IT-Anlagen in Asset Manager verwalten

Jede IT-Anlage, die Ihr Unternehmen besitzt, birgt andere Risiken und Verpflichtungen. Mit dem IT-Risikomanagement-Workflow (früher ITRMBond) können Sie die wichtigsten Informationen zu jeder Anlage erfassen und die Risikokritikalität sowie den Wert der Anlage berechnen. Anschließend können Sie diese Bewertungen nutzen, um die Risiken Ihres Unternehmens zu priorisieren und Ihre Pläne zur Risikobeilegung entsprechend zu erstellen.

Diese Lösung erfordert ein Abonnement für IT-Risikomanagement.

Welche Arten von Anlagen kann ich hinzufügen?

Es gibt vier Kategorien von Anlagen, die Sie in IT-Risikomanagement bewerten können:

  • Hardware z. B. Server, Laptops, Mobiltelefone
  • Software z. B. Betriebssysteme, Anwendungen
  • Cloud z. B. virtuelle Server
  • Informationssysteme interagierende Elemente innerhalb eines einzelnen Systems; z. B. die Lohnabrechnungssoftware, die Server, auf denen die Daten gespeichert sind, und die vertraulichen Daten selbst

Die Arbeitsabläufe für diese Anlagen sind alle gleich, aber da diese verschiedenen Kategorien von Anlagen unterschiedliche Arten von Informationen erfordern (z. B. hat eine Hardwarekomponente einen Standort, eine Cloud-Umgebung aber nicht), hat jede Kategorie einige unterschiedliche Attribute, die Sie ausfüllen müssen.

Nach dem Hinzufügen der oben genannten Anlagen ist der Arbeitsablauf derselbe. Jede Anlage muss registriert, kategorisiert und dann hinsichtlich ihrer Risikokritikalität bewertet werden. Dann kann die Organisation entscheiden, welche Methoden am besten geeignet sind, um diese Risiken zu priorisieren und beizulegen.

Weitere Informationen zu Anlagen finden Sie unter Übersicht über den Asset Manager

1. IT-Anlage im Asset Manager hinzufügen

Im Asset Manager können Sie Ihre IT-Anlagen überwachen und wichtige Informationen zu jeder Anlage aufzeichnen.

Beispiel

Szenario

Sie sind ein IT-Risiko-Programm-Manager und haben die Aufgabe, ein neues IT-Sicherheits- und Compliance-Programm für Ihr Unternehmen zu erstellen. Sie haben viele Anlagen, die Sie berücksichtigen müssen, aber Sie entscheiden sich, mit einer der wichtigsten Anlagen in der Risikomanagement-Toolbox zu beginnen – den Laptops Ihres Unternehmens.

Prozess

Hilfethema Mit Anlagen in Asset Manager arbeiten

Sie öffnen die Asset-Manager-App. Sie wählen den Anlagentyp IT-Anlage – Hardware, klicken auf IT-Anlage hinzufügen – Hardware, geben den Namen ein (Laptop) und speichern den Eintrag.

Ergebnis

IT-Risikomanagement speichert Ihre Laptop-Anlage im Asset Manager und weist ihr automatisch den Status Entwurf zu.

2. Anlage registrieren

Nachdem Sie einen Entwurf Ihrer Anlage erstellt haben, können Sie zusätzliche Informationen hinzufügen und die Anlage durch den IT-Risikomanagement-Workflow führen. Wenn Sie eine Anlage registrieren, geben Sie wichtige Informationen über sie ein und genehmigen dann, dass sie in den IT Asset Manager aufgenommen wird.

Beispiel

Szenario

Nachdem Sie nun die Laptop-Anlage hinzugefügt haben, möchten Sie die Anlage registrieren, damit Sie weitere Informationen über sie eingeben und mit der Risikobewertung beginnen können.

Prozess

Auf der Registerkarte Details geben Sie alle Informationen ein, die Sie über das Laptop haben, einschließlich des Namens, des Geschäftsinhabers, der Referenz-ID und der Beschreibung, die alle für die Registrierung der Anlage erforderlich sind. Sie speichern die Anlage und klicken dann im visuellen Workflow oben auf der Seite auf Registrieren. Nachdem überprüft wurde, dass Ihre Anlage alle erforderlichen Details enthält, wird der Status auf Registriert gesetzt.

Ergebnis

Das Laptop verfügt über alle erforderlichen Informationen und ist als aktive Anlage in der Organisation registriert.

