Breadcrumbs

Risikomethodik

Dieser Abschnitt ermöglicht es, verschiedene Methoden festzulegen, mit denen die Risikoanalyse der Organisation durchgeführt werden kann.

Erstellung Risikomethodik

image-20241118-124533.png


Die Option Methodik ermöglicht es dem Benutzer, die Berechnungen der Risikoanalyse zu parametrisieren. Das Tool ermöglicht die folgenden anfänglichen Aktionen:

  • Hinzufügen: Ermöglicht die Auswahl einer der erstellten Methoden. Dazu wird die Methode im Dropdown-Menü ausgewählt und auf die Schaltfläche 'Hinzufügen' geklickt.

  • Neu: Ermöglicht das Einfügen eines neuen Eintrags in die Tabelle.

  • Löschen: Bietet die Möglichkeit, eine Methode aus der Liste zu entfernen. Dazu muss die gewünschte Zeile ausgewählt und auf die Schaltfläche 'Löschen' geklickt werden.


Konfiguration der Dimensionen der Methodik

Beim Klicken auf eine der Methoden werden die folgenden Parametrierungsoptionen bereitgestellt.

image-20241212-134801.png

  • Name: Identifiziert den Namen der Methodik. Dieser Name wird in der Liste der Methodiken angezeigt.

  • Akzeptabler Prozentsatz Bedrohungen: Ermöglicht es dem Benutzer, den Prozentsatz der Bedrohungen zu definieren, die im Abschnitt 'Analyse/Bewertung von Risiken' angezeigt werden sollen.

  • Konfigurierbare Felder: Bietet die Möglichkeit, die Textspalten zu definieren, die in der Option 'Risikoanalyse' angezeigt werden sollen. Die Tabelle zeigt die folgenden Informationen:

    • Name Identifiziert den Namen des Elements. Um den Text zu ändern, muss zweimal auf die Zelle geklickt werden.

    • Hauptfeld Ermöglicht die Definition des Feldes, das in den verschiedenen Optionen der Risikoanalyse angezeigt wird, wie Risikobewertung, Risikomanagement usw.

    • Katalogäquivalenz Ermöglicht die Definition der Äquivalenz des ausgewählten Feldes. Es gibt die folgenden Optionen:

    • Bedrohungskatalog: Bei Auswahl dieser Option wird im Feld die im Feld Bedrohung der Option 'Einstellungen/Kataloge Analyse' definierte Information angezeigt.

    • Schwachstellenkatalog: Bei Auswahl dieser Option wird im Feld die im Feld Schwachstelle der Option 'Einstellungen/Kataloge Analyse' definierte Information angezeigt.

    • Leeres Feld: Wenn das Feld leer gelassen wird, wird es als freies Textfeld interpretiert.

Dimensionen

Ermöglicht die Konfiguration der zu bewertenden Dimensionen in der Risikoanalyse. Es können Dimensionen erstellt und gelöscht sowie die Reihenfolge des Erscheinens in der entsprechenden Tabelle mit den Schaltflächen 'Dimension nach oben' und 'Dimension nach unten' konfiguriert werden.

Um die Modellierung zu erleichtern, kann mit der Schaltfläche "Kopieren" eine Dimension der Risikomethodik mit allen Informationen kopiert werden. (Ebenen, Formeln, Sichtbarkeit, Gruppen).

Dimensiones Riesgos.png


Die Informationen, die uns die Tabelle bietet, sind wie folgt:

  • Alias: Automatisch generierter Identifikator des Tools

  • Name: Zeigt den Namen der Dimension an. Durch Doppelklicken auf die Zelle kann der Name geändert werden.

  • Reihenfolge: Identifiziert die Reihenfolge, in der die Dimension in der Risikoanalyse erscheint.

  • Farbe anzeigen: Ermöglicht die Definition, ob die Dimension in einer Farbe hervorgehoben werden soll.

  • Minimalwert: Identifiziert die Mindestzahl, auf deren Basis die Formel der ausgewählten Dimension berechnet wird.

