Kurs 8: Reifung des Risikomanagements In der Managementlehre bedeutet die Reifung eines Prozesses oder einer Praxis, dass im Laufe der Zeit positive Schritte unternommen werden, um ihn zuverlässiger, wiederholbarer und effizienter zu machen. In der Praxis bedeutet dies, jeden Tag besser zu werden und gleichzeitig die Messwerte aufzuzeigen, die Verbesserungen belegen und weitere Verbesserungsmöglichkeiten aufzeigen. Wie wir in den Kapiteln eins und zwei gesehen haben, funktioniert das Risikomanagement für informationsintensive Unternehmen am besten, wenn es evidenzbasierte Argumente verwendet, um die Probleme zu identifizieren, zu charakterisieren und die notwendigen Maßnahmen zu ergreifen, um sie zu lösen. In Kurs acht werden zahlreiche Themen zusammengeführt, die mit dem Management der mit Informationssystemen verbundenen Risiken zusammenhängen. Wir wissen auch, dass Cyberangriffe ein Risiko für alle Unternehmen darstellen. In diesem Kurs werden wir uns darauf konzentrieren, diese Ideen in einem Kontext der kontinuierlichen Reifegradmodellierung, -messung und -überwachung zusammenzuführen. Die Risikoausrichtung funktioniert am besten auf der strategischen, langfristigen Planungsebene. Im Gegensatz dazu kann die Risikoreifung am effektivsten sein, wenn sie im täglichen Geschäftsbetrieb berücksichtigt wird. Dies wird manchmal als Operationalisierung des Risikomanagements und der Risikoreifung bezeichnet. Bei der Operationalisierung des Risikomanagements geht es darum, die Lebenszyklusmodelle für Systeme, Software und Daten mit den Geschäftsabläufen zu verbinden oder zu drehen. Wir werden die Sichtweise der Arbeiter einnehmen, die die Geschäftslogik und die Systeme nutzen, oder der Menschen, die die Robotik und das Internet der Dinge in der Fabrik oder im Lager beaufsichtigen, und sehen, wie jede der verschiedenen Sicherheitsdisziplinen etwas für sie bringt. Dieser Kurs besteht aus fünf Modulen. Modul eins konzentriert sich auf die Änderungsverwaltung und zeigt auf, wie dieser detaillierte, verwaltungsintensive Prozess eine Hauptrolle beim Schutz von Informationssystemen spielt. Wir werden uns auch mit seinem wichtigen Beitrag zur Reaktion auf Vorfälle und zur Behebung von Problemen befassen. Modul zwei zeigt, wie die Prinzipien der physischen Sicherheit genutzt werden, um den Fluss physischer Objekte in und aus den verschiedenen Sicherheitszonen zu überwachen und zu kontrollieren. Dieses Modul befasst sich auch mit den operativen Auswirkungen der Sicherheitsplanung und -vorbereitung auf Menschen und Eigentum sowie auf die Verfügbarkeit und Integrität von Systemen und Informationen. Modul drei vermittelt eine andere Einstellung und Mentalität, wenn es darum geht, die Menschen im Unternehmen zu befähigen, effektiver zur Informationssicherheit beizutragen und diese zu fördern. Sicherheitstrainingsprogramme haben es nicht geschafft, den Mitarbeitern zu helfen, ihre Arbeit sicher und zuverlässig auszuführen. Neue Konzepte wie die Mikroverkettung zeigen, dass Sicherheitsschulung und -bewusstsein einen Mehrwert für den Sicherheitsprozess darstellen können. Modul vier zeigt uns, dass die Bewertung der Systemsicherheit eine ständige Aufgabe sein sollte. Sicherheit war schon immer mit ständiger Wachsamkeit und Integrität verbunden. Formelle und informelle Audits zeigen, wie effektiv die Sicherheitskontrollen einer Organisation sind. Durch den Reifungsprozess dieser Kontrollen wird ihre Leistung immer weiter verbessert. In Modul fünf werden viele dieser Ideen und Konzepte im Rahmen der Planung von Business Continuity und Disaster Recovery zusammengeführt. Der Schwerpunkt liegt dabei auf der operativen Unterstützung dieser Aufgaben, sowohl in der Planungs- als auch in der Ausführungsphase. Wir haben die Grundlagen vorbereitet, damit Sie die bisher behandelten Konzepte in einen zusammenhängenden, täglichen operativen Kontext bringen können.
