A. Messung der Leistung
Um zu verhindern, dass das Risikomanagement zu einer punktuellen, vom Tagesgeschäft losgelösten Tätigkeit wird, ist es von entscheidender Bedeutung, die Leistung der im Rahmen des Risikomanagements eingesetzten Tools laufend zu messen. Jeder Fachbereich innerhalb der Organisation muss in den Prozess einbezogen werden und Daten zum Bruttorisiko (Risiko, das besteht, wenn keine Sicherheitsmassnahmen ergriffen werden und keine Kontrollen erfolgen), zur Wahrscheinlichkeit, zu den Auswirkungen, aber auch und insbesondere zu den Aktionsplänen zur Minderung des Risikos oder zur Begrenzung seiner Auswirkungen beisteuern.
B. Prozess der kontinuierlichen Verbesserung
Risiken verändern sich und stellen keine starren, statischen Bedrohungen dar. Gegenüber Lieferanten, Partnern und Kundinnen und Kunden empfiehlt es sich daher, auf das Konzept der «kontinuierlichen Verbesserung» (Continuous Improvement) zu setzen. Dieser Ansatz ermöglicht es, die Wachsamkeit stets aufrecht zu halten und die Instrumente regelmässig anzupassen, und zwar sowohl im Hinblick auf die Messung des Risikos als auch bei den Massnahmen zur Eindämmung der Wahrscheinlichkeit oder der Auswirkungen. Unternehmen sehen sich mit Hackerinnen und Hackern konfrontiert, die laufend Schwachstellen analysieren und nach Möglichkeiten für einen Angriff suchen. Mit dem Konzept der kontinuierlichen Verbesserung werden die Unternehmen ihrerseits in die Lage versetzt, die notwendige Wehrhaftigkeit an den Tag zu legen und die zur Minderung der drohenden Risiken notwendigen, personellen, logistischen und finanziellen Ressourcen zu mobilisieren.
