Identifizierung / Bewertung von IT und Geschäftsprozessrisiken

Transkript

1 Wir über uns Leistungsangebot Produkte Analyse / Konzeption Sec. & Risk Audit Risk Assessment Präventionsmanagement Politiken Standards Sicherheitskonzepte Ausschreib./Spezifikat. Informationssicherheit Good Priv@cy Ausbildung Ereignis-/ Krisenmgmt. Krisenmanagement Business Avalibility Business Continuity Business Recovery Projektmanagement Security & Risk Consultants Identifizierung / Bewertung von IT und Geschäftsprozessrisiken deutsch english Security Transparenz Risiken Qualität Risiken Unternehmensziele Chancen Krisen Notfälle erfolgreich Risiken managen Projekte secure your sucess Prozesse Eugen Leibundugt, Partner RM Risk Management AG Blümlisalpstrasse 56 CH-8006 Zürich Tel Fax rm@rmrisk.ch

2 Inhalt Teil 1 Teil 2 Teil 3 Teil 4 Wie bringen Sie den Security & Risk Management Prozess (Risikobewusstseinsförderung) bei Ihren Business Manager (Entscheidungsträgern) in Gang ( Upselling )? Identifizierung / Bewertung von IT- / Geschäftsprozessrisike (Modelle/ Verfahren; Impulse und Denkanstösse, wie Sie Ihr Modell / Vorgehen in Ihrem Unternehmen definieren können) Business Case am Beispiel Business Continuity : Auslöser, Vorgehen Risikoidentifizierung/ -bewertung, Definition Geschäftsprozessanforderungen (Avalibility, Recovery Continuity) Erfahrungen und Lehren

3 Risikobewusstsein Teil 1 - Förderung des Risikobewusstseins bei Ihren Business Manager ( Upselling )

4 Risk Awareness bei Business Managern / VR Business Manager und Verwaltungsräte sprechen die Sprache der Finanzen, des Marktes (und damit verbunden Image/ Qualitätsfragen) sowie die der Haftung (Compliance!), und weniger die der Technik Immer komplexere IT und IT-Infrastrukturfragestellungen überfordern die Entscheidungsträger Erfahrung/Lehren: Der Sicherheits- und Risiko-Dialog braucht viel Fingerspitzengefühl, weil Sicherheitswahrnehmung und -empfinden immer individuell von den Personen abhängen.

5 IT Security & Risk Mgmt. situativ ist fragwürdig Bewertung IT Security & Risk Management ist keine Einmalaktion sondern als Prozess in die Management- Aufgaben zu integrieren! positiv normal Wertschöpfungsprozesse negativ Prozessstörungen RiskManagement Info über Schaden bei Mitbewerber Ausfall Kernprozess Diskussion mit Juristen Versicherer/ Makler/ Investoren und Eigentümer Zeit

6 Verantwortung des Verwaltungsrats / der GL Compliance Oberleitung der Gesellschaft Als erste unübertragbare und unentziehbare Aufgabe des Verwaltungsrates wird in Art. 716a OR die Oberleitung der Gesellschaft und die Erteilung der nötigen Weisungen genannt. Unter Oberleitung kann dabei folgendes verstanden werden a) Entwicklung strategischer Ziele der Gesellschaft bzgl. Umgang mit Risiken und Sicherheitsfragen b) Festlegung der für die Zielerreichung notwendigen Mittel (Finanzen und personelle Ressourcen) c) Kontrolle der Ausführungsorgane hinsichtlich der Zielverfolgung. Aufrechterhaltung des Gleichgewichts von unternehmerischen Zielen und finanziellen Mitteln. Wichtig ist dabei eine permanente Kontrolle dieses Gleichgewichtes und die sofortige Ergreifung von Massnahmen, wenn das Gleichgewicht gestört ist.

