Sie können Ihre Organisation nicht verteidigen, wenn Sie nicht wissen, welchen Bedrohungen, Schwachstellen und Risiken sie ausgesetzt ist. Deshalb ist die Risikobewertung ein so wichtiger Teil des Risikomanagements. Im Folgenden behandeln wir die Definition und den Schritt-für-Schritt-Prozess.
Was ist Risikobewertung?
Die Risikobewertung ist ein Prozess zur Identifizierung von Risiken für die Betriebsabläufe, Vermögenswerte und Einzelpersonen einer Organisation sowie zur Bewertung der Wahrscheinlichkeit ihres Auftretens und des Schadens, der entstehen würde, wenn sie eintreten.
Die Risikobewertung ist ein wichtiger Bestandteil des Risikomanagements und umfasst die Bedrohungs- und Schwachstellenbewertung.
Was ist der Zweck der Risikobewertung?
Der Zweck der Risikobewertung besteht darin, Folgendes zu identifizieren:
- Bedrohungen für Ihre Organisation
- Interne und externe Schwachstellen
- Die nachteiligen Auswirkungen, die auftreten können, wenn diese Bedrohungen diese Schwachstellen ausnutzen
- Die Wahrscheinlichkeit, dass diese nachteiligen Auswirkungen eintreten
Basierend auf diesen Ergebnissen können Sie das Risiko bestimmen und dann darauf reagieren.
Empfohlene Lektüre
Was ist Compliance-Risiko und wie lässt es sich minimieren [+ kostenlose Vorlage]
Read MoreRisikobewertungsprozess
Im Folgenden wird ein Überblick über den Risikobewertungsprozess gemäß NIST 800-30, Leitfaden zur Durchführung von Risikobewertungen, gegeben.
1. Vorbereitung auf die Bewertung
Der erste Schritt besteht darin, die Risikobewertung vorzubereiten oder den Kontext für die Bewertung festzulegen. Dieser Kontext sollte durch die Ergebnisse des vorherigen Schritts im Risikomanagementprozess, dem Risikoframing, informiert werden.
Die Vorbereitung sollte die Identifizierung umfassen:
- Des Zwecks der Bewertung
- Des Umfangs der Bewertung
- Der Annahmen und Einschränkungen im Zusammenhang mit der Bewertung
- Der Informationsquellen, die als Eingaben für die Bewertung verwendet werden sollen
- Der Risikofaktoren, Werkzeuge und Techniken, die während der Bewertung verwendet werden
2. Identifizierung von Bedrohungsquellen und Ereignissen
Jetzt ist es an der Zeit, die Risikobewertung durchzuführen.
Zu Beginn sollten Bedrohungsquellen und -ereignisse identifiziert werden. Bedrohungsquellen variieren nach Typ, wie z. B. gegnerisch, versehentlich, strukturell und umweltbedingt. Beispiele für Bedrohungsquellen sind Insider, Außenseiter, IT-Ausrüstung, Software und natürliche oder von Menschen verursachte Katastrophen. Beispiele für Bedrohungsereignisse, die durch die oben beschriebenen Quellen initiiert werden können, sind Phishing-Angriffe, Denial-of-Service-Angriffe und das Erlangen sensibler Informationen durch Exfiltration.
Bedrohungen sollten für jedes Asset in Ihrem Asset-Inventory identifiziert werden. Da Bedrohungen Umstände oder Ereignisse sind, die die Vertraulichkeit, Integrität und/oder Verfügbarkeit eines Assets durch Ausnutzung sowohl bekannter als auch unbekannter Schwachstellen kompromittieren können, besteht der nächste Schritt im Risikobewertungsprozess darin, so viele bekannte Schwachstellen wie möglich zu identifizieren.
3. Identifizierung von Schwachstellen und prädisponierenden Bedingungen
Als nächstes identifizieren Sie Schwachstellen – oder Attribute eines Vermögenswertes – die von Bedrohungsereignissen ausgenutzt werden können.
Organisationen sollten auch vorbestimmende Bedingungen berücksichtigen, die die Wahrscheinlichkeit beeinflussen, dass Bedrohungsereignisse, sobald sie eingeleitet wurden, Schaden verursachen. Es gibt verschiedene Arten vorbestimmender Bedingungen, darunter informationsbezogene, technische, betriebliche und umweltbedingte. Ein Beispiel: Die Lage einer Einrichtung in einer hurrikananfälligen Region erhöht die Wahrscheinlichkeit einer Hurrikan-Exposition.
Schwachstellen können durch Implementierung von Sicherheitskontrollen oder anderen Maßnahmen verwaltet werden. Die Schwere einer Schwachstelle wird teilweise dadurch bestimmt, ob eine Sicherheitskontrolle oder andere Maßnahmen implementiert oder geplant und wirksam sind.
