Oberseminar Hamburg Bernd Ewert

Transkript

1 Business Continuity in der Praxis Oberseminar Hamburg Bernd Ewert

2 consequa GmbH Unternehmensstandort Hamburg gegründet langjährige Beratungserfahrungen Business Continuity / IT-Recovery Information Security / IT-Sicherheit Service Quality / SLAs bei Großunternehmen und Mittelstand Banken und Versicherungen Industrie und Handel Logistik- und Medienunternehmen Behörden Wir helfen unseren Kunden, ihre Geschäftsfähigkeit gegen operationelle Risiken abzusichern und so ihre Wettbewerbsfähigkeit zu verbessern.

3 Agenda Wer oder was ist Business Continuity? Risiken und BC-Ziele Zusammenspiel von Business und IT Business Recovery IT Recovery Recovery-Organisation

4 BC und Nachbardisziplinen Business Continuity sichert die angemessene Verfügbarkeit und Wiederherstellung kritischer Ressourcen, die zur Ausübung kritischer Geschäftsfunktionen benötigt werden Information Security sichert angemessene Verfügbarkeit, Vertraulichkeit, Integrität, Verbindlichkeit der genutzten Informationen Arbeitssicherheit sichert das Personal gegen Gefahren bei der Arbeit ab Überschneidungen Verfügbarkeit von Personal und Informationen Verfügbarkeit von Informationstechnik Sofortmaßnahmen im Notfall und Notfallvorsorge für IT

5 Warum Business Continuity Management? To be or not to be (anymore), that is the (BCM) question... Quinet Gregory frei nach Shakespeare

6 Agenda Wer oder was ist Business Continuity? Risiken und BC-Ziele Zusammenspiel von Business und IT Business Recovery IT Recovery Recovery-Organisation

7 BC-Szenarien Störung Notfall Katastrophe großflächige Verseuchung mit radioaktiven oder chemischen Substanzen Epidemien Ausfall eines Gebäudes, in dem sich zentrale Funktionseinheiten befinden Ausfall eines Rechenzentrums Ausfall eines Servers Ausfall eines Arbeitsplatzes

8 Was kann passieren? dreimal 3% fünfmal 2% mehr als fünfmal 2% zweimal 6% Häufigkeit von Notfällen in 5 Jahren einmal 14% nie 73% Gründe für Betriebsunterbrechungen Quelle: Forrester / Disaster Recover Journal keine Unterbrechung Chemieunfall Tornado Erdbeben Terrorismus Wintersturm Feuer Hurrikan Hochwasser menschliches Versagen Software-Ausfall Netzwerkausfall Hardware-Ausfall Stromausfall

9 Mögliche Szenarien

10 6 Typisches Szenario IT-Notfall RZ-Fläche und Versorgungseinrichtungen IT-Infrastruktur Produktion, Lager, Bürogebäude Server LAN / Campusnetz Sicherungen Mitarbeiter(innen) WAN Arbeitsmittel Arbeitsplätze Dokumente Kommunikation Kommunikationspartner Arbeitsplatz-IT

11 direkte Wirkung von Bedrohungen Bedrohung gefährdet Ressource Schwachstelle Bedrohungswahrscheinlichkeit senken präventiv Schwachstelle beseitigen präventiv

12 indirekte Wirkung von Bedrohungen Ressource fällt aus für Geschäftsfunktion führt zu Schaden begrenzen Schaden begrenzen reaktiv reaktiv

13 Folgeschadenspotentiale (Kosten) Geschäftsfeld Branche Kosten Tsd $ pro Stunde Aktienhandel Finanzen Kreditkarten-Abwicklung Finanzen Pay-per-View Medien 138 TV-Shopping Handel 109 Online-Ticket Handel 83 Flugreservierung Tourismus 108 Paketversand Transport 34 Quelle: contingency planning research 2004

14 Schadenspotential entspricht Ausfallzeit Schaden kritische Grenze - existenzbedrohend Zeit

15 Identifikation kritischer Geschäftsfunktionen Geschäftsfunktionen Produktion Beschaffung Eingangslager Ausgangslager Distribution Controlling unterstützende Funktionen Personal Finanzwesen Organisation Facility Mgmt....

