Die Risikobewertung ist der Schritt im Informationssicherheits-Risikomanagement, bei dem Sie die Risiken in eine Rangfolge bringen, indem Sie ihre Auswirkungen und Wahrscheinlichkeit bewerten und so den Risikograd ermitteln.
Einstellungen zur Risikoautomatisierung
Das Risikomanagement kann in Cyberday vollständig manuell oder unter Nutzung unserer Automatisierungen durchgeführt werden.
Die Einstellungen dazu finden Sie unter Einstellungen -> Risikomanagement: Allgemeine Einstellungen.
Wenn Sie die Vorteile der automatischen Risikobewertung von Cyberday nutzen möchten, aktivieren Sie den Risiko-Autopiloten.
Was ist eine automatisierte Risikobewertung?
Wie Sie sich vom Anfang dieses Artikels her erinnern, geht es bei der Risikobewertung darum, die Risiken in eine richtige Rangfolge zu bringen. Dabei sollten die Art der Bedrohung, aber auch Ihre derzeitigen Maßnahmen sowie die Art Ihres Unternehmens und dessen Betriebsumfeld berücksichtigt werden.
Dies ist keine einfache Aufgabe, und die automatisierte Risikobewertung soll Sie dabei unterstützen.
Wenn Sie die automatisierte Risikobewertung verwenden, geschehen die folgenden Dinge automatisch:
- Ausfüllen einer Anfangsbewertung für jedes Risiko (Wahrscheinlichkeits- und Auswirkungswerte) nach Expertenmeinung
- Anpassung des Risikoniveaus nach dem Risikokontrollfaktor
Cyberday verbindet verwandte Kontrollaufgaben immer automatisch mit Risiken, aber Sie können diese Verbindungen auch manuell über die Risikokarte anpassen.
Einzelheiten zur Berechnung des Risikoniveaus
Die Berechnung der Risikostufe erfolgt durch Multiplikation von Wahrscheinlichkeit x Auswirkung. Je nach Einstellung des Risiko-Autopiloten wird dies dann mit dem Reifegradfaktor Ihrer aktuellen Kontrollen (0-1) multipliziert (d. h. Risikokontrollfaktor).
Risikoniveau mit Risiko-Autopilot
Wenn Sie den Risiko-Autopiloten aktiviert lassen, wird die Risikostufe durch Wahrscheinlichkeit x Auswirkungen x Risikokontrollfaktor berechnet.
Der Risikokontrollfaktor wird wie folgt berechnet und liegt immer zwischen 0 und 1:
- Ermittlung aller mit dem Risiko verbundenen Kontrollaufgaben (im Block "Aktuelle Risikokontrollaufgaben")
- Erstellen eines Risikokontrollwerts für jede Risikokontrollmaßnahme entsprechend ihrem Status
- 0,02 wenn der Status PENDING (nicht erledigt) ist
- 0,05 wenn der Status AKTIV ist (teilweise/meist erledigt)
- 0,10 bei Status DONE (Vollständig erledigt)
- Anpassung des Risikokontrollwerts für jede Risikokontrollmaßnahme entsprechend ihrer Priorität
- 2x wenn die Priorität CRITICAL ist
- 1.5x wenn die Priorität HOCH ist
- 1x, wenn die Priorität MEDIUM ist
- 0,5x wenn die Priorität LOW ist
- Minus die Summe der Risikokontrollwerte aller Aufgaben von 1, um den Risikokontrollfaktor dieses Risikos zu berechnen
- z. B. 1 - ( erledigte_niedrigpriore_Aufgabe + aktive_hohe_Priorität_Aufgabe)
- = 1 - (0.05 + 0.075)
- = 0.875
Wenn in diesem Fall die Ausgangswerte des Risikos für Wahrscheinlichkeit und Auswirkung 2 und 3 sind, würde die Berechnung wie folgt aussehen:
- Risikoniveau = 2 * 3 * 0,875 = 5,25
Risikoniveau ohne Risiko-Autopilot
Wenn Sie sich entscheiden, den Risiko-Autopiloten zu deaktivieren, füllen Sie die Risikobewertungen manuell aus und die Risikostufe wird direkt durch Wahrscheinlichkeit x Auswirkung berechnet.
