ROSI – Return on security investment

rosi

Rendite von IT-Sicherheitsinvestitionen - 15 Dinge, die zu berücksichtigen sind

Manager fordern häufig eine ROSI-Berechnung (Return on Security Investment). Obwohl dies eine übliche Geschäftspraxis für bedeutende Investitionen ist, ist diese Praxis nicht frei von Kontroversen, wenn sie auf die Informationssicherheit angewandt wird.

Mehrere Richtlinien und Formeln sind leicht verfügbar, z.B. die Veröffentlichung der Europäischen Agentur für Netz- und Informationssicherheit (ENISA).1, 2 Wie bei den meisten Methoden müssen siemit der gebührenden Sorgfalt angewendet werden.

Ein Informationssicherheitspraktiker, der eine ROSI-Berechnung erstellt, muss sie so vorbereiten, dass sie zu den angeforderten Ressourcen führt und die Glaubwürdigkeit des Praktikers bewahrt.

Ausgaben im Bereich der Informationssicherheit bringen selten, wenn überhaupt, Einnahmen. Sie können in vielerlei Hinsicht geschäftlichen Mehrwert schaffen, z.B. durch die Verringerung des potenziellen Auftretens eines Sicherheitsvorfalls, die schnellere Lösung von Sicherheitsvorfällen, die Unterstützung des Rufs der Organisation und andere im Wesentlichen immaterielle Bereiche.

Während eine Marketing-Abteilung bei der Rechtfertigung von Ausgaben vor ähnlichen Herausforderungen steht, kann sie unweigerlich auf Einnahmen- und/oder Marktanteilssteigerungen hinweisen, die, wie alle Prognosen, eintreten können oder auch nicht.

Das Konzept der Berechnung bezieht sich auf den Wert, die Bedeutung oder den Nutzen von etwas für jemanden. Leider erscheinen die Daten und Informationen in Bilanzen nicht als wertvolle Vermögenswerte.

Teil I: Vorbereitung

Die Vorbereitung ist entscheidend. Diejenigen, die eine ROSI vorbereiten, würden davon profitieren, den Bestand an wertvollen Informationsbeständen, die damit verbundenen Analysen der Geschäftsauswirkungen, die Risikoanalysen und die damit verbundenen Abhilfemaßnahmen sowie die kritischen Abhängigkeiten im Zusammenhang mit der ROSI zu kennen.

Dadurch kann sich die ROSI auf zuvor dokumentierte Analysen konzentrieren, die vorgeschlagenen Ausgaben mit ihnen in Beziehung setzen und sie auf diese Weise in einen angemessenen geschäftlichen Kontext stellen.

Der Ausgangspunkt:

Eine ROSI-Berechnung, so gut sie auch durchgeführt wird, basiert auf Annahmen darüber, wie sich zukünftige Sicherheitsfragen wahrscheinlich entwickeln werden. Zu den wahrscheinlichen Annahmengehören:

  • Der Wert der historischen Daten über Bedrohungen ist gering. Bedrohungen entwickeln sich in ihrer Art und ihren Fähigkeiten ständig weiter. Zu den künftigen Bedrohungen kann das Unvorstellbare gehören.
  • Die Auswirkungen noch nicht identifizierter Bedrohungen sind nicht vorhersehbar.
  • Neue Produkte und Prozesse enthalten unbekannte Schwachstellen. Diese können, müssen aber nicht unbedingt zuerst vom Hersteller identifiziert werden; im schlimmsten Fall sind Hacker die ersten, die sie identifizieren und ausnutzen.

Der Autor des ROSI muss sich darüber im Klaren sein, welche Annahmen getroffen wurden, und bereit sein, sie anderen Managern gegenüber zu erklären und zu rechtfertigen. Es ist nützlich, gute Informationen über die Erfahrungen anderer Organisationen zu haben.

