IT-Risikomanagement Governance, Risk & Compliance für die IT

Transkript

1 Foto: fotolia.com IT-Risikomanagement Governance, Risk & Compliance für die IT Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA calpana business consulting gmbh

2 Risikomanagement in der IT CRISAM Framework CRISAM IT-Risikomanagement Kosten Nutzen Analyse mit CRISAM Compliance Management Prozesskenzahlen (KPI`s) CRISAM im Gesundheitswesen CRISAM in der Cloud calpana business consulting gmbh 2

3 Herausforderung IT-Risiko Management Richtige Antworten auf folgende Fragen finden! Wie viel IT wird vom Unternehmen wirklich benötigt? Ist die IT für das Unternehmen sicher genug bzw. wo müssen Verbesserungen durchgeführt werden? Wie stark reduzieren geplante Maßnahmen das Risiko nach deren Umsetzung? Sind die geplanten Maßnahmen wirtschaftlich sinnvoll und effizient? Wie beeinflusst das IT-Risiko das Unternehmens-Gesamtrisiko? calpana business consulting gmbh 3

4 Chance - Risiko sind positive oder negative Abweichungen vom Ziel- bzw. Planwert Eine Chance ist die Möglichkeit einer positiven Abweichung von einem vorher festgelegten Planungs- bzw. Erwartungswert. PLANWERT / ZIELWERT/ POLICY Chance Risiko Ein Risiko ist die Gefahr einer negativen Abweichung von einem vorher festgelegten Planungs- bzw. Erwartungswert. calpana business consulting gmbh 4

5 IT-Risiken im Unternehmensverbund IT-Risiken wirken über Geschäftsprozesse am Unternehmen Unternehmen Unternehmen Vertrieb Human Ressource Finanz und Controlling Zentrale Services Produktion Organisation Prozesse / Bereiche Markt Lieferant Informationstechnologie Personalmarkt Rechtssprechung Rohstoff- u. Energiepreise Finanzierungskosten Risikoobjekte operational, finanz, strategisch calpana business consulting gmbh 5

6 (IT-) Governance Der Vorstand / Geschäftsführer trägt letztendlich die Verantwortung! Strategien, Visionen, BSC, Maßnahmen IT-Sicherheit Verfügbarkeit Corporate Governance, Basel II Rating Vertraulichkeit Integrität IT-Governance IT-Rating Vorstand / Geschäftsführer IT-Manager Strategien, Visionen, BSC, Maßnahmen IT-Sicherheit Verfügbarkeit Corporate Governance, Basel II Rating Vertraulichkeit Integrität IT-Governance IT-Rating calpana business consulting gmbh 6

7 IT-Systeme, Infrastrukturen und Facilities IT-Systeme sind komplex und vernetzt Finanz und Controlling Forschung & Entwicklung Produktion Business Impact / Auswirkung Eintrittswahrscheinlichkeit / Häufigkeit ERP System CAD ERP Server Datenbank Server IT- Prozess Basisdienste und Services Archivserver Client Hardware Betriebssystem Rechenzentrum Incident Mgmt. Change Mgmt DNS LAN WAN Gebäude Stromversorgung DNS Server Hardware Betriebssystem Rechenzentrum Das schwächste Glied bestimmt die Zugfestigkeit der gesamten Kette! calpana business consulting gmbh 7

8 IT-Management Die aktuellen TOP Herausforderungen für das IT-Management 1. die Komplexität der IT managen 2. in richtige und notwendige Maßnahmen investieren. 3. den Nutzwert (ROI) von (IT-) Maßnahmen darstellen. 4. Notfallhandbücher und Notfallplanung bereitstellen. 5. Outsourcing managen und dabei IT-Services dem Businessanforderungen nachführen 6. Service-Qualität und Service-Level managen. 7. Compliance zu geltende Normen, Gesetze und Vorschriften herstellen. 8. den IT-Risikomanagement Prozess betreiben und kontinuierlich verbessern calpana business consulting gmbh 8

9 CRISAM Ein ganzheitlicher Ansatz, um diese Herausforderungen zu bewältigen Best Case Most Likely Worst Case CRISAM Rating Volatilität Maßnahmenkosten CRISAM FV-ERM - Finanzmodelle - Risikorahmen - Ergebnisanalyse / Reporting - Monte Carlo Simulation - Maßnahmenverwaltung CRISAM CBA (Cost Benefit Analyzer) CRISAM RV-IRM CRISAM RV-ERM IT-Risiken allg. Unternehmesrisiken Expertenwissen Marktentwicklungen calpana business consulting gmbh 9