16 Wie entsteht Kontinuität? Geschäftsfunktionen haben Aufgaben werden bearbeitet durch Arbeitsmittel nutzen Menschen nutzen Dienstleistungen befinden sich an werden erbracht von Standorte Fremdfirmen oder Geschäftsfunktionen

17 Abhängigkeiten bei IT Funktionseinheiten Unternehmensteuerung Auftragsbearbeitung Produktion Auslieferung Personal, FIBU, Einkauf... IT-Daten IT- Anwendungen IT-Infrastruktur

18 Wiederanlaufklassen WAK Bewertung Wiederanlaufzeit Datenverlustzeit 1 extrem zeitkritisch 0 Stunden 0 Stunden 2 sehr zeitkritisch 24 Stunden 3 4 zeitkritisch weniger zeitkritisch 48 Stunden 7 Tage 24 Stunden 5 nicht zeitkritisch keine Festlegung Kosten / Schaden Je schneller der Wiederanlauf, desto höher die vorsorglich aufzuwendenden Kosten! Je langsamer der Wiederanlauf, desto höher der Schaden! Zeit

19 Agenda Wer oder was ist Business Continuity? Risiken und BC-Ziele Zusammenspiel von Business und IT Business Recovery IT Recovery Recovery-Organisation

20 Wiederanlauf zum Notbetrieb Datenverlustzeit Wiederanlaufzeit Zeit letzte (ausgelagerte) Datensicherung Notfall Entdeckung Alarmierung Wiederbeschaffung Einrichtung Datenwiederherstellung Netzumschaltung Beginn Notbetrieb

21 Geschäftsfortführung und Wiederanlauf Datenverlustzeit Wiederanlaufzeit Notbetrieb Zeit

22 Agenda Wer oder was ist Business Continuity? Risiken und BC-Ziele Zusammenspiel von Business und IT Business Recovery IT Recovery Recovery-Organisation

23 Komponenten für Business Recovery Komponenten Ausweichstandorte Betriebsanlagen Büroarbeitsplätze Akten und Unterlagen externe Unternehmen eigene Standorte Fremdstandorte Werke und Fabrikate Läger und Transportmittel Roh- und Hilfsstoffe Gebäude und Räume Arbeitsmittel (PC, Telefon,...) elektronisches Archiv Duplikate Lieferanten Partner Dienstleister Kunden

24 Beispiel: Lösung Büroarbeitsplätze Berlin 1 Ist 35 / Not 11 Berlin 2 Ist 65 / Not 22 Hamburg Ist 33 / Not 11 Köln Ist 28 / Not 10 München Ist 33 / Not 11 jeweils Verdrängung oder Zusatzeinrichtung

25 Beispiel: Lösung Werke und Läger Nutzung Zwischenläger als Hauptlager Köln Lager Ist 40 / Not 10 Hamburg Werk und Lager Ist 200 / Not 180 gegenseitige teilweise Umstellung der Produktion München Werk und Lager Ist 300 / Not 180

26 Agenda Wer oder was ist Business Continuity? Risiken und BC-Ziele Zusammenspiel von Business und IT Business Recovery IT Recovery Recovery-Organisation

27 6 Komponenten für IT-Wiederanlauf Komponenten zentrale IT-Services Datensicherung Datenkommunikation Ausweichstandorte IT-Systeme Datensicherung Auslagerung Datenwiederherstellung Netzumschaltung auf Ausweichstandorte Sprachkommunikation Netzumschaltung auf Ausweichstandorte

28 technische Lösungen für IT-Wiederanlauf WAK Wiederanlaufzeit Technik für Geräte Technik für Daten Technik für Verbindungen 1 4 Stunden eigene verteilte Cluster synchrone Datenspiegelung redundantes Netz mit Lastverteilung 2 24 Stunden Vorhaltung asynchrone Datenspiegelung Wähl-Ersatzverbindungen 3 48 Stunden Vorhaltung oder Lieferverträge Daten-Restore aus Bandsicherungen Wähl-Ersatzverbindungen 4 7 Tage Lieferverträge oder Neubeschaffung Daten-Restore aus Bandsicherungen Wähl-Ersatzverbindungen 5 keine Festlegung Neubeschaffung Daten-Restore beliebig neu beschaffte Leitungen

29 Agenda Wer oder was ist Business Continuity? Risiken und BC-Ziele Zusammenspiel von Business und IT Business Recovery IT Recovery Recovery-Organisation

30 Komponenten für Reaktion Komponenten Notfallorganisation Verfahren zur Reaktion Dokumentation (Pläne) Krisenstab Notfallteam(s) Kommunikationswege Alarmverfahren Sofortmaßnahmen Überbrückungsverfahren Wiederanlaufverfahren Notfallorganisation Verfahren zur Reaktion Kontaktverzeichnisse