Die Risikokultur der Organisation:

Zur Beschreibung einer Risikokultur können zwei dominante Merkmale verwendet werden:

  • Risikoverhalten: konservativ (Risikovermeidung) und aggressiv (Risikobereitschaft)
  • Reaktion auf negative Ergebnisse: Schuldzuweisungen und Lernen

Organisationen mit einer Kultur der Risikovermeidung können viele Phasen des Zögerns durchlaufen, bevor sie sich auf eine Entscheidung festlegen, mit vielen Was-wäre-wenn-Szenarien - es sei denn, das Risiko ist hoch, unmittelbar bevorstehend und wird erkannt (bis dahin ist es kein Risiko mehr, sondern ein Thema, und es kann zu spät sein). Selbst dann kann die Organisation Fragen darüber aufwerfen, welche Optionen in Betracht gezogen worden sind. Wahrscheinlich neigen diese Organisationen auch dazu, Schuld zuzuweisen, wenn Ereignisse eintreten.

Risikofreudige Organisationen können eine ROSI-Berechnung dann verlangen, wenn es sich um großeSummen handelt (wobei "groß" ein flexibler Begriff ist).

Wenn die Risikokultur der Organisation nicht verstanden wird, besteht die Möglichkeit, dass der Vorschlag unabhängig von der Qualität des ROSI scheitert. Es ist ratsam, sich daran zu erinnern, dass ein Teil des Budgets, der in die Informationssicherheit fließt, ein Teil ist, der nicht an eine andere Funktion geht, und dies kann zum Gegenstand der Organisationspolitik werden.

Die buchhalterische Natur der vorgeschlagenen Ausgaben

Hier geht es darum, herauszufinden, was eine Investition und was eine Betriebsausgabe ist. Es gibt keine allgemeingültige richtige Antwort, da dies durch die Buchhaltungspraktiken der einzelnen Organisationen definiert ist, die aus verschiedenen Budgets finanziert werden können, wie z.B. einemEinnahmen-Ausgaben-Budget und einem Budget für Kapitalposten, und wie die Budgets für Steuerzwecke behandelt werden.

Es muss auch unterschieden werden zwischen Ausgaben für den Ersatz oder die Aufrüstung einer bestehenden Einrichtung (Hardware, Software und/oder Dienstleistungen) und Ausgaben für die Anschaffung von etwas Neuem und Anderem, wie es beim Kauf innovativer Lösungen, der Migration zu einem Cloud-Sicherheitsdienst oder der Auslagerung von Informationssicherheitsoperationen der Fall wäre.

Das Argument, dass Ausgaben für die Informationssicherheit mit dem Kauf von Versicherungen oder versicherungsbezogenen Gegenständen vergleichbar sind (z.B. bessere Schlösser, feuersichere Tresore, Inertgas-Feuerunterdrückung in Computerräumen), kann in einer bestimmten Organisation gültig sein oder auch nicht. Die Festlegung des Denkens und der Praktiken der Organisation zu solchen Themen ist Teil einer umsichtigen Vorbereitung.

Ausgaben für Informationssicherheit im Kontext

Das kann man sich als das Spiel große Zahlen/kleine Zahlen vorstellen. Ein Beispiel für große Zahlen findet sich im genehmigten Haushalt 2015 für das US-Verteidigungsministerium, in dem mehr als 5 Milliarden US-Dollar für die Cybersicherheit vorgesehen sind.3 Größere Zahlen als diese sind anderswo im Umlauf. Warnung: Große Zahlen neigen dazu, Entscheidungsträger zu beunruhigen und sie zu Kürzungen zu bewegen, aber auch kleine Zahlen können interessant sein. Ein kürzlich veröffentlichter Bericht von Gartner zeigt, dass in den USA die drei Sektoren mit den höchsten Ausgaben für Informationssicherheit Versicherungen, Versorgungsunternehmen und Banken sind.4 Der Bericht stellt die Zahlen in US-Dollar pro Jahr und Mitarbeiter dar und rechnet unter der Annahme, dass es 220 Arbeitstage in einem Kalenderjahr gibt, mit etwa 2,50 US-Dollar pro Mitarbeiter und Tag - etwa der Preis für eine Tasse Kaffee.

