Verhindern klappt nicht, standardisieren durchaus
Risiken im Allgemeinen und im Umgang mit Mobile Computing im Speziellen lassen sich nicht komplett verhindern. Dies ist nicht die Aufgabe eines Risikomanagements. Vielmehr geht es darum, bestehende Risiken mithilfe organisatorischer und technischer Möglichkeiten zu vermeiden oder zu verringern. Dies setzt Standards und eine klare Strategie bei den internen Prozessen und der Wahl der richtigen Methoden der Risikoüberwachung und -bewertung voraus. Ein durchgängiges Risikomanagement braucht von Beginn an einen hohen Reifegrad der Prozesse und eine dementsprechend verlässliche Prozessqualität. Im Umgang mit Mobile Computing als "Risikoquelle" ergeben sich bestimmte Minimalansätze und Rahmenbedingungen zur Risikominimierung. Hierzu zählt auf der Prozessebene unter anderem eine interdisziplinäre Arbeitsweise, ein eindeutig identifizierbarer "Process/Risk Owner" in der Organisation oder eine lückenlose, saubere und schnelle Darstellung der Gesamtprozesse und Risikofaktoren im Unternehmen. Hinzu kommen technische Aspekte wie Überlegungen zu standardisierten Mobillösungen sowie kürzere Produktzyklen mit permanent neuen Geräten und den dazugehörigen Sicherungssystemen. Als Ultima Ratio steht ein generelles Verbot privater Mobilgeräte im unternehmensweiten Arbeitsumfeld.
Mittleres Management in der Schlüsselrolle
Wichtig sind bei sämtlichen Überlegungen Programme für eine bessere Prozessqualität in der Gesamtorganisation, um alle Mitarbeiter früh in den Findungs- und Etablierungsweg einzubinden. Eine Schlüsselrolle nimmt dabei die Gruppe des mittleren Managements ein. Sie ist auf der einen Seite nicht in der Position, strategische Ziele des Unternehmens zu gestalten. Auf der anderen Seite ist diese Managementgruppe für den Erfolg des Projektes mitverantwortlich, da sie maßgeblich die Prozessqualität beeinflusst.
Bei aller Theorie bleiben Best-Practice-Ansätze und der regelmäßige Test vorhandener Instrumente zur Risikofrüherkennung ein wesentlicher Kern zukunftsweisender Risk-Strukturen und -Prozesse. Als wirksames Mittel im Kampf für ein besseres Risikomanagement erweisen sich Szenarioanalysen und Stresstests. Anhand dieser lassen sich potenzielle Entwicklungen erarbeiten und transparent darstellen.
- Security-Checkliste: Smartphone im Business
Der Smartphone-Einsatz in Unternehmen birgt hohe Sicherheitsrisiken. Lesen Sie hier, was Sie beachten sollten. - Punkt 1:
Sicherheit zum zentralen Kriterium bei der Produktauswahl machen - Punkt 2:
Richtlinien für Installation, Anbindung, Betrieb und Entsorgung von Endgeräten entwickeln. - Punkt 3:
Sichere Konfiguration der Endgeräte berücksichtigen. - Punkt 4:
Sichere Integration in Unternehmens-IT umsetzen. - Punkt 5:
Endgeräte in relevante Prozesse wie zum Beispiel das Patch-Management einbinden - Punkt 6:
Benutzerrichtlinien für den Umgang mit Endgeräten definieren.
Foto: Ilona Baha - Fotolia.com
In einer Art Simulation können Risikoszenarien durch den Einsatz von Mobile Computing durchgespielt werden, um sie auf die Gesamtorganisation und das mögliche Gefährdungspotenzial zu übertragen. Die Frage "Was wäre wenn?", die im Rahmen dieser Analysen gestellt wird, gibt gleichzeitig wichtige Aufschlüsse zu existierenden Defiziten und dem dringendsten Handlungsbedarf. Mögliche Szenarien reichen von einfachen und im Vergleich harmlosen Vorkommnissen und Kettenreaktionen. Ein einfaches Beispiel sind Mobiltelefone, die durch einen Virenbefall unbrauchbar werden und Mitarbeiter, die deshalb nicht mehr auf Firmendaten zugreifen können. Es gibt aber auch bedrohliche Situationen, in denen die Existenz des Unternehmens auf dem Spiel steht. Dies könnte unter anderem der Fall sein, wenn ein Laptop mit wichtigen Firmendaten gestohlen wird. Existieren für diesen Fall Meldepflichten und -fristen für den Mitarbeiter und werden diese eingehalten? Erfüllen die verwendeten Verschlüsselungsmechanismen ihren Zweck? Funktioniert die Fernlöschung von Daten auf dem Gerät?