Logo des Repositoriums

Auflistung nach Schlagwort "IT Risk Management"

1 - 5 von 5
  • Zeitschriftenartikel
    IT-gestützte Methodik zum Management von Datenschutzanforderungen
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Anke, Jürgen; Berning, Wilhelm; Schmidt, Johannes; Zinke, Christian
    Die datenschutzkonforme Handhabung von Daten ist für Unternehmen mit komplexen IT-Landschaften eine große Herausforderung. Datenschutzverstöße stellen rechtliche und finanzielle Risiken dar, insbesondere durch die umsatzabhängigen Bußgelder, die in der neuen EU-Datenschutzgrundverordnung (EU-DSGVO) vorgesehen sind. Die Sicherstellung der Datenschutzkonformität in betrieblichen Anwendungssystemen ist bislang aufwändig und nur in geringem Umfang automatisiert. In diesem Beitrag wird ein Lösungsansatz vorgestellt, der die durchgängige Dokumentation, Durchsetzung und Kontrolle von Datenschutzanforderungen für betriebliche Anwendungssysteme gewährleisten soll, um eine nachhaltige Datenschutzkonformität zu erreichen. Dazu schlagen wir eine Methodik vor, die organisatorische Prozesse sowie technische Komponenten miteinander verbindet, um die Verwaltung von Datenschutzanforderungen stärker in das unternehmensweite IT-Management zu integrieren.AbstractHandling data in a legally compliant manner is a major challenge for companies with complex IT landscapes. The violation of data protection acts poses legal and financial risks, particularly due to the turnover-dependent fines, which are provided for in the new European General Data Protection Regulation. Ensuring the compliance with data protection acts in enterprise software systems is currently a time-consuming and costly task with a very low level of automation. In this contribution, we present an approach for the consistent documentation, enforcement and monitoring of data protection requirements in enterprise software systems. For that, we propose a methodology, which links organizational processes and technical components to integrate the management of data protection rules with company-wide IT-management.
  • Zeitschriftenartikel
    IT-Governance, Risiko- und Compliance-Management (IT‑GRC) – Ein Kompetenz-orientierter Ansatz für KMU
    (HMD Praxis der Wirtschaftsinformatik: Vol. 57, No. 5, 2020) Johannsen, A.; Kant, D.
    Kleine und mittlere Unternehmen aller Branchen versuchen sich nach wie vor angemessen mit den Herausforderungen der Globalisierung und der digitalen Transformation auseinanderzusetzen. Sie bilden in diesem Zusammenhang wachsende Kompetenz in der Produktionsautomatisierung (Industrie 4.0) und in digitalen Geschäfts- und Verwaltungsprozessen aus. In Bezug auf IT-GRC bleiben KMU demgegenüber faktisch oft noch unreif. Bestehende Ansätze des IT-Governance‑, Risiko- und Compliance-Managements sind noch zu wenig für KMU ausgestaltet. Der Artikel stellt vor diesem Hintergrund einen zunächst aus der Literatur abgeleiteten, und dann zusammen mit Feedback von 14 IT-GRC Experten aufgestellten, Kompetenz-orientierten Ansatz zur Wahrnehmung, Messung und Steuerung des IT-Governance, Risiko- und Compliance-Managements in KMU vor. Der Ansatz enthält sechs relevante Kompetenzkategorien. Der Beitrag stellt dann zwei abgeleitete, webbasierte Tools zur Messung und Erfassung der Handlungsbedarfe und zur Unterstützung von Management-Maßnahmen vor. Der Ansatz sowie die prototypisch realisierten Tools unterstützen das IT-GRC Management von KMU gemäß ihrem Reifegrad und bedarfsorientiert. Bei der Unterstützung wird der Fokus darauf gelegt, KMU bei der Umsetzung der ständig wachsenden IT-GRC-Anforderungen schlanke und konkrete Methoden, Werkzeuge und Hilfsmittel an die Hand zu geben und die verschiedenen Stakeholder einzubinden. SMEs in all sectors are still trying to deal adequately with the challenges of globalisation and digital transformation. They are building up competence in production automation (Industry 4.0) as well as in the digitalisation of common business models and administrative processes, SMEs are, however, often still immature with regard to IT-governance, IT-security and IT-compliance. Existing approaches for IT-GRC are not suitable and tailored enough towards the needs and realities of SMEs. The article thus presents a literature-based approach for the perception, measurement and control of IT governance, risk and compliance management in SMEs, which includes six relevant categories of competence, and which was formed by also using feedback from 14 IT-GRC experts. The article then introduces two web-based tools for measuring IT-GRC maturity, but also for the management of measures in the relevant areas of competence for SMEs. The approach as well as the prototypically realized tools supports IT-GRC management in SMEs depending on the degree of their IT-GRC maturity. It entails fields of action and result types (recommendations, checklists, sample contracts). In the approach, emphasis is put on the involvement of diverse stakeholders and their points of view, needs-driven and lean methods as well as concrete tools and aids.