Eine einfache Berechnung zeigt, dass die durchschnittlichen Gesamtkosten eines Mitarbeiters für ein Unternehmen in der Größenordnung von 1 US-Dollar pro Minute liegen. Geht man davon aus, dass ein Arbeitsjahr aus 220 Tagen besteht und dass jeder Arbeitstag siebeneinhalb Stunden dauert, so ergibt dies 99.000 Minuten. Die US-Volkszählung für das Jahr 2012 gibt an, dass der Median des Nationaleinkommens 51.371 US-Dollar betrug (das höchste staatliche Medianeinkommen wurde in Maryland [71.112 US-Dollar] ermittelt).5 Addiert man dazu alle Kosten der Arbeitgeber (z.B. für Büroräume, Versorgungseinrichtungen, Krankenversicherung, Rentenbeiträge), so scheint eine Zahl von 99.000 US-Dollar pro Arbeitnehmer und Jahr eine plausible Schätzung zu sein. US $1 pro Minute ist daher ein grober Richtwert, den der Leser an spezifische Situationen anpassen kann.

Daher stellt eine Person, die eine Zigarettenpause (außerhalb des Bürogebäudes) von 10 Minuten einlegt, das Vierfache des für die Informationssicherheit aufgewendeten Betrags dar. (Und welcher Raucher raucht nur eine Zigarette pro Tag?) Sind die leitenden Angestellten und Entscheidungsträger in der Organisation mit dieser Perspektive vertraut?

Der Zeitpunkt ist kritisch: Ausgaben für Schutz oder Korrektur

Software-Entwickler haben schon vor langer Zeit gelernt (oder hätten es schon längst tun sollen), dass die Kosten, um es beim ersten Mal richtig zu machen, viel geringer sind als die Kosten, um einenFehler später im Entwicklungsprozess zu korrigieren. Dies wiederum macht nur einen Bruchteil der Kosten aus, die anfallen, wenn die Software erst einmal in Produktion ist. Ein Blick auf Design- oder Steuerungsfehler in verschiedenen Branchen ist lehrreich:

  • Schlechte Kontrollen und Managementaufsicht kosteten der französischen Bank Société Générale im Jahr 2008 6,6 Milliarden US-Dollar.6 Eine ähnliche Situation im Jahr 2005 hat die Barings Bank aus dem Geschäft gebracht.7
  • Airbus hatte Probleme mit der Verkabelung der A380-Flugzeuge. Umgestaltung und Verzögerungen haben Airbus bisher 6,4 Milliarden US-Dollar gekostet.8
  • Im Jahr 2014 musste General Motors 2,6 Millionen Automobile zurückrufen, um eine defekte Zündschlüsselkomponente (im Wert von 2 US-Dollar pro Einheit) zu reparieren.9 Die geschätzten Kosten wurden bisher noch nicht veröffentlicht, aber sie dürften hoch sein.

Es lohnt sich, daran zu denken: Geld unabhängig von den Kosten zu sparen (SMRC) ist nicht immer eine erfolgreiche Strategie

Die Theorien der Risikobewertung

Es gibt viele detaillierte Bücher über die Geschichte der Risikoabschätzung10 und deshalb ist dieser Abschnitt bewusst kurz gehalten. Probabilistische Risikotheorien gehen auf das 16. und 17. Jahrhundert zurück und beziehen sich auf Glücksspiele. Epidemiologische und versicherungsmathematische Theorien begannen ebenfalls im 17. Jahrhundert mit Zusammenstellungen von Geburten und Todesfällen in London (Vereinigtes Königreich)

Bis 1990 wurde die Risiko- (und Politik-)Analyse als "eine analytische Tätigkeit angesehen, die zur direkten Unterstützung bestimmter Entscheidungsträger des öffentlichen oder privaten Sektors durchgeführt wird, die vor einer Entscheidung stehen, die getroffen werden muss, oder vor einem Problem, das gelöst werden muss "11 .