7 Verantwortung des Verwaltungsrats / der GL Compliance Bestellung und Beaufsichtigung der Geschäftsführung Der Verwaltungsrat ist zuständig für die Ernennung und Abberufung der mit der Geschäftsführung und der Vertretung betrauten Personen. Überdies hat er die Oberaufsicht über die mit der Geschäftsführung betrauten Personen. Diese Oberaufsicht erstreckt sich gemäss Art. 716a Ziff. 5 OR ausdrücklich auch auf die Befolgung der Gesetze, Statuten, Reglemente und Weisungen. Wie immer beim Beizug von Hilfspersonen hat auch hier der Verwaltungsrat die notwendige Sorgfalt bei der Auswahl, Instruktion und Überwachung anzuwenden. Unterlässt er dies, so haftet er für den dadurch verursachten Schaden gemäss Art. 754 Abs. 2 OR.

8 Verantwortung des Verwaltungsrats / der GL Compliance Geschäftherrenhaftung, Art. 55 OR (Verletzung Organisationspflicht) EKAS Richtlinie 6508 (Eidg. Koordinationskommission für Arbeitssicherheit Notfallorganisation/ Evakuierung z.b. eines Systemraums) Gesetzlich vorgeschriebene Aufbewahrungspflicht von Geschäftsakten/-dokumenten (z.b. Finanz-/Steuerdaten, Anlagedokumentationen, Verträge, usw.) Datenschutz, Bankgeheimnis, Vertraulichkeitsverpflichtungen gegenüber Mandanten; Peripherieschutz, Innenschutz, Umgang mit sensitiven Daten, fehlende Sicherheitsstandards IT und FM, teilweise ungenügende Sensibilisierung der Mitarbeiter Gebäudeversicherung und Feuerpolizei; Ausführung von Brandabschottungen, Fluchtwegmarkierungen, Fluchtwege

9 Worauf sollte sich der VR und die GL vorbereiten? Management von Ausweichlösungen für zeitkritische und betriebswichtige Kernprozesse, Anlagen oder IT-Systeme Notlösungen/ Absprachen mit Mitbewerbern, um Marktanteilsverluste infolge Lieferschwierigkeiten bei grösseren Prozessstörungen mindern zu können Informations-Krisenmanagement (Umgang mit Medien in schwierigen Lagen) Unternehmenserpressungen (auch IT-mässige) Krisenmanagement - Zusammenarbeit im Krisenstab (Funktionen/ Aufgaben Pflichten, Checklisten, usw.) Dazu ist es notwendig, die Risiken und die Ereignislandschaft ihres Unternehmens zu definieren (Risikoportfolio und Ereignis- Cockpit)

10 Identifizierung / Bewertung von Risiken Teil 2 - Identifizierung / Bewertung von IT- / Geschäftsprozessrisiken (Modelle / Verfahren)

11 RM IT Security & Risk Management Model Auditing / IT Risk Assessment / Managen / Überwachen Security & Risk Mgmt. Audit (Stärken/ Schwächen, Hauptrisiken, Handlungs- Bedarf, Massnahmen) Audit Security Transparenz Risiken Qualität Risiko-/ Chancen und Handlungs- bedarfs Fokus Risikoidentifizie- rung/ Risk Assessment Workshop (Auswahl, Nennung Metrik, Messen, Allokation, Analyse secure your sucess optimize your information chances and risks Risk Mgmt. & Control Fokus Risiken überwachen (Frühwarnindikatoren, Risiko- Controlling) Prozesse Risiken Projekte Risiken managen (Strategie, Politiken SecurityStandards Business Plan, Umsetzungplanung BCP, BRP, Crisis Mgmt. & DRP, Realisierung)

12 IT Security & Risk Management Audit Stärken / Schwächen / Hauptrisiken / Handlungsbedarf/ Massnahmen Security & Risk Mgmt. Audit (Stärken/ Schwächen, Hauptrisiken, Handlungs- Bedarf, Massnahmen) Audit Audit Risiko-/ Chancen und Handlungs- bedarfs Fokus Massnahmenkatalog secure your sucess optimize your information chances and risks Master- / Investitionsplan Business Avalibility Cockpit Anforderungen Schutzklassen, Standards