  • Typ: Identifiziert, ob die Dimension vom Typ Text ist oder nicht.

  • Gruppe: Zeigt die Gruppen an, zu denen jede Dimension gehört.

image-20241212-135907.png

In der Tabelle können verschiedene Aktionen durchgeführt werden, darunter:

  • Gruppen zuordnen: Beim Klicken auf die Schaltfläche Gruppen zuordnen öffnet sich ein Popup-Fenster wie das oben gezeigte, das es uns ermöglicht, auszuwählen, zu welcher Gruppe oder welchen Gruppen von Dimensionen diese Dimension gehört.

  • Kopieren: Ermöglicht das Kopieren der ausgewählten Dimension mit allen Informationen.

Dimensionstyp

Bietet die Möglichkeit, die Berechnungsmethode der Dimensionen festzulegen, wobei zwischen den folgenden Optionen gewählt werden kann:

image-20241212-140329.png

  • Quantitativ: Ermöglicht die Definition, dass die Berechnung der ausgewählten Dimension quantitativ ist, wobei ein numerischer Wert in der Dimension festgelegt werden kann.

  • Qualitativ: Ermöglicht die Definition, dass die Berechnung der ausgewählten Dimension qualitativ ist, wobei ein bestimmter Wertebereich festgelegt werden kann (z. B.: Hoch, Mittel, Niedrig).

  • Text: Ermöglicht die Definition, dass die Dimension vom Typ Text ist.

Wert: Ermöglicht die Definition, wie die Berechnung (manuell oder automatisch) der ausgewählten Dimension in der oberen Tabelle durchgeführt werden soll.

Berechnungstyp

Wenn in der vorherigen Option eine automatische Berechnung ausgewählt wurde, bietet das Tool die folgenden Optionen:

  • Kartesisches Produkt: Ermöglicht die Berechnung der ausgewählten Dimension basierend auf einer Matrix aus zwei Dimensionen, die in der Option 'Dimensionen' definiert sind. Dazu muss eine Dimension auf der 'X-Achse' und eine andere Dimension auf der 'Y-Achse' ausgewählt und Werte basierend auf den festgelegten Ebenen zugewiesen werden.

image-20241212-135218.png

HINWEIS: Das kartesische Produkt kann nicht basierend auf Dimensionen generiert werden, deren Berechnung quantitativ ist.

  • Formel: Die Option ermöglicht die Definition, wie die Berechnung der ausgewählten Dimension basierend auf einer mathematischen Formel erfolgt. Dazu zeigt das Tool die folgende Option an

image-20241212-135510.png


Falls eine 'Kontrollmethodik' zugeordnet ist, ermöglicht die Berechnungsformel die Einbeziehung der Dimensionen, die in dieser Kontrollmethodik definiert wurden.

image-20241212-135700.png

Falls eine Formel unter Berücksichtigung der implementierten Kontrollen festgelegt werden soll, ist es notwendig, einen Quantifizierer für diese Dimensionen festzulegen, wobei zwischen den folgenden Optionen gewählt werden kann:

  • ZÄHLER: Führt eine Berechnung durch, um den Wert der Anzahl der Kontrollen zu erhalten, die jeder Bedrohung zugeordnet sind. Beispiel: Wenn ich 3 Kontrollen habe, die einer Bedrohung zugeordnet sind, ergibt diese Berechnung den Wert 3.

  • MAXIMUM: Führt eine Berechnung durch, um den maximalen Wert der ausgewählten Dimension aller auf jede Bedrohung angewendeten Kontrollen zu erhalten. Beispiel: Wenn ich 3 Kontrollen mit den Werten 1, 2 und 3 habe, ergibt diese Berechnung den Wert 3.

  • MINIMUM: Führt eine Berechnung durch, um den minimalen Wert der ausgewählten Dimension aller auf jede Bedrohung angewendeten Kontrollen zu erhalten. Beispiel: Wenn ich 3 Kontrollen mit den Werten 1, 2 und 3 habe, ergibt diese Berechnung den Wert 1.

