Organisatorische Widerstandsfähigkeit wird durch die strategische Kombination von zwei Schlüsselprozessen erreicht. Am effektivsten ist es, eine Analyse der Auswirkungen auf das Unternehmen (Business Impact Analysis, BIA) und eine Risikobewertung gemeinsam durchzuführen. Dadurch wird deutlich, wie sie zusammenarbeiten, um die organisatorische Widerstandsfähigkeit zu stärken, wobei jedes Verfahren eine einzigartige Rolle spielt.
Unser jüngstes Webinar, "Geschäftsauswirkungsanalysen vs. Risikobewertungen: Warum Sie beides machen sollten, " das Sie hier herunterladen können, verzeichnete eine Rekordbeteiligung von über 200 Teilnehmern. Dies unterstreicht, dass sich alle der Bedeutung der Cybersicherheit bewusst sind. 94 % der Befragten äußerten sich besorgt über Cyberangriffe und Sicherheitsverletzungen. Eine kleine Gruppe (5-6 %) ist sich jedoch nicht sicher, ob eine Risikobewertung erforderlich ist. Einige sind von ihren derzeitigen Praktiken überzeugt, während andere das Verfahren als entmutigend empfinden. Positiv zu vermerken ist, dass eine beträchtliche Mehrheit (76 %) an einer Business Impact Analysis (BIA) teilgenommen hat. Trotzdem zögern immer noch 6 % aufgrund falscher Vorstellungen über die Komplexität dieser Analyse, was die Bedenken gegenüber Risikobewertungen widerspiegelt.
Diese Erkenntnisse unterstreichen die Notwendigkeit einer umfassenden Aufklärung und Förderung, um diese Prozesse zu entmystifizieren und sicherzustellen, dass jede Organisation die komplexe Aufgabe des Risikomanagements effektiv bewältigen kann.
Wir haben uns an Kiana Freeman, CBCP-Expertin, gewandt, um diese Fragen zu entmystifizieren.
Q: Ist eine Risikobewertung nicht nur so gut wie das Wissen der Person über mögliche Risiken? Die Durchführung einer Risikobewertung im Bereich der Cybersicherheit erfordert beispielsweise die Kenntnis aller möglichen Bedrohungen, die möglicherweise nicht bekannt sind oder nicht bedacht wurden. Das ist das "man weiß nur, was man weiß"-Problem. (Direktor für Internet-Support, Finanzdienstleistungen)
Richtig, deshalb wird empfohlen, dass mehrere Personen in Ihrer Behörde gemeinsam eine Risikobewertung durchführen. Ressourcen wie der USGS, das CDC, akademische Forschung und viele andere sollten für eine Risikobewertung genutzt werden. Durch die Beteiligung mehrerer Personen und die Nutzung mehrerer Ressourcen wird die Risikobewertung eine solidere Gefahren- und Bedrohungsliste enthalten. Sie können auch einen Berater oder eine Risikobewertungsplattform einsetzen, die mehrere Bedrohungen einbezieht.
Q: Haben Sie ein Beispiel dafür, wie Sie die Ergebnisse von RA und BIA genutzt haben? Heatmap? (BC Plan Administrator, Finanzdienstleistungen)
Die Ergebnisse einer Risikobewertung sind die Grundlage für den Erfolg einer Organisation, da sie Aufschluss darüber geben, welche Arten von Schulungen, Übungen und Bereitschaftsstrategien die Behörde/Organisation ergreifen muss. Vor COVID wurde die Pandemieplanung nicht immer in eine Risikobewertung einbezogen. Diese Lücke verursachte viele Probleme für Organisationen, als COVID eingeführt wurde. Sobald eine Risikobewertung abgeschlossen ist, kann sich die Organisation mit Strategien zur Eindämmung der Bedrohung, mit Richtlinien und Reaktionsmaßnahmen befassen, um dieser Gefahr zu begegnen. Risikobewertungen auf einer grundlegenden Ebene erhöhen das Situationsbewusstsein der Mitarbeiter hinsichtlich der Arten von Bedrohungen/Gefahren, auf die sie achten sollten. Eine Heatmap ist ein hervorragendes Mittel, um die Zustimmung der Stakeholder, Vorstände und Entscheidungsträger eines Unternehmens zu gewinnen. Die farbige Darstellung rückt die Bedrohungen/Gefahren in die richtige Perspektive für diejenigen, die nicht jeden Tag mit Katastrophen zu tun haben.
Die Ergebnisse einer Geschäftsauswirkungsanalyse bilden die Grundlage für die Entwicklung operativer Pläne für die Reaktion auf einen Vorfall. Sie ist einer der ersten Schritte bei der Erstellung eines Kontinuitätsplans und trägt entscheidend dazu bei, die Lücken in einer Behörde aufzuzeigen. Die Behörde weiß dann, welche Lücken geschlossen werden müssen, damit es bei einem Zwischenfall zu keiner Verzögerung kommt.