Es gibt viele Definitionen von "Risiko", die jeweils spezifische Tätigkeitsbereiche widerspiegeln, und es gibt mehrere Bücher, in denen Theorien und ihre Anwendbarkeit sowie die Sprachen des Risikos inBereichen wie Medizin, Umwelt, Luft- und Raumfahrt, Finanzen und Information diskutiert werden.12

Methoden der Risikobewertung

Eine der früheren probabilistischen Beurteilungstechniken für das Gesamtrisiko einer ganzen Großgefahrenanlage gilt als WASH-1400, die 1975 von der US-Nuklearaufsichtskommission (NRC) in Auftrag gegeben wurde.13

Mehrere andere quantitative Methoden stehen zur Verfügung, aber man geht davon aus, dass diese nicht auf die Informationssicherheit anwendbar sind, da es nicht genügend Daten, insbesondere übersich entwickelnde Bedrohungen, gibt und diese Methoden zu komplex sind. Dies kann bei Techniken wie Monte-Carlo-Simulationen14 der Fall sein, die vor Jahren den Zugang zu einem Großrechner erforderten und heute auf fast jedem Computer ausgeführt werden können, der Tabellenkalkulationssoftware unterstützt. Sie sind jedoch nicht intuitiv und erfordern Zeit, um beherrscht zu werden.

Der Glaube, dass es keine Daten über Wahrscheinlichkeiten gibt, ist nicht unbedingt gültig. Im Falle eines völligen Mangels an Ereignisintelligenz (d.h. Unwissenheit) beträgt die Wahrscheinlichkeit 50 Prozent - entweder es passiert oder es passiert nicht. Zusätzliche Informationen können dann verwendet werden, um festzustellen, ob die Wahrscheinlichkeit größer (es ist jemand anderem in einer vergleichbaren Branche passiert) oder kleiner ist (es wird als mögliches Ereignis erkannt, aber es wurde nicht als passiert gemeldet). Solche Zahlen sind vielleicht nie genau, aber besser, als gar keine Zahlen zu haben.

Es gibt mehrere Methoden, die insbesondere in der Informationsindustrie weit verbreitet sind:

  • Die Bewertung operationell kritischer Bedrohungen, Vermögenswerte und Schwachstellen (OCTAVE), die vom Software Engineering Institute der Carnegie Mellon University (Pittsburgh, Pennsylvania, USA) entwickelt und 2001 erstmals veröffentlicht wurde.
  • Das US-amerikanische National Institute of Standards and Technology (NIST) SP 800-30
  • COBIT 2019 für Risiko, veröffentlicht von ISACA

Letztere wird aufgrund ihrer historischen Abdeckung und Struktur sowie der Lehren aus dem früheren Rahmenwerk "Risk IT", das sie beinhaltet, bevorzugt. Es dauert zwar länger, als einfache Risikokarten zu zeichnen, aber das Ergebnis ist es wert.

Einige dieser Methoden können kritisiert werden, weil sie qualitativ und verzerrt sind und daher kaum mehr als eine fundierte Vermutung darstellen. Sie beschränken sich auch auf bekannte Bekannte, ein bescheidenes Element bekannter Unbekannter, sowie auf die Nichtberücksichtigung unbekannter Unbekannter, schwarzer Schwäne und anderer Ereignisse, die als extrem unwahrscheinlich gelten und daher zu Recht oder zu Unrecht als irrelevant behandelt werden.

In dem Versuch, eine Illusion wissenschaftlicher Strenge zu erzeugen, weisen einige einfache Methoden, die auf kleinen, grün, gelb oder rot gefärbten Kästchen basieren, der Wahrscheinlichkeit und den Auswirkungen Gewichtungen zu, die dann multipliziert werden, um eine Zahl zu erhalten, die das Risiko darstellt.

Dies kann ernsthaft irreführend sein. Nehmen Sie zum Beispiel zwei Bewertungen von fünf: Die eine bezieht sich auf eine DVD eines Films, die von den Zuschauern mit fünf für die Qualität bewertet wird, und die andere auf eine Sammlung von fünf DVDs, die von den Zuschauern jeweils mit eins für die Qualität bewertet werden. Macht die Vervielfachung der Anzahl der DVDs und ihrer Qualität (Äpfel und Orangen) Sinn?