3. Anlage kategorisieren

Jetzt, wo Sie Ihre Anlagen hinzugefügt und im Asset Manager registriert haben, können Sie deren Kritikalität bewerten und diese Einstufungen zur Kategorisierung verwenden. Sie können entweder eine einzelne Einstufung der Kritikalitätsstufe für die Anlage angeben oder Diligent One die Kritikalität auf der Basis von drei Werten berechnen lassen: den Stufen Geheimhaltungsauswirkung, Integritätsauswirkung und Verfügbarkeitsauswirkung.

Bei der Kategorisierung einer Anlage haben Sie zwei Möglichkeiten: Sie können einen Fragebogen an einen technischen oder geschäftlichen Eigentümer senden und die Anlage im Asset Manager automatisch auf der Grundlage ihrer Antworten kategorisieren lassen. Oder Sie können die Bewertungen selbst eingeben, wenn Sie über die Informationen zur Kritikalität der Anlage verfügen.

Beispiel

Szenario

Um die Kritikalität Ihres Laptops selbst zu bewerten, benötigen Sie drei wichtige Informationen:

  • Auswirkungsstufe der Geheimhaltung
  • Auswirkungsstufe der Integrität
  • Auswirkungsstufe der Verfügbarkeit

Da Sie sich nicht ganz sicher sind, wie diese Scores aussehen sollten, beschließen Sie, dem Kollegen, der für Ihr Laptop zuständig ist, einen Fragebogen zu schicken.

Prozess

Klicken Sie im visuellen Workflow oben auf der Seite auf Kategorisieren und dann auf Kritikalitätsbewertung starten. Geben Sie im Bereich Fragebogen senden den Namen Ihres Kollegen ein, um ihm den Fragebogen zu senden. Nach der Eingabe ihrer Antworten füllt Diligent One die Antworten im Fragebogen automatisch aus. Die Risikoeinstufungen (Vertraulichkeit, Integrität und Verfügbarkeit) werden berechnet und auf der Registerkarte Details angegeben. Sollten die Änderungen nicht angezeigt werden, dann aktualisieren Sie die Seite.

Sie führen eine kurze Überprüfung durch, um sicherzustellen, dass die Risikokategorisierungen plausibel aussehen. Klicken Sie dann im visuellen Workflow auf Einstufung. IT-Risikomanagement berechnet automatisch die Kritikalitätsstufe (weitere Informationen finden Sie unter Kategorisierungseinstufungen verstehen). Sollten die Änderungen nicht angezeigt werden, dann aktualisieren Sie die Seite. Klicken Sie im visuellen Workflow auf Weitere Optionen und dann auf Genehmigen. Der Status der Anlage wird in Kategorisiert geändert.

Ergebnis

Sie haben die mit Ihrem Laptop verbundenen Risiken erfolgreich quantifiziert und die automatisierten Prozesse von Diligent One genutzt, um das Laptop auf der Grundlage der mit ihr verbundenen Risiken zu kategorisieren. Sie haben nun eine bessere Vorstellung davon, wie Sie einen Plan und eine Prioritätenliste für die Beseitigung dieser Risiken für alle anderen Anlagen in Ihrem Unternehmen erstellen.

Kategorisierungseinstufungen verstehen

Wenn Sie die Kritikalität für Ihre Anlage mithilfe von Fragebogenantworten berechnen, arbeiten zwei Workflow-Robots bei der Berechnung der Kritikalitätsstufe zusammen, die Sie in Ihrer Anlage sehen: die Robots IT-Anlagenkategorisierung (IT Asset Categorization) und CIA-Kritikalitätseinstufung (CIA Criticality Scoring).

Hinweis

Da die Gewichtungen der Antworten und die Grenzen der Auswirkungsstufen konfigurierbar sind, können die Beispiele in diesem Abschnitt nicht mit den Berechnungen übereinstimmen, die Sie in Ihrer Organisation sehen. Weitere Informationen finden Sie unter Berechnungen Ihrer Organisation in Robots anzeigen.

1. Kategorisierungseinstufungen berechnen

Jede Frage in der Kritikalitätsbewertung gehört entweder zur Kategorie „Geheimhaltung“, „Integrität“ oder „Verfügbarkeit“ und wird für die Berechnung der Auswirkungsstufen „Geheimhaltung“, „Integrität“ bzw. „Verfügbarkeit“ verwendet. Die Antwort auf eine Frage in der Kategorie „Geheimhaltung“ wirkt sich z. B. nur auf die Berechnung der Auswirkungsstufe „Geheimhaltung“ aus, nicht aber auf die Auswirkungsstufen „Integrität“ oder „Verfügbarkeit“.