Ausgereiftes Risikomanagement
Dieser Kurs ist Teil von (ISC)² Zertifizierter Praktiker für Systemsicherheit (SSCP)
Unterrichtet auf Englisch
Einige Inhalte können nicht übersetzt werden
Dozent: (ISC)² Education & Training
3.850 bereits angemeldet
Kurs
(51 Bewertungen)
Empfohlene Erfahrung
Kompetenzen, die Sie erwerben
- Kategorie: Risikomanagement
Wichtige Details
Zu Ihrem LinkedIn-Profil hinzufügen
12 Quizzes
Kurs
(51 Bewertungen)
Empfohlene Erfahrung
Erfahren Sie, wie Mitarbeiter führender Unternehmen gefragte Kompetenzen erwerben.
Erweitern Sie Ihre Fachkenntnisse
- Lernen Sie neue Konzepte von Branchenexperten
- Gewinnen Sie ein Grundverständnis bestimmter Themen oder Tools
- Erwerben Sie berufsrelevante Kompetenzen durch praktische Projekte
- Erwerben Sie ein Berufszertifikat zur Vorlage
Erwerben Sie ein Karrierezertifikat.
Fügen Sie diese Qualifikation zur Ihrem LinkedIn-Profil oder Ihrem Lebenslauf hinzu.
Teilen Sie es in den sozialen Medien und in Ihrer Leistungsbeurteilung.
In diesem Kurs gibt es 6 Module
Eine wichtige Aufgabe der IT-Abteilung ist es, Informationssysteme zu pflegen und diese Systeme bei Bedarf zu aktualisieren, zu verbessern und zu überarbeiten. Informationssysteme unterliegen vielen Änderungen und Modifikationen aufgrund von System-Patches, neuen Technologien oder Funktionen, Korrektur von Prozessfehlern oder Systemausfällen. Die IT-Abteilung muss in der Lage sein, Änderungen zu verwalten, um den Geschäftsbetrieb zu unterstützen und die Sicherheit der Systeme zu gewährleisten.das Problem ist, dass Veränderungen ein erhebliches Risiko für das Unternehmen darstellen. Aufgrund von Änderungen können Systeme ausfallen, Funktionen verloren gehen, Sicherheitslücken entstehen und die Datenintegrität gefährdet sein. Dies erfordert die Entwicklung und Implementierung eines Change Management-Prozesses, der die Dokumentation, das Testen und die Genehmigung aller Änderungen beinhaltet - und der dadurch Geschäftsunterbrechungen vermeidet.
Das ist alles enthalten
5 Videos4 Lektüren1 Quiz
Für die physische und ökologische Sicherheit sind oft andere Abteilungen als die IT zuständig, z. B. die Abteilung für physische Sicherheit oder die Facility Management-Gruppe. Diese Abteilungen spielen eine wichtige Rolle bei der Bereitstellung stabiler und zuverlässiger Informationen für andere Bereiche des Unternehmens, einschließlich der IT. Der Sicherheitsexperte muss möglicherweise mit diesen anderen Abteilungen zusammenarbeiten, um sicherzustellen, dass die Informationssysteme mit Strom, Brandschutz, physischer Zugangssicherheit, Überwachung und Schutz vor Bedrohungen wie Diebstahl, Vandalismus und Naturkatastrophen versorgt werden.man kann sogar sagen, dass die physische Sicherheit eine höhere Priorität haben sollte als die meisten anderen Formen der Sicherheit wie Passwörter, Firewalls und Verfahren. Wenn sich ein Angreifer physischen Zugang zu einem Serverraum verschaffen kann, dann kann er alle anderen Formen der Kontrolle umgehen und die Sicherheitsvorkehrungen umgehen. Ein Angreifer in einem Serverraum oder Kabelschrank kann unter anderem ein drahtloses Gerät oder einen Sniffer installieren, Kabel durchtrennen oder umverlegen oder Geräte deaktivieren.