  • SUMME: Führt eine Berechnung durch, um den Wert der Summe der ausgewählten Dimension aller auf jede Bedrohung angewendeten Kontrollen zu erhalten. Beispiel: Wenn ich 3 Kontrollen mit den Werten 1, 2 und 3 habe, ergibt diese Berechnung den Wert 6.

  • Bedingte Formel: Die Option ermöglicht die Festlegung einer bedingten Berechnung zwischen verschiedenen Dimensionen, die in der Methodik festgelegt sind.

Um diesen Abschnitt zu konfigurieren, muss auf die Schaltfläche 'Konfigurieren' geklickt werden, um auf den folgenden Bildschirm zuzugreifen:

image-20241212-142006.png


Die Konfiguration der bedingten Formel basiert auf den Operatoren, wobei die Operatoren 1 und 2 zur Festlegung der Bedingung dienen und im Dropdown-Menü festgelegt werden müssen. Die vom Tool bereitgestellten Optionen sind:

  • ==: Gleich

  • !=: Ungleich

  • <: Kleiner als

  • >: Größer als

  • <=: Kleiner oder gleich

  • >=: Größer oder gleich

Sobald die Bedingungsformel festgelegt ist, müssen die gewünschten Ergebnisse definiert werden. Wenn die Bedingung erfüllt ist, entsprechen die angezeigten Ergebnisse dem Operator 3, andernfalls dem Operator 4.


Der Benutzer kann zwischen den verschiedenen Dimensionen und Berechnungsoptionen wählen, um die Formel zu erstellen, auf deren Grundlage das Ergebnis der ausgewählten Dimension erhalten wird.

Hinweis

Es ist notwendig, die Formel zu validieren, bevor sie gespeichert wird, indem auf die Schaltfläche 'Formel validieren' geklickt wird.

  • Ergebnis: Ermöglicht die Definition der Werte der im oberen Punkt ausgewählten Berechnungsoption (Kartesisches Produkt oder Formel).

Dimensionsebenen

Ermöglicht die Definition der Bewertungsebenen der ausgewählten Dimension. Wie bei den anderen Optionen können Ebenen erstellt und gelöscht sowie die gewünschte Farbe parametrisiert werden, um die Ebenen bei der Bewertung hervorzuheben, indem die zu ändernde Ebene ausgewählt und die Schaltfläche 'Farbe ändern' geklickt wird.

image-20241212-140552.png

Hinweis

Wenn die Ebenen für eine qualitative Dimension definiert sind, ermöglicht das Tool die Definition des Berechnungsbereichs der ausgewählten Ebene und des Wertes, auf dessen Grundlage sie berechnet wird. Wenn die Ebenen für eine quantitative Dimension definiert sind, ermöglicht es die Definition der Farbe, in der die numerischen Werte im Asset-Inventar hervorgehoben werden.

  • Risikodimension wählen: Ermöglicht die Definition der Dimension, die wir als endgültige Risikodimension markieren möchten. Diese Dimension wird standardmäßig in den verschiedenen Ansichten und Zusammenfassungen der Risikoanalyse sowie in der Risikokarte angezeigt.

  • Kostendimension wählen: Ermöglicht die Definition der Dimension, auf deren Grundlage wir die Kosten ermitteln möchten. Basierend darauf und der Konfiguration der Kostentypen können die Kosten der Risiken ermittelt werden.

  • Berechnung des GRKE-Durchschnitts : In diesem Feld kann konfiguriert werden, wie der Global Repercuted Risk per Element (GRKE) berechnet wird, falls Durchschnitt als Kriterium definiert ist, im Abschnitt Risikoübersicht . Es kann basierend auf allen Elementen oder nur auf den bewerteten Elementen berechnet werden.

  • Ebene pro Element: Bietet die Möglichkeit, das akzeptable Risikoniveau (ARL) global festzulegen, d. h. für alle Risiken gleich, oder pro Element, wodurch es möglich ist, für jedes Element/Risiko ein spezifisches akzeptables Risikoniveau festzulegen.


