18.07.2011 | Autor / Redakteur: Robbie Higgins und Stephan Augsten / Stephan Augsten
Kleinunternehmen und Mittelständler sehen sich vielen Risiken gegenüber, mit denen sich auch Großunternehmen auseinandersetzen müssen. Deshalb sollten grundsätzlich Unternehmen jeder Größe einen Prozess zur Sicherheitsrisiko-Bewertung entwickeln, um Gefahren identifizieren, kategorisieren und minimieren zu können. Diese Schritt-für-Schritt-Anleitung soll vor allem kleinen Unternehmen dabei helfen.
Zahlreiche gute Bücher, Whitepaper, Rahmenwerke und Konzepte befassen sich mit der Entwicklung eines Risikomanagement-Plans. Auch Dienstleister helfen gerne dabei, einen Prozess zur Risikobeurteilung zu entwerfen.
Das Problem für viele kleine und mittlere Unternehmen besteht jedoch darin, dass sie weder über die Zeit noch über technische und finanzielle Mittel verfügen, um einen externen Berater mit dieser Aufgabe zu betrauen. Doch wie sollen solche Firmen dann überhaupt einen eigenen Risk-Management-Prozess entwickeln.
Die folgenden fünf Schritte helfen dabei, ein Verständnis für besonders gefährdete IT-Komponenten zu entwickeln und die dringendsten Sicherheitslücken zu schließen.
Zunächst gilt es, die Gesamtheit der Informationssysteme, Hard- und Softwarekomponenten sowie Daten in der Netzwerk-Umgebung zu identifizieren. Mit Blick auf die Infrastruktur sollte man ein besonderes Augenmerk auf kritische Bereiche wie Abrechnungssysteme, Customer Relationship Management, Human Ressources oder auch zentrale Daten- bzw. Wissensspeicher legen. Gleiches gilt für kritische Daten wie personenbezogene Informationen, geistiges Eigentum usw.
Im nächsten Schritt geht es darum, sich der potentiellen Gefahren für das eigene Unternehmen bewusst zu werden. Diese können je nach geographischem Standort oder Industriezweig variieren. Die gängigste Bedrohung besteht in technischen Schwachstellen. Deshalb sollte man zunächst die jeweilige Anfälligkeit von Hard- und Software-Komponenten identifizieren und auflisten.
In die Betrachtung der eigentlichen Gefahren sollte man sowohl mutwillige als auch ungewollte Aktivitäten einbeziehen. Unbeabsichtigte Risiken entstehen beispielsweise, wenn eine falsche Datei falsch zugeordnet wird, während Netzwerk-Attacken oder Malware-Angriffe grundsätzlich als beabsichtigt einzustufen sind. Im Endergebnis erhält man eine Liste der möglichen Bedrohungen und der damit verbundenen Schwachstellen.
»1 »2 nächste Seite
Klar und verständlich geschrieben, jedoch zeigen Fremdevaluationen den Soll-Ist-Zustand mit...
lesen
Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2052337)
