IT-Risikomanagement ist das Gebot der Stunde. Dabei kann man schon mit einfachen Mitteln viel erreichen, wenn man sich auf die richtigen Key Risk Indicators konzentriert. Diese Indikatoren können nicht nur zur Identifikation von Risiken, sondern auch als Benchmark für erreichte Verbesserungen in der IT dienen.
Beim Risikomanagement geht es darum, Risiken zu definieren, sie zu messen und darauf zu reagieren. Ein Risiko unterscheidet sich von einer Unsicherheit insbesondere durch die Messbarkeit. Man kann – mehr oder weniger genau – benennen. Nichts anderes macht übrigens die Versicherungsmathematik: Sie macht aus Unsicherheiten kalkulierbare Risiken.
Wie sich ein unternehmensweit integriertes Risikomanagement umsetzen lässt, erläutert Analyst Martin Kuppinger von Kuppinger Cole (KCP) in einem kostenlosen Webinar. Dieses beschreibt die Grundlagen eines unternehmensweiten, integrierten Risikomanagements und gibt einen Überblick über den sich gegenwärtig stark verändernden Markt der GRC-Plattformen GRC (Governance, Risk Management, Compliance): http://www.kuppingercole.com/events/n40031
Der erste Schritt beim Risikomanagement ist die Identifikation der Risiken. Dabei geht es nicht nur um Sicherheitsrisiken, die natürlich besonders wichtig sind. Es gibt aber auch Kostenrisiken, die nicht mit der Sicherheit in Verbindung stehen, sondern beispielsweise mit ineffizienten IT-Prozessen. Risikomanagement sollte daher mit der Definition von Risikoklassen beginnen, die hierarchisch strukturiert sind. Eine weitere Gruppe sind Performance-Risiken, beispielsweise in Bezug auf die Umsetzung von Geschäftsprozessen in der IT oder das On- und Off-Boarding von externen Benutzern und Partnerunternehmen.
Diese Risiken müssen beschrieben und messbar gemacht werden. Und genau hier kommen nun die Key Risk Indicators (KRIs) ins Spiel. Diese dienen übrigens auch als Key Performance Indicators (KPIs), weil viele davon auch die Performance im Sinne der Leistungserbringung der IT messen.
Viele KRIs sind ebenso naheliegend wie einfach messbar. Ein solcher Indikator ist die Anzahl der verwaisten Benutzerkonten in Verzeichnissen. Er ist verbunden mit Risiken wie dem einer nicht berechtigten Authentifizierung durch Benutzer, die eigentlich gar kein Konto mehr haben dürften, also einem Sicherheitsrisiko.
Er steht aber auch in Zusammenhang mit einem Kostenrisiko, wenn die Lizenzkosten von Benutzerzahlen abhängen. Durch den Vergleich von um Systemkonten, Administratorkonten und technische Benutzerkonten bereinigte Listen von Benutzern beispielsweise mit dem Human-Ressources-System lassen sich hier häufig sehr einfach Aussagen zum Anteil dieser Leichen ermitteln.
Damit gibt es ein definiertes, messbares und gemessenes Risiko, das – je nach Ausmaß und Bewertung des Risikos – in unterschiedlicher Weise adressiert werden kann. Die Maßnahmen reichen vom Nichtstun über das manuelle Aufräumen bis hin zu Provisioning-Projekten.
KRIs helfen dabei, vermutete oder bekannte Probleme in einer standardisierten Weise aufzuzeigen und damit eine verlässliche und qualifizierte Basis für die Entscheidung über Maßnahmen in der IT zu treffen. Sie sind aber auch ein Benchmark, wenn man die Werte vor der Durchführung von Maßnahmen bereits gemessen hat, weil man in diesem Fall die Verbesserungen erkennen kann. Schon deshalb kann es sich lohnen, mit solchen KRIs zu arbeiten – weil sie eben auch als KPI eine – hoffentlich – positive Leistung der IT aufzeigen können.
Natürlich macht es Sinn, das Risiko-Management mit Hilfe geeigneter Werkzeuge zu standardisieren, um beispielsweise Prozesse für das Risikomanagement abzubilden und eine kontinuierliche Umsetzung sicherzustellen. Den Einstieg kann man aber auch mit Bordmitteln machen. Schon damit lassen sich viele Risiken erfassen und verdeutlichen – ebenso wie man die Verbesserungen durch organisatorische und technische Maßnahmen damit belegen kann.