10 CRISAM - Corporate Risk Application Method Ein ISO konformes Vorgehens- und Prozessmodell! Unternehmensstrategie, allg. Rahmenbedingungen FESTLEGEN DER RAHMENBEDINGUNGEN Risikopolitik/ -strategie, Zielvorgabe, Rahmenbedingungen für das Risikomanagement Risikopolitik / -strategie Zielvorgabe, Rahmenbedingungen Unternehmensdaten ANALYSE DES UMFELDS (BUSINESS IMPACT) Business Impact im betrachteten Scope Risikostrategie, Risikomodelle, Risikoinventar, Risikogrenzen RISIKOANALYSE Risikowert, Risikokennzahlen Risikodeckungsbedarf Risikopolitik/ -strategie, Risikowert, Risikodeckungsbedarf Risiko IST-Wert, Eigenkapitaleinsatz geplant RISIKOSTEUERUNG MASSNAHMEN- PLANUNG KOSTEN-NUTZEN ANALYSE SOLL-IST Abweichung Maßnahmenplan Maßnahmen-Priorisierung, Risikokosten, Eigenkapitaleinsatz erforderlich Maßnahmenplan, Budget, Ressourcen, Termine IMPLEMENTIERUNG Implementierungsprojekte, Projektpläne, Prüfschritte für Maßnahmenverfolgung (CRISAM... Corporate Risk Application Method) calpana business consulting gmbh 10

11 Rahmenbedingungen Rahmenbedingungen werden vom TOP Management vorgegeben Informationssicherheitspolitik Risikoklassen Datenklassen Rollen und Funktionen calpana business consulting gmbh 11

12 Business Impact Analyse IT-Services werden Am Geschäftsprozess gemessen calpana business consulting gmbh 12

13 Die Komplexität der IT- managen IT-Systeme wirken in ihrer Ursache- Wirkungsbeziehung auf den IT-Service An der Wurzel des Risikobaumes, wirkt das resultierende Risiko. Das aggregierte Risiko wirkt auf die jeweiligen Organisationseinheiten bzw. Geschäftsprozessen. Die Aggregation der einzelnen Risikoquellen folgt der Fehlerbaumanalyse (DIN 25424). calpana business consulting gmbh 13

14 Die Komplexität der IT- managen Die Bewertung erfolgt auf Basis Standards und Best Practices calpana business consulting gmbh 14

15 Die Ziel- bzw. Planabweichung analysieren Die Zielvorgabe wird auf Über- und Untererfüllung untersucht. Office int. ext SAP FI SAP CO SAP HR App. 1 App. 2 App. 3 App. 4 App. n calpana business consulting gmbh 15

16 Die Ursachen für die Abweichung identifizieren Aus Abweichungen vom SOLL werden konkrete Maßnahmen abgeleitet, Kosten BBB : Jahr Inhalt Kosten [ ] 1 Invest ,00 1 Betrieb ,00 2 Betrieb ,00 3 Betrieb ,00 4 Betrieb ,00 5 Betrieb ,00 Ges: 10% Finanz ,00 Kosten A : Jahr Inhalt Kosten [ ] 1 Invest ,00 1 Betrieb ,00 2 Betrieb ,00 3 Betrieb ,00 4 Betrieb ,00 5 Betrieb ,00 Ges: 10% Finanz ,00 calpana business consulting gmbh 16

17 Die Effizienz der Maßnahmen simulieren Maßnahmen werden in ihren Umsetzungsschritten simuliert Ausgangssituation Optimierter IST-Zustand Umsetzung der Maßnahme 1 Umsetzung der Maßnahme 5 Umsetzung der Maßnahme 2 Umsetzung der Maßnahme 4 Umsetzung der Maßnahme 3 calpana business consulting gmbh 17

18 Maßnahmenplanung Unterstützung Bewertung der Sensitivität calpana business consulting gmbh 18

19 Implementierung Projektmanagement bei der Umsetzung der Maßnahmen calpana business consulting gmbh 19

20 Kosten-Nutzen Analyse Wo liegt das wirtschaftliche Optimum? Business Process Owner IT-SERVICE Rating F&C F&E Produktion MFL [ ] MFL [ ] MFL [ ] ERP BBB A ,- BBB A , , Office BBB A , , ,- Internet BBB A ,- - ERGEBNIS IST-Bewertung Erwartetes Risiko p.a , ,00 Risikokosten in 5 Jahren , , ,00 Maßnahmenkosten: , ,00 Nutzwert in 5 Jahren ca , ,00 calpana business consulting gmbh 20

