Informationssicherheits- und Risikomanagement

Transkript

1 Foto: fotolia.com Informationssicherheits- und Risikomanagement Wie viel Unsicherheit verträgt Ihr Unternehmen! CIO-Treffen 2. März 2011 in Salzburg Dipl. Ing. Dr.Dr. Manfred Stallinger, MBA calpana business consulting gmbh

2 Risikomanagement Der Risikomanager ist der Navigator, um sicher auf Kurs zu sein! Je genauer und präziser die Navigationsinstrumente sind, umso geringer ist die Unsicherheit auf dem angepeilten Kurs auf Grund zu laufen Quelle: Romeike, Frank; Finke, Robert: Erfolgsfaktor Risikomanagement: Chance für Industrie und Handel, Lessons learned, Methoden, Checklisten und Implementierung, Gabler Verlag, Wiesbaden calpana business consulting gmbh 2

3 Warum dieser Aufwand in Schiffen und Flugzeugen? Wer fliegt, ohne eine moderne Avionik an Bord zu haben? Diamond Aircraft DA40 NG Sopwith Camel 1916/1917 calpana business consulting gmbh 3

4 und das Cockpit in der IT des Unternehmens Wie muss es aussehen, um sicher auf Kurs zu bleiben? calpana business consulting gmbh 4

5 Die Unsicherheit der IT-Zukunft heute managen Fragen, die man sich stellen sollte! 1. Wie viel IT wird vom Unternehmen wirklich benötigt? 2. Ist die IT für das Unternehmen sicher genug? 3. Ist die IT bezogen auf Sicherheit überinvestiert? 4. Sind IT-Risiken zu den Gesamtrisiken im Unternehmen ausgewogen? vision calpana business consulting gmbh 5

6 IT-Risiko im Unternehmen IT-Risiken sind Bestandteil des gesamten Unternehmensrisikos! Eigentümer / Aufsichtsrat / Prüfungsausschuss Geschäftsführer / Vorstand Finanz-Risikomanagement Sicherstellen der Zielerreichung Minimieren der Insolvenzwahrscheinlichkeit Erkennen möglicher Planabweichungen Analysieren und evaluieren möglicher Investitionsszenarien IT-Risiko-Management Maßnahmen zur Sicherstellung der erforderlichen Verfügbarkeit Vertraulichkeit Integrität von IT-Services Kosten-Orientierung Maßnahmen-Orientierung Die Herausforderung: Die Bewertung der technischer Infrastrukturen und Systeme sind an das unternehmensweite Risikomanagement (ERM) anzubinden! calpana business consulting gmbh 6

7 CHANCE - RISIKO ist die Gefahr einer positiven bzw. negativen Abweichung vom Planwert Eine Chance ist die Möglichkeit einer positiven Abweichung von einem vorher festgelegten Planungs- bzw. Erwartungswert. PLANWERT / ZIELWERT/ POLICY Chance Risiko Ein Risiko ist die Gefahr einer negativen Abweichung von einem vorher festgelegten Planungs- bzw. Erwartungswert. calpana business consulting gmbh 7

8 Die Letztverantwortung für die IT Der Vorstand / Geschäftsführer trägt letztendlich die Verantwortung! Strategien, Visionen, BSC, Maßnahmen IT-Sicherheit Verfügbarkeit Corporate Governance, Basel II Rating Vertraulichkeit Integrität IT-Governance IT-Rating Vorstand / Geschäftsführer IT-Manager Strategien, Visionen, BSC, Maßnahmen IT-Sicherheit Verfügbarkeit Corporate Governance, Basel II Rating Vertraulichkeit Integrität IT-Governance IT-Rating calpana business consulting gmbh 8

9 IT-Risiko im Unternehmensverbund IT-Risiken wirken über Geschäftsprozesse am Unternehmen Unternehmen Unternehmen Vertrieb Human Ressource Finanz und Controlling Zentrale Services Produktion Organisation Prozesse / Bereiche Markt Lieferant Informationstechnologie Personalmarkt Rechtssprechung Rohstoff- u. Energiepreise Finanzierungskosten Risikoobjekte operational, finanz, strategisch calpana business consulting gmbh 9

