5 Dinge, die Sie über die IT-Risikobewertung wissen müssen

Angesichts der Tatsache, dass die Bedrohungen für sensible Daten sowohl in ihrer Anzahl als auch in ihrer Raffinesse täglich zunehmen, können sich Organisationen keinen willkürlichen Ansatz in der Sicherheit leisten. Stattdessen müssen sie ihre begrenzten IT-Budgets und Ressourcen auf die spezifischen Schwachstellen in ihrer einzigartigen Sicherheitslage konzentrieren. Um dies zu tun, müssen sie die Risiken für die Vertraulichkeit, Integrität oder Verfügbarkeit ihrer Daten oder Informationssysteme identifizieren, analysieren und priorisieren, basierend auf der Wahrscheinlichkeit des Ereignisses und dem Ausmaß der Auswirkungen, die es auf das Geschäft haben würde.

Dieser Prozess wird IT-Risikobewertung genannt. In diesem Beitrag werden wir die fünf wichtigsten Dinge enthüllen, die man über die IT-Sicherheitsrisikobewertung wissen sollte und wie man sie in Ihrer IT-Umgebung implementiert.

1. Die IT-Risikobewertung sollte das Fundament Ihrer IT-Sicherheitsstrategie sein

Zuerst müssen wir zwischen Risikobewertung und Risikomanagement unterscheiden. Obwohl beide wesentliche Bestandteile eines starken IT-Sicherheitsökosystems sind, sind sie nicht identisch. Vielmehr ist das Risikomanagement ein Teil der Risikobewertung und bietet Kontrolle über Geschäfts-, Betriebs-, Informationssicherheits- und andere Risiken. Die IT-Risikobewertung umfasst die viel breitere Aufgabe, die internen und externen Risikolandschaften zu verstehen, für einen ganzheitlichen, organisationsweiten Ansatz zur Sicherheit.

Mit anderen Worten, die IT-Sicherheitsrisikobewertung hilft Ihnen zu verstehen, welche Ereignisse Ihre Organisation negativ beeinflussen können und welche Sicherheitslücken eine Bedrohung für Ihre kritischen Informationen darstellen, sodass Sie bessere Sicherheitsentscheidungen treffen und proaktivere Maßnahmen ergreifen können. Zum Beispiel hilft die Risikobewertung durch Aufdecken einer chaotisch organisierten Privilegienstruktur, versteckter Benutzerkonten oder verworrener administrativer Rechte, die richtigen Risikomanagement-Schritte zu unternehmen, um das Risiko von Missbrauch von Privilegien oder Datendiebstahl zu minimieren, bevor es zu spät ist.

2. IT-Risikobewertung ist von vielen Compliance-Vorschriften erforderlich

Die Verwendung von Risikobewertung für Informationssicherheit ist nur ein Teil des Gesamtbildes. Informationssicherheitsrisikobewertung ist auch eine der wichtigsten Anforderungen vieler Compliance-Standards. Zum Beispiel, wenn Ihre Organisation HIPAA einhalten muss oder ab Mai 2018 GDPR-Prüfungen gegenüberstehen könnte, dann ist eine Risikobewertung der Informationssicherheit ein Muss für Ihre Organisation, um das Risiko von Nichteinhaltung und hohen Bußgeldern zu minimieren.

Obwohl Vorschriften keine spezifischen Anweisungen dazu geben, wie Organisationen ihre IT-Systeme steuern und schützen sollen, fordern sie doch, dass Organisationen diese Systeme sichern und Prüfern Nachweise darüber vorlegen, dass die erforderlichen Sicherheitskontrollen vorhanden sind und um Data Security Risks zu reduzieren.

3. Die Einführung eines geeigneten Frameworks erleichtert den Einstieg in die IT-Risikobewertung

Ein Rahmenwerk für die Bewertung von IT-Sicherheitsrisiken ist ein Satz von Regeln, der definiert:

• Was bewertet werden muss
• Wer muss in die Risikobewertungsverfahren einbezogen werden
• Welche Bedrohungen eine Organisation hat
• Wie diese identifizierten Risiken analysiert und priorisiert werden
• Wie das Risiko basierend auf Wahrscheinlichkeit und Auswirkung berechnet wird
• Welche Dokumentation muss als Ergebnis der Bewertung gesammelt und erstellt werden

Natürlich werden diese Regeln für jede Organisation unterschiedlich sein, je nach ihren Bedürfnissen und Zielen, ihrer Größe, der Komplexität und Reife ihrer Geschäftsprozesse, den beteiligten Datentypen, der Größe der IT-Abteilung, den vorhandenen Sicherheitskontrollen, den anwendbaren Branchenanforderungen und mehr.