Jeder Antwort im Fragebogen für die Kritikalitätsbewertung wurde eine Gewichtung zugewiesen. Systemadministratoren mit Fachbenutzer-Abonnements können die Gewichtung der einzelnen Antworten im Workflow Robot zur Kategorisierung von IT-Anlagen anpassen.

Dieser Robot berechnet eine Punktzahl für den Fragebogen basierend auf der höchstmöglichen Punktzahl für jede Frage:

  • Bei Fragen, die nur eine einzige Antwort zulassen, ist die höchste mögliche Punktzahl die höchste Gewichtung aller möglichen Antworten auf die Frage.
  • Bei Fragen, die mehrere Antworten zulassen, ist die höchstmögliche Punktzahl die Summe aller Gewichtungen aller möglichen Antworten auf die Frage.
Beispiel

Ihre Kollegin beantwortet folgende Frage: Welche Art von Informationen oder Daten werden von dieser Anlage gespeichert, verarbeitet oder übertragen? Die Frage lässt mehrere Antworten zu.

Die verfügbaren Antworten und ihre jeweilige Gewichtung sind wie folgt:

Antwort Gewichtung
Mitarbeiterdaten (PII) 3
Kundendaten (PII) 3
Finanzdaten 1
Proprietäre Daten 1
IT-Infrastrukturdaten – vertraulich 3
IT-Infrastrukturdaten – verschlüsselt 1
Keiner der oben genannten Datentypen 0

Ihre Kollegin wählt Finanzdaten und IT-Infrastrukturdaten – vertraulich.

  • Die Gesamtpunktzahl für diese Frage ist 4 ( 1 + 3 = 4 ).
  • Die höchstmögliche Punktzahl für diese Frage ist 12 ( 3 + 3 + 1 + 1 + 3 + 1 + 0 = 12 ).

Da diese Frage zur Kategorie Geheimhaltung gehört, zählen die Antwortgewichtungen für diese Frage nur für die Geheimhaltungsstufe der Anlage. Sie haben keinen Einfluss auf die Auswirkungsstufen „Integrität“ oder „Verfügbarkeit“.

2. Auswirkungsstufe zuweisen

Für jede der Auswirkungsstufen „Geheimhaltung“, „Integrität“ und „Verfügbarkeit“ berechnet IT-Risikomanagement die endgültige Fragebogen-Einstufung wie folgt: Kategorisierungseinstufung = (Summe aller Antwortgewichtungen / Summe aller höchstmöglichen Fragenpunktzahlen) * 100 %.

Anschließend vergleicht der Workflow-Robot diesen Prozentsatz mit den für Ihre Organisation definierten Grenzwerten für die Auswirkungsstufen, die Sie im Robot anpassen können. Die Auswirkungsstufe, die dem Bereich entspricht, in den die prozentuale Einstufung fällt, wird in Ihrer Anlage angezeigt.

Wenn Sie schließlich im visuellen Workflow auf Einstufung klicken, verwendet der Workflow-Robot CIA-Kritikalitätseinstufung (CIA Criticality Scoring) eine von zwei Methoden, um die Gesamtkritikalitätsstufe der Anlage zu bestimmen:

  • High Water Mark (Höchststand) Verwendet die höchste der Auswirkungsstufen „Geheimhaltung“, „Integrität“ und „Verfügbarkeit“ als Gesamtkritikalitätsstufe. Das ist die Standardmethode.
  • Modus Verwendet die am häufigsten auftretende Auswirkungsstufe aus den Stufen für Geheimhaltungsauswirkung, Integritätsauswirkung und Verfügbarkeitsauswirkung als Gesamtkritikalitätsstufe. Wenn alle drei Stufen unterschiedlich sind, verwendet die Methode stattdessen die höchste der drei Stufen.
Beispiel

Nach dem Ausfüllen des Fragebogens:

  • Die Summe der Antwortgewichtungen, die Ihre Kollegin in der Fragekategorie „Geheimhaltung“ ausgewählt hat, beträgt 7.
  • Die Summe der höchstmöglichen Punktzahlen für alle Fragen in der Kategorie „Geheimhaltung“ beträgt 20.

Der endgültige Einstufungswert des Fragebogens zur Geheimhaltung lautet 35 % ( 7 / 20 ) * 100 = 35 ).

In Ihrer Organisation werden Werte zwischen 20 % und 40 % der Kritikalitätsstufe Niedrig zugeordnet. Daher wird Niedrig im Feld Auswirkungsstufe der Geheimhaltung für die IT-Anlage angezeigt. Der Robot wiederholt diesen Vorgang, um die Auswirkungsstufen der Integrität und der Verfügbarkeit der Anlage zu berechnen, indem die Fragen ausgewertet werden, die zu jeder dieser Kategorien gehören.