4. Bestimmen Sie die Wahrscheinlichkeit, dass Bedrohungsereignisse Schaden verursachen
Analysieren Sie als Nächstes die Wahrscheinlichkeit, dass eine bestimmte Bedrohung eine bestimmte Schwachstelle ausnutzt. Dies erfordert in der Regel drei Schritte.
Erstens bewerten Sie die Wahrscheinlichkeit, dass gegnerische Bedrohungsereignisse eingeleitet werden, und die Wahrscheinlichkeit, dass nicht gegnerische Bedrohungsereignisse auftreten. Sie können ihnen dann qualitative oder quantitative Werte zuweisen.
Hier ist ein Beispiel dafür, wie Sie die Wahrscheinlichkeit von Bedrohungsereignissen bewerten könnten, die von gegnerischen Quellen initiiert wurden:
Zweitens bewerten Sie die Wahrscheinlichkeit, dass das Bedrohungsereignis, sobald es eingeleitet oder aufgetreten ist, Schaden verursacht. Sie können die gleichen qualitativen und quantitativen Werte wie oben verwenden. Die Beschreibungen werden ebenfalls ähnlich sein. Zum Beispiel könnte die erste Zeile besagen: „Wenn das Bedrohungsereignis eingeleitet wird oder auftritt, ist es fast sicher, dass es nachteilige Auswirkungen hat.“
Bewerten Sie schließlich die allgemeine Wahrscheinlichkeit von Bedrohungsereignissen, indem Sie die Wahrscheinlichkeit des Auftretens und die Wahrscheinlichkeit einer nachteiligen Auswirkung kombinieren. Hier ist ein Beispiel für eine Bewertungsskala, die Sie verwenden können, um die allgemeine Wahrscheinlichkeit zu bestimmen.
5. Bestimmen Sie die Auswirkungensebene
Dieser Schritt konzentriert sich darauf, das Ausmaß der Auswirkungen oder des Schadens zu bewerten, die zu erwarten sind, wenn Bedrohungsereignisse erfolgreich Schwachstellen ausnutzen und zu unbefugter Offenlegung, Änderung oder Zerstörung von Informationen oder zum Verlust der Verfügbarkeit von Informationen oder Informationssystemen führen.
Es gibt verschiedene Arten von Auswirkungen, darunter Schaden für den Betrieb, Schaden für Vermögenswerte und Schaden für Einzelpersonen. Beispiele für Auswirkungen sind die Unfähigkeit, aktuelle Geschäftsabläufe auszuführen, Verlust von geistigem Eigentum, Verletzungen und Identitätsdiebstahl.
Hier ist ein Beispiel, wie Sie die Auswirkungen von Bedrohungsereignissen bewerten könnten:
6. Bestimmen Sie das Risiko
Sie sind nun bereit, das Risiko zu bestimmen, indem Sie die Wahrscheinlichkeit des Auftretens von Bedrohungsereignissen und die daraus resultierenden Auswirkungen berücksichtigen.
Hier ist ein Beispiel für eine Bewertungsskala, die Sie verwenden können, um das Risikoniveau zu bestimmen:
7. Ergebnisse kommunizieren
Der Risikobewertungsprozess sollte laufende Kommunikation und Informationsaustausch zwischen den Beteiligten umfassen. Dies trägt dazu bei, sicherzustellen, dass die bewerteten Risikofaktoren genau sind, dass Zwischenergebnisse genutzt werden können, um spezifische Fragen zu beantworten oder spezifische Entscheidungen zu treffen, falls erforderlich, und dass die Endergebnisse sinnvoll und nützlich sind, um den nächsten Schritt des Risikomanagementprozesses (d. h. Reaktion auf Risiken) zu informieren.
Wie Sie die Ergebnisse der Risikobewertung kommunizieren, hängt von Ihrer Unternehmenskultur sowie von gesetzlichen, regulatorischen und vertraglichen Anforderungen ab. Durch Richtlinien und Verfahren kann sichergestellt werden, dass Diese Ergebnisse effektiv kommuniziert und weitergegeben werden.
8. Bewertung beibehalten
Der letzte Schritt des Risikobewertungsprozesses besteht darin, Risikobewertungen aufrechtzuerhalten. Dies umfasst:
- Laufende Überwachung der in den Risikobewertungen identifizierten Risikofaktoren
- Verständnis der Änderungen dieser Faktoren
- Aktualisierung der Komponenten der Risikobewertungen wie Zweck, Umfang und Annahmen, um die oben genannten Überwachungsaktivitäten widerzuspiegeln
Risikobewertungsmethodik
Eine Risikobewertungsmethodik besteht typischerweise aus Folgendem:
- Ein Risikobewertungsprozess: Der schrittweise Prozess der Identifizierung, Schätzung und Priorisierung von Risiken für organisatorische Abläufe, organisatorische Vermögenswerte und Einzelpersonen.