21 Kosten-Nutzen Analyse Betrachtung unterschiedlicher Zielratingszenarien calpana business consulting gmbh 21

22 CRISAM CBA Report - Unternehmensübersicht Dem Risikomanager bzw. Entscheidungsträger wird in einer übersichtlichen Form das aggregierte Unternehmensrisiko dargestellt. Das Ergebnis wird in grafischer Form (Verteilungsfunktion und Histogramm) und tabellarisch mit allen Details dargestellt: Erwartungswert Erwartungswert - 5 Jahresbetrachtung Standardabweichung Standardabweichung - 5 Jahresbetrachtung Modalwert Wölbung Schiefe Perzentil (im 10% Intervall + 5% und 95%) calpana business consulting gmbh 22

23 CRISAM CBA Report - Detailansicht Alle Detailergebnisse werden dem Risikomanager in einer detaillierten Übersicht in den Ausprägungen: 5% Perzentil 95% Perzentil Erwartungswert Standardabweichung bereitgestellt. Ergebnisse können durch eine Drill Down Funktion ausgewählt oder ausgeblendet werden. calpana business consulting gmbh 23

24 CRISAM CBA Report Excel Export Universeller Datenaustausch mit Fremdsystemen z.b. Kalkulationssysteme Enterprise Risk Management Systeme Externe Simulation Elektronische Weiterverarbeitung in Excel calpana business consulting gmbh 24

25 Aggregation auf das Unternehmensergebnis Wirkung der IT-Risiken auf die Unternehmensplanung! Dollar absichern Yen absichern Marketingmaßnahmen Personalaufwendungen IT-Aufwendungen Gewinn- und Verlustrechnung EBIT Verlust int. Kunde Währung [$] Währung [ ] Personal- Risiko IT-Risiken Erlöse Eurozone( ) USA ($) Asien ( ) Fremdleistungen Leistung 1 ( ) Leistung 2 ($) Leistung 3 ( ) Betriebsaufwand Rohstoffe Energie Personal IT Marketing u. Werbung Sonst. Aufwendungen Finanzaufwand Währungsbesicherung calpana business consulting gmbh 25

26 CRISAM Reporting Berichte werden automatisiert aus der Datenbasis generiert RM Process Reports Compliance Reports Geltungsbereich GAP-Analyse BSI GSHB Policy-Dokumente benutzerspez. Report Cobit 4.0 Maßnahmenk atalog KPI-Report SOX Risikoanalyse Implementierung calpana business consulting gmbh 26

27 CRISAM Compliance Management Compliance zu geltenden Standards und Best Practices ISO 27001:2005 BSI GSHB calpana business consulting gmbh 27

28 ISO konforme ISMS Prozessdokumentation CRISAM liefert die ISMS Prozessdokumentation Informationssicherheitspolitik Risikoklassen Datenklassen Scope Document Statement of Applicability Compliance Report KPI Report Rollen und Funktionen calpana business consulting gmbh 28

29 ISO 27001:2005 Compliance Report Die Compliance zum Standard wird automatisiert erfasst calpana business consulting gmbh 29

30 Kennzahlen ermitteln und bereitstellen Den Risikomanagement Prozess durch Kennzahlen steuern calpana business consulting gmbh 30

31 CRISAM im Gesundheitswesen Application of risk management for IT-networks incorporating medical devices Inhalt: Section 1: Scope Section 2: Terms and Definitions Section 3: Roles and Responsibilities Section 4: Life Cycle Risk Management In Medical It-Networks Section 5: Document Control Annex A: (informative) Rationale Annex B: (Informative) Overview Of Risk Management Relationships Annex C: (Informative) Guidance On Field Of Application Annex D: (Informative) Relationship With ISO/IEC :2005 Information Technology Service management Part 2: Code of practice Bibliography calpana business consulting gmbh 31

32 ISO Managementprozess 1. Grundsatzentscheidung: Medizinprodukte werden in das IT-Netzwerk integriert 2. Management Committment: Das TOP Management erstellt/überarbeitet Policies, stellt die erforderlichen Ressourcen bereit und setz den Risikomanagement Prozess auf. 3. Change-Release Management: 1. Von der verantwortlichen Organisation kommt die Anforderung: Bestimmte Medizinprodukte einzusetzen Ziel und Verwendungszweck des MP Nutzen und Erwartung durch Integration in IT-Netzwerk Akzeptanzkriterien für Restrisiken 2. Vom Medizinprodukt-Hersteller kommen: Zweck der Anbindung an ein MED-IT-Netzwerk Implementierungsspezifikationen Eine Liste an Gefahrensituationen 3. Vom IT-Netzwerk Proider kommen: Implementierungsrandbedingungen Implementierungsvorschlag Computer- und Netzsicherheitshinweise Notfallplanung 4. Der MED-IT-Netzwerk Risikomanagement steuert den Planungs- und Risikomanagement Prozess. ZIEL: akzeptiertes Risiko! 4. Go Live: 1. Die verantwortliche Organisation prüft das verbleibende Restrisiko 2. Der MED-IT-Risikomanager gibt den Live-Betrieb frei 5. Live Environment Risk Management: 1. Monitoring Prüfen auf Änderungen der Umgebung und des Stands der Technik Einhaltung der Leistungsfähigkeit und Service-Vereinbarungen 2. Event Management Dokumentation und Berichten von Vorkommnisse Erkennen von notwendigen Änderungen calpana business consulting gmbh 32

