F

Wie Sie mit der RACI-Matrix Sicherheitsrisiken bewerten

Die RACI-Matrix hilft, durch Menschen verursachte Sicherheitsrisiken zu analysieren. In der RACI-Matrix werden alle beteiligten Akteure identifiziert.

Lohnt es sich, die RACI-Matrix für die Beurteilung der durch Menschen verursachten Sicherheitsrisiken einzusetzen?

Die RACI-Matrix – das Akronym RACI steht für Responsible, Accountable, Consulted und Informed – kann für jede Risikobewertung sinnvoll eingesetzt werden. Dazu gehört auch die Bewertung von Risiken, die von Menschen verursacht werden.

Ursprünglich wurde die Matrix entwickelt, um Rollen und Beziehungen innerhalb jeglicher Art von Projekten oder Prozessen festzulegen. Sie ist nicht statisch ausgerichtet, sondern bietet ein großes Maß an Flexibilität. Eine RACI-Matrix kann zudem leicht als Management-Tool verwendet werden, da man Teilaufgaben der Risikobewertung auf einfache Weise verschiedenen Security-Teammitgliedern zuordnen kann.

Für diejenigen, die mit dem Begriff RACI nicht vertraut sind, eine kurze Erläuterung, woher der Term kommt: RACI ist abgeleitet von den Rollen, die in der Matrix definiert werden. Beispielsweise würde eine einfache RACI-Matrix zur Beurteilung eines von Menschen verursachten Risikos für die Kategorie Passwortrichtlinie wie folgt aussehen:

Kategorie Verantwortlich Rechenschaftspflichtig Konsultiert Informiert
Passwortrichtlinie Mitarbeiter Chief Information Security Officer (CISO) Führungskräfte, Rechtsexperten Auditoren

Im Beispiel werden die Zuständigkeiten für die Passwortrichtlinie deutlich, wenn sie in die RACI-Matrix eingetragen werden. Die Mitarbeiter repräsentieren das Risiko für die Kategorie Passwortrichtlinie. Der Chief Information Security Officer (CISO) ist verantwortlich dafür, dass das Risiko gesenkt wird und sammelt gleichzeitig Input von anderen Führungskräften und Mitarbeitern der Rechtsabteilung. Auditoren müssen die erzielten Fortschritte der Risikominimierung bewerten und berichten.

Dieser Vorgang wiederholt sich analog bei der nächsten Risikokategorie und setzt sich solange fort, bis alle potenziellen Risiken identifiziert wurden. Das Endprodukt ist eine kurze, leicht verständliche Tabelle, die die menschlich bedingten Risiken und deren Vermeidungsmöglichkeiten aufzeigt.

Folgen Sie SearchSecurity.de auch auf Facebook, Twitter und Google+!

 

Artikel wurde zuletzt im Januar 2015 aktualisiert

Erfahren Sie mehr über Enterprise-Risk-Management

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close