Schreckgespenst IT-Crash

Transkript

1 Schreckgespenst IT-Crash Connect Herbsttreffen 2011 Detlef Hösterey Münster, Computacenter 2011

2 Agenda Positionierung Stimmen aus der Dunkelheit Gesetze, Normen und Standards Mindestanforderungen an das IT-Notfallmanagement Vorgehensmodell zur Implementierung eines IT-Notfallmanagements Zusammenfassung Computacenter

3 Computacenter 2011 Positionierung

4 Computacenter Europas führender herstellerübergreifender IT-Dienstleister Mitarbeiterinnen und dmitarbeiter Umsatz im Jahr 2010: 2,68 Mrd. brit. Pfund UK Standorte in Belfast, Birmingham, Bristol, Cardiff, Edinburgh, Hatfield, London, Manchester, Milton Keynes, Nottingham, Reading, Watford Frankreich Standorte t in Antony, Bordeaux, Dijon, Grenoble, Lille, Lyon, Marseille, Nantes, Nizza, Orléans, Paris, Pau, Rennes, Rouen, Straßburg, Toulouse Deutschland Standorte in Aachen, Berlin, Bielefeld, Erfurt, Essen, Frankfurt, Greven, Hamburg, Hannover, Heilbronn, Kassel, Kerpen, Kiel, Köln, Leipzig, Ludwigshafen, München, Nürnberg, Oberhausen, Ratingen, Rostock, Saarbrücken, Schwerte, Stuttgart, Wolfsburg Benelux Standorte in Amsterdam, Brüssel, Luxemburg, Zaventem Computacenter

5 Computacenter in Deutschland Rund Mitarbeiterinnen und Mitarbeiter verteilt über ganz Deutschland Umsatz 2010 in Deutschland: 1,19 Milliarden Euro Bundesweite Consulting- und Supportorganisation 25 Standorte Zentrale Supply Chain und Remote Operation Services in Kerpen Zentrale Managed Service Factories in Erfurt Computacenter

6 Computacenter 2011 Stimmen aus der Dunkelheit

7 Stimmen aus der Dunkelheit Nach einer Untersuchung des Haftpflichtverbands der deutschen Industrie stehen 40 % aller Unternehmen, die einen IT-Crash ohne ausreichendes Datensicherungs- Management hatten, nach zwei Jahren vor dem Aus. Symantec 2011 SMB Desaster Preparedness Survey : 54 % aller KMU im Wirtschaftsraum EMEA verfügen nicht über eine EDV- Notfallplanung. Nur 25 % aller Betriebe mit Notfallplanung testen diese auch. NURS (Norwich Union Risk Service): Bis zu 80 % der Firmen, die keinen Notfallplan haben, überleben die nächsten 18 Monate nach einem Notfall nicht. Nur zehn Prozent der europäischen Firmen mit mehr als 100 Millionen Euro Jahresumsatz verfügen laut International Data Corp. (IDC) über entsprechende Konzepte. Computacenter 2011

8 Stimmen aus der Dunkelheit Durchschnittliche jährliche Verluste je Unternehmen weltweit durch IT-Ausfälle: Ca (Europa ca ) Computacenter 2011 Quelle CA

9 Computacenter 2011 Gesetze, Normen und Standards

10 Gesetze, Normen und Standards Gesetze Normen Standards AktG GmbHG KonTraG GOBS BDSG MaRisk SOX ISO 9001 ISO ISO BSI BSI BSI BSI IDW ITIL COBIT PRM- IT HP- ITSM Computacenter

11 Gesetze, Normen und Standards Gesetze AktG (Aktiengesetz) Verantwortung für den Fortbestand des Unternehmens GmbHG (GmbH-Gesetz) Sorgfalts- und Überwachungspflicht des ordentlichen Geschäftsmannes KonTraG (Gesetz zu Kontrolle und Transparenz im Unternehmen) Unternehmensweites Risikomanagement GOBS (Grundsätze ordnungsgemäßer Buchführung) Nachweis des ordnungsgemäßen Betriebs der Systeme BDSG (Bundesdatenschutzgesetz) Umgang mit personenbezogenen Daten MaRisk (Mindestanforderungen an das Risikomanagement) Implementierung eines Risikomanagements und BCM SOX (Sabanes-Oxley Act) Kontrolle und Transparenz der Finanzflüsse Computacenter

