Wie kann ich eigentlich am besten eine Risikoanalyse der gefährdeten Bereiche im Unternehmen durchführen.
Z.B. Kosten von Ausfallzeiten, Beseitigung von Viren,usw?
Arbeitet man über Schätzungen von Aufwandsstunden?
Wer hat Erfahrung mit diesem Thema?
Grüße
Fredo
Hallo Fredo,
die Risikoanalyse wird i.d.R als „Schätzung“ durchgeführt.
D.h dei verschiedenen Server erhalten eine entsprechende Priorisierung (z.B Fileserver höchste Prio (=1), Faxserver niedrigste Prio (=6))
Danach wird abgeschätzt, was es für das Unternehmen bedeuten würde, wenn der Server ausfällt. Wie lange die Wiederherstellung dauert (in MannSunden, MannTage usw) und welcher Schaden daraus resultieren würde.
Beispiel:
In einem CallCenter (z.B für Computerhardware) fällt der Telefonserver inc. ACD aus. Folge: das Unternehmen ist NICHT mehr telefonische erreichbar, kein Umsatz möglich (Worst Case)
Abhilfe: 2. Ersatzserver steht bereit, man braucht nur zu starten (BestCase, Ausfall nur wenige Minuten)
Es ist ein sehr Intuitives Geschäft die „Risikoanalyse“, immer eine Gradwanderung zwischen Sicherheit und Wirtschaftlichkeit.
Grüße
Acosta
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
Hallo Fredo,
bitte bei der Risikoanalyse nicht vergessen, welche Rechte für externe Firmen, die auf eure Daten von aussen (Extranet/Einwahl), oder von innen (Vor Ort eingesetzte externe MA / eigene MA -> (ca. 80% der Angriffe auf ein System kommen von innen) bzw. durch Einbruch ins System (Eigener Webserver mit Standleitung im Unternehmensnetz ?) benötigt werden, welche Ports an den Schnittstellenrechnern geöffnet werden müssen/geschlossen bleiben können oder sollten/Firewall etc.
Bei Datenzugriffen macht es Sinn, die jeweils Fachverantwortlichen (Abteilungsleiter/Bereichsleiter) um eine Risikoanalyse des Datenzugriffs zu bitten unter der Maßgabe dass die Daten in unbefugte Hände fallen.
(speziell Entwicklungsabteilungen denn hier liegt das zukünftige Kapital des Unternehmens).
Dieser Punkt wird oft vergessen.
Die Ausfallrisiken/Hardware kann man in der Regel nur schätzen und auf statistisches Material zur Untermauerung und Argumentation bei den Vorgesetzten / Budgetverantwortlichen zurückgreifen.
Hierbei sollte auch die Lebenszeit verschiedener Komponenten (Sicherungsbänder/Festplatten) etc. berücksichtigt werden, um diese Teile rechtzeitig auszutauschen.
Beseitigung von Viren: Sollte erst garnicht vorkommen -> Virenscanner mit Updatevertrag anschaffen (Corporatelicense) und tagesaktuell die patches einspielen (i.d.R. kommen vom Hersteller bei Bekanntwerden eines Virus am selben Tag Patternupdates…)
Und hier einen Verteilmechanismus etablieren, der es ermöglicht im laufenden Betrieb die Maschinen upzudaten (zwangsweise !!).
Dadurch verringert sich das Ausfallrisiko enorm speziell wenn man Outlook einsetzt ;o).
Wichtig ist auch eine Sensibilisierung der Mitarbeiter für solche Themen (Schulung) allerdings i.d.R. kaum durchsetzbar, da die Chefs das nicht einsehn…
Bernd
[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]