Das ist alles enthalten
7 Videos8 Lektüren2 Quizzes
Die Erfahrung zeigt, dass es relativ einfach ist, ein Programm zur Aufklärung, Sensibilisierung und Schulung in Sachen Sicherheit für fast jedes Unternehmen einzurichten und aufrechtzuerhalten. Die Schwierigkeit bei einem solchen Programm besteht darin, die Wirksamkeit des Programms messbar zu machen.zwei große Konflikte treten auf, wenn das Sicherheitsteam versucht, mit den Endbenutzern in Kontakt zu treten. Der erste liegt in der Auffassung begründet, dass Sicherheitsmaßnahmen den Endbenutzer Zeit und Mühe kosten, um sie einzuhalten. Die Arbeit könnte viel schneller und einfacher erledigt werden, wenn nicht ständig zusätzliche Sicherheitshürden überwunden werden müssten. Die zweite Ansicht spiegelt die Auffassung der Benutzer wider, dass die meisten Sicherheitsschulungen eine weitere Zeitverschwendung sind. Beide Auffassungen stehen der effektiven Einführung von Sicherheitskontrollen durch die Endbenutzer entgegen und halten sie davon ab, die Verantwortung für ihr eigenes Lernen zu übernehmen und so den größtmöglichen Nutzen aus den ihnen angebotenen Schulungen zu ziehen.wie bei der Zugangskontrolle und dem Identitätsmanagement ist es vielleicht auch bei der Sicherheit mehr als höchste Zeit für eine gesunde Portion Just-in-time-Lernen. Berater und spezialisierte Unternehmen für Sicherheitsschulungen haben ihre Ansätze zur Unterstützung von Anwendern beim Erlernen dessen, was sie brauchen und wann sie es brauchen, erheblich verändert.microtraining zum Beispiel unterteilt die Trainingserfahrung in Schritte, die weniger als eine Minute dauern können. In dieser Minute bindet das Mikrotraining den Lernenden/Benutzer ein, lässt ihn Handlungen ausführen, die mit seiner normalen Arbeit zu tun haben, ist aber als Teil des Lehr- und Lernprozesses strukturiert.auch die Messung der Effektivität eines Trainingsprogramms leidet unter mangelnder Innovation und Reife. Das kann sich ändern. Tools zur Modellierung und Analyse des Benutzerverhaltens können Daten sammeln, die aufzeigen, wann einzelne Benutzer oder Benutzergruppen spezifische Auffrischungsschulungen benötigen.lassen Sie uns sehen, wie Ideen wie diese in die Praxis umgesetzt werden können und wie wir ihre Wirksamkeit bewerten können
Das ist alles enthalten
3 Videos1 Lektüre3 Quizzes
Bei der Sicherheitsbewertung wird festgestellt, ob die zur Risikominderung implementierten Kontrollen wie vorgesehen umgesetzt wurden, wie erwartet funktionieren und das gewünschte Ergebnis erzielen.diese Gewissheit kann das Ergebnis von externen Organisationen sein, die das Kontrollumfeld bewerten, oder von Maßnahmen, die die Organisation selbst ergreift, um die Leistung der Kontrollen zu bewerten.die Sicherheitsbewertung wird durch Inspektionen, Audits und Tests durchgeführt.darüber hinaus können auch die Ergebnisse von Untersuchungen von Anomalien und Sicherheitsvorfällen wertvolle Einblicke in einen Sicherheitsbewertungsprozess liefern.die Beurteilungs- und Testprozesse müssen konsequent durchgeführt und die Ergebnisse angemessen kommuniziert werden, damit die Unternehmensleitung die Risiken versteht, denen sie ausgesetzt ist.sicherheits- oder Kontroll-Audits sind formale Bewertungen, die normalerweise durchgeführt werden, um externen Gutachtern zu versichern, dass die Kontrollen einer Organisation die Erwartungen an die Compliance erfüllen.letztlich ermöglichen die Ergebnisse von Audits, Bewertungen und Tests dem Unternehmen, Kontrolllücken und Ineffizienzen zu erkennen.diese Informationen bilden den Ausgangspunkt für kontinuierliche Prozessverbesserungsmaßnahmen.der Sicherheitsexperte sollte mit den Strategien, Techniken und Prozessen vertraut sein, mit denen die Erwartungen der Organisation an die Kontrolle festgelegt, bewertet und verbessert werden.er sollte in der Lage sein, den grundlegenden Ablauf von Prüfungs- und Bewertungsaktivitäten zu erklären und die Tools und Artefakte