Secure Mobile Computing. RoSI Return on Security Invest. Wie rechnet sich IT-Security?

Transkript

1 Secure Mobile Computing RoSI Return on Security Invest Wie rechnet sich IT-Security? Dr. Christoph Schog Line Security Officer (LSO)

2 Seite 2 Gliederung Was ist RoSI? Warum in Security investieren? Security bei T-Systems

3 Seite 3 Definition von RoSI RoSI ist eine betriebswirtschaftliche Kennzahl* zur Bestimmung, welche Investitionen in Sicherheit sich lohnen und welche nicht. ALE = R E + T RoSI = R ALE = E T (Nutzen) R = jährliche Recovery Kosten E = Ersparnis T = Tool Kosten (inkl. Schulung, Administration, ) ALE = jährliche Verlusterwartung durch verbliebene Schäden (Annual Loss Expectancy) Ursprung: den ROI für ein Intrusion Detection Tool ermitteln Ersparnis: durch die rechtzeitige Abwehr von protokollierten Eindringversuchen ausgebliebene Schäden * University of Idaho

4 Seite 4 Geschäft mit der Angst Systematik: Welche Schäden wären entstanden, wenn die Investition NICHT getätigt worden wäre Voraussetzung: Gewisse Häufigkeit von vergleichbaren Ereignissen, ansonsten hoch spekulativ Wirkung: negativ

5 Seite 5 Kann Angst begeistern?

6 Seite 6 Warum werden Investitionen in Sicherheit getätigt? Wettbewerbsvorteile gewinnen Wettbewerbsnachteile vermeiden

7 Seite 7 Wettbewerbsvorteile gewinnen Knautschzonen-Patent von Mercedes (August 1952) Mercedes-Benz dokumentiert seine Rolle als Trendsetter der Fahrzeugsicherheit (August 2002) Renault Laguna erreichte als erstes Automobil im anspruchsvollen Euro NCAP-Test 5 Sterne (März 2001)

8 Seite 8 Wettbewerbsnachteile vermeiden Fahrzeuge ohne Airbag nicht mehr verkaufbar Elch-Test-Debakel der A-Klasse Überlebte das Elch-Test-Debakel: Mercedes A-Klasse (Spiegel) Get Secure - Stay Secure " Microsoft, 7. Febr. 2002

9 Seite 9 aber Wettbewerb kann begeistern!

10 Seite 10 Warum Investitionen in Informations-Sicherheit? Investitionen in Informationssicherheit nicht um der Sicherheit willen sondern zur Verbesserung oder zur Aufrechterhaltung von Wettbewerbsfähigkeit

11 Seite 11 Triebkräfte für Investitionen in Informations-Sicherheit Produktivität Profitabilität Kundenanforderungen Image

12 Seite 12 Produktivität SQL-Slammer (Jan. 2003) [Ausfalltage] Closed Area s Corporate Network [Standorte]

13 Seite 13 Produktivität neue Netzarchitektur Große Netze verlangen eine andere Architektur als kleine Netzsegmentierung zur Leistungsfähigkeit von Produktionsnetzen (Abschottung von Entwicklungsnetzen) Kontrolle der Netzqualität (Hardware, Software, Patches,..) Eindämmung möglicher Schäden auf Segmente Resultat ist u.a. mehr Sicherheit! Was ist der RoSI-Wert?

14 Seite 14 Profitabilität Offshore-Entwicklung Kostenreduzierung durch SW-Entwicklung im preiswerteren Ausland z.b. in Indien (Offshoring) Projekt-, Vertrags-, Personal-, Financial-, IT- und Security- Management Kostengünstige Nutzung öffentlicher Netze, Vertraulichkeit über Verschlüsselung Qualitätsstandards und Sicherheitsanforderungen in internationalen Projekten Resultat ist u.a. mehr Sicherheit! Was ist der RoSI-Wert?

15 Seite 15 Kundenanforderungen Wettbewerbsposition schützen Kunden fordern Schutz ihrer Informationen vor Wettbewerbern getrennte Datenhaltung, Notebookverschlüsselung, sichere Kommunikation, Anforderungen an Fremdkapazität,. Personal-, Vertrags-, IT-, Security-Management Resultat ist u.a. mehr Sicherheit! Was ist der RoSI-Wert?

16 Seite 16 Image T-Systems als vertrauenswürdiger Geschäftspartner Image-Aufbau ist mehr als Vermeidung von Sicherheits-Vorfällen Wirksame Öffentlichkeitsarbeit Identifikation der Mitarbeiter mit dem Unternehmen Eingespielte Prozesse (z.b. bei einem Vorfall) Customer Relationship Management Resultat ist u.a. mehr Sicherheit! Was ist der RoSI-Wert?

17 Seite 17 Security Management bei T-Systems Security-Policy Sicherheit als integraler Bestandteil der Leistungserbringung Sicherheit trägt wesentlich zum Unternehmenserfolg bei

18 Seite 18 Prozesslandschaft T-Systems Leadership & Management Strategy & Planning Finance & Controlling Human Resources Management Purchasing Markets Marketing Portfolio Management Sales & Customer Relationship Management Commercial Order Management Delivery Management Delivery Customers Legal Management Security Management Process & Quality Management IT & Infrastructure

19 Seite 19 Der Security-Cycle Sicherheitslücken Sicherheitsvorfälle Prüfen der Wirksamkeit Risiko - analyse Der Stand der Unternehmenssicherheit wird durch Security Life Cycle bezogene Kennzahlen gemessen Umsetzen der Maßnahmen Planen der Maßnahmen

20 Seite 20 Einordnung der Security-Kennzahlen in die ScoreCard der T-Systems Finanzen/ Ergebnis Prozesse/Produktivität Durchdringung der Prozesse Durchdringung der Infrastruktur Anzahl der Sicherheitsvorfälle Sicherheits- Image Relevanz von Sicherheit in der Auftragsvergabe Markt/ Kunde Subjektive Wahrnehmung der Sicherheit Sensibilisierungsgrad der Beschäftigten Mitarbeiter/ Innovation

21 Seite 21

22 RoSI Return on Security Invest Wie rechnet sich IT-Security? Security rechnet sich als integraler Bestandteil des Business und nicht als eigenständige Maßnahme. Die Investition in Security ist eine politische Entscheidung wie die über den Umfang von Human Ressource, Finance & Controlling, Quality Management Vielen Dank für Ihre Aufmerksamkeit! ====!" ==Systems=