sich ein kurzer Kommentar über das Thema.

2. Was bedeutet Risiko?

Unter dem Begriff “Risiko” versteht man die Wahrscheinlichkeit der Entstehung bzw. des Eintritts eines unerwünschten, negativen Ereignisses und der dadurch verursachten Schaden.

3. Risikokultur

Risikokultur ist die Voraussetzung für ein Unternehmen, um bewusst auf mögliche Risiken zu achten und dann entsprechend zu handeln. Auf ihrer Basis können die Risiken vom Management und von Mitarbeitern gut erkannt, analysiert und gesteuert werden.

3.1 Der Risikokulturwürfel

Der Risikokulturwürfel ist ein Modell, durch das die Risikokultur im Unternehmen ganz klar analysiert werden kann. Der Kern der Risikokultur besteht aus drei Dimensionen :

1. Risiken zu identifizieren und als solche anzuerkennen.
2. offen und zielgruppengerecht im gesamten Unternehmen zu kommunizieren.
3. Risiken zu verhindern.

Diese Kernbereiche der Risikokultur spannen einen mehrdimensionalen Raum auf und können anhand der Dimensionen “Identify”, “Communicate”, “Act” in einem Risikokulturwürfel abgebildet werden.

Abbildung in dieser Leseprobe nicht enthalten

Grafik : Der Risikokulturwürfel

Quelle : www.winfobase.de

3.1.1 Identifizieren und Anerkennen (Identify and Acknowledge)

Ein Unternehmen wird durch den Einsatz von Informationstechnologien internen und externen Risiken ausgesetzt und kann durch diese beeinflusst werden. Die Unternehmensführer müssen sich über diese Risiken bewusst werden und müssen die Mitarbeiter entsprechend schulen und auf individuelle Gefahren im Umgang im IT-Bereich aufmerksam machen.

3.1.2 Kommunizieren (Communicate)

Kommunikation ist ein wichtiger Bestandteil zur Weiterleitung von Informationen und Werten innerhalb eines Unternehmens. Über Kommunikation können so erkannte IT-Risiken in alle Bereiche des Unternehmens getragen werden, dies bildet die Grundlage für ein einheitliches Verständnis und Verhaltens der Mitarbeiter gegenüber dem Risiko.

3.1.3 Handeln und Verhindern (Act)

Die Identifikation und die Kommunikation von Risiken ist erst dann erfolgreich, wenn sich entsprechende Maßnahmen anschließen, die die Risiken verhindern bzw. minimieren und diese so kontrollier- und einschätzbar machen. Diese Maßnahmen können technischer, konzeptioneller oder verhaltensorientierter Art sein.

Technische Maßnahmen umfassen die Gesamtheit von Datensicherheit und Datenschutz, wie zum Beispiel durch Verschlüsselungstechniken, die Einrichtung von Passwörtern oder den Aufbau einer physischen Infrastruktur (Firewalls, Backupsysteme).

Konzeptionelle Maßnahmen umfassen die Bereiche der Ausarbeitung und

Umsetzung eines unternehmensweiten IT-Risk Management-Prozesses, den Bereich des IT-Projektmanagements oder die Fokussierung strategischer IT-Risiken.

Verhaltensorientierte Maßnahmen umfassen die Vermittlung einheitlicher Werte und Verhaltensmuster im Hinblick auf IT-Risiken den Mitarbeitern.

4. IT-Risiken

Mit den sich entwickelnden Technologien steigt die Bedeutung der IT für die Unternehmen. Bei der steigenden Bedeutung der IT wachsen gleichzeitig auch die Risiken und Gefahren, die aus verschiedenen Gründen entstehen.

Diese Risiken und Gefahren bzw. Bedrohungen können in 5 Hauptarten gegliedert werden: Personalrisiken, technische Risiken, Organisationsrisiken, rechtliche Risiken, höhere Gewalt. *

4.1 Personalrisiken

Diese Risiken entstehen durch die Fehler und Probleme der Mitarbeiter. Ein Fehler eines Mitarbeiters kann zu schlechten Situationen für Unternehmen führen, deswegen sollen der menschliche Einfluss auf die technischen Anwendungen reduziert werden. Andererseits soll es auch berücksichtigt werden, dass die Mitarbeiter wegen Lohn, Arbeitsbedingungen usw. unzufrieden sein können und aus diesen Gründen sich negativ auf das Unternehmen wirken, z.B; die Systeme, Datenbanken kaputtmachen, die Daten mit falschen oder unechten ändern usw.

4.2 Technische Risiken

Unter technischen Risiken versteht man die Risiken, die durch Hard- oder Softwareprobleme, falsche Modellierungen usw. entstehen und zur Systemabstürzung und dadurch zum Datenverlust führen können. Bei Hard- oder Softwareproblemen können die Systeme oder Daten, die das Unternehmen benutzt und braucht, unerreichbar werden. Das kann schlechte Situationen verursachen. Dagegen sollen die Unternehmen die Backupsysteme benutzen, damit sie bei Datenverlusten die Daten

zurückbringen können. Die Sicherheitsrisiken gehören auch zu dieser Risikogruppe. Heutzutage sind die Hackers, Viren, Trojaner große Bedrohungen für Computersysteme, dagegen brauchen die Unternehmen Anti-Viren- und Firewallprogramme benutzen und sie immer aktualisieren.

4.3 Organisationsrisiken

Als Organisationsrisiken werden die falschen Budgetplanungen, die Projektfehler, die falschen Quellennutzungen und ungenügende Kommunikation zwischen IT- und anderen Unternehmensbereichen bezeichnet.

4.4 Rechtliche Risiken

Die Firmen können von Dritten IT-Unterstützungsdienst bekommen. Da soll von Firmen berücksichtigt werden, dass die Dritten irgendwann Bankrott gehen können

* (TBD Kamu-BİB Kamu Bilişim Platformu VIII, Bilişim Teknolojilerinde Risk Yönetimi, Nisan 2006)

oder zwischen denen und Firmen Meinungsverschiedenheiten entstehen können.

Deshalb sollen die Firmen mit den Dritten Verträge vorsichtig schließen, damit sie bei negativen Situationen mit niedrigsten Schaden davon gehen.