zu beschreiben, die eine datengestützte Entscheidungsfindung unterstützen.zusammengenommen sollten diese Informationen den Sicherheitsfachmann in die Lage versetzen, ein für das Unternehmen geeignetes Bewertungsprogramm zu entwickeln.es ist verlockend zu glauben, dass ein Großteil der Belastung durch Sicherheitsbewertungen und -tests in der Entwicklungsphase des Lebenszyklus eines großen Softwaresystems stattfindet. Zwei Faktoren zeigen uns jedoch, dass dies eine unkluge und unsichere Annahme für Sicherheitsexperten oder Systembesitzer wäre.der erste ist, dass viele Systeme an die Benutzer übergeben werden, ohne dass die Funktionstests abgeschlossen sind. Die Erfahrung zeigt, dass viele Systementwicklungsprojekte hinter dem Zeitplan zurückbleiben, und da es die letzten Aufgaben auf der Zeitachse sind, die den Druck spüren, an allen Ecken und Enden zu sparen, werden die Tests oft übereilt, abgekürzt oder übersprungen.zweitens werden viele kommerzielle Systeme mit einem weniger robusten Blick auf die Notwendigkeit von Sicherheit, Schutz, Belastbarkeit und Datenschutz entwickelt, als zur Abwehr der heutigen hochentwickelten Bedrohungen erforderlich ist.beide Faktoren führen dazu, dass viele Unternehmen heute bei Sicherheitsbewertungen, Audits und Compliance-Prüfungen durchfallen oder keine neuen Geschäftsmöglichkeiten erhalten, weil sie ihre Geschäftsprozesse auf einer unsicheren Software- und Systembasis aufbauen.das bedeutet auch, dass Sicherheitsexperten häufig mit installierten, in Betrieb befindlichen Systemen konfrontiert werden, die einer gründlichen Sicherheitsbewertung, einschließlich Tests, bedürfen, um den sich entwickelnden Geschäftsanforderungen und der sich verändernden Bedrohungslandschaft gerecht zu werden. Dies beginnt (wie auch dieses Modul) damit, dass Sie zunächst die Ziele einer Sicherheitsbewertung verstehen, die zur Entwicklung der Strategie führen, die die Durchführung der Bewertung leitet.daraus ergibt sich der Rahmen für Schwachstellenbewertungen und die Testtechniken, mit denen sie durchgeführt werden.dazu gehört auch ein tieferer Einblick in die Sicherheitstests für drahtlose Netzwerke.ethische Penetrationstests können und sollten ein regelmäßiger Bestandteil der Sicherheitsbewertung und des Betriebsplans fast jedes Unternehmens sein. Wir werfen einen genaueren Blick darauf, was dies einzigartig und wertvoll macht und wie die ethischen Penetrationstester mit der Unternehmensleitung und den technischen und Sicherheitsteams zusammenarbeiten, um die Integrität der Tests bei minimaler Beeinträchtigung des Tagesgeschäfts des Unternehmens zu wahren. Audits, sowohl formelle als auch informelle, bieten eine strukturierte Möglichkeit, alle Kontrollsysteme des Unternehmens zu überprüfen. Viele dieser Systeme sind als interne Kontrollen für die Finanzberichterstattung (ICOFR oder ICFR) bekannt. In Zeiten, in denen Lösegeldangriffe ein großes Geschäft sind, müssen Sicherheitsexperten viel besser wissen, wie der Informationsfluss über den Geldfluss geschützt werden muss
Das ist alles enthalten
14 Videos5 Lektüren3 Quizzes
Der Triage-Prozess für Vorfälle (beschrieben in Modul 1) kann ergeben, dass ein bestimmtes Ereignis oder eine Reihe von Ereignissen mehr als nur die Reaktion auf einen Vorfall erfordert, um sich selbst zu bewältigen. In der Regel werden zwei spezifische Arten von Plänen verwendet, um diese Reaktionen zu definieren, die Organisation vorzubereiten und ihre Teams bei der Bewältigung solcher Ereignisse anzuleiten.es ist ein leicht zu begehender Fehler zu glauben, dass Notfallpläne (Disaster Recovery Plans, DRPs) breit angelegt und allumfassend sind, um sich von Erdbeben, Wirbelstürmen, Bränden oder großen Cyberangriffen zu erholen; in Wirklichkeit ist der Anwendungsbereich von DRPs viel enger gefasst.dRPs und ihre Aktivitäten befassen sich mit der Wiederherstellung von Informations- und Kommunikationssystemen und -technologien, die dringende geschäftliche oder organisatorische Anforderungen unterstützen.