Die Auswirkungen sind mehrdimensional

Da Informationssysteme, Daten und Technologien in den meisten Organisationen allgegenwärtig sind, werden Unterbrechungen der Dienste, der Verlust der Vertraulichkeit und/oder der Verlust der Datenintegrität wahrscheinlich Folgen haben, die über die IT-Abteilung hinausgehen. Der Umfang derAuswirkungen umfasst direkte finanzielle Verluste, Produktivitätsverluste, rechtliche Implikationen und Rufschädigung von dem Moment an, in dem ein Sicherheitsvorfall erkannt wird, bis er diagnostiziert, behandelt und eingedämmt ist und die Wiederherstellung nach dem Vorfall als vollständig bezeichnet werden kann. Es kann zusätzliche Konsequenzen geben, z.B. unter Einbeziehung der Strafverfolgungsbehörden, der Aufsichtsbehörden und - je nach Schwere des Vorfalls und der betroffenen Organisation - der langfristigen Folgen eines unangemessenen Krisenmanagements.

Diese sollten alle von (und mit) den entsprechenden Funktionen in der Organisation identifiziert und untersucht werden. Im Gegenzug sollten sich diese Funktionen die Schätzungen der finanziellen Verluste und der durch die Umsetzung der vorgeschlagenen Investition ermittelten Vorteile zu eigen machen.

Teil II: Schätzung der ROSI

Man kann ein relevantes Beispiel für eine kürzlich getätigte Investition in die Informationssicherheit wählen und die folgenden Schritte anwenden, um ein besseres Gefühl dafür zu bekommen, worum es geht und welche Herausforderungen bei der Beschaffung der erforderlichen Informationen zu bewältigen sind. Es wäre gut, die im vorhergehenden Abschnitt (Teil I) angesprochenen Punkte im Rahmen der Vorbereitung dieser Übung zu reflektieren.

Schätzung finanzieller Verluste

Folgenabschätzungen können bereits im Rahmen der von der Organisation durchgeführten Business Impact Analysis (BIA) verfügbar sein, in der Regel zur Unterstützung der Business-Continuity-Planung.Andere Verluste (z.B. Betrug und andere Formen des Finanzdiebstahls, Verlust von Geschäftsgeheimnissen und anderen urheberrechtlich geschützten Informationen einschließlich Software) erscheinen möglicherweise nicht in einer BIA und können schwieriger vorherzusagen und zu quantifizieren sein. Zu diesen kann es notwendig sein, die Kosten für die Wiederherstellung beschädigter Daten hinzuzurechnen.

Der Diebstahl oder die Offenlegung persönlicher Informationen - sowohl von Kunden als auch von Mitarbeitern - kann gegen Datenschutzgesetze und Datenschutzbestimmungen verstoßen und zu Offenlegungen und Gerichtsverfahren sowie zu Reputationsverlusten und Kosten im Krisenmanagement und in der Öffentlichkeitsarbeit führen. Nicht zu vergessen sind die direkten Verluste, die mit den Prozessen zur Bewältigung eines Sicherheitsvorfalls durch die Phasen der Erkennung, Eindämmung, Korrektur und Wiederherstellung verbunden sind, sowie die Kosten für die Inanspruchnahme von Vorkehrungen zur Gewährleistung der Geschäftskontinuität.

Andere indirekte Verluste können je nach Umständen entstehen, wie z.B. die Unfähigkeit, Verträge zu erfüllen, verspätete Lieferungen, Entschädigungszahlungen, Bußgelder und andere Rechtskosten.

Monetarisierung erwarteter Vorteile

Angesichts der Tatsache, dass Sicherheitsinvestitionen im Gegensatz zu Investitionen in Marketing nicht zu Einnahmen führen, dürften die festgestellten Vorteile geringere finanzielle Verluste (wie zuvor beschrieben), ein geringeres Risiko des Eintretens eines Sicherheitsvorfalls, geringere Kosten eines Sicherheitsvorfalls im Falle eines solchen Vorfalls, die Erfüllung von Audit- und/oder Regulierungsfragen und geringere indirekte Kosten umfassen.