Wenn Sie im visuellen Workflow auf Einstufung klicken, betrachtet der Workflow-Robot CIA-Kritikalitätseinstufung (CIA Criticality Scoring) die drei Auswirkungsstufen, die in der Anlage aufgezeichnet wurden:

  • Auswirkungsstufe der Geheimhaltung Niedrig
  • Auswirkungsstufe der Integrität Mittel
  • Auswirkungsstufe der Verfügbarkeit Niedrig

Weil für den Robot die Methode „High Water Mark“ festgelegt wurde und die höchste der drei Stufen Mittel ist, wird Mittel im Feld für die Gesamtkritikalitätsstufe der Anlage angezeigt.

Berechnungen Ihrer Organisation in Robots anzeigen

Systemadministratoren mit einen Fachbenutzer-Abonnement können die Antwortgewichtungen und die Grenzwerte der Auswirkungsstufen anzeigen, die von ihrer Organisation für die Berechnung der oben genannten Einstufungen verwendet werden. Führen Sie dazu die folgenden Schritte aus:

  1. Öffnen Sie die Robots-App.
  2. Wählen Sie auf dem Dashboard in Robots Workflow Robots aus.
  3. Navigieren Sie zu dem Robot, der das Skript enthält, das Sie anzeigen möchten, und wählen Sie den Robot aus, um ihn zu öffnen.
  4. Klicken Sie in der oberen rechten Ecke des Robots auf Entwicklung, um in den Entwicklermodus zu wechseln.
  5. Wählen Sie auf der Registerkarte Skriptversionen die Version des Skripts aus, die angezeigt werden soll.

  6. Klicken Sie auf Skript bearbeiten.

    Ergebnis Der Robots Skript-Editor wird mit dem Skript geöffnet. Weitere Informationen finden Sie unter Python- und HCL-Skripterstellung in Robots.

Wenn Sie Hilfe benötigen, um die Robots zu finden, die Ihre Anpassungen enthalten, oder um die Berechnungen Ihrer Organisation an Ihre Bedürfnisse anzupassen, wenden Sie sich an den Support oder Ihren Ansprechpartner bei Diligent.

4. Neubewertung der Anlage

Wenn Sie jemals die Kritikalität einer Anlage neu bewerten müssen, können Sie die Anlage jederzeit im Prozess nach hinten verschieben.

Beispiel

Szenario

Ein Jahr, nachdem Sie das Laptop zum ersten Mal im Asset Manager hinzugefügt haben, wird Ihr Unternehmen zum Ziel einer Datenverletzung. Hackern gelingt es, Ihre Firewall zu umgehen und auf sensible Informationen auf Ihrem Laptop zuzugreifen.

Sie wissen, dass diese Sicherheitsverletzung eine große Veränderung in der Bewertung der mit Ihrem Laptop verbundenen Risiken darstellt: Es ist entscheidend, dass Ihr Unternehmen herausfindet, warum die Sicherheitsverletzung stattgefunden hat und wie weitere in der Zukunft verhindert werden können. Sie müssen die vorhandenen Informationen, die Sie über Ihr Laptop aufgezeichnet haben, auswerten und die Kritikalitätseinstufung erhöhen, damit Sie einen neuen Plan zur Risikobeilegung für Ihr Laptop erstellen können.

Prozess

Klicken Sie im visuellen Workflow auf Kritikalität neu bewerten. Der Status des Laptops wird wieder in Ausstehende Kategorisierung geändert.

Diesmal verfügen Sie über weitere Informationen über das Laptop als bei der ersten Eingabe im Asset Manager. Anstatt Ihrer Kollegin ein zweites Mal einen Fragebogen zu senden, entscheiden Sie sich, den Gesamtwert der Kritikalitätsstufe auf der Registerkarte Details als Kritisch einzugeben und auf Änderungen speichern zu klicken. Anschließend klicken Sie auf Weitere Optionen und dann auf Genehmigen.

Ergebnis

Das Laptop berücksichtigt nun die aktuellen Risikostufen, die sie nach der Datenverletzung für Ihr Unternehmen darstellt.

Wie geht's weiter?

Nachdem Sie Ihre Anlage hinzugefügt und bewertet haben, damit Sie die mit ihr verbundenen Risiken identifizieren können, können Sie mit der Beilegung dieser Risiken fortfahren. Siehe: IT-Risiken und -Kontrollen im Risikomanager verwalten für weitere Informationen.