(Es wäre nicht verwunderlich, wenn Unternehmen, die sich auf IoT-, SCADA- oder Prozesssteuerungssysteme verlassen, ihre klassischen DRPs umgestalten würden, um auch ihre kritischen OT-Systeme und -Funktionen zu berücksichtigen)der Plan zur Aufrechterhaltung des Geschäftsbetriebs (Business Continuity Plan, BCP) berücksichtigt das viel breitere Spektrum an Aktivitäten, die erforderlich sind, um ein Unternehmen am Leben und in Betrieb zu halten, während es sich sowohl von den unmittelbaren Auswirkungen eines Störfalls als auch von der Wiederherstellung nicht kritischer Dienste und Aktivitäten erholt, um weiterarbeiten zu können. Sehen wir uns an, wie der Sicherheitsexperte diese Pläne sowohl bei ihrer Entwicklung als auch bei ihrer operativen Aktivierung und Nutzung unterstützen kann.
Das ist alles enthalten
14 Videos2 Lektüren2 Quizzes
Kapitel 8 fasst viele verschiedene Aspekte der Sicherheit von Informationssystemen zusammen und verbindet sie mit einigen wichtigen Ideen.erstens müssen Systeme verwaltet werden, wenn sie geschützt und sicher gehalten werden sollen.eine Form der Verwaltung ist das Konfigurationsmanagement, bei dem wir sicherstellen, dass Änderungen nur dann vorgenommen werden, wenn sie autorisiert sind; wenn es effektiv ist, können CM-Systeme Teil des Arsenals der Fähigkeiten zur Erkennung von Eindringlingen werden.physische Sicherheitsmaßnahmen wurden in den Kontext des Schutzes und der Aufrechterhaltung der Organisation, ihrer Systeme und ihrer Mitarbeiter gestellt.in vielen Organisationen sind diese Kontrollsysteme für die physische Sicherheit datengesteuert und daher eng mit den allgemeinen IAAA- und Incident Detection-Funktionen integriert.sUNBURST und andere jüngste Angriffe auf SCADA-, ICS- und andere OT-Systeme (Operational Technology) haben deutlich gemacht, dass viele Organisationen und Sicherheitsexperten ihren Horizont erweitern müssen, um Dinge jenseits der TCP/IP-Netzwerke, Datenbanken und Webseitenansichten der Organisation und der Bedrohungslandschaft zu erfassen.wir haben auch gesehen, dass ein effektives Systemmanagement Messungen, Beobachtungen, Tests und Analysen erfordert, um zu wissen, wie es wirklich um die Sicherheit bestellt ist, und um Überlegungen anzustellen, wo, wann und wie diese Sicherheit verbessert werden kann. Inspektionen, Bewertungen, Audits und ethische Penetrationstests wurden alle in diesem Zusammenhang betrachtet.zwei weitere wichtige Themenbereiche - Geschäftskontinuität und Sicherheitserziehung, -schulung und -bewusstsein - kommen auf überraschende Weise zusammen. Viele von uns, die in den Streitkräften, der Polizei oder den Rettungsdiensten unserer Nation gedient haben, wissen, dass Menschen in hochgradig störenden Situationen oft auf ihr Training zurückgreifen müssen, um ruhig zu bleiben, nicht in Panik zu geraten und die Situation Schritt für Schritt zu bewältigen.das Mikrotraining ist ein hervorragendes Beispiel dafür. Indem eine Phishing- oder Malware-Attacke vorgetäuscht wird, wenn ein Endbenutzer sie am wenigsten erwartet, gibt das Mikrotraining den Benutzern die Möglichkeit, entweder gedankenlos in die Gewohnheit zurückzufallen oder innezuhalten, zu beobachten, sich auf ein potenzielles Sicherheitsproblem einzustellen und dann Entscheidungen zu treffen. Sensibilisierungs-, Schulungs- und Aufklärungsmaßnahmen können den Mitarbeitern die Fähigkeiten und die Einstellung vermitteln, die sie benötigen, um mit Störungen umzugehen, unabhängig von ihrem Ausmaß und unabhängig davon, ob es sich um simulierte oder reale Störungen handelt.wie auch bei anderen Aspekten der Sicherheit von Informationssystemen erfordern die Kontinuität des Betriebs und die Wiederherstellung im Katastrophenfall eine umfassende Vorbereitung, und eine der wichtigsten Aufgaben dabei ist die Vorbereitung der Mitarbeiter auf die Anpassung und Bewältigung als Team.