10 Kernkraftwerk Three Mile Island Herausforderung IT ein Gebilde mit einem nicht ausreichend bekannten Fehlerverhalten Problematik: Risikobewertung kritischer und unbekannter Systeme Für hochzuverlässige oder neuartige Systeme liegen keine direkt nutzbaren Erfahrungen auf höherer Systemebene vor; wegen der Höhe erforderlicher Investitionen und möglicher Gefahren sind (Vorab-) Aussagen zur Zuverlässigkeit und zu Risiken nötig. Lösungsansatz: Zerlegung Aus den Systemkomponenten, deren Eigenschaften eher bekannt sind, lässt sich über deren funktionelle und logische Verknüpfung das Gesamtsystem modellieren und analysieren. Fault Tree Analysis (FTA), Fehlerbaumanalyse Quelle: Grundlagen der technischen Risikoanalytik - ETH Zürich calpana business consulting gmbh 10

11 IT-Systeme sind komplex und vernetzt Systeme werden im Fehlerbaum in ihre Wirkungszusammenhänge zerlegt Business Impact / Auswirkung Finanz und Controlling Forschung & Entwicklung Produktion Eintrittswahrscheinlichkeit / Häufigkeit ERP System CAD ERP Server Datenbank Server IT- Prozesse Basisdienste und Services Archivserver Client Hardware Betriebssystem Rechenzentrum Incident Mgmt. Change Mgmt DNS LAN WAN Gebäude Stromversorgung DNS Server Hardware Betriebssystem Rechenzentrum Das schwächste Glied bestimmt die Zugfestigkeit der gesamten Kette! calpana business consulting gmbh 11

12 IT-Management 2011 Die aktuellen TOP Herausforderungen für das IT-Management 1. die Komplexität der IT managen 2. in richtige und notwendige Maßnahmen investieren. 3. den Nutzwert (ROI) von (IT-) Maßnahmen darstellen. 4. Notfallhandbücher und Notfallplanung bereitstellen. 5. Outsourcing managen und dabei IT-Services dem Businessanforderungen nachführen 6. Service-Qualität und Service-Level managen. 7. Compliance zu geltende Normen, Gesetze und Vorschriften herstellen. 8. den IT-Risikomanagement Prozess betreiben und kontinuierlich verbessern calpana business consulting gmbh 12

13 2011 die Position der IT im Unternehmen ein Service-Center mit einem Fenster und einer Türe! Service Development Service Delivery 1. Die IT berät den Kunden bei der Entwicklung und Definition des erforderlichen IT-Service 1. Services 2. aus SLAs dem werden mit dem Servicekatalog Kunden werden festgelegt dem Kunden 3. entsprechend Erforderliche festgelegter SLAs bereitgestellt Infrastrukturen werden geplant 2. Der Service 4. Desk Service steht Kosten werden dem Kunden als festgelegt Single Point of Contact 5. Der Service zur wird im Seite Operations und Customer Service & Support bereitgestellt calpana business consulting gmbh 13

14 Die Würstel-Bude auch ein Service-Center mit einem Fenster und einer Türe Service: Der Servicekatalog Würstel Express Bratwurst Servicespezifikation / SLA: Menge: 1 Stk. Beilage 1: Senf Beilage 2: Semmel Variante: Brot anstatt Semmel Ausprägung: heiß, auf Porzellanteller serviert Nachschlag: kostenpflichtig Kosten: 2,50 je Anwendung calpana business consulting gmbh 14

15 IT-Service Management Der Grundriss zeigt das erforderliche Prozess-Modell Service Request Architecture Project & Development IT-Management Customer Consulting Operations Customer Service Support Service Delivery calpana business consulting gmbh 15

16 IT-Service Management Der Grundriss zeigt das erforderliche Prozess-Modell ITIL V3 + 7 Step Improvement Process + Service Reporting + Service Measurment Supplier ITIL V2 (1) Capacity Management (2) Availability Management (3) IT-Service Continuity Management (4) Information Security Management ITILV3 + Catalogue Management + Supplier Architecture Management (in V2 incl. in (1)) ITIL V2 (1) Change Management (2) Configuration Management (3) Release Management ITILV3 + Transition Planning and Support + Service Validation + Evaluation + Knowledge Management Operations ITIL V2 (1) Incident Management (2) Problem Management ITILV3 + Event Management + Request Fulfilment (in V2 incl. in (9)) + Access Management ITIL V2 (12) Financial Management ITIL V3 IT-Manage- + Strategy generation + Service Portfolio ment Management + Demand Management ITIL V2 (1) Service Level Management Project & Development Customer Service Support ITIL V2 & V3 (1) Service Desk Service Request Customer Consulting Service Delivery calpana business consulting gmbh 16

