Beim Risiko-Management versteht man einen systematischen Ansatz, um Risiken zu identifizieren, zu analysieren, zu bewerten, zu behandeln und zu überwachen. Auf diese Weise können Unternehmen Bedrohungen, Schwachstellen und Risiken erkennen. Die Risiken beziehungsweise Restrisiken werden so weit wie möglich kalkuliert, die Höhe der Risikoakzeptanz festgelegt und Prioritäten bei Sicherheitsmaßnahmen gesetzt. Dieses Vorgehen rechtfertigt Investitionen in Sicherheitsmaßnahmen und erhöht letztlich das Sicherheitsbewusstsein im Unternehmen - auch und insbesondere bei der Geschäftsleitung.

Wichtig ist dabei, dass das Risiko-Management in letzter Instanz an den übergeordneten Geschäftszielen ausgerichtet ist und zeitnah auf Veränderungen im geschäftlichen oder technischen Umfeld reagiert. Um dies zu gewährleisten, sollten Risikoanalysten im IT-Bereich von einem dedizierten Sicherheitsverantwortlichen - etwa dem CISO (Chief Information Security Officer) - angestoßen werden, meinen die Analysten der Experton Group.

In fast zwei Dritteln der Firmen gibt allerdings der IT-Verantwortliche beziehungsweise der CIO den Anstoß, wie eine Umfrage der Experton Group zeigt. Mittelständler mit 100 bis 250 Beschäftigten initiieren die Risikoanalysen überdurchschnittlich oft aus dem Vorstand oder der Geschäftsführung heraus (22 Prozent). Unternehmen mit mindestens 500 Mitarbeitern greifen hierfür häufig auf den CISO (15 Prozent) beziehungsweise (Chief) Risk Manager (vier Prozent).