IT-Sicherheit ist nicht Selbstzweck

Die Risiken sind zu identifizieren und zu bewerten. Anschliessend sind die Optionen für die Risikobehandlung zu identifizieren und zu evaluieren. Mögliche Optionen sind hier:

o Anwendung angemessener Sicherheitsmassnahmen/Controls (bspw. BS7799, Cobit, IT Grundschutzhandbuch)

o Wissentliche und objektive Akzeptanz der Risiken, unter der Bedingung, dass die Politik der Organisation und die Kriterien für die Akzeptanz von Risiken klar erfüllt sind

o Vermeidung von Risiken

o Transfer der verbundenen Geschäftsrisiken auf Dritte, beispielsweise Versicherer oder Lieferanten

Die Grundkonzepte von Operational Risk Management und Information Security Management (ISM) sind also identisch. In beiden Fällen werden Risiken identifiziert, bewertet und anschliessend angemessen behandelt. Hinzu kommt, dass alle operationellen Risiken eine Entsprechung in den IT-Risiken finden und umgekehrt.

IT Risk Management behandelt eine Teilmenge der vom Operational Risk Management erfassbaren Risiken. Der Begriff «IT Risk Management» wird in der Praxis häufig vereinfacht «Risk Management» gleichgesetzt, das durch BS7799 gefordert wird und Teil eines umfassenden Information Security Managements ist. Wichtige und zentrale, der IT nahe Risiken werden jedoch durch das Security Management nicht abgedeckt, so beispielsweise Projektrisiken und IT Strategierisiken. Diese Risikokategorien sind eher dem IT Controlling zuzuordnen und werden beispielsweise durch COBIT (Control Objectives for information and related Technology) abgedeckt, einem Werkzeug, das insbesondere bei Informatikrevisionen zum Einsatz gelangt.

Grundsätzlich ist es die Aufgabe des Unternehmens beziehungsweise der eingesetzten und möglichst unabhängigen Stelle für das Operational Risk Management, die wesentlichen operationellen Risiken, welche den Produkten, Prozessen und Systemen des Unternehmens entstammen, zu identifizieren, zu messen, zu steuern und schliesslich auch zu überwachen. Das Ziel dabei ist es, die operationellen Risiken frühzeitig zu identifizieren, zu messen und proaktiv zu steuern. Entsprechende Prozesse, Regelungen und Richtlinien müssen unbedingt schriftlich festgehalten und interne Kontrollsysteme darauf aufbauend implementiert werden.

Die Aufgabe der Stelle ORM ist das Reporting gegenüber dem Management und das Liefern der nötigen Entscheidungsgrundlagen für die Risikobehandlung. Für die identifizierten Risiken sind Risk Owner in der Linie zu bestimmen.

Die Stelle für IT Security rapportiert der Stelle für Operational Risk Management regelmässig. Die Schnittstellen zwischen IT Security und Operational Risk Management sind zu definieren. Beispiele: Eine Aufgabe der Stelle für Operational Risk Management ist das Führen einer so genannten Verlustdatenbank. Die innerhalb des Security Incident Managaments gewonnenen Informationen zu Art, Umfang und Grund der Schäden beziehungsweise Fastschäden müssen in die Verlustdatenbank einfliessen. Die Methodik der Risikoanalysen muss aufeinander abgestimmt werden.

Information Security Management gemäss BS7799 umfasst weite Teile des IT Risk Managements. Die nicht im ISM zu behandelnden IT- Risiken sind, wie auch die übrigen operationellen Risiken, ausdrücklich anderen Linien- oder Stabsstellen (IT Controlling, Compliance) zuzuordnen. Der Aufbau einer eigentlichen Stelle für das IT Risk Management ist bei einem funktionierenden Information Security Management überflüssig beziehungsweise direkt durch das Information Security Management abzudecken.

Der Information Security Officer muss regelmässig aufgrund von definierten Anforderungen gegenüber dem Operational Risk Management rapportieren. Verantwortlich für die Risikobehandlung (Risktreatment) ist schliesslich jene Linie, die von den eingesetzten Stabs- und Fachstellen unterstützt wird.