  • Zeitschriftenartikel
    IT-Risikomanagement im Produktionsumfeld – Herausforderungen und Lösungsansätze
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Kraft, Reiner; Stöwer, Mechthild
    Produktionsumgebungen sind heute in vielfältiger Weise durch Informationstechnik (IT) geprägt. Diese Entwicklung trägt in einem erheblichen Maße zur Flexibilisierung und Effizienzsteigerung in der industriellen Produktion bei. Damit erbt dieser Bereich aber auch die üblicherweise mit IT verknüpften Gefährdungen, etwa die Anfälligkeit gegen Schadsoftware oder Hackerangriffe. Die daraus resultierenden Risiken verschärfen sich, je stärker die IT-Lösungen miteinander vernetzt sind und umso mehr Schnittstellen sie über Unternehmens- oder Standortgrenzen hinweg aufweisen. Im Bereich der Office-IT existieren weithin anerkannte Standards zur IT-Sicherheit und es hat sich eine Fülle an Maßnahmen etabliert, mit denen IT-Risiken begegnet werden kann. Diese Best-Practices können jedoch nicht ohne weiteres auf Produktionsumgebungen übertragen werden. Der Beitrag beschreibt die Gründe hierfür und die besondere Problemlage für das IT-Risikomanagement im Produktionsumfeld. Er gibt darüber hinaus eine Übersicht zu den vorhandenen Best-Practice-Dokumenten für das Produktionsumfeld und zeigt auf, wie sich etablierte Verfahren zum IT-Risikomanagement auch in diesem Bereich anwenden lassen. In einem abschließenden Beispiel werden die beschriebene Vorgehensweise und die Anwendung von Best-Practices zur Risikominimierung am Beispiel der Fernwartung skizziert.AbstractNowadays, industrial processes are more and more based on a wide range of information technology (IT). This development contributes significantly to greater flexibility and efficiency of industrial production. However, this sector also inherits the vulnerability to threats typically associated with IT, such as malware or hacker attacks. The resulting risks intensify, the more the IT applications are linked, and the more interfaces they have across business or location boundaries. In the area of office IT, generally accepted IT security standards exist; also a large number of measures have been established for the mitigation of IT risks. However, these best practices cannot be applied unaltered in industrial environments. The paper describes the reasons for this and the special challenges of IT risk management in production environments. Furthermore, it provides an overview of existing best practice documents for information security management in industrial environments and shows how well-established procedures for IT risk management can be applied in this area as well. Finally, the example of remote maintenance is used to illustrate the application of these procedures. In this context, best practices for the mitigation of risks associated with remote maintenance are outlined.