12 Gesetze, Normen und Standards Normen ISO 9001 (Qualitätsmanagement) Anforderungen an die Dokumentation ISO (IT Service Management) Anforderungen an die Prozessdokumentation ISO (IT-Sicherheitsmanagement) Informatiossicherheit in Unternehmen BSI (Bundesamt für Sicherheit in der Informationstechnik) Entwicklung einer Sicherheitsstrategie BSI Leitlinie zur Informationssicherheit BSI IT-Grundschutz BSI Notfallmanagement Institut der Wirtschaftsprüfer Prüfungen bei Einsatz von Informationstechnologie Computacenter

13 Gesetze, Normen und Standards Standards ITIL (IT Infrastructure Library) Serviceorientierte IT-Organisation COBIT (Control Objectives for Information and related Technology) Werkzeug für die Steuerung und Kontrolle der IT, insbesondere SOX-Compliance PRM-IT (IBM Process Reference Modell for IT) Verknüpfung der IT-Strategie mit der Unternehmensstrategie HP-ITSM (HP IT Service Reference Model) Identifizierung benötigter IT-Prozesse und organisatorischer Anforderungen Computacenter

14 Was brauche ich denn mindestens, um erfolgreich und abgesichert zu sein? Computacenter

15 Mindestanforderungen an das IT-Notfallmanagement Computacenter 2011

16 Mindestanforderungen an das IT-Notfallmanagement BSI Initiierung des Notfallmanagements Konzeption Umsetzung des Notfallvorsorgekonzepts Notfallbewältigung Tests und Übungen Aufrechterhaltung und kontinuierliche Verbesserung des Notfallmanagement-Prozesses esses ITIL Initiierung des Prozesses: Festlegung der Richtlinien (Policy) und des Umfangs/Geltungsbereichs/IT-Verbunds /IT b (Scopes) Erfordernisse und Strategie: Business Impact Analysis (BIA), Risikoanalyse ik und Kontinuitätsstrategie ität t t i Implementierung: Entwicklung von Kontinuitätsplänen, Wiederherstellungsplänen lä und Teststrategien t t Operatives Management: Schulung und Sensibilisierung, Revisionen, Tests und Änderungsmanagement (Change Management) Computacenter

17 Computacenter 2011 Vorgehensmodell und Methodik

18 Strukturiertes Vorgehen zur Konzeption Organisatorische Eckpfeiler festlegen Kritische(n) Geschäftspro- zess(e) identifizieren und bewerten Technischen Wiederanlauf je Zuständigkeitsbereich dokumentieren Übergeordnete Abhängigkeiten gg dokumentieren Betroffene IT- Services identifizieren Zusatzinformationen aufnehmen IT-Leitung/ IT- IT-Leitung/ Geschäftsführung Administration Org-Leitung Computacenter

19 Strukturiertes Vorgehen zur Planung Organisatorische Eckpfeiler festlegen Kritische(n) Geschäftspro- zess(e) identifizieren und bewerten Technischen Wiederanlauf je Zuständigkeitsbereich dokumentieren Übergeordnete Abhängigkeiten gg dokumentieren Betroffene IT- Services identifizieren Zusatzinformationen aufnehmen IT-Leitung/ IT- IT-Leitung/ Geschäftsführung Administration Org-Leitung Computacenter

20 Organisatorische Eckpfeiler: Verantwortliche Geschäftsführung/IT-Leitung: Umfang Notfalldokumentation Business Impact-Analyse Organisations-Leitung: Implementierung Notfallorganisation Einbindung in das Changemanagement Einbindung in das Krisenmanagement IT-Administratoren: Identifikation von IT-Services Beschreibung des technischen Wiederanlaufs Qualitätssicherung der Notfalldokumentation Computacenter

21 Strukturiertes Vorgehen zur Planung Organisatorische Eckpfeiler festlegen Kritische(n) Geschäftspro- zess(e) identifizieren und bewerten Technischen Wiederanlauf je Zuständigkeitsbereich dokumentieren Übergeordnete Abhängigkeiten gg dokumentieren Betroffene IT- Services identifizieren Zusatzinformationen aufnehmen IT-Leitung/ IT- IT-Leitung/ Geschäftsführung Administration Org-Leitung Computacenter

22 Schadensszenarien Geschäftsprozesse Übersicht Schadensszenarien Szenario Eintrittswahrscheinlichkeit Max. Schaden Priorität Ausfall Gehalt Möglich Niedrig Niedrig Ausfall Mahnwesen Möglich Normal Niedrig Ausfall Kommunikation Unwahrscheinlich Sehr hoch Mittel Ausfall Kundenbestand Möglich Hoch Hoch Ausfall E-Commerce Möglich Hoch Hoch Ausfall Auftragsbearb. Möglich Sehr hoch Sehr hoch z. B. Für den technischen Wiederanlauf konzentrieren Sie sich auf kritische Geschäftsprozesse. Computacenter