17 CRISAM - Corporate Risk Application Method unterstützt ein modernes IT-(Service) Management! Compliance Mgmt. Service Level Management Business Continuity Mgmt. Financial Mgmt. calpana business consulting gmbh 17

18 CRISAM - Corporate Risk Application Method Ein ISO konformes Vorgehens- und Prozessmodell! Unternehmensstrategie, allg. Rahmenbedingungen FESTLEGEN DER RAHMENBEDINGUNGEN Risikopolitik/ -strategie, Zielvorgabe, Rahmenbedingungen für das Risikomanagement Risikopolitik / -strategie Zielvorgabe, Rahmenbedingungen Unternehmensdaten ANALYSE DES UMFELDS (BUSINESS IMPACT) Business Impact im betrachteten Scope Risikostrategie, Risikomodelle, Risikoinventar, Risikogrenzen RISIKOANALYSE Risikowert, Risikokennzahlen Risikodeckungsbedarf Risikopolitik/ -strategie, Risikowert, Risikodeckungsbedarf Risiko IST-Wert, Eigenkapitaleinsatz geplant RISIKOSTEUERUNG MASSNAHMEN- PLANUNG KOSTEN-NUTZEN ANALYSE SOLL-IST Abweichung Maßnahmenplan Maßnahmen-Priorisierung, Risikokosten, Eigenkapitaleinsatz erforderlich Maßnahmenplan, Budget, Ressourcen, Termine IMPLEMENTIERUNG Implementierungsprojekte, Projektpläne, Prüfschritte für Maßnahmenverfolgung (CRISAM... Corporate Risk Application Method) calpana business consulting gmbh 18

19 Stand der Technik (SdT) Produktionsbetriebe Automobilindustrie Energieversorger Gesundheitswesen Best Available Technique (BAT) CRISAM Zielvorgabe Der Vorstand / Geschäftsführer bestimmt das Ziel Speculative Grade Ratingkennzahlen Investment Grade Ratingkennzahlen Versicherungsratingansatz Default CCC B BB BBB A AA AAA keine Sicherheitsmassnahmen maximal RKZ Ratingkennzahl calpana business consulting gmbh 19

20 Business Impact Was kann beim Geschäftsprozess passieren wenn? Verfügbarkeit Vertraulichkeit Integrität IT-SERVICE Rating F&C MFL [ ] F&E MFL [ ] Produktion MFL [ ] ERP BB ,- B , , Office BBB , , ,- Internet BBB ,- - Verfügbarkeit, Vertraulichkeit und Integrität aggregiert calpana business consulting gmbh 20

21 Die Komplexität der IT- managen IT-Systeme wirken in ihrer Ursache- Wirkungsbeziehung auf den IT-Service An der Wurzel des Risikobaumes, wirkt das resultierende Risiko. Das aggregierte Risiko wirkt auf die jeweiligen Organisationseinheiten bzw. Geschäftsprozessen. Die Aggregation der einzelnen Risikoquellen folgt der Fehlerbaumanalyse (DIN 25424). calpana business consulting gmbh 21

22 Das Ziel ist die Referenz Die Zielvorgabe wird auf Über- und Untererfüllung untersucht. Office int. ext SAP FI SAP CO SAP HR App. 1 App. 2 App. 3 App. 4 App. n calpana business consulting gmbh 22

23 Effizientes IT-Management Aus Abweichungen vom SOLL werden konkrete Maßnahmen abgeleitet, Kosten BBB : Jahr Inhalt Kosten [ ] 1 Invest ,00 1 Betrieb ,00 2 Betrieb ,00 3 Betrieb ,00 4 Betrieb ,00 5 Betrieb ,00 Ges: 10% Finanz ,00 Kosten A : Jahr Inhalt Kosten [ ] 1 Invest ,00 1 Betrieb ,00 2 Betrieb ,00 3 Betrieb ,00 4 Betrieb ,00 5 Betrieb ,00 Ges: 10% Finanz ,00 calpana business consulting gmbh 23

24 Was wäre wenn? Maßnahmen werden auf Effizienz geprüft Ausgangssituation Optimierter IST-Zustand Umsetzung der Maßnahme 1 Umsetzung der Maßnahme 5 Umsetzung der Maßnahme 2 Umsetzung der Maßnahme 4 Umsetzung der Maßnahme 3 calpana business consulting gmbh 24