13 IT Security & Risk Management Audit Stärken / Schwächen / Hauptrisiken / Handlungsbedarf/ Massnahmen Audit Stärken-/ Schwächenprofil Massnahmenkatalog 01 Politik Audit-Fokus festlegen 02 Organisation 03 Rollendefinition/ Pflichtenhefte 04 Sicherheitsstandards 05 Sicherheitsanforderungen Geschäftsprozesse 06 Arbeitssicherheit 07 Produkthaftung und Legal Compliance 08 Notfallmanagement 09 Krisenmanagement 10 Sicherheits- und Risikokommunikation 11 Informationssicherheit und Datenschutz 12 Know-how Schutz 13 Informatiksicherheit 14 Telekommunikation / Telefonvermittlungsanlage 15 Information Security Awareness 16 Areal- und Geländesicherung 17 Peripherieschutz 18 Brandschutz 19 Innenschutz 20 Gebäudeinfrastruktur 21 Zutrittskontrolle 22 Gebäudeschliessanlage 23 Lagerhaltung 24 Versicherung

14 IT Security & Risk Management Audit Stärken / Schwächen / Hauptrisiken / Handlungsbedarf/ Massnahmen Stärken / Schwächen Hauptrisiken / Risk Portfolio Massnahmen / Planung secure your sucess optimize your information chances and risks Risikobeschreibung Chancen Risiken

15 Illustrationsbeispiel Audit-Bericht/ Dokumentation Bericht

16 Illustrationsbeispiel Stärken-/ / Schwächenprofil Bericht

17 Illustrationsbeispiel Massnahmenkatalog (1) Bericht

18 Illustrationsbeispiel Massnahmenkatalog (2) Bericht Fortsetzung nächste Folie

19 Illustrationsbeispiel Massnahmenkatalog (3) Fortsetzung vorheriger Folie Bericht

20 IT Risk Assessment / Risikoanalyse Identifizierung / Allokation / Systematisierung / Messung Risiko-/ Chancen und Handlungs- bedarfs Fokus Risikoidentifizie- rung/ Risk Assessment Workshop (Auswahl, Nennung, Metrik, Messen, Allokation, Analyse) Security Transparenz Risiken Qualität Assessment Workshops Risikokatalog/ -inventar secure your sucess optimize your information chances and risks Detailliertes Risikoportfolio

21 Vorgehen Workshop Risk Assessment / Portfolio 5 4 Risikoportfolio/ Handlungsbedarf (grafische Resultatauswertung) Risikoanalyse/ -bewertung (Risk Assessment Workshop) Output Top 10 Risiken, objektiv bewerte 3 Risikozuordnung (z.b. zu Einheiten, Systemen, usw.) 2 Risikonennung/ -vorauswahl (max. 30) 1 Risikoidentifizierung/ -metrik/ -treiber Input aus Riskodialog Kickoff- Meeting Durchlaufzeit ca. 2-3 Monate Input aus Risk Self Assessment Input aus Audit oder Risikodatenbank t

22 Risikoinventar - Risk Assessment - Risikofelder Menu Politisch, rechtliche, gesellschaftl. Risiken Strategische Risiken Finanzrisiken Marktrisiken Personalrisiken Projekt- und Innovationsrisiken Risiken der Wertschöpfungskette Informations- und Knowledge Risiken Facility Risiken Führungssicht (Management, Markt, Finanz und Controlling, Verträge, Personal, Politik, Umwelt und externe Risiken) Gestaltungssicht (Projekte/ Innovation) Leistungssicht (Wertschöpfungskette) Stützungssicht (Technologie)

23 Risk Assessment - Identifizierung - Datenbank Risikodatenbank der RM Risikokatalog Mandant Vorauswahl von ca. 50 Risiken aus Datenbank mit über 400 Risiken möglich

24 Identifizierung Risikoallokation (Zuordnung) Modellierte Geschäftsprozesse Risiken aus Vorauswahl Zuordnung der vorausgewählten Risiken z.b. zu Prozessen Je nach Modellierung des Systems können Prozess-, Produktions-, IT-, Gebäude-, Projektrisiken einem Prozess oder einer Organisationseinheit (z.b. Abteilung, Funktion, System/ Anlage) zugeordnet werden (Allokation).

