Der Beitrag DORA- Sind Sie bereit ? erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Doch ist sie auch heute noch zeitgemäß und sinnvoll?  Welche Relevanz hat die Pareto-Regel für den Bereich der Risikobewertung von z.B. #Cyber Risiken?

Ein Pareto-Diagramm (siehe unten) ist ein Hilfsmittel zur Auswahl einer begrenzten Anzahl von Maßnahmen, die eine maßgebliche Gesamtwirkung zur Folge haben werden. Es verwendet das Pareto Prinzip (80/20 Regel), hinter dem die Idee steht, dass 80 % der Probleme (Ausfälle aber auch Erfolge) durch 20 % der Ursachen bedingt sind, oder dass man mit 20 % des Aufwandes 80% des Nutzens erzeugen kann.

Wie erstelle ich ein Pareto Diagramm? Welche Daten benötige ich dazu?

• Identifizieren und Auflisten von Problemen
• Identifizieren der Ursache jedes Problems
• Gruppieren der Probleme nach Ursachen
• Hinzufügen der Bewertungspunkte für jede Gruppe
• Zeichnen eines Säulendiagramms der Ursachen, wobei die Ursachen mit höheren Bewertungszahlen zuerst anzugeben sind

Übrigens:  Die Zahlen 80% und 20% dienen nur der Veranschaulichung- das Pareto- Prinzip veranschaulicht die oft fehlende Ausgewogenheit zwischen erbrachtem AUFWAND und erzielten ERGEBNISSEN. Es können aber auch 13% des Aufwands 87 % des Ertrags generieren. Oder problemorientiert: 70% der Probleme könnten gelöst werden, wenn man sich mit 30% der Ursachen befasst. Interessant, oder? 

Ich bin sowohl mit den Verfechtern des Pareto-Prinzips als auch mit ihren Kritikern vertraut. Die Eignung dieses Modells zur Risikobewertung hängt meiner Meinung nach von der jeweiligen Unternehmenssituation und der individuellen Perspektive ab und bietet eine gute Diskussionsgrundlage.

Sie haben Fragen dazu? Rufen Sie uns an !

Hier ein Beispiel für ein Pareto Diagramm:

Der Beitrag Pareto-Diagramme für die Bewertung (Cyber-) Risiken erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Eine Vielzahl an Verfahren zur Risikobeurteilung steht zur Verfügung. Die DSFA (auch en: privacy impact assessment, PIA oder data protection impact analysis, DPIA) ist eine Möglichkeit dazu. 

Sie analysiert, wie Vorfälle und Ereignisse den Datenschutz einer Person beeinträchtigen könnten, und ermittelt und quantifiziert die Fähigkeiten, die benötigt würden, sie zu managen.

Eine DSFA ist ein Prozess zur Bewertung eines Vorschlags zur Identifizierung der möglichen Auswirkungen auf die Privatsphäre und die persönlichen Daten einer einzelnen Person. 

Der Prozess macht insbesondere Folgendes:

• Er analysiert die möglichen Folgen einer Datenschutzverletzung in Bezug auf eine lebende Person (Basis Risikofrüherkennung). 
• Er berücksichtigt, ob eine Verarbeitung personenbezogener Daten im Falle eines Datenschutzvorfalls ein hohes Risiko aufweist.
• Er führt eine ausführliche Risikoanalyse für die Verarbeitung personenbezogener Daten durch.

Sie haben Fragen dazu? Kontaktieren Sie uns! 

Der Beitrag Cybersicherheit: Risikobeurteilung nach der DIN EN IEC 31010 erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Die aktualisierte Norm DIN EN IEC 31010 wurde um die Integration von Cyber-Risikobewertungen ergänzt. Das heißt, digitale Bedrohungen können jetzt gezielt berücksichtigt werden. Die Cybersecurity und Künstliche Intelligenz mit ihren Risiken sind zentrale Faktoren. Und das nicht ohne Grund: Immer mehr Gebäudetechnik, Industrieanlagen und IT-Systeme sind vernetzt. Die Norm beinhaltet spezielle Ansätze wie die Business Impact Analyse (BIA), die auch in Kombination mit anderen Verfahren zum gewünschten Erlangen von Verständnis für Folgen und Wahrscheinlichkeiten führen. Mithilfe dieser Ansätze lassen sich beispielsweise IT- und Cyberrisiken in Smart Buildings und industriellen Steuerungssystemen (ICS) bewerten. Diese sind nicht nur für kritische Infrastrukturen von Interesse.

Sie haben Fragen zum Thema? Sprechen Sie uns an.

Der Beitrag KI und Cyber-Risikobewertungen erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Die Erweiterung der Risikobeurteilungsmethoden gemäß der DIN EN IEC 31010 von bislang 30 auf nun 41 Verfahren sorgt für mehr Flexibilität bei der Auswahl individuell passender Anwendungen. Gleichzeitig kann die Auswahl der für das Unternehmen richtigen Methoden zur Risikobeurteilung jedoch herausfordernd sein. Wie sollte ein Unternehmen bei der Auswahl vorgehen?

Bei der Auswahl des bzw. der richtigen Verfahren sollte Folgendes berücksichtigt werden:

• Der Zweck der Beurteilung
• Die Bedürfnisse der Beteiligten
• Alles gesetzlichen, behördlichen und vertraglichen Anforderungen
• Das Tätigkeitsumfeld und-szenario
• Die Bedeutung der Entscheidung (z.B. die Folgen, falls eine falsche Entscheidung getroffen wird) 
• Alle festgelegten Entscheidungskriterien und ihre Form
• Die bis zur Entscheidung stehende Zeit
• Die vorhandenen und erhältlichen Informationen
• Die Komplexität der Situation
• Das vorhandene oder erhältliche Fachwissen

Wenn der Grad der Unsicherheit, Komplexität und Vieldeutigkeit des Kontextes ansteigt, steigt auch der Bedarf, eine größere Gruppe Beteiligter hinzuzuziehen, was Auswirkungen auf die Kombination der ausgewählten Verfahren haben wird.

Sie haben Fragen dazu? Sprechen Sie uns an!

Der Beitrag Risikobeurteilungen:Für welche Methode sollte sich mein Unternehmen entscheiden? erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Verfahren zur Risikobeurteilung stellen allgemein Mittel zur Verbesserung des Verständnisses von Unsicherheit und deren Auswirkung auf Entscheidungen und Maßnahmen bereit.

Doch- wozu sind Risikobeurteilungen in der Praxis eigentlich gut?

Dazu gibt es bereits Erkenntnisse aus der aktuellen Risikonorm DIN EN IEC 31010.

Insbesondere gilt:

• strukturierte Informationen zur Unterstützung von Entscheidungen und Maßnahmen bereitzustellen, wenn es Unsicherheit gibt
• die Erläuterung von Auswirkungen, die Annahmen auf das erreichen von Zielen haben
• mehrfache Alternativen, Systeme, Technologien oder Ansätze zu vergleichen, wenn es bei jeder Alternative facettenreiche Unsicherheit gibt
• Hilfe bei der Festlegung realisierter und operativer Ziele
• Hilfe bei der Bestimmung der Risikokriterien einer Organisation, z.B. Risikogrenze, Risikobereitschaft oder Risikotragfähigkeit
• Setzen von Prioritäten
• Risiken erkennen und verstehen, einschließlich Risiken mit extremen Folgen
• Chancen erkennen und erfolgreich nutzen
• Benennung der beitragenden Faktoren von Risiken
• effektive und effiziente Maßnahmen zur Risikosteuerung und-bewältigung
• Bestimmung von modifizierten Auswirkungen vorgeschlagener Maßnahmen zur Risikosteuerung, Änderung in Art und Größe des Risikos
• Kommunikationen über Risiko und Auswirkung
• Lernen aus Versagen und Erfolgen, Verbesserungen
• Erfüllung der behördlichen und sonstigen Anforderungen

Sie benötigen dazu Unterstützung ? Sprechen Sie uns an.

Der Beitrag IT- Risiken Risikobeurteilungen geben Sicherheit? erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Die mögliche Zielgruppe dieser Informationen besteht aus:

• Allen an Risikobeurteilung und-management beteiligten Personen
• Personen, die an der Entwicklung von (internen) Anleitungen/Richtlinien beteiligt sind, in den festgelegt wird, wie Risiko in bestimmten Kontexten zu beurteilen ist
• Mitarbeiter, die Entscheidungen fällen müssen, bei denen es Unsicherheit gibt, einschließlich:
  • derjenigen, die Risikobeurteilungen in Auftrag geben oder deren Ergebnisse bewerten
  • derjenigen, die die Ergebnisse der Beurteilungen verstehen müssen sowie
  • derjenigen, die die Beurteilungsverfahren auszuwählen habe, damit bestimmt Zwecke erreicht werden.

Organisationen, die Risikobeurteilungen für Konformitätszwecke durchführen müssen, würden von der Nutzung geeigneter formaler und standardisierter Risikobeurteilungsverfahren profitieren.

Sie brauchen Unterstützung zum aktuellen Thema? Sprechen Sie uns an.

Der Beitrag Überarbeitung zur Risikobeurteilung der DIN EN IEC 31010:2024-12 erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Droht uns die Überregulierung der IT-Sicherheit?

Lesen Sie das gesamte Interview zum Thema mit Patrick:

Der Beitrag Datenschutz, Risikomanagement und Cyber Security erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Für weitere Informationen lesen Sie das gesamte Interview mit Patrick.

Der Beitrag Hätten Sie an Alles gedacht? Was sollte in Ihrem IT-Notfallkoffer zu finden sein ? erschien zuerst auf IRM Interim-Risiko-Management GmbH.

Es werden regelmäßig pro Monat mehrere hundert Veröffentlichungen erbeuteter Daten von Cyberkriminellen ins Internet gestellt. Der Höhepunkt fand im November 2022 statt, es lagen nur in diesem einen Monat allein 360 Veröffentlichungen vor. D.h. es wurden von 360 Institutionen (u.a. Firmen, Verwaltungen, Behörden, usw.) Daten wie u.a. Dokumente, E-Mails und Kontaktdaten für jeden zugänglich im Internet zum Download bereitgestellt. Die Lösegeldzahlungen, die für eine Nicht-Veröffentlichung oder Entschlüsselung von Daten gezahlt wurden, stiegen rasant an und lagen im Schnitt zwischen 200.000$ bis 300.000$ pro Quartal und das allein nur in Deutschland. Ein sehr lukratives Geschäft für die Angreifer, die Ziele sind hierbei vielfältig. Die Bedrohungen betreffen die Gesellschaft, die Wirtschaft, den Staat und die Verwaltungen und sind für alle Bereiche eine große Herausforderung und Gefahr.

Lesen Sie das Interview zu Risiken der Information Technologie.

Der Beitrag Cyber Security & Risikomanagement erschien zuerst auf IRM Interim-Risiko-Management GmbH.