25 CRISAM Cost Benefit Analyse IT-Risiken sind monetär zu bewerten! Eigentümer / Aufsichtsrat / Prüfungsausschuss Geschäftsführer / Vorstand Finanz-Risikomanagement Sicherstellen der Zielerreichung Minimieren der Insolvenzwahrscheinlichkeit Erkennen möglicher Planabweichungen Analysieren und evaluieren möglicher Investitionsszenarien IT-Risiko-Management Maßnahmen zur Sicherstellung der erforderlichen Verfügbarkeit Vertraulichkeit Integrität von IT-Services calpana business consulting gmbh 25

26 Business Impact Der Maximum Forseeable Loss (MFL) wurde bereits erfasst Business Process Owner IT-SERVICE Rating F&C MFL [ ] F&E MFL [ ] Produktion MFL [ ] ERP BB ,- B , , Office BBB , , ,- Internet BBB ,- - Verfügbarkeit, Vertraulichkeit und Integrität aggregiert calpana business consulting gmbh 26

27 Kosten zur Risikoreduktion Abweichungen werden Verbesserungsprojekten zugewiesen, Kosten BBB : Jahr Inhalt Kosten [ ] 1 Invest ,00 1 Betrieb ,00 2 Betrieb ,00 3 Betrieb ,00 4 Betrieb ,00 5 Betrieb ,00 Ges: 10% Finanz ,00 Kosten A : Jahr Inhalt Kosten [ ] 1 Invest ,00 1 Betrieb ,00 2 Betrieb ,00 3 Betrieb ,00 4 Betrieb ,00 5 Betrieb ,00 Ges: 10% Finanz ,00 calpana business consulting gmbh 27

28 monetäres Risiko ohne Maßnahmenwirkung Risiko werden auf ihren monetären Impact bewertet. ERGEBNIS IST-Bewertung IT-Service Prozess Rating MFL BestCase MostLikely WorstCase ERP F&C BB , , , ,00 F&C B ,00 21, , ,00 OFFICE F&C BBB ,00 315, , ,30 Internet F&E BB ,00 490, , ,00 F&E B , , , ,00 OFFICE F&E BBB ,00 631, , ,60 ERP Produktion BB , , , ,00 Produktion B ,00 21, , ,00 OFFICE Produktion BBB ,00 21,04 123,90 294,62 Erwartetes Risiko IT: ,00 Risikokosten in 5 Jahren: ,00 Finance & Controlling Forschung & Entwicklung Produktion calpana business consulting gmbh 28

29 Was wäre wenn BBB? Eine Verbesserung um einen 5-jahres Nettonutzen von etwa ,00 ERGEBNIS IST-Bewertung IT-Service Prozess Rating MFL BestCase MostLikely WorstCase ERP F&C BBB ,00 841, , ,00 F&C BBB ,00 42,08 247, ,40 OFFICE F&C BBB ,00 315, , ,50 Internet F&E BBB ,00 210, , ,00 F&E BBB , , , ,00 OFFICE F&E BBB ,00 631, , ,00 ERP Produktion BBB , , , ,00 Produktion BBB ,00 42,08 247, ,40 OFFICE Produktion BBB ,00 21,04 123,90 586,70 Erwartetes Risiko IT: Risikokosten in 5 Jahren: ,00 Finance & Controlling Forschung & Entwicklung Produktion calpana business consulting gmbh 29

30 Was wäre wenn A? Eine Verbesserung um einen 5-jahres Nettonutzen von lediglich ,00 ERGEBNIS IST-Bewertung IT-Service Prozess Rating MFL BestCase MostLikely WorstCase ERP F&C A ,00 278, , ,80 F&C A ,00 13,90 82,56 195,64 OFFICE F&C A ,00 104,27 619, ,30 Internet F&E A ,00 69,51 412,80 978,20 F&E A , , , ,00 OFFICE F&E A ,00 208, , ,60 ERP Produktion A ,00 347, , ,00 Produktion A ,00 13,90 82,56 195,64 OFFICE Produktion A ,00 6,95 41,28 97,82 Erwartetes Risiko IT: ,00 Risikokosten in 5 Jahren: ,00 Finance & Controlling Forschung & Entwicklung Produktion calpana business consulting gmbh 30

