RM V. - Rahmenwerke Flashcards
ERM Enterprise Risk Management
- Verlinkung von Risikoappetit mit der Unternehmensstrategie.
- Verbesserung der Entscheidungen bezüglich der Risikoantworten.
- Reduzierung operationalerVerluste und Überraschungen.
- Identifikation und Management multipler und verbundener Risiken.
- Identifikation von Chancen.
ISRM
Informationssicherheits-Risikomanagement-System
Bei der Risikobeurteilung im Rahmen der Informationssicherheit geht es um die Identifikation von:
- Bedrohungen (Threats) - -
- Schwächen/Verwundbarkeiten(Vulnerabilities)
- Vermögensgegenstände (Assets)
- Kontrollen (Controls)
Und die Bestimmung von:
- Auswirkungen (Impact)
- Eintrittswahrscheinlichkeiten (Likelihood)
PESTLE
Political Economic Social Technological Legal Environmental
IT-Kontrollen
Datenübermittlungskontrollen Schutz vorViren Patch Management Authentifizierung und Zugangskontrollen Sicherheitskonfiguration Wahrnehmung von Sicherheit Backup und Contingency-Planung Applikationskontrollen; Physische Kontrollen
Vorgehensweise Risikoberechnung
1 Bestimmung der Brutto-Schadenshöhe (ohne Risikoantworten).
2 Festlegung von Eintrittswahrscheinlichkeiten.
3 Bestimmung von Gegenmaßnahmen (Risikoantworten) sowie deren Auswirkung auf den Bruttoschadenswert
4 Bestimmung der Nettoschadenshöhe.
5 Bestimmung des Erwartungswertes.
inhärentes Risiko
Risiko vor Ergreifen von Gegenmaßnahmen
-> Bruttorisiko
Residualrisiko
Risiko nach Ergreifen von Gegenmaßnahmen
-> Nettorisiko
Eintrittswahrscheinlichkeiten
3 Faktoren
Risikopotenzial (+)
Häufigkeit (+)
Kontrollen (-)
Risikopotential
Abhängig von Umgebungsfaktoren:
Zugänglichkeit einesVG Ort derAufbewahrung Datenflüsse Anzahl der Nutzer Nutzer-Profile Vorherige Zwischenfälle Dokumentierte Feststellungen
Häufigkeit
Die Häufigkeit zeigt an,wie oft sich ein Ereignis ergeben kann. Basierend auf
- Interne Sicherheits-Metriken
- Forschungsergebnisse undTrends
Wahrscheinlichkeit
Formel
Eintrittswahrscheinlichkeit ohne Kontrollen
(Risikopotenzial+Häufigkeit)/2
Eintrittswahrscheinlichkeit mit Kontrollen
[(Risikopotenzial+Häufigkeit)/2]*Reverse-Faktor
Risikoberechnung
Formel
Bruttorisiko
Auswirkung*[(Risikopotenzial+Häufigkeit)/2]
Nettorisiko
Auswirkung[(Risikopotenzial+Häufigkeit)/2]Reverse-Faktor
Kriterien für Priorisierung von Risiken
Anpassungsfähigkeit, d.h. Reaktionsfähigkeit auf Risiken
Komplexität der Risiken
Geschwindigkeit, mit die Risiken eine Auswirkung entfalten
Dauerhaftigkeit von Risiken
Kapazitäten für die Erholung
4 Antworten auf Risiken
1 Vermeidung: Aktivität nicht durchführen und damit das Risiko vermeiden
2 Reduzierung: Maßnahmen werden ergriffen, um Risiken zu reduzieren; eventuell eingeschränkte Tätigkeit auf dem riskanten Gebiet
3 Teilen: Verlagerung des ganzen oder teilweisen Risikos auf andere Organisationen außerhalb des Unternehmens.
4 Akzeptanz: Keine Begrenzung der riskanten Aktivitäten. Das Unternehmen befindet sich diesbezüglich noch innerhalb des Riskoappetits.
Nachverfolgen: Das gestiegene Risiko wird akzeptiert und gemanagt; dementsprechend versteht das Unternehmen die Risikosituation.
Portfolie-Sichtweise
Die Abbildung von Einzelrisiken macht keinen Sinn.
Portfoliosichtweise aggregiert Einzelrisiken und Interdependenzen zu einer Gesamtbetrachtung.