23 Prozessbewertung nach BSI Af Auftragsbearbeitung b 11. Feb Computacenter

24 Strukturiertes Vorgehen zur Planung Organisatorische Eckpfeiler festlegen Kritische(n) Geschäftspro- zess(e) identifizieren und bewerten Technischen Wiederanlauf je Zuständigkeitsbereich dokumentieren Übergeordnete Abhängigkeiten gg dokumentieren Betroffene IT- Services identifizieren Zusatzinformationen aufnehmen IT-Leitung/ IT- IT-Leitung/ Geschäftsführung Administration Org-Leitung Computacenter

25 Betroffene IT-Services identifizieren Auftragseingang Prüfung Auftragsbestätigung Einkauf Wareneingang Versand Rechnung IT-Services Ebene 1 Auftrag WaWi Finanzen IT-Services Ebene 2 Mail Telefonie DB IT-Services Ebene 3 Active Directory Firewall DNS Infrastruktur SERVER NETZWERK STORAGE Computacenter

26 Strukturiertes Vorgehen zur Planung Organisatorische Eckpfeiler festlegen Kritische(n) Geschäftspro- zess(e) identifizieren und bewerten Technischen Wiederanlauf je Zuständigkeitsbereich dokumentieren Übergeordnete Abhängigkeiten gg dokumentieren Betroffene IT- Services identifizieren Zusatzinformationen aufnehmen IT-Leitung/ IT- IT-Leitung/ Geschäftsführung Administration Org-Leitung Computacenter

27 Die Klammer fehlt! Es ist ja nicht so, dass wir noch gar nichts haben. Unser Storagesystem wurde gerade erneuert und hochverfügbar ausgelegt. Und auch die Mail-Umgebung Computacenter

28 Vorgehen je Verantwortungsbereich NW- Virtualisierung, Betriebs- Daten- Endanwendungen SAN Komponenten Netzwerkdienste systeme banken Directoren EVA DHCP AIX SQL FOSS Switche DS x DNS Win Svr Access CRM Router N- Series AD Suse xx DB2 WaWi Wiederanlauf A Automatisches Schwenken Prüfen Notfallbetrieb Manuelle Sicherung interne Replikation: DHCP, DNS, AD storagebasierte Spiegelung: FOSS Bandsicherung: Access Wiederanlauf B Replikationsrichtung drehen Datensynchronisation SAN-Anbindung Wiederanlauf C Gastsystem bereitstellen Datenrücksicherung Prüfen Notfallbetrieb Formblätter für kritische Dienste Computacenter

29 Strukturiertes Vorgehen zur Planung Organisatorische Eckpfeiler festlegen Kritische(n) Geschäftspro- zess(e) identifizieren und bewerten Technischen Wiederanlauf je Zuständigkeitsbereich dokumentieren Übergeordnete Abhängigkeiten gg dokumentieren Betroffene IT- Services identifizieren Zusatzinformationen aufnehmen IT-Leitung/ IT- IT-Leitung/ Geschäftsführung Administration Org-Leitung Computacenter

30 Übergeordnete Abhängigkeiten: IT-Services Lfd. Nr. Servername Abhängig von Startreihe Basisdienst Verant- Wortlich (Team) 640 Storage ja 1 Storage 220 Firewall ja 2 Netzwerk 230 Active-Directory ja 3 Netzwerk 240 DNS ja Netzwerk 300 nein 230, 240, Notes 60 Telefonie nein 6 Telko 80 Oracle-DB nein 230, Datenbanken 190 Auftragsverwaltung nein 60, 80, SAP Basis 260 Warenwirtschaft nein 190, SAP Basis 290 Finanzverwaltung nein 190, 260, Windows Computacenter

31 Strukturiertes Vorgehen zur Planung Organisatorische Eckpfeiler festlegen Kritische(n) Geschäftspro- zess(e) identifizieren und bewerten Technischen Wiederanlauf je Zuständigkeitsbereich dokumentieren Übergeordnete Abhängigkeiten gg dokumentieren Betroffene IT- Services identifizieren Zusatzinformationen aufnehmen IT-Leitung/ IT- IT-Leitung/ Geschäftsführung Administration Org-Leitung Computacenter