- Ein Risikomodell: Ein Risikomodell definiert Risikofaktoren und die Beziehungen zwischen diesen Faktoren. Risikofaktoren sind Merkmale, die helfen, Risikostufen während des Bewertungsprozesses zu bestimmen. Häufige Risikofaktoren sind Bedrohung, Verwundbarkeit, Wahrscheinlichkeit, Auswirkung und prädisponierende Bedingungen.
- Ein Bewertungsansatz: Ein Bewertungsansatz beschreibt, wie Sie Risiken und deren beitragende Faktoren bewerten. Häufige Bewertungsansätze sind quantitativ und qualitativ. Dieser Ansatz sollte den Wertebereich spezifizieren, den diese Risikofaktoren während der Risikobewertung annehmen können, und wie Kombinationen von Risikofaktoren identifiziert oder analysiert werden, sodass ihre Werte kombiniert werden können, um das Risiko zu bewerten.
- Ein Analyseansatz: Ein Analyseansatz beschreibt, wie Sie Risiken bewerten, mit welchem Detailgrad und wie Sie Risiken aufgrund ähnlicher Bedrohungsszenarien behandeln. Häufige Analyseansätze sind bedrohungsorientiert, auswirkungsorientiert oder verwundbarkeitsorientiert.
Risikobewertungsmethoden sind ein wichtiger Bestandteil der Risikomanagementstrategie einer Organisation. Im Rahmen dieser Strategie kann eine Organisation eine einzelne Methode oder mehrere Methoden verwenden.
Durch die explizite Definition einer Risikobewertungsmethode und aller ihrer Teile können Organisationen Risikobewertungen leichter reproduzieren und wiederholen, was die Qualität der aus diesen Bewertungen gewonnenen Daten verbessern wird.
Risikobewertungsvorlage
Verwenden Sie die untenstehende Vorlage als Ausgangspunkt zur Risikobewertung. Sie ist auf nicht-gegenüberstellige Risiken zugeschnitten, kann jedoch auch zur Bewertung von gegenüberstelligen Risiken verwendet werden, indem „Wirkungsspektrum“ durch „Bedrohungsquellenmerkmale“ ersetzt wird.
Risikobewertungssoftware
Risikobewertungssoftware kann helfen, den Prozess der Risikobewertung zu vereinfachen und zu rationalisieren. Neben der Sicherstellung, dass jedes Risiko in einer konsistenten und wiederholbaren Weise bewertet und berichtet wird, kann Risikobewertungssoftware Ihnen auch Zeit sparen, indem sie Kategorien entwickelt, Risikoformeln berechnet oder Risiken manuell analysiert.
Secureframe beispielsweise verfügt über einen robusten Workflow, der Sie Schritt für Schritt durch den Risikobewertungsprozess führt für sowohl eingebaute Risiken aus der Risiko-Bibliothek als auch benutzerdefinierte Risiken. Zunächst werden Sie aufgefordert, Pflichtfelder für jedes Risiko auszufüllen, einschließlich einer Risiko-Beschreibung, Risk ID und Risiko-Eigentümer. Sie können es auch Kategorien, Abteilungen und Tags zuweisen. Anschließend werden Sie aufgefordert, die Auswirkung und die Wahrscheinlichkeit jedes Risikos entweder mit dem Standardbewertungsmodell von Secureframe oder einem von Ihnen eingerichteten benutzerdefinierten Bewertungsmodell auszuwählen. Basierend auf diesen Eingaben wird automatisch eine inhärente Risikobewertung berechnet. Als Nächstes können Sie eine Behandlungsentscheidung auswählen und die Auswirkungen sowie die Wahrscheinlichkeit des Restrisikos basierend auf dieser Behandlung, falls möglich, ändern. Basierend auf diesen Eingaben wird automatisch eine Restrisikobewertung berechnet.
Oder Sie können Comply AI for Risk verwenden, um diesen Workflow zu automatisieren. Dies eliminiert manuelle Analysen und liefert nahezu sofortige Einblicke in jedes Risiko auf Basis der Risikobeschreibung und Unternehmensinformationen, einschließlich seines potenziellen Einflusses, seiner Wahrscheinlichkeit und der empfohlenen Behandlung, mit klaren Begründungen für jedes Ergebnis. Diese Einblicke ermöglichen es Organisationen, schnelle und fundierte Entscheidungen zu treffen, um ihr Risikomanagementprogramm zu verbessern und ihre Sicherheitslage zu stärken.