4 Arten von Endbenutzer-Computing (EUC)-Risiken, die Sie auf dem Radar haben sollten
Definition und Kategorisierung von EUC-Risiken auf der Grundlage der Auswirkungen auf das Unternehmen
Jede Anwendung, die einen kritischen Prozess unterstützt und von Endbenutzern und nicht von einer IT-Abteilung oder einem professionellen Software-Engineering-Team entwickelt oder verwaltet wird, fällt in den Bereich des End-User-Computing (EUC). Und obwohl diese Anwendungen sehr nützlich sein können, um die Effizienz der Teams bei ihrer täglichen Arbeit zu steigern, werden sie von den IT-Teams selten mit denselben Governance-Protokollen oder Sicherheitsprüfungen verwaltet, die sie für ihre benutzerdefinierten Anwendungen haben.
Das bedeutet, dass Sie, insbesondere in der heutigen Zeit, höchstwahrscheinlich nach Ihrem EUC-Managementprogramm gefragt werden. Aber welche Antworten müssen Sie parat haben, um selbstbewusst sagen zu können: "Ich habe eine wirksame EUC-Politik?"
Bevor Sie EUC-Risiken durch eine Kombination aus Kontrollen und Geschäftsentscheidungen wirksam eindämmen können, müssen Sie in der Lage sein, sie zu definieren und zu klassifizieren.
Schlecht verwaltete EUC-Anwendungen - wie hoch sind die tatsächlichen Kosten?
Die Finanzwelt wurde durch den "Doppelzählungs"-Vorfall bei Marks and Spencer aufgerüttelt, der dazu führte, dass fälschlicherweise ein Umsatzanstieg von 1,3 % gemeldet wurde, während der Umsatz in Wirklichkeit um 0,4 % gesunken war. Ebenso erlebte der Dienstleistungsriese Mouchel einen katastrophalen Zusammenbruch, nachdem eine Buchhaltungspanne ihn 8,6 Millionen Pfund gekostet hatte und seine Aktien um 30 % einbrachen. Während die finanziellen Auswirkungen dieser EUC-Fehler beträchtlich waren, erwies sich die breitere Marktwahrnehmung einer unzureichenden Finanzkontrolle als noch nachteiliger als die Kosten selbst.
Doch obwohl die mit EUCs verbundenen Risiken enorme Auswirkungen auf Ihr Unternehmen haben können, müssen sie Ihr Team nicht nachts wach halten. Stattdessen sorgt ein programmatischer Rahmen für die Verwaltung von EUC-Risiken dafür, dass Sie Ihre Risiken kennen, über geeignete Kontrollen verfügen, um sie zu mindern, und Ihrem IT-Team Empfehlungen geben können. Zum Beispiel, ob eine risikoreiche, stark genutzte EUC in eine IT-eigene Anwendung mit besserer Überwachung umgewandelt werden sollte, oder ob es sinnvoller ist, sie in Ruhe zu lassen. Eine Lücke in Ihrem EUC-Risikomanagementprogramm kann sich über Generationen hinweg auswirken, weshalb es wichtig ist, es auf einer soliden Grundlage aufzubauen. Das bedeutet, dass Sie sich die Zeit nehmen sollten, alle Ebenen der EUC-Risiken zu identifizieren und zu kategorisieren, die Ihr Unternehmen betreffen.
4 Arten von EUC-Risiken
Bei allen EUCs, die in den Zuständigkeitsbereich Ihrer Abteilung fallen (insbesondere bei denjenigen, die als hochriskant gelten), müssen Sie sicherstellen, dass die entsprechenden Kontrollen vorhanden sind, dass sie dokumentiert werden und dass sie einer jährlichen Überprüfung und einem Roadmapping unterzogen werden. Um dies zu erreichen, müssen Sie diese EUCs auf der Grundlage der organisatorischen Auswirkungen und des Risikoniveaus definieren und kategorisieren.
