Methode: Von kritischen Geschäftsprozessen zu schutzbedürftigen IT-Systemen
Die Beratungspraxis zeigt, dass in vielen Unternehmen die Diskrepanz zwischen der wahrgenommenen Kritikalität von Geschäftsprozessen und der Einschätzung des Schutzbedarfs von IT-Anwendungen groß ist.
Ein Widerspruch? ... auf jeden Fall ein Risiko.
Während einerseits der Schutzbedarf von IT-Anwendungen z. B. bezogen auf ihre Verfügbarkeit als hoch oder sehr hoch eingestuft wird, werden andererseits die Geschäftsprozesse, die durch die selben IT-Verfahren unterstützt werden, sämtlich als unkritisch betrachtet.
Die Ursache dieser Abweichung ist vielfach, dass weder die Geschäftsprozesse systematisch auf ihre Kritikalität und maximal tolerierbare Ausfallzeit analysiert noch die IT-Systeme stringent auf ihren Schutzbedarf untersucht werden. Die Bewertung erfolgt "aus dem Bauch heraus" und ist oftmals nicht quantifizierbar. Die Gefahr dabei ist, dass zu viele IT-Systeme mit hohen Kosten abgesichert werden und die tatsächlich unternehmenskritischen Systeme übersehen werden. Fehlt außerdem das entsprechende Notfallmanagement kann der Krisenfall bedrohliche Konsequenzen für das Unternehmen haben.
excepture rät daher zu einer Top-Down-Kritikalitätsanalyse ausgehend von den Geschäftsprozessen zu den unterstützenden IT-Anwendungen und IT-Systemen. Mit unserer Methode lassen sich Gefährdungen systematisch aufdecken, Risiken minimieren und unnötige Kosten einsparen.