33 ISO mit CRISAM FESTLEGEN DER RAHMENBEDINGUNGEN ANALYSE DES UMFELDS (BUSINESS IMPACT) RISIKOANALYSE RISIKOSTEUERUNG MASSNAHMEN- PLANUNG KOSTEN-NUTZEN ANALYSE IMPLEMENTIERUNG calpana business consulting gmbh 33

34 CRISAM in der Cloud Anforderungen an den Business-Cloud Service aus Nutzer- Sicht Unternehmensstrategie, allg. Rahmenbedingungen FESTLEGEN DER RAHMENBEDINGUNGEN Risikopolitik/ -strategie, Zielvorgabe, Rahmenbedingungen für das Risikomanagement Risikopolitik / -strategie Zielvorgabe, Rahmenbedingungen Unternehmensdaten ANALYSE DES UMFELDS (BUSINESS IMPACT) Business Impact im betrachteten Scope Risikostrategie, Risikomodelle, Risikoinventar, Risikogrenzen RISIKOANALYSE Risikowert, Risikokennzahlen Risikodeckungsbedarf Publizierte Business- Cloud Services mit garantierten SLA`s Garantie Risikopolitik/ -strategie, Risikowert, Risikodeckungsbedarf Risiko IST-Wert, Eigenkapitaleinsatz geplant RISIKOSTEUERUNG MASSNAHMEN- PLANUNG KOSTEN-NUTZEN ANALYSE SOLL-IST Abweichung Maßnahmenplan Maßnahmen-Priorisierung, Risikokosten, Eigenkapitaleinsatz erforderlich Maßnahmenplan, Budget, Ressourcen, Termine (CRISAM... Corporate Risk Application Method) Cloud IMPLEMENTIERUNG Implementierungsprojekte, Projektpläne, Prüfschritte für Maßnahmenverfolgung calpana business consulting gmbh 34

35 Wie passt der Cloud Service zum Geschäftsprozess Der SLA ist geringer als das Minimum der gesamten Kette! Finanz und Controlling Forschung & Entwicklung Produktion SLA<MIN(Cloud, Internet, Client) Business Impact / Auswirkung ERP System Client ERP Server Datenbank Server IT- Prozess Basisdienste und Services Hardware Internet- Verbindungsnetz Betriebssystem Rechenzentrum Incident Mgmt. Change Mgmt DNS LAN Gebäude Stromversorgung Cloud Internet calpana business consulting gmbh 35

36 CRISAM Cloud-SLA Der Cloud-Service wird an der Grenze des Cloud-Providers übergeben! Der zu erbringende Service wird an der Cloud-Boundary übergeben: S-SRC (Service Source) Cloud S-DEL (Service Delivery)? Service-Delivery Provider Internet S-DST (Service Destination) Mindestinhalte einer Cloud-Service Level Spezifikation sind: 1. Messbarkeit für Verfügbarkeit, Vertraulichkeit und Integrität durch nachvollziehbare Maß- oder Kennzahlensysteme. 2. Mess- und Übergabepunkt der definierten Leistung. 3. Berechnungsmodus (Einzelarbeitsplatz / Standort / gesamter Service) und Durchrechnungszeitraum. 4. Geografische Leistungserbringung 5. Erfüllungsnachweis erforderlicher Compliance Bedingungen (z. B. SAS70 für die Cloud ) calpana business consulting gmbh 36

37 Der Cloud-Service in CRISAM modelliert calpana business consulting gmbh 37

38 Sicher auf Kurs bleiben! einfach, präzise, wertorientiert und nachvollziehbar Our Mission: Das komplexe Thema Risiko einfach handhabbar machen. Risiken aus der Bauchhöhle herausholen und präzise bewerten. Chancen und Risiken im Unternehmen ganzheitlich und wertorientiert darstellen. Bewertungen und daraus resultierende Konsequenzen nachvollziehbar machen. calpana business consulting gmbh 38

39 Foto: fotolia.com CRISAM ein Risikomanagement mit System! Vielen Dank für Ihre Aufmerksamkeit! calpana business consulting gmbh A-4020 Linz, Blumauerstraße 43 Tel: +43 (732) Copyright 2010 calpana business consulting gmbh