Sichtbarkeitskonfiguration Dimensionen

  • Dimensionsgruppe: Ermöglicht das Erstellen von Dimensionsgruppen, die den Dimensionen zugeordnet werden können.

image-20241212-140954.png

Für jede der konfigurierten Gruppen haben wir in der Risikoanalyse die Möglichkeit, nur die Dimensionen dieser Gruppe anzuzeigen.


Kostenkonfiguration

Die Realisierung einer Bedrohung kann mit bestimmten Kosten für die Organisation verbunden sein. Dafür ermöglicht GlobalSuite die Definition einer Liste von Kosten, die den Bedrohungen der Risikoanalyse zugeordnet werden können.

Die Tabelle 'Kosten' ermöglicht das Erstellen oder Löschen von Kosten mithilfe der Schaltflächen 'Neu' oder 'Löschen'.

Sobald die Kosten definiert sind, muss der wirtschaftliche Betrag angegeben werden, der für die Organisation anfällt. Es können wirtschaftliche Bereiche festgelegt werden, indem Sie zweimal auf die zu ändernde Zelle klicken.

image-20241212-141517.png

Wirksamkeit der Kontrollen

Ermöglicht die Berechnung der Wirksamkeit der Kontrollen im Abschnitt 'Analyse > Risikomanagement > Projektion und Simulation'.

image-20241212-141652.png

Dafür können die folgenden Parameter definiert werden:

  • Art der Wirksamkeitsmessung: Bietet die Möglichkeit, den Prozentsatz der Verbesserung der Risikodimensionen im Abschnitt Projektion und Simulation festzulegen, wobei zwischen den folgenden Optionen gewählt werden kann:

    • Quantitativ: Ermöglicht die Festlegung, dass der Prozentsatz der Verbesserung der Risikodimensionen quantitativ ist, wobei der Prozentsatz der Risikoverbesserung im Abschnitt Projektion und Simulation festgelegt werden kann.

    • Qualitativ: Ermöglicht die Festlegung, dass der Prozentsatz der Verbesserung der Risikodimensionen qualitativ ist, wobei ein bestimmter Wertebereich festgelegt werden kann (z. B.: Hoch, Mittel, Niedrig). Diese Typisierung wird im folgenden Abschnitt 'Wirksamkeitsstufen' festgelegt.

  • Art der Wirksamkeitsmessung der Kontrollen: Bietet die Möglichkeit, den Prozentsatz der Verbesserung der Kontrolldimensionen im Abschnitt Projektion und Simulation festzulegen, wobei zwischen den folgenden Optionen gewählt werden kann:

    • Quantitativ: Ermöglicht die Festlegung, dass die Berechnung der Wirksamkeit der Kontrollen quantitativ ist, wobei der Prozentsatz der Kontrollreduktion im Abschnitt Projektion und Simulation festgelegt werden kann.

    • Qualitativ: Ermöglicht die Festlegung, dass die Berechnung der Wirksamkeit der Kontrollen qualitativ ist, wobei ein bestimmter Wertebereich festgelegt werden kann (z. B.: Hoch, Mittel, Niedrig). Diese Typisierung wird im folgenden Abschnitt 'Wirksamkeitsstufen' festgelegt.

    • Direkt: Mit diesem Modus wird die Berechnung der Wirksamkeit der Kontrollen (Behandlungspläne) direkt im Abschnitt Projektion und Simulation definiert. Mit diesem Typ ist es nicht erforderlich, eine vorherige Wirksamkeitsbewertung zu definieren.

  • Wirksamkeitsstufen: Ermöglicht die Definition der Wirksamkeitsstufen der Kontrollen. Wie bei den anderen Optionen können Stufen durch Klicken auf die Schaltfläche 'Hinzufügen' oder 'Löschen' erstellt und entfernt werden. Jede Stufe kann mit einem Prozentsatz der Verbesserung verbunden sein.

Kontrollmethodik

Bietet die Möglichkeit, die Kontrollmethodik zu definieren, die mit der Methodik der Risikoanalyse verbunden ist.