32 Zusatzinformationen 1. Sofortmaßnahmen 2. Meldewege 3. Verträge, Pläne, etc. Computacenter

33 Computacenter 2011 Übungen

34 Notfallübung vs. Notfallübung Geplante Übungen Ungeplante Systemausfälle Ausfallursachen Laufende Verbesserungen eingrenzbar durch Übungsszenarien planbar und budgetierbar zufällig, nicht repräsentativ nur möglich bei schmerzhaften Ausfällen Routineaufbau in Routine wird der Abarbeitungb aufgebaut, Meldewege werden beachtet Routine kann nicht aufgebaut werden, da alles schnell gehen muss Computacenter

35 Planung von Notfallübungen Priorisierung IT-Services Grobe 3-Jahres- Planung Festlegung Übungs- szenarien Feinplanung Übungs- abläufe Planung des organisa- torischen Rahmens Durchführung der Übung und Review IT-Leitung/ IT- IT-Administra- Fachverantwortliche Administratoren toren/-leitung Computacenter

36 Planung von Notfallübungen Priorisierung IT-Services Grobe 3-Jahres- Planung Festlegung Übungs- szenarien Feinplanung Übungs- abläufe Planung des organisa- torischen Rahmens Durchführung der Übung und Review IT-Leitung/ IT- IT-Administra- Fachverantwortliche Administratoren toren/-leitung Computacenter

37 Langzeitplanung von Notfallübungen Szenario Eintrittswahrscheinlichkeit Max. Schaden Priorität Ausfall Etagenswitch Möglich Niedrig Niedrig Ausfall Print-Service Unwahrscheinlich Mittel Niedrig Ausfall Möglich Hoch Mittel Ausfall Storage Unwahrscheinlich Sehr hoch Mittel Ausfall Oracle-DB Möglich Hoch Mittel Ausfall DNS Möglich Sehr hoch Hoch 2 Übungen pro Jahr, Planung auf 3-Jahres-Basis!!! Pro Jahr eine kleinere Übung: Ausfall eines IT-Services eine größere Übung: Ausfall Servicekette oder Serverraum Computacenter

38 Planung von Notfallübungen Priorisierung IT-Services Grobe 3-Jahres- Planung Festlegung Übungs- szenarien Feinplanung Übungs- abläufe Planung des organisa- torischen Rahmens Durchführung der Übung und Review IT-Leitung/ IT- IT-Administra- Fachverantwortliche Administratoren toren/-leitung Computacenter

39 Übungsszenarien Ausfälle können auf verschiedenste Art simuliert werden, z. B. mit physikalischer oder logischer Trennung von IT-Services durch Schwenk oder Abschaltung eines Dienstes mit Rücksicherung von Band oder aus der Library Empfehlung: Starten Sie mit klar abgegrenzten und wenig fehleranfälligen Szenarien. Dadurch können Sie schnell erste Fehlermöglichkeiten ausschalten und haben bei den komplexeren Übungsszenarien weniger Ursachen zu prüfen. Computacenter

40 Planung von Notfallübungen Priorisierung IT-Services Grobe 3-Jahres- Planung Festlegung Übungs- szenarien Feinplanung Übungs- abläufe Planung des organisa- torischen Rahmens Durchführung der Übung und Review IT-Leitung/ IT- IT-Administra- Fachverantwortliche Administratoren toren/-leitung Computacenter

41 Kurzzeitplanung: 8 Phasen der Übung Vorbereitung der Übung Simulation des Notfalls Prüfung der Notfallsituation Wiederanlauf der zu testenden Services 5 Prüfung der Services im Notfallbetrieb 6 Rückführung der Services in den Produktionsbetrieb 7 Prüfung des Produktionsbetriebes 8 Nacharbeiten Computacenter

42 Wichtige Merker für die Planung Ѵ Ѵ Ѵ Steigerung der Komplexität bei der Langzeitplanung Folgeaktivitäten bleiben überschaubar Fehlersuche ist leichter Klare Abgrenzung der Übungsszenarien In der operativen Planung Frühzeitige Information der Betroffenen Übungsphasen nacheinander abarbeiten Abbruchzeitpunkt bei Fehlschlägen bestimmen Organisatorische Rahmenbedingungen klären (Zutritte, Arbeitszeiten, ) Computacenter

43 Zusammenfassung Wer immer tut, was er schon kann, bleibt immer das, was er schon ist. (Henry Ford) Computacenter 2011

44 Zusammenfassung Toolauswahl: Computacenter 2011

45 Vielen Dank! Detlef Hösterey Senior Consultant Consulting Services Datacenter Solutions Computacenter AG & Co. ohg Konrad-Zuse-Straße 14, Schwerte Mobile: +49 (0) Tel.: +49 (0) Fax: +49 (0) Mehr Informationen unter: Computacenter