Lesezeit: 6 Minuten

Als Führungskraft in den Bereichen IT, Datenmanagement oder Informationssicherheit und Compliance sind Sie dafür zuständig, potenzielle Risiken zu erkennen, sie zu verringern, mit den Folgen umzugehen und Ihrem CEO zu berichten, was Sie dagegen tun sollten oder getan haben.

Risiken aus der Sicht des CEO und des Vorstands, verfasst von zwei ehemaligen KPMG-Führungskräften - Mary Pat McCarthy (derzeit im Vorstand von Micron und Palo Alto Networks) und Timothy P. Flynn (derzeit im Vorstand von JPMorgan Chase und Walmart) - enthält einige immer noch relevante Informationen, die Ihnen dabei helfen, Ihre Risikoplanung zu verbessern und die Sichtweise Ihrer Top-Führungskräfte zu verstehen.

Wie viel Risiko können Sie verkraften?

Der erste Schritt zur Verbesserung des operationellen Risikos ist die Erkenntnis, dass die Gefahr von Verlusten aufgrund von Mängeln in IT-Systemen, Geschäftsprozessen und internen Kontrollen groß ist. Ein Risikomanagement, das sich mit allen drei Schwachstellen befasst, kann Ihnen helfen, Ihr Risikoprofil zu verbessern.

Fragen der Exekutive

Das Buch schlägt vor, dass sich Top-Manager diese grundlegenden Fragen stellen sollten, wenn sie Risiken in ihre Geschäftspläne und Agenden einbeziehen:

  1. Was ist Ihre Perspektive? Geht es in erster Linie um das Reputationsrisiko? Wie sehen die komplexen Wechselbeziehungen zwischen den Risiken aus? Wie könnte sich beispielsweise die globale Expansion auf das Betriebsrisiko auswirken, und wie verhält sich dies zum Marktrisiko?
  2. Was steht auf dem Spiel? Viele Unternehmen sind gescheitert, weil sie beim Risikomanagement versagt haben. Zwei Beispiele: Die Barings Bank im Vereinigten Königreich, die 1995 für ein Pfund Sterling an die niederländische Bank ING verkauft wurde, scheiterte aufgrund der Handlungen eines unseriösen Händlers und unzureichender interner Kontrollen. Cendant, das aus der Fusion von HFS und CUC International hervorging und zu dem Century 21, Coldwell Banker, Avis, Days Inn, Howard Johnson, Ramada, Super 8, Travelodge und andere Unternehmen gehörten, scheiterte aufgrund eines Buchhaltungsfehlers, der zu einem Ausverkauf durch die Aktionäre führte, der auf einen bei CUC begonnenen Betrug zurückgeführt wurde.
  3. Wie groß ist Ihre Risikobereitschaft? "Die Risikobereitschaft eines Unternehmens ist in Wirklichkeit diejenige derjenigen, die für die Folgen verantwortlich sind: Führungskräfte, Manager, Aktionäre und Stakeholder", schreiben die Autoren.
  4. Wer verwaltet Ihr Risiko? Letztendlich ist vielleicht der CEO verantwortlich, aber die Hauptlast des Risikomanagements liegt wahrscheinlich bei einem anderen: CSSO, CFO, CRO.
  5. Where are you on the risk continuum?
    Stage 1: There is no formal process for finding and managing risk other than physical asset insurance policies.
    Stage 2: Risk identification and management is a formal process flowing through the company’s silos and embedded to a degree in business and operational planning.
    Stage 3: Enterprise risk management is integrated into business and operations processes that force alignment between the corporate vision and line-of-business goals. It includes knowledge of your goals, environment, strengths, weakness, options, and what you know and don’t know.
  6. Was ist Ihr Risikoprofil? Die Autoren zitieren David McNamee (derzeit Professor für Führung an der Universität von Arkansas Grantham). "Manager verbringen oft so viel Zeit damit, sich mit den bedeutenden Risiken der Gegenwart zu befassen, dass es ihnen schwer fällt, sich mit Risiken in einem längeren Zeithorizont zu befassen. Wenn die Risikoplanung längere Planungshorizonte umfasst, haben wir ein größeres Potenzial, Chancen zu nutzen."

Weitere Perlen des Buches:

Beinahe-Unfälle", interne Kontrollen und Möglichkeiten zur Verbesserung des Risikomanagements

Katastrophalen Ereignissen gehen oft "Beinahe-Unfälle" voraus, die Möglichkeiten für Verbesserungen bieten. Je besser Ihr Unternehmen auf die Verfolgung von Indikatoren eingestellt ist, desto mehr Zeit und Handlungsspielraum haben Sie, um zu reagieren, wenn ein Problem auftaucht. In diesem Blog wird beschrieben, wie Beinahe-Fehlschläge (Compliance-Verstöße, Datendiebstahl, gerichtlich angeordnete Datensperren) mithilfe der globalen Überwachung von Dateisystemprotokollen gefunden wurden. Das System deckte außergewöhnliche Ereignisse (Beinaheunfälle) auf und verhinderte die Probleme.

