Zuhause / IT Best-Practice-Verfahren / Sechs Mythen der Risikobewertung

Sechs Mythen der Risikobewertung

An wie viele dieser Risikobewertungsmythen glauben Sie? David Laceys gibt in seinem Blogpost zu bedenken, dass wahrscheinlich gar nicht so wenige Sicherheitsfachleute auf der Welt Risikobewertung noch immer nicht intuitiv durchführen. Um etwaige Zweifel zu beseitigen und einen Beitrag für das Gemeinwohl zu leisten, führt Lacey sechs oft gehörte Mythen an, um mit ihnen aufzuräumen:

  • Risikobewertung ist objektiv und wiederholbar
  • Sicherheitskontrollen sollten durch eine Risikobewertung bestimmt werden
  • Risikobewertungen sollte sich an Vermögenswerten ausrichten
  • Durch Risikobewertung verringern Sie die Ausgaben für Sicherheitsvorkehrungen
  • Durch Risikobewertung werden Unternehmen angehalten, Sicherheitsmaßnahmen zu treffen
  • Wir sollten uns um eine unternehmensweite “Risikokultur” bemühen

Der erste dieser Mythen, „Risikobewertung ist objektiv und wiederholbar” stimmt einfach nicht, liest man im Blog: Bewertungen werden (im Allgemeinen) von Leuten vorgenommen, die keine vollständigen Daten zur Hand haben. Diese Leute verfügen über unterschiedliches Wissen und haben verschiedene Meinungen. Wenn alle Bewertungen scheinbar das gleiche Ergebnis aufweisen, rät Lacey, weitere Nachforschungen anzustellen. Ein weiterer Mythos besagt, dass Ihnen durch „ Risikobewertung geringere Ausgaben für Sicherheitsmaßnahmen entstehen“. Auch das stimmt nicht. Nicht in der Praxis. Abgesehen von ein oder zwei Sektoren im militärischen Bereich, in dem lächerlich große Geldbeträge für unnötige, hochwertige Lösungen ausgegeben werden (wobei zuvor immer eine Risikobewertung erfolgte), ist mir niemals ein Informationssystem untergekommen, das zu hohe Sicherheitsvorkehrungen aufwies. Der einzige Bereich, in dem ich tatsächlich überhöhte Ausgaben für Sicherheitsmaßnahmen beobachten konnte, war vielmehr die Risikobewertung an sich. Gute Sicherheitsfachleute verfügen über einen natürlichen Instinkt und wissen, wofür das Geld ausgegeben werden sollte. Laien fehlt das Wissen, um eine effektive Risikobewertung durchzuführen. Der letzte von Lacey angesprochene Mythos besagt, dass sich Unternehmen um eine „Risikokultur“ bemühen sollten. Dies betrachtet er als einen gefährlichen Schritt, da dies das gesamte Unternehmen unter Spannung setzt und möglicherweise zum Stillstand bringt wenn es darum geht, ein riskantes aber lohnendes Unterfangen zu wagen. Risiken innerhalb sicherer Grenzen einzugehen ist ein guter und produktiver Weg, um eine Organisation voranzubringen, wenn jedoch dem Risiko derart viel Bedeutung beigemessen wird, kann das im Endeffekt ein böses Erwachen für ein Unternehmen bedeuten.

über Matthew Kabik

Matthew Kabik is the former Editor of Computer Aid's Accelerating IT Success. He worked at Computer Aid, Inc. from 2008 to 2014 in the Harrisburg offices, where he was a copywriter, swordsman, social media consultant, and trainer before moving into editorial.

überprüfen Sie auch

Ein Projekt für die Übergabe vorbereiten

Am liebsten hätten wir es, wenn sich die Übergabe eines Projekts so gestalten würde, dass wir nur den Projektmanager darum bitten müssen, das Projekt zu übernehmen und dies mit einem Händeschütteln bestätigt w

Leave a Reply

Your email address will not be published. Required fields are marked *

WERBUNG