Das ist alles enthalten
1 Lektüre1 Quiz1 peer review
Dozent
von
Empfohlen, wenn Sie sich für Sicherheit interessieren
New York Institute of Finance
Corporate Finance Institute
University of California, Irvine
New York Institute of Finance
Warum entscheiden sich Menschen für Coursera für ihre Karriere?
Bewertungen von Lernenden
Zeigt 3 von 51
51 Bewertungen
- 5 stars
88,46 %
- 4 stars
11,53 %
- 3 stars
0 %
- 2 stars
0 %
- 1 star
0 %
Geprüft am 31. Mai 2023
Neue Karrieremöglichkeiten mit Coursera Plus
Unbegrenzter Zugang zu über 7.000 erstklassigen Kursen, praktischen Projekten und Zertifikatsprogrammen, die Sie auf den Beruf vorbereiten – alles in Ihrem Abonnement enthalten
Bringen Sie Ihre Karriere mit einem Online-Abschluss voran.
Erwerben Sie einen Abschluss von erstklassigen Universitäten – 100 % online
Schließen Sie sich mehr als 3.400 Unternehmen in aller Welt an, die sich für Coursera for Business entschieden haben.
Schulen Sie Ihre Mitarbeiter*innen, um sich in der digitalen Wirtschaft zu behaupten.
Häufig gestellte Fragen
Der Zugang zu Vorlesungen und Aufgaben hängt von der Art Ihrer Einschreibung ab. Wenn Sie einen Kurs im Prüfungsmodus belegen, können Sie die meisten Kursmaterialien kostenlos einsehen. Um auf benotete Aufgaben zuzugreifen und ein Zertifikat zu erwerben, müssen Sie die Zertifikatserfahrung während oder nach Ihrer Prüfung erwerben. Wenn Sie die Prüfungsoption nicht sehen:
Der Kurs bietet möglicherweise keine Prüfungsoption. Sie können stattdessen eine kostenlose Testversion ausprobieren oder finanzielle Unterstützung beantragen.
Der Kurs bietet möglicherweise stattdessen die Option 'Vollständiger Kurs, kein Zertifikat'. Mit dieser Option können Sie alle Kursmaterialien einsehen, die erforderlichen Bewertungen abgeben und eine Abschlussnote erhalten. Dies bedeutet auch, dass Sie kein Zertifikat erwerben können.
Wenn Sie sich für den Kurs einschreiben, erhalten Sie Zugang zu allen Kursen des Zertifikats und Sie erhalten ein Zertifikat, wenn Sie die Arbeit abgeschlossen haben. Ihr elektronisches Zertifikat wird Ihrer Erfolgsseite hinzugefügt - von dort aus können Sie Ihr Zertifikat ausdrucken oder zu Ihrem LinkedIn-Profil hinzufügen. Wenn Sie die Kursinhalte nur lesen und ansehen möchten, können Sie den Kurs kostenlos besuchen.
Wenn Sie ein Abonnement abgeschlossen haben, erhalten Sie eine kostenlose 7-tägige Testphase, in der Sie kostenlos kündigen können. Danach gewähren wir keine Rückerstattung, aber Sie können Ihr Abonnement jederzeit kündigen. Siehe unsere vollständigen Rückerstattungsbedingungen.