Die Autoren führen die Forderung nach besseren Passwörtern als ein weiteres Beispiel für interne Kontrollen an, die sich erheblich auf das Risiko auswirken können, und schreiben, dass die Netzwerksicherheit mit dieser Kontrolle genauso viel oder mehr gestärkt werden kann als durch die Installation von millionenschweren Sicherheitserkennungssystemen. Sie gehen davon aus, dass man die Wahrscheinlichkeit und den Schweregrad von katastrophalen externen Ereignissen zumindest verringern kann, wenn man die Wahrscheinlichkeit interner Betriebsrisiken reduziert.

Risikomanagement Executive Sponsorship

Um effektiv zu sein, braucht jedes Risikomanagementprojekt einen Sponsor aus der Führungsebene. Andernfalls können sich die Teams leicht in den Details verlieren und das große Ganze übersehen. Ein Sponsor auf hoher Ebene ist auch deshalb erforderlich, weil viele Risiken - insbesondere solche, die Ihre Daten betreffen könnten - mehrere Funktionen und Abteilungen betreffen können. Die richtige Führungskraft hat auch das beste Gespür für die umfassenderen Risiken, z. B. für die Auswirkungen eines lähmenden Virus auf Ihre Marke und Ihren Ruf. Diese Person sollte auch in der Lage sein, über mögliche finanzielle Folgen zu beraten.

Prozesse und Kommunikation machen den Unterschied im Risikomanagement aus

Das operationelle Risikomanagement erfordert ein unternehmensweites Verständnis dafür, dass Risiken durch Prozesse gesteuert werden, die mit der Geschäftsstrategie und der Fähigkeit, Erträge zu erwirtschaften, verbunden sind. Unternehmen, die ihre globalen Ziele gut zum Ausdruck bringen, die die interne Kommunikation und Kooperation (Zusammenarbeit) fördern und die bei der Entscheidungsfindung auf "checks and balances" zurückgreifen, sind weniger gefährdet, überrumpelt zu werden. Und natürlich wird es bei der Planung der Überprüfung und Reaktion auf Risiken unzählige Kompromisse in Bezug auf Sicherheit, Kosten und Bequemlichkeit geben.

Notfallpläne für den Umgang mit Daten und damit verbundene operationelle Risiken

Pläne zur Aufrechterhaltung des Geschäftsbetriebs sind natürlich von entscheidender Bedeutung. Und vielschichtig. Bei einem Erdbeben sind nicht nur die Gebäude in Gefahr. Die Unternehmensleitung wird entscheiden müssen, ob das Unternehmen eine milliardenschwere Sachversicherung abschließt oder nicht. Wie könnte sich eine Katastrophe auf den Datenzugriff und Ihre Fähigkeit auswirken, das Unternehmen am Laufen zu halten, Ihre Produkte und Dienstleistungen weiter zu entwickeln und zu produzieren? Neben anderen Problemen könnte sich Ihr Unternehmen ohne angemessene Planung als Beklagter in einer Aktionärsklage wiederfinden.

Es liegt auf der Hand, dass die wichtigsten Notfallpläne diejenigen sind, die Ihre wichtigsten Vermögenswerte abdecken. Ihre Daten und der Zugang zu ihnen stehen ganz oben auf dieser Liste. Die folgenden Notfallpläne für die Geschäftskontinuität und den Datenschutz stechen heraus. Falls Sie sich in letzter Zeit nicht mit der Dateiverwaltung befasst haben: Neue Innovationen zur Verbesserung der Datenverwaltung tragen zur Unternehmensproduktivität, Effizienz, langfristigen Kostenoptimierung, Ransomware-Resistenz, Multi-Cloud-Flexibilität und Portabilität von Datenarchiven bei.

Die Risiken von Datenverlusten, verkürzten Zugriffszeiten und schlechter Datenqualität

Mit dem globalen Dateisystem Panzura CloudFS besteht kein Risiko eines Datenverlusts durch externe Quellen. Wie können wir diese Behauptung aufstellen? Mit Netzwerk-Snapshots, die den Zustand des gesamten Netzwerkinhalts erfassen, einem sicheren Cloud-Objektspeicher und überall gespeicherten Metadaten sind unstrukturierte Dateien immer sicher und geschützt.