  • Zeitschriftenartikel
    IT-Risikomanagement von Cloud-Dienstleistungen im Kontext des IT-Sicherheitsgesetzes
    (HMD Praxis der Wirtschaftsinformatik: Vol. 54, No. 1, 2017) Adelmeyer, Michael; Petrick, Christopher; Teuteberg, Frank
    Neben den Vorteilen von Cloud-Diensten ergeben sich durch ihren Einsatz häufig Risiken für die IT-Sicherheit von Unternehmen. Durch das am 12. Juni 2015 verabschiedete Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme sollen Betreiber Kritischer Infrastrukturen dazu verpflichtet werden, ihre IT besser vor Cyber-Attacken zu schützen. In diesem Kontext gilt es zu klären, welche Anforderungen Cloud-Betreiber als Dienstleister Kritischer Infrastrukturen umzusetzen haben oder inwiefern diese per Definition des IT-Sicherheitsgesetzes als Betreiber Kritischer Infrastrukturen angesehen werden können. Im Rahmen des IT-Risiko- und Sicherheitsmanagements bei Kritischen Infrastrukturen entstehen bei der Auslagerung von (zentralen) Prozessen und Funktionen zudem Unklarheiten, wie der Einsatz von Cloud-Dienstleistungen zu bewerten ist und welcher Handlungsbedarf auf die Cloud-Betreiber zukommt, zum Beispiel durch das geforderte Mindestsicherheitsniveau der IT-Systeme. In dem Beitrag werden ein Anforderungskatalog an Cloud-Dienstleistungen zur Umsetzung des IT-Sicherheitsgesetzes auf Grundlage von Experteninterviews entwickelt sowie Implikationen für das IT-Risikomanagement von Cloud-Dienstleistungen dargestellt. Abschließend werden Handlungsempfehlungen für Cloud-Betreiber und Betreiber Kritischer Infrastrukturen gegeben.AbstractAlongside the benefits of cloud computing IT security risks arise from the use of cloud services. The German act to increase the safety of information technology systems, which was issued on June 12, 2015, requires critical infrastructures to improve the protection of their IT against cyber-attacks. In this context, the requirements cloud operators have to implement as service providers of critical infrastructures, or whether they can be viewed as operators of critical infrastructures by definition of the IT security law, have to be clarified. Furthermore, concerning the IT risk management of critical infrastructures, questions arise when outsourcing (central) processes and functions to the cloud. Regarding this, the overall use of cloud services and the actions cloud operators have to take, for example in order to meet the required minimum level of safety of IT systems, have to be assessed. In this article, a requirements catalog for cloud services and service providers to implement the requirements of the IT security law is developed on the basis of expert interviews. Furthermore, implications for the IT risk management of cloud services and recommendations for cloud providers and critical infrastructures are presented.
  • Zeitschriftenartikel
    Unternehmensarchitekturen aus Sicht von IT-Risikomanagement und IT-Revision
    (HMD Praxis der Wirtschaftsinformatik: Vol. 55, No. 5, 2018) Knoll, Matthias
    Die Wahl der „richtigen“ Architektur im Kontext des Einsatzes von Informationssystemen in Unternehmen aller Branchen und Größen wird vor dem Hintergrund der fortschreitenden Digitalisierung und damit der zunehmenden IT-Durchdringung der Geschäftsmodelle und -prozesse immer wichtiger. Häufig gerät dabei eine systematische Beschäftigung mit Risiken, die sich aus der Entscheidung für (oder gegen) ein bestimmtes Architekturkonzept ergeben, in den Hintergrund. Weil jedoch Architektur-Entscheidungen einen strategischen Charakter besitzen und ihre Folgen lange nachwirken, erscheint eine risikoorientierte Betrachtung auch unter dem Gesichtspunkt einer prüferischen Begleitung entsprechender Vorhaben immer wichtiger. Der Beitrag zeigt am Three-Lines-of-Defence-Modell auf, welche Herausforderungen auf die einzelnen „Verteidigungslinien“ zukommen, wo welche Verantwortung angesiedelt sein sollte und welche Aufgaben zu übernehmen sind. In the age of digital transformation and disruptive business models the choice of a suitable architecture will play an increasingly important role when employing information technology within businesses of all sizes and industry sectors. Unfortunately a systematic consideration of risks related to a specific decision for or against a certain architectural concept often is of minor importance. However, because architecture decisions are always strategic and bear long-term effects, a risk based approach seems advisable, for example when IT-auditors provide independent (project) assurance. Based on the Three-Lines-of-Defense-Model this article demonstrates which challenges each line of defense has to meet, where responsibilities should be assumed, and which tasks each line of defense has to take over.