31 Die Entscheidung Der Vorstand / Geschäftsführer kann seiner Verantwortung nachkommen! Vorstand / Geschäftsführer Gewinn- Strategien, und Verlustrechnung EBIT Visionen, BSC, Erlöse Eurozone( ) USA Corporate ($) Governance, Asien Basel ( ) II Fremdleistungen Rating Leistung 1 ( ) Leistung 2 ($) Leistung 3 ( ) Betriebsaufwand Rohstoffe Strategien, Energie Visionen, Personal BSC, IT Marketing u. Werbung Corporate Governance, Sonst. Aufwendungen Finanzaufwand Basel II Währungsbesicherung Rating EBIT Maßnahmen in 5 Jahren +/- 0,0 EBIT IT-Sicherheit in 5 Jahren + ca. T 370,00 Verfügbarkeit EBIT in 5 Jahren + ca. T 320,00 Vertraulichkeit Integrität IT-Governance IT-Rating Aufwendungen für Maßnahmen Maßnahmenkosten in 5 Jahren 0,00 Maßnahmen Maßnahmenkosten in 5 Jahren ca. T 350,00 IT-Sicherheit Maßnahmenkosten Verfügbarkeit in 5 Jahren ca. T 520,00 Risikokosten Vertraulichkeit in 5 Jahren: ca. T 900,00 Risikokosten Integrität in 5 Jahren: ca. T 180,00 IT-Governance Risikokosten IT-Rating 5 Jahren: ca. T 60,00 IT-Risiken IT-Manager calpana business consulting gmbh 31

32 CRISAM IT-Notfallmanagement Standards und Best Practice Ansätze calpana business consulting gmbh 32

33 CRISAM IT-Notfallmanagement Entspricht der BS und dem BSI Standard CONTEXT ESTABLISHMENT ACT SOLL-IST-Vergleich durchführen SCOPE ANALYSIS Überprüfen des CHECK BCM-Systems Notfallorsorgekonzept umsetzen DO Notfallplanung / Notfallvorsorge PLAN RISK ASSESSMENT MEASURE- PLANNING RISK CONTROL COST-BENEFIT ANALYSIS IMPLEMENTATION calpana business consulting gmbh 33

34 CRISAM Service Level Management Der IT-Service die Schnittstelle zum Kunden, dem Geschäftsprozess SLA`s nachvollziehbar vereinbaren SLA`s auch für Vertraulichkeit und Integrität festlegen SLA s mit Übergabepunkt, Servicequalität und Servicetyp spezifizieren SLA`s unterjährig prüfen und auditieren calpana business consulting gmbh 34

35 CRISAM Service Level Management Abbildung der SLA`s in CRISAM Servicepunkt: Pkt. Messpunkt Beschreibung 1 S_SOURCE Messpunkt beim Serviceerbringer 2 S_DELIVERY Messpunkt am Eingang des Servicenutzers 3 S_DESTINATION Messpunkt beim Servicenutzer S-SRC (Service Source) S-DEL (Service Delivery) S-DST (Service Destination) calpana business consulting gmbh 35

36 CRISAM Reporting IRM-Prozess- und Compliance Reporting RM Process Reports Compliance Reports Geltungsbereich GAP-Analyse BSI GSHB Policy-Dokumente benutzerspez. Report Cobit 4.0 Maßnahmenk atalog KPI-Report SOX Risikoanalyse Implementierung calpana business consulting gmbh 36

37 CRISAM Key Performance Indikatoren (KPI s) Den Risikomanagement Prozess durch Kennzahlen steuern calpana business consulting gmbh 37

38 Bleiben Sie sicher auf Kurs! einfach, präzise, wertorientiert und nachvollziehbar Our Mission: Das komplexe Thema Risiko einfach handhabbar machen. Risiken aus der Bauchhöhle herausholen und präzise bewerten. Chancen und Risiken im Unternehmen ganzheitlich und wertorientiert darstellen. Bewertungen und daraus resultierende Konsequenzen nachvollziehbar machen. calpana business consulting gmbh 38

39 Foto: fotolia.com CRISAM ein Risikomanagement mit System! Vielen Dank für Ihre Aufmerksamkeit! calpana business consulting gmbh A-4020 Linz, Blumauerstraße 43 Tel: +43 (732) Copyright 2010 calpana business consulting gmbh