Darüber hinaus ermöglicht das System den Teammitgliedern, unabhängig vom Standort gleichzeitig auf dasselbe Dokument zuzugreifen und/oder daran zu arbeiten, ohne dass die Gefahr besteht, dass Daten verloren gehen oder in mehrere Kopien aufgesplittet werden. Neben der Überwachung zur Wahrung der Datensicherheit (siehe oben "Beinahe-Fehlschläge") verringern Versionskontrolle und Dateifreigabefunktionen das Risiko interner und externer Datenverluste drastisch und tragen zur Wahrung der Datenintegrität bei, während gleichzeitig lokal ähnliche Zugriffszeiten eingehalten werden.

Das Risiko von Cyber-Bedrohungen

Sicherheit auf dem Niveau des US-Verteidigungsministeriums - vom Edge über den Core bis zur Cloud -, permanente Kontrolle, umfassendes Datenmanagement und detaillierte Berichte über Dateiaktivitäten sind nur einige der Tools, die für Audits und die Überwachung und den Schutz der Cybersicherheit erforderlich sind.

Das Risiko einer Katastrophe

Disaster Recovery (DR) ohne Datenduplikation ist ein neues Konzept. Warum sollten Sie Ihren Datenspeicher duplizieren und für diese Speicherung bezahlen, wenn es eine bessere Lösung gibt? Die Hybrid-Cloud ist ideal für DR und andere Probleme. Im Katastrophenfall können häufige Netzwerk-Snapshots, kontinuierliche Replikation mit lokalem Bezug und vollständige Verschlüsselung sicherstellen, dass nichts verloren geht. Mit den neuesten Versionen Ihrer wichtigen Dateien, die außerhalb des Unternehmens in der Cloud gesichert sind, und mit Hilfe der Support-Teams von Panzura können Sie im Katastrophenfall schnell einen Notfallzugriff und eine Wiederherstellung einrichten.

Das Risiko von Cloud- und Standortausfällen

Bei Cloud-Objektspeichern kommt es gelegentlich zu Ausfällen. Die Cloud-Spiegelung verdoppelt die Cloud-Verfügbarkeit, indem Daten gleichzeitig in mehrere Objektspeicher geschrieben werden. Darüber hinaus bietet Ihnen ein vollständig portables, herstellerneutrales Archiv (VNA) die Flexibilität, Ihre Daten in jede beliebige Cloud oder Multi-Cloud zu verschieben. Hochverfügbarkeitsknoten (HA) für lokales und globales Failover bieten Schutz vor plötzlichen Ausfällen.

Das Risiko von Ransomware

Sie können sich vor Datenverlusten und Schäden durch Ransomware schützen, indem Sie die Ausfallsicherheit von Daten im Cloud-Speicher erhöhen. Anstelle einer Wiederherstellung aus einem Backup-Repository ermöglichen leichtgewichtige Netzwerk-Snapshots eine schnelle Wiederherstellung durch einen unkomplizierten Prozess der Auswahl eines Zustands vor Beginn des Angriffs. Panzura Snapshots bieten eine Wiederherstellungszeit/Recovery Point Objective (RTO/RPO) von 60 Sekunden.

Shift the balance of power in the fight against ransomware.

Whitepaper herunterladen
Panzura-datasheet-Detect-and-rescue-header-min (1)

Das Risiko ständig steigender Lagerkosten

Ohne die Notwendigkeit, Daten für DR oder Backup zu duplizieren oder mehrere Versionen einer Datei zu erstellen, werden die Speicherkosten gesenkt. Durch die kontinuierliche Deduplizierung und Komprimierung von Dateien sowie die Speicherung nur von Änderungen (in leichtgewichtigen Metadaten) wächst der Speicherbedarf mit zunehmendem Datenvolumen viel langsamer.

Mit den richtigen Mitarbeitern, Instrumenten und Richtlinien hilft das Risikomanagement, die Unternehmensziele mit weniger Überraschungen zu erreichen. Die einzige Alternative ist das viel peinlichere, teurere und zeitaufwändigere Krisenmanagement.

Das Risiko ist so allgegenwärtig wie Ihre Daten, eines Ihrer wertvollsten Güter. Das Management des Risikos von Cyberbedrohungen und Ransomware ist nur ein Anfang. Schöpfen Sie den vollen Wert Ihres Datenschatzes aus, indem Sie ihn sichtbar, schnell zugänglich, nutzbar und jederzeit verfügbar machen. Sehen Sie sich dieses Webinar über die Sicherheit, Sichtbarkeit und Konformität unstrukturierter Daten an.