25 Systematisierung/-messung messung - Metrik vorbereiten Risikoindikatoren auswählen Höchstschadenswert Eintrittswahrscheinlichkeit Risikoinventar Risikobewertung Risikotreiber Risikotreiber auswählen Systemische Risikotreiber Menschliche Risikotreiber

26 Systematisierung/-messung messung - Indikatoren Auswahl Risikoindikatoren 01 Qualitativer Höchstschadenswert 02 Quantitativer Höchstschadenswert 03 Qualitativer Höchstschadenswert - Personenschaden 04 Qualitativer Höchstschadenswert Verletzung Geheimhaltungspflicht 05 Eintrittswahrscheinlichkeit/ Gesamterwartungswert 06 Risikorelevanz/ Strategische Bedeutung 07 Wahrscheinlichkeitsverteilung der Schäden 08 Innenwirkung / Seiteneffekte 09 Wirkungsdauer

27 Systematisierung/-messung messung - Risikotreiber Auswahl 20 Risikoverantwortung menschliche 21 Risikofrühwarnung 22 Risikoüberwachung/ -kontrolle 23 Risikobewusstsein 24 Objektivität Risikobeurteilung 25 Qualität der Risikobewertung

28 Systematisierung/-messung messung - Risikotreiber Auswahl 30 Betroffenes System systemische 31 Wirkung 32 Tendenz/ zeitlicher Trend 33 Risikobewältigungsmöglichkeiten 34 Objektivität der Risikobewertung 35 Dynamik 36 Ereignisbewältigung 37 Aktualisierung Risikobewertung 38 Entdeckungszeit

29 Systematisierung/-messung messung - Risikotreiber Auswahl 39 Kostenstrukturen systemische 40 Finanzstrukturen 41 Marktattraktivität 42 Wettbewerbsintensität

30 ystematisierung/-messung messung - Skalierung bestimmen 02 Quantitativer Höchstschadenswert Beispiel Metrik 02 Quantitativer Höchstschadenswert (HSW) / Bedeutung der Auswirkung Bezeichnung Bewertung Erläuterung Routine (geringes Schadenausmass) 1 < CHF < CHF < CHF Empfindlich (mittleres Schadenaus mass) 4 5 < CHF < CHF < CHF kritisch (hohes 7 < CHF Schadenausmass) 8 < CHF katastrophal (extremes Schadenaus mass) 9 < CHF ab CHF aufwärts Quantitatives Schadenausmass = Betriebsunterbrechungskosten + Ertragsverluste

31 Risikoidentifizierung - Auswahl Top 30 (Risk( Voting) Bestimmung des Risk Assessment Teams (Workshop-Teilnehmer) Workshop-Teilnehmer erhalten Excel-Datei mit ca. 50 Risiken (Vorauswahl durch RM ) zur Nennung ihrer Top 30 Risiken, welche sie zuvor im Risk Self Assessment (individuell) und danach im Risk Assessment Workshop (objektiv und im Team) analysieren und bewerten werden Selektion der relevanten Risiken

32 Risk Self Assessment ihrer Top 30 Risiken Individuelle Beurteilung ihrer ausgewählten Top 30 Risiken als Vorbereitung auf den Risk Assessment Workshop (objektive und teamorientierte Beurteilung) Risk Self Assessment Dokument

33 Risk Self Assessment - Auswertung Analysen Auswertung der individuellen Risikobeurteilungen und Zusammenstellung der Resultate (meist genannten und beurteilten Risiken) als Vorbereitung auf den Risk Assessment Team-Workshop 02 RM Risk Mgmt. DB eclient RISK (Risk Self Assessment Dokument, Excel-Datei) eclient RISK (Risk Self Assessment Dokument, Excel-Datei) eclient RISK (Risk Self Assessment Dokument, Excel-Datei) Resultat: Risk Assessment Workshop-Dokument für Team-Bewertung

34 Risk Reporting Risikobeschreibung (Beispiel 2)

35 Risk Reporting Risikoportfolio (Beispiel 3)

36 Business Case Business Continuity Teil 3 Business Case Business Continuity (Auslöser, Vorgehen, Resultate)

37 Auslöser: Business Continuity Konzept Mission Zielsetzung Resultate Phase 2 Optimierung Geschäftsprozesssicherheit mit den Zielen, Risikotransparenz/ -optimierung, Minderung Ertragsausfälle und Schadenausmasse, Optimierung Versicherungsprämien, rasche Intervention bei Ausfällen Das Business Continuity genügt den unternehmerischen Zielsetzungen (Anforderungen an die Prozesssicherheit) und der Einhaltung der rechtlichen Sorgfaltspflicht (Compliance) Standortbestimmung mit Risikolandschaft und Hauptrisiken, Stärken-/ Schwächenprofilen und potentiellen Schadenausmassen sowie Prozesssicherheitsanforderungen Umsetzungsstrategie mit Massnahmenpaketen / Kosten