All dies sind Prognosen, denen der Informationssicherheitsexperte möglicherweise keinen finanziellen Wert beimessen kann. Es ist besser, dass sie von denjenigen bewertet und akzeptiert werden, die von den Vorteilen profitieren können.

Eigentum an den Vorteilen

Um es ganz offen zu sagen: Alle in einer ROSI-Berechnung aufgeführten Leistungen, die keinen eindeutig identifizierten Eigentümer haben, sind nicht glaubwürdig. Nichtsdestotrotz riskieren sie, wenn sie vorgelegt werden, die Glaubwürdigkeit des Antragstellers zu beeinträchtigen, wovon es schwierig oder sogar unmöglich sein kann, das verlorene Vertrauen zurückzugewinnen.

Schätzung der Kosten

Der komplette Lebenszyklus der Beschaffung umfasst viele Komponenten, die bei der Erstellung einesFinanzplans nicht immer berücksichtigt werden. Dazu gehören in der Regel die Kosten für die Vorbereitung einer Ausschreibung (RFP), die Kosten für die Bewertung von Angeboten und die Beteiligung der Beschaffungs- und Rechtsabteilung an der Auftragsvergabe.

Nach der Auftragsvergabe fallen die einmaligen Kosten für Lieferung, Installation und Konfiguration, gegebenenfalls für die Integration mit anderen Tools und möglicherweise für die Schulung des Personals an, das die gekauften Komponenten verwenden wird.

Dann gibt es die wiederkehrenden Betriebskosten, zu denen Wartung, Support, Upgrades und die üblichen Rechenzentrumsdienste wie Strom und Personal gehören.

Bedingungen

Der Kauf und die Installation neuer Anlagen entspricht nicht unbedingt den Anforderungen des Käufers, es sei denn, die folgenden Bedingungen sind erfüllt:

  • Das Produkt (oder die Dienstleistung) entspricht tatsächlich den tatsächlichen Anforderungen, da diese möglicherweise nicht ganz mit den in der Ausschreibung angegebenen übereinstimmen.
  • Das gelieferte Produkt (oder die Dienstleistung) funktioniert genau so, wie der Verkäufer es in seinem Angebot beschrieben hat.
  • Das Produkt (oder die Dienstleistung) ist ordnungsgemäß konfiguriert und wird ordnungsgemäß verwendet.
  • Die Erfahrung zeigt, dass diese drei Bedingungen nicht immer erfüllt sind.

Berechnung des ROSI

Dafür gibt es verschiedene Formeln, von der relativ einfachen, die von ENISA vorgeschlagen wurde, bis hin zu komplexen Modellen, die mathematische Modelle, Differentialgleichungen und andere Herausforderungen für mathematisch begabte Menschen beinhalten. Sogar die einfache ENISA-Berechnung enthält Fallen für die Unwissenden, in denen die annualisierte Verlusterwartung (ALE), die verminderte ALE (mALE) und die Kosten die Kosten der vorgeschlagenen Lösung darstellen.

Ein Wort der Warnung: Bevor Sie diese Berechnung den Finanzexperten zeigen, sollten Sie gute Antworten auf die folgenden Fragen finden, die wahrscheinlich gestellt werden:

  • Was beinhalten die Kosten?
  • Was ist die erwartete Lebensdauer der vorgeschlagenen Anschaffung (Amortisationsdauer)?
  • Wie lange dauert es, bis die Vorteile zum Tragen kommen?
  • Welcher Abzinsungsfaktor sollte über den Zeitraum verwendet werden?
  • Wie lang würde die Amortisationsdauer sein?

ROSI-Qualität

Frage an den Antragsteller: Sind Ihre ROSI-Berechnung und die begleitende Dokumentation nach all diesen Bemühungen und Diskussionen besser als ein Horoskop? Wenn ja, wie?