Q: Jeder Geschäftszweig hat eine subjektive Auffassung von Risiko und Kritikalität. Wie kann ein Unternehmen in diesem "Risikobereich" eine gemeinsame Sprache entwickeln, so dass ein kritischer Prozess, der von einem Geschäftsbereich als kritisch eingestuft wird, mit anderen kritischen Prozessen mit ähnlichem quantitativen Ausmaß an Auswirkungen in Einklang gebracht wird? (Direktor für Krisenmanagement, Professional Services)
Während der Grad der Risiken und der Kritikalität von Unternehmen zu Unternehmen unterschiedlich ist, ist die Sprache in allen Branchen ähnlich. Es ist wichtig, dass Sie vor der Durchführung einer Risikobewertung oder einer Analyse der Auswirkungen auf das Geschäft mit Ihrem Unternehmen klare Definitionen und Absprachen darüber treffen, welche Sprache Sie verwenden werden. Viele Berater erstellen ein Glossar oder eine Begriffsliste für ein Unternehmen, um sicherzustellen, dass alle Mitarbeiter, unabhängig vom Standort, dieselbe Sprache verwenden. Es ist auch wichtig, die Terminologie mit den Beteiligten und Partnern zu klären, um sicherzustellen, dass alle Parteien auf derselben Seite stehen. Risikobewertungen und eine BIA sollten nicht von einer einzelnen Abteilung/Person durchgeführt werden. Sie sollten als Teamarbeit durchgeführt werden, um sicherzustellen, dass alle Beteiligten die gleiche Sprache, den gleichen Risikograd und die gleiche Wichtigkeit des Risikos verstehen.
Q: In vielen Unternehmen wird das Risikomanagement nach dem Motto "Kopf in den Sand" betrieben. Unwissenheit über Risiken kann für Unternehmen tödlich sein. Was ist der beste Ansatz zur Überwindung des Widerstands gegen diejenigen, die unsere Möglichkeiten einschränken, und wie können wir den ROI nachweisen? (Vizepräsident, unbekannte Branche)
Die Erstellung einer Risikobewertung ist nicht immer jedermanns Priorität. Es ist wichtig, den Beteiligten die Statistiken mitzuteilen, die zeigen, wie viele Dollar Unternehmen verlieren, wenn keine angemessenen Risikobewertungen, Pläne und Schulungen vorhanden sind. Eine der besten Strategien, um alle Beteiligten zum Nachdenken über Risikobewertungen anzuregen, besteht darin, wichtige Gespräche frühzeitig und häufig zu beginnen. Fallstudien sind ein hervorragendes Hilfsmittel, um über Risikobewertungen und die Bedeutung der Umsetzung dieses Projekts zu sprechen.
Q: Welche Arten von Schulungen oder Zertifizierungen empfehlen Sie für neue oder erfahrene Mitarbeiter, um ihr Wissen in der Welt der Geschäftskontinuität zu erweitern? (IT-Manager, Finanzdienstleistungen)
In der Welt der Geschäftskontinuität gibt es so viele Ressourcen, die man nutzen kann. Certified Business Continuity Professional (CBCP) ist eine der Zertifizierungen, die vom Disaster Recovery Institute International (DRII) angeboten werden und die Einzelpersonen absolvieren können, um zertifiziert zu werden. Viele Organisationen, wie z. B. Preparis, verfügen über CBCP-Fachleute, die bei der Erstellung von Schulungen helfen und Fachwissen zur Verbesserung der Widerstandsfähigkeit einer Organisation bereitstellen.
Q: Gibt es eine Liste möglicher Risiken, die Unternehmen berücksichtigen sollten? (BC & Records Management Analyst, Finanzdienstleistungen)
Risikobewertungen sind keine Einheitsgröße für alle, aber viele Berater empfehlen, vier Hauptkategorien von Bedrohungen mit mehreren Arten von Gefahren in jeder Kategorie zu berücksichtigen. Diese Kategorien sind:
- Naturgefahren (Wirbelsturm, Erdbeben, Wintersturm usw.)
- Durch Menschen verursachte(Bombendrohung, aktive Bedrohung, Gewalt am Arbeitsplatz, usw.)
- Technologisch/Cyber(Cyberangriff, Ransomware, Systemausfall, Stromversorgung usw.)
- Operativer Geschäftsbetrieb(Unterbrechung der Lieferkette, Streik der Mitarbeiter, Lieferantenrisiko usw.)
Q: Wie definieren Sie einen COOP gegenüber einem BCP? (Anbieter medizinischer Dienstleistungen)
Continuity of Operations Planning [oder COOP] und Business Continuity Plans[BCP] weisen je nach Branche kleine Unterschiede in den Elementen auf. Regierungsbehörden verwenden in der Regel COOP, wie es die FEMA (Department of Homeland Security) eingerichtet hat, während private Organisationen möglicherweise BCP verwenden. Erkundigen Sie sich bei Ihrer Behörde und Ihrer Versicherung nach den jeweiligen Anforderungen, wenn Sie Ihre Pläne aufstellen. Einige Finanzinstitute verlangen aufgrund ihrer Versicherungsvorschriften möglicherweise einen BCP und Pläne für die Notfallwiederherstellung.
F: Vielleicht habe ich es verpasst, haben Sie Vorlagen für den Anfang? (Senior Manager of Business Resiliency, Engineering Software)
Preparis verfügt über eine Handvoll Ressourcen, die Sie für den Anfang nutzen können. Unsere Tabletop-Übungsvorlagen können Sie hier herunterladen. Warten Sie nicht! Befähigen Sie Ihr Team, die Komplexität von Cyber-Bedrohungen mit Widerstandsfähigkeit und Präzision zu bewältigen.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich auf Preparis Business Continuity Software veröffentlicht. Im Oktober 2024 übernahm Mitratech Preparis, einen führenden Anbieter von Lösungen für die Geschäftskontinuitätsplanung und Notfallmaßnahmen. Der Inhalt wurde aktualisiert, um dem erweiterten Produktangebot von Mitratech, den Fortschritten in der Branche und den rechtlichen Entwicklungen Rechnung zu tragen.