38 Vorgehen: Übersicht Projektphasen Projektantrag Management Entscheidungsfindung Auftragserteilung Genehmigung Umsetzungsstrategie Massnahmenvorschläge Genehmigung Grob-/ Detailkonzepte Umsetzung/ Einführung Phase 1 Phase 2 Phase 3 Phase 4 Vorbereitung mit Projektvorschlag Sec. & RM Audit Standortbestimmung Massnahmenvorschläge, Umsetzungsstrategie Implementierung Grob-/ Detailkonzepte Umsetzungs-/ Einführungsprojekte Operatives Management

39 3 Schritte zum managen des Business Continuity... werden in Workshops / Interviews beantwortet bzw. erarbeitet. Der Weg zur Business Continuity Schlüsselfragen... Welches sind unsere Risiken und Schadenspotentiale? Wie setzen wir das Konzept in die Praxis um? Wie managen wir künftig Informationssicherheitsrisikenund den Umgang mit Krisen? Implementierung Management Sec. & RM Audit Standortbestimmung, Risk Assessment Massnahmenvorschläge, BC Umsetzungsstrategie Was sind die kritischen Daten und Applikationen? Was sind die Risiken und Zielsetzungen? Wie sieht das Schadenspotential (Business Impact) aus (Kosten und Verluste)? Wo liegen die ungefähren IT Wiederanlaufzeiten? (Recovery Point Objective (RPO), Decision Time Objective (DTO), Recovery Time Objective (RTO)) Welche technischen Anforderungen sind notwendig, um den Prozessanforderungen zu genügen (Business Availibility - Verfügbarkeit)? Wie sieht das Wiederanlaufverfahren (Business Recovery) aus? Ereignis- / Krisenmanagement Pläne sind zu definieren (Business Continuity & Crisis Management) Business Continuity & Crisis Management Organi- sation aufbauen, Grob-/ und Detailkonzepte Schulung und Training, Kommunikation Bewusstseinsförderung Krisenmanagement definieren Audit- und Testplanung definieren (Wie und wann?) Aktualisierungsprozess der erarbeiten Dokumente Aktualisierung/ Überprüfung der Risikosituation (Wie und wann?)

40 Projektplan Phase 2 mit Meilensteinen Standortbestimmung / Massnahmenvorschläge / Umsetzungsstrategie = Workshops Aktivitäten Monat Monat Monat Standortbestimmung: Kick-off Meeting vorbereiten/ durchführen Interviews und Begehungen vor Ort Erarbeitung Audit Berichtsentwurf mit Massnahmenkatalog, Risk Assessment Workshop Vernehmlassung Audit Berichtsentwurf, Korrekturen Resultatpräsentation mit Vorschlag Umsetzungsstrategie Genehmigung Massnahmenvorschläge, Priorisierung der Massnahmen Ausarbeiten Masterplan (2-3 Jahre) mit Teilprojekten/ Aktivitäten für die Phase 3 Implementierung Anträge mit Kostenschätzung für Teilprojekte/ Aktivitäten erarbeiten, präsentieren, genehmigen Phase 3 Implementierung P3 Weitere Workshops werden organisiert, falls diese notwendig sind

41 Projektplan Phase 3 mit Meilensteinen BC/ KM-Ereignis Ereignis-Cockpit / Alarmierung / Abläufe / Checklisten = Workshops Aktivitäten Monat Monat Monat BC / Ereignis- / Krisenmanagement Tool erarbeiten: Alarm- und Problemmanagement Definition Szenarien, Schweregrade, Alarmabläufe, Rollen, Avalibility, Recovery, Informationsfristen Management / Organisation Definition Krisenstab, E-Teams, Führungsphasen, Führungsrhythmus, Funktionsbeschreibungen Checklisten, Abläufe, Formulare Checklisten, Abläufe, Formulare / Szenarien und Merkblätter Gebäuderäumungspläne Elektronische Vorbereitung Templates, Standorte und Anz. Pläne bestimmen, zeichnen und positionieren) Weitere Workshops werden organisiert, falls diese notwendig sind