Wenn Sie alle EUCs in Ihrer Organisation überprüfen, kategorisieren Sie die Risiken, die sie darstellen, in die folgenden Schlüsselbereiche:
Finanzielles Risiko
- Datengenauigkeit und -verlust: Ungenaue oder unvollständige EUC-Daten verursachen finanzielle Fehlberechnungen, die zu finanziellen Verlusten oder Problemen bei der Einhaltung von Vorschriften führen können.
- Nutzung von Ressourcen: Die ineffiziente Nutzung von Ressourcen, einschließlich Hardware, Softwarelizenzen und Personal, führt zu unnötigen Ausgaben.
- Risiken von Anbietern oder Lieferanten: Die Abhängigkeit von bestimmten Anbietern oder Lieferanten setzt die Organisation einem finanziellen Risiko aus, wenn diese Unternehmen nicht liefern oder finanziell instabil sind.
Operationelles Risiko
- Ausfallzeiten: Ausfallzeiten von EUC-Systemen können den Geschäftsbetrieb stören und zu Produktivitätsverlusten und Umsatzeinbußen führen. Ausfallzeiten können durch technische Probleme, Softwarepannen oder Cyberangriffe verursacht werden und führen zu Problemen mit der Geschäftskontinuität.
- Service Level Agreements (SLAs): Die Nichteinhaltung von SLAs kann zu Vertragsstrafen, Vertragsverletzungen und einer Schädigung der Kundenbeziehungen führen.
Regulatorisches Risiko
- Nichteinhaltung: Die Nichteinhaltung aufsichtsrechtlicher Anforderungen wie BCBS 239, SR 11-7, Solvency II oder branchenspezifischer Standards kann zu gesetzlichen Strafen, Geldbußen und Reputationsschäden führen.
Reputationsrisiko
- Negative öffentliche Wahrnehmung: Jegliche Probleme im Zusammenhang mit EUC, wie z. B. Datenschutzverletzungen, Systemausfälle oder Verstöße gegen Vorschriften, können den Ruf des Unternehmens schädigen. Dies kann zu abstürzenden Aktienkursen, Abwanderung von Führungskräften und Schwierigkeiten bei der Gewinnung und Bindung von Kunden führen.
- Kundenvertrauen: EUC-bezogene Probleme können das Vertrauen und die Loyalität der Kunden untergraben. Die Wiederherstellung des Vertrauens erfordert immer erhebliche Anstrengungen und Ressourcen, wenn dies überhaupt möglich ist.
Die Risikokategorisierung ist zwar ein solider Anfang für Ihre EUC-Risikomanagementstrategie, aber Sie sind noch nicht fertig. Sie müssen dann die entsprechenden Kontrollen - basierend auf der Risikostufe - für jede EUC implementieren.
Ganz zu schweigen davon, dass die Aufrechterhaltung von Kontrollen, die Einhaltung von Vorschriften und eine effektive Kommunikation mit den Interessengruppen eine ständige Herausforderung darstellen. Und selbst wenn Sie die beste EUC-Richtlinie der Welt haben, müssen Sie in der Lage sein, den Nachweis zu erbringen, dass sie vorhanden und wirksam ist.
Aus diesem Grund haben wir eine umfassende Checkliste für das EUC-Risikomanagement erstellt, die Sie bei der Identifizierung, Quantifizierung und Verwaltung von Risiken im Bereich End-User-Computing (EUC) unterstützt.
Mehr für Sie:
- Sichern Sie unsere Welt: 4 Best Practices für die Sicherheit am Arbeitsplatz im Monat des Cybersecurity Awareness
- Der Cyberangriff auf MGM Resorts: Was Sie wissen müssen (und was er für Ihre Risikomanagementstrategie bedeutet)
- Schatten-IT, Phishing, Malware, oh je! Die Risiken, die Ihr Unternehmen heimlich heimsuchen