Es ist jedoch nicht notwendig, Ihr Rahmenwerk zur Bewertung von Informationssicherheitsrisiken von Grund auf neu zu erstellen. Stattdessen können Sie eines dieser häufig verwendeten Risikorahmenwerke übernehmen und anpassen:

• Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE) entwickelt von der Carnegie Melon University
• Das NIST-Risikobewertungsrahmenwerk, wie in der speziellen Veröffentlichung dokumentiert SP 800-30
• ISO/IEC 27001:2013

Beachten Sie, dass alle diese Standards von Organisationen verlangen, ihre Prozesse zur Bewertung von Informationssicherheitsrisiken zu dokumentieren, damit sie nachweisen können, dass alle erforderlichen Verfahren zur Datensicherheit gewissenhaft befolgt werden.

4. Die IT-Risikobewertung muss ein fortlaufender Prozess sein

Sicherheitssysteme sind wie Hochleistungsrennwagen – sie müssen ständig gewartet, aktualisiert und abgestimmt werden. Risikobewertung ist kein einmaliges Ereignis, das dauerhafte und definitive Informationen für Entscheidungsträger liefert, um ihre Reaktionen auf Informationssicherheitsrisiken zu informieren. Stattdessen muss, da sich sowohl die IT-Umgebung als auch die Risikolandschaft ständig verändern, die Risikobewertung kontinuierlich während des gesamten Systementwicklungslebenszyklus erfolgen, von der Systemplanung über die Beschaffung und Nutzung bis hin zur Außerbetriebnahme des Systems.

Darüber hinaus muss die Risikobewertung häufig genug durchgeführt werden, um potenzielle Sicherheitslücken, die schnell entstehen können, wie Privilegieninflation, inaktive Konten und administrative Konten mit unangemessenen Passworteinstellungen, die sensible Daten und Systeme gefährden, rechtzeitig zu erkennen.

5. Die IT-Risikobewertung umfasst drei Phasen

Der Prozess der Risikobewertung lässt sich grob in drei Phasen unterteilen:

• Risikoidentifikation — Bestimmen Sie die Schwachstellen in Informationssystemen und der breiteren IT-Umgebung, wie übermäßige Zugriffsberechtigungen oder verwickelte Gruppenverschachtelungen, die zu Schäden führen könnten, wenn sie nicht rechtzeitig behoben werden.
• Risikoeinschätzung — Bewerten Sie die Wahrscheinlichkeit, dass ein riskantes Ereignis eintritt, indem Sie analysieren, wie wahrscheinlich es ist, dass eine gegebene Bedrohung eine gegebene Schwachstelle ausnutzen kann.
• Risikopriorisierung — Risiken anhand der Risikoeinschätzung in Kombination mit dem Ausmaß der Auswirkungen einstufen, die eintreten würden, wenn sie sich ereignen. Berücksichtigen Sie die Auswirkungen auf das Geschäft durch die unbefugte Offenlegung, Änderung oder Zerstörung von Informationen oder den Verlust der Verfügbarkeit von Informationssystemen. Kümmern Sie sich zuerst um die Bedrohungen mit der höchsten Wahrscheinlichkeit und Auswirkung.

Die IT-Risikobewertung ist entscheidend für den Datenschutz und die Geschäftskontinuität und muss regelmäßig durchgeführt werden, um neue Risiken zu erkennen und Sicherheitsstrategien zu verbessern. Wenn Ihre Risikobewertung nicht aktuell ist, sind es auch Ihre Strategien – so einfach ist das.

Erfahren Sie, welche ersten Schritte zu einer effizienten Risikobewertung Sie hier direkt unternehmen können. Um einige Best Practices für die Etablierung eines kontinuierlichen Risikobewertungs- und Minderungsprozesses zu erfahren, schauen Sie sich dieses aufgezeichnete IT risk assessment webinar an.

Setzen Sie IT-Risikobewertung in Ihrer IT-Umgebung ein? Welche Tools verwenden Sie?