Integration von Informationssicherheit und Operational Risk Management
Abgestimmte Prozesse – Fokus auf das Wesentliche – Kostenvorteile
Download [PDF]
Geschäftsleitungen und Verwaltungsräte sehen ihre Unternehmen einer steigenden Zahl regulatorischer Anforderungen an das Risiko Management, die Informationssicherheit, die Compliance oder das interne Kontrollsystem (IKS) ausgesetzt (Basel II, Solvency II, KonTrag, Aktienrecht, HIPAA, Sarbanes Oxley, etc.). Demgegenüber steht eine Vielzahl an Lösungs- und Managementansätzen wie OpRisk Sound Practices, CobiT, ISO 27002, ITIL, Coso, ERM etc.
Neu ist die Regulierungsdichte, die vom Hauptziel abzulenken droht, ein unternehmerisch sinnvolles Risikomanagement aufzubauen und zu betreiben. Auch das Management der operationellen Risiken, zu welchen wir ebenso Risiken der Informationssicherheit, der allgemeinen Sicherheit sowie von Compliance-Verletzungen zählen, soll in erster Linie den unternehmerischen Zielen dienen und einen Wertbeitrag leisten. Regulatorische Erfordernisse geben verbindliche Rahmenbedingungen vor.
Die Herausforderung liegt darin, aus dem regulatorisch Erforderlichen einen Nutzen für die Firma zu ziehen und gleichzeitig die folgenden zwei unternehmerischen Hauptaufgaben im Risk Management in einem abgestimmten, zielführenden Gesamtrisikomanagement für operationelle Risiken, Informationssicherheit und Ereignis- und Krisenvorsorge zusammenzufassen.
- 1. Sicherung der Geschäftsprozesse im Rahmen einer bewussten Risikopolitik
mit transparenten Risiko- und Sicherheitszielen.
- 2. Optimierung des Gesamtrisikoprofils und eines Risiko-Eigenkapital-Verhältnisses
mit Fokus auf das Kapitalmanagement.
Operational Risk Management – Informationssicherheit – Ereignis- und Krisenvorsorge
Entwicklung gemeinsamer Lösungen – Weshalb das Rad neu erfinden?
Swiss Infosec AG und Comit AG entwickeln gemeinsam Lösungen im Bereich Risiko- und Informationssicherheitsmanagement, die Doppelspurigkeiten vermeiden und Synergien zwischen Operational Risk Management, Informationssicherheit sowie regulatorischen Anforderungen nutzen. Kritische Erfolgsfaktoren sind dabei die genaue Kenntnis möglicher und passender Lösungsansätze und eine enge Abstimmung mit den Bereichs- und Linienverantwortlichen bei den Kunden. Die Partnerfirmen verfügen über breite Projekterfahrung bei der erfolgreichen Implementierung von Operational Risk Management und Information Security Frameworks. Zu unseren Kunden gehören nationale und internationale Firmen aus stark (Banken, Versicherungen) oder weniger stark (Industrie, Dienstleistung, Handel) regulierten Branchen.
Operational Risk Management als Framework für einen integralen Ansatz
Das von COMIT AG entwickelte und praxiserprobte Vorgehensmodell für Operational Risk Management deckt alle Prozessphasen zur Etablierung eines durchgängigen Managements operationeller Risiken ab und stellt damit die Identifizierung, Auswahl sowie die nachhaltige Umsetzung des für Ihr Unternehmen relevanten Ansatzes sicher.
Unser Vorgehen basiert auf einem abgestimmten Risk Management-Prozess, in welchem Analysen, Resultate und Prozesse aus Informationssicherheit, Compliance und der Ereignis- und Krisenvorsorge eingebracht werden. Wir unterstützen Sie bei der Realisierung eines integralen Ansatzes durch:
- Die Erarbeitung einer Risikopolitik, eines OpRisk- und/oder Informationssicherheitskonzeptes
- Die Durchführung von Risk Assessments
- Die Einführung von Standardsoftware (Verlustdatensammlung, Op Risk Tools, Tools für die Unterstützung der Inventarisierung und Kategorisierung von IT Assets)
Informationssicherheit mit Nahtstellen zu Operational Risk Management
Informationen und die zur Informationsverarbeitung benutzten Ressourcen sind wichtige Faktoren in der Wertschöpfungskette und müssen dementsprechend mit angemessenen Massnahmen zur Sicherstellung der der Verfügbarkeit, Integrität und Vertraulichkeit geschützt werden. Der empfohlene Umfang von Sicherheitsmassnahmen wird in international anerkannten Standards wie dem ISO 27001 umfassend dargelegt. Grundlagen der Informationssicherheit sind die Klassifizierung, die Beurteilung des Schutzbedarfs der Informationen und die Identifikation der verantwortlichen Informationseigner. Denn nur mit klaren Schutzbedarfsanforderungen und definierten Verantwortlichkeiten können Schutzmassnahmen effektiv und effizient erarbeitet und umgesetzt werden.
Ein Informationssicherheits-Management-System (ISMS), wie es in ISO 27001 gefordert wird, bietet die Rahmenbedingungen zur systematischen Planung und Umsetzung grundlegender Massnahmen im Bereich der Informationssicherheit und bildet gleichzeitig auch die Grundlage des Massnahmentrackings im Operationellen Risikomanagement.
Gemeinsame Grundlagen: Nutzung von Synergien
Diese Grundlagen können und sollen direkt für das OpRisk Management übernommen werden und bedürfen keiner neuen Erfindungen. Im Gegenteil, die OpRisk-Perspektive schärft den Fokus für die effektiven Geschäftsauswirkungen und die daraus folgende Gewichtung von Risiken. Dies erhöht den Zwang zur Konzentration auf das Wesentliche bei Risiko- und Business Impact- Analysen, die für die Definition der Schutzbedarfsanforderungen und die Auswahl von Sicherheitsmassnahmen unbedingt nötig sind.
Ereignis- und Krisenvorsorge (EKV), nicht nur für IT-Ausfälle
Ein wichtiger Aspekt ist die Ereignis- und Krisenvorsorge (EKV), die auch das Business Continuity Planning umfasst. Oft muss - basierend auf Risikoanalysen im Rahmen des Operational Risk Managements – eine EKV für das jeweilige Unternehmen erarbeitet werden. Die EKV gehört zu den wichtigsten Sicherheitsmassnahmen überhaupt. Die richtige Arbeitsteilung und Organisationsform zwischen OpRisk und der EKV-Organisation zu finden und einfache, funktionierende Eskalationsmechanismen für den Krisenfall zu definieren, erfordert Erfahrung und manchmal auch Bereitschaft zur Veränderung. Die OpRisk-Perspektive stellt sicher, dass in den EKV-Überlegungen der Fokus nicht alleine auf IT-Themen gelegt wird. Zahlreiche grosse Krisen gehen nicht oder nur indirekt von der IT aus.
Die Swiss Infosec AG plant, organisiert und leitet Krisenstabsübungen: Vom Erstellen des Storyboards über das Coaching während der Krisenübung bis hin zur nachträglichen Auswertung der Effizienz des Krisenstabes. Dazu gehört auch die Evakuation eines Bürogebäudes, inklusive Zusammenarbeit mit Care Teams, Polizei, Feuerwehr, Spitälern, Behörden usw. Die Ereignis- und Krisenvorsorge beinhaltet auch eine umfassende Vorbereitung zur Verbesserung der Reaktionsfähigkeit und Schadensminimierung beim Auftreten von Krisen, eine geregelte Rückführung in den normalen Betrieb und eine sorgfältige Nachbearbeitung der bewältigten Krise.
|