Letztlich dient eine solche IT-Risikoanalyse auch dazu den fachlichen Kunden zu sensibilisieren und gemeinsam mit Ihm den Grad der nötigen Sicherheit zu definieren. Im Endeffekt ist dieser Prozess eine Mischung aus "Aufklärung, Sensibilisierung und Verkaufen von IT-Leistung". Es wurde schon häufiger darauf hingewiesen, dass die "alte" IT-Welt weitestgehend selbstorganisiert und gekapselt funktioniert hat. In der heutigen Zeit gilt es jedoch, den Kunden die Möglichkeiten der IT aufzuzeigen und die Leistungen gezielt zu verkaufen. Business-Impact-Analysen und IT-Risikoanalyse sind im Endeffekt ideale "IT-Verkaufinstrumente", die sich zumindest in meiner Berufspraxis vortrefflich bewährt haben, um Budgets für die IT freizumachen und gemeinsam mit dem Kunden die eigenen Anforderungen zu definieren.
PS. Risikoanalyse in Theorie und Praxis
Wir haben hier ein eng fokussiertes bzw. fixes Szenario. Wenn ein derartiger "Wunsch" z.B. durch eine interne Fachabteilung an die IT herangetragen wird, so wäre es auch Aufgabe des internen Kundenbetreuers (in Abstimmung mit IT-Risikomanagement und IT-Security-Verantwortlichen), gemeinsam mit der Fachlichkeit auch alternative Möglichkeiten für mobiles Arbeiten zu diskutieren.
Im "Web-Zeitalter" gibt es unterschiedlichste Möglichkeiten, wenn man mobiles Arbeiten (auch unter dem Aspekt der Notfallvorsorge) als Option einsetzen möchte. Schlagworte wie z.B. "Web-Access und Citrix" sind Möglichkeiten, mit denen das mobile Arbeiten grundsätzlich von jedem Ort der Welt möglich ist. Wichtig bei dieser vorgelagerten Beratung muss sein, dass Möglichkeiten (Vor- und Nachteile) und Kosten gegenübergestellt werden. Zudem wird ggf. durch den speziellen Wunsch "wir möchten mit Notebooks arbeiten" auch ein quasi-Standard für das gesamte Unternehmen gesetzt. Hierbei muss man den Betrachtungsfokus, im Sinne eines ganzheitlichen Lösungszenarios wählen.
Unser Beispiel einer IT-Risikoanalyse beschäftigt sich mit der ganzheitlichen Herangehensweise an eine solche Risikoanalyse. Dieses Beispiel wird sukzessive ergänzt und wird bis Ende des Jahres vollständig zur Verfügung stehen (mit Beispielen und Erhebungsformularen für Risikoanalysen und Business-Impact-Analysen).
Risikoanalyse für die "Einführung von Notebooks" in der Personalabteilung
Beteiligte bei der Risikoanalyse sind:
a.) Mitarbeiter aus der IT-Abteilung
b.) IT-Betreuer für Personal / HR
c.) Leitender HR-Mitarbeiter, ergänzend ggf. ein Mitarbeiter
mit Kenntnis IT und fachliche Prozesse (z.B. DV-Koordinator)
Vorgehensweise:
1.) Durchführung einer Business-Impact-Analyse
Mit den beteiligten wird in einem gestützen Self-Assessement eine Risikoanalyse durchgeführt. Hierbei wird u.a. der Schutzbedarf für die Anwendungen/Daten ermittelt, mit denen die Abteilung Personal arbeitet.
Ein Beispiel für eine BIA (Business-Impact-Analyse) stelle ich Ihnen in Kürze hier vor.
2.) Durchführung eines "Risikoanalyse - Workshops"
Aufbau des Workshop "Risikoanalyse: Einführung Notebooks in der HR"
Ausgangslage
- Für Notfallszenarien (z.B. Pandemie) Möglichkeit der Heimarbeit für HR-MA
per Notebook. Aus diesem Grund Ersatz von Desktop-Rechnern durch Notebooks
- Die durch HR zu bearbeitenden Daten weisen eine sehr hohe Schutzbedürftigkeit
im Hinblick auf Integrität, Vertraulichkeit und Verfügbarkeit aus
(Ergebnis der durchgeführten Prozess-/Business-Impact- und
Schutzbedarfsanalyse mit der HR-Abteilung)
- Der Einsatz von Notebooks sowohl am Arbeitsplatz als auch im Notfall
zuhause", beinhaltet eine Reihe an organisatorischen und technischen Risiken
- Um die Risiken transparent zu machen, wird eine neue Risikomanagement-Methodik
eingeführt, die wir vorstellen und an dieser Stelle auch nutzen wollen
"Identifizieren und Bewerten von Risiken, Ableitung von Maßnahmen"
Es ist sehr wichtig, dass wir die Risiken gemeinsam identifizieren, bewerten und auch Maßnahmen definieren, um das "Arbeitsgerät Notebook" der HR-Abteilung, entsprechend des durch HR definierten Bedarfs an "Schutz und Absicherung" angemessen auszugestalten
Zielsetzung des Workshops
a.) Identifizieren der relevanten organisatorischen und technischen Risiken im Zusammenhang mit dem Einsatz von Notebooks (gemeinsames Verständnis und auch Bewußtsein für mögliche Risiken schaffen)
b.) Bewertung der Risiken (hinsichtlich Schadenausmaß/Eintrittswahrscheinlichkeit)
c.) Definition von organisatorischen und technischen Maßnahmen zur Risikobehandlung
Zu betrachtende Szenarien und Ansatzpunkt, die sich aus dem Einsatz von Notebooks im Personal-Bereich ableiten:
1.) Organisatorische und technische Risiken am Arbeitsplatz
2.) Organisatorische und technische Risiken am "Notfallarbeitsplatz (Heimarbeitsplatz)",
ggf. auch den Aspekt einer grundsätzlich möglichen "mobilen Nutzung" gleich mit berücksichtigen
3.) Technische Risiken Notebook (Absicherung Notebook + IT-Infrastruktur)
Richtlinien und Maßnahmen ableiten:
Grundsätzlich müssen u.a. die folgenden Aspekte Berücksichtigung finden.
- Absicherung gegen Einbruch, Diebstahl, Überfall, Einsichtnahme in Daten
(im virtuellen, öffentlichen und privaten Raum)
- Absicherung gegen Einbruch, Diebstahl, unberechtigten Zugriff
(im Unternehmen)
Hieraus lassen sich, thematisch gegliedert, folgende Punkte ableiten:
a.) Technische Absicherung der Notebooks
- Aspekt "Schnittstellen" (z.B. USB, CD-ROM)
- Festplattenverschlüsselung (Diebstahl)
- Diebstahlsicherung am Arbeitsplatz
b.) Technisch, IT-Infrastrukturelle Absicherung von Notebooks
- VPN-Anbindung und Absicherung durch z.B. Token
- (Security-)Updates, Fernwartung- und Support
c.) Organisatorische Rahmenbedingungen für den Notebook-Einsatz
- Verhaltens- und Verfahrensrichtlinien für Umgang und Einsatz
von Notebooks und den Fall der "mobilen" Verwendung, z.B. im Notfall
Fortsetzung folgt...
| < Zurück |
|---|