42 Projektplan Phase 3 mit Meilensteinen BC/ KM-Ereignis Ereignis-Cockpit / Alarmierung / Abläufe / Checklisten = Workshops Aktivitäten Monat Monat Monat Kontaktverzeichnisse Modular strukturierte Verzeichnisse zusammenstellen, Personen erfassen Einführung / Schulung Einführung BC /Ereignis-/ Krisenmanagement-Tool, Schulung Training, Information Mieter und Mitarbeitende Ggf. Anträge mit Kostenschätzung für Teilprojekte/ Aktivitäten erarbeiten, präsentieren, genehmigen Weitere Workshops werden organisiert, falls diese notwendig sind

43 Projektplan Phase 3 mit Meilensteinen Implementierung Sofortmassnahmen/ Grob- und Detailkonzepte = Workshops Aktivitäten 1. Halbjahr Halbjahr Halbjahr Umsetzung Sofortmassnahmen Ggf. Umsetzung weiterer Grob- und Detailkonzepte gemäss Erkenntnissen aus der bisheriegn Projektarbeit. Phase 4 Umsetzung / Einführung P4 Weitere Workshops werden organisiert, falls diese notwendig sind

44 Risiken Resultate und Illustrationsbeispiele Illustrationsbeispiele von Resultaten, welche im Sinne eines Puzzle-Bausteinsteins gemäss den Anforderungen der ISO / BS 7799 bzw. Good Priv@cy (Datenschutzgütesiegel) nahtlos in eine umfassende modular aufgebaute Business Continuity bzw. Security & Risk Management Konzeption passen. Unternehmenszie Chancen Alle Business Continuity bzw. Security & Risk Mgmt. Module sind ISO und Good Priv@cy konform

45 Business Continuity Concept & Results Riskportfolio / Availibility / Recovery / Incident & Crisis Management Stärken / Schwächen Hauptrisiken / Risk Portfolio Massnahmen / Planung secure your sucess optimize your information chances and risks Risikobeschreibung Chancen Risiken

46 Business Continuity Concept & Results Riskportfolio / Availibility / Recovery / Incident & Crisis Management Policy / Sec. Standards ISO / Good Priv@cy Early Warning Indicators Incident / Crisis Mgmt. Menu / Abläufe / Checklisten Business Avalibility Spezif. secure your sucess optimize your information chances and risks Business Recovery Spezif. Cockpit Verfügbarkeit / System / Applikat. / Netzwerk Framework Incident/ Crisis Cockpit Recovery Time DTO / RPO / RTO

47 Erfahrungen und Lehren Teil 4 Erfahrungen und Lehren

48 Erfahrungen und Lehren Das Projekt Kickoff-Meeting muss sehr gut vorbereitet sein (klare Meilensteine; zu erwartende Resultate zeigen) Bei Auswahl eines geeigneten und praxiserprobten Verfahrens spart man Zeit und damit Ressourcen (Man Power und Investitions-/Betriebskosten) Spezielle Software zur Risikoidentifizierung und -analyse ist nicht unbedingt notwendig; eine Abbildung auf Office Plattform mit entsprechender Methodik ist in den meisten Fällen einfach und transparent machbar

49 Erfahrungen und Lehren Mitarbeiter früh einzubinden, ist sehr wichtig Rasche Ergebnisse anstreben! Diese führten innert kürzester Zeit zu einem Winning-Team (Mitarbeitermotivation!) Eine Standortbestimmung (Security & Risk Mgmt. Audit) bzw. eine Risikoanalyse kann mit wenig Aufwand realisiert werden (ausser Sie erfinden das Rad neu!) Beizug von projekterfahrenen Spezialisten für die Definition des Weges zum Ziel und der Methodik ist sehr empfehlenswert. Resultate/ Arbeitsergebnisse immer vor der Auftragsvergabe zeigen lassen.

50 Erfahrungen und Lehren Viele Wege führen nach Rom......kluge Köpfe nehmen den Einfachen und Sicheren! Danke für Ihre Aufmerksamkeit