Schlussfolgerung

Während die Notwendigkeit einer Berechnung der Investitionsrentabilität (ROI) eine gut etablierte Praxis ist, wie bei den meisten Aktivitäten, bei denen es darum geht, die Zukunft vorherzusagen, ist ROSI mit Gefahren behaftet, die von (versehentlichen oder absichtlichen) Auslassungen bis hin zu optimistischen Annahmen über Kosten, Nutzen und die Wirksamkeit des Vorgeschlagenen reichen.

Die 15 aufgeführten Punkte führen vielleicht nicht zu einem robusten und glaubwürdigen ROSI, aber der Nachweis, dass sie in größtmöglichem Umfang berücksichtigt und angewendet wurden, kann hilfreich sein.

Quellennachweise:

  1. ENISA, Einführung in die Rendite von Sicherheitsinvestitionen, Dezember 2012
  2. Die Probleme im Zusammenhang mit ROSI wurden in einem früheren Artikel untersucht: Gelbstein,E.; "Quantifizierung von Risiko und Sicherheit", ISACA Journal, Band 4, 2013.
  3. Corrin, A.; "Defense Budget Routes at Least $5 Billion to Cyber", Federal Times, 5. März 2014, www.federaltimes.com/article/20140305/MGMT05/303050005/Defense-budget-routes-least-5B-cyber.
  4. Gartner, "Don't Be the Next Target-Information Security Spending Priorities for 2014", 8. April 2014
  5. US Census Bureau, Haushaltseinkommen: 2012, www.census.gov/prod/2013pubs/acsbr12-02.pdf
  6. Walsh, F.; D. Gow; "Société Générale deckt Betrug in Höhe von £3,7 Milliarden durch Rogue Trader auf", The Guardian, 24. Januar 2008, www.theguardian.com/business/2008/jan/24/creditcrunch.banking
  7. Das Forum von Prof. Ted Azarmi, "Making Sense of the Collapse of Barings Bank", 25. Januar 2010, www.azarmi.org/forum/index.php?topic=965.0
  8. http://calleam.com/WTPF/?p=4700
  9. General Motors, GM Ignition Recall Safety Information, www.gmignitionupdate.com
  10. Bernstein, P. L.; Gegen die Götter: Die bemerkenswerte Geschichte des Risikos, Wiley, 1998
  11. Morgan, M. G.; M. Henrion; Ungewissheit: A Guide to Dealing with Uncertainty in Quantitative Risk and Policy Analysis, Cambridge University Press, UK, 1992
  12. Zum Beispiel: Rausand, M.; Risikobewertung: Theorie, Methoden und Anwendungen, Wiley, 2011
  13. US-Nuklearaufsichtskommission, Reaktorsicherheitsstudie: Eine Bewertung der Unfallrisiken in kommerziellen Kernkraftwerken in den USA, NUREG-75/014 (WASH-1400], www.nrc.gov/reading-rm/doc-collections/nuregs/staff/sr75-014
  14. Microsoft Corporation, "Einführung in die Monte-Carlo-Simulation", https://support.office.microsoft.com/en-US/Article/Introduction-to-Monte-Carlo-simulation-64c0ba99-752a-4fa8-bbd3-4450d8db16f1?ui=en-US&rs=en-US&ad=US
  15. National Institute of Standards and Technology, Managing Information Security Risk: Organization,Mission, and Information System View, NIST Special Publication 800-39, USA, 2011
Über den Autor: Uwe Poltoranin
Datenschutzbeauftragter (DGI / bitkom) Datenschutzbeauftragter (TüV Rheinland Akademie) IT-Sicherheitsbeauftragter (TüV Rheinland Akademie)
BSI Grundschutz Praktiker (DGI), ISMS-Prüfer / leitender Prüfer nach ISO / IEC 27001 ( ISACA), IT-Risikomanager (DGI)
Projektmanagement IPMA® Level C, ITIL®Foundation Level, PRINCE2® Foundation Level, Certified Scrum Master - Scrum Product Owner
Nach oben scrollen