Fachthemen
Risikomanagement mit COBIT und Risk Maturity Model
Stefan Beißel
Abstract
Die moderne Informationstechnologie hat mittlerweile einen essenziellen Stellenwert für viele Unternehmen eingenommen. Daher ist der Schutz von IT-Umgebungen grundsätzlich zur Selbstverständlichkeit geworden. Wichtige Voraussetzungen für einen angemessenen Schutz sind allerdings die Kenntnis, die Beurteilung und der Umgang mit vorhandenen Risiken - kurz gesagt ein IT-Risikomanagement. Mit einem guten IT-Risikomanagement steht und fällt die Angemessenheit des Schutzniveaus. Nur die schnelle Identifikation, kompetente Beurteilung und durchdachte Bewältigung von Risiken führen zu Schutzmaßnahmen, die die wichtigsten Vermögenswerte schützen und dabei einen guten Kompromiss zwischen Restrisiken und Ressourceneinsatz bieten. In der Industrie existieren verschiedene Rahmenwerke, die Anleitungen und Empfehlungen zum Thema IT-Risikomanagement geben, darunter auch "COBIT 5 for Risk". Aber auch wenn ein Rahmenwerk genutzt wird, fehlen bei vielen Unternehmen noch weiter gehende Maßnahmen, um ein gutes und reifes Risikomanagement vorweisen zu können. Ein häufiges Problem - selbst für sehr engagierte Unternehmen - besteht jedoch darin, dass die notwendigen Maßnahmen zur Verbesserung nicht bekannt sind oder unstrukturiert durchgeführt werden. In diesem Artikel wird beschrieben, wie ein Unternehmen, das COBIT für das IT-Risikomanagement einsetzt, den Reifegrad seines Risikomanagements beurteilen und sinnvolle Verbesserungsmaßnahmen ableiten kann. Grundlage dazu ist das Risk Maturity Model (RMM) der gemeinnützigen Risk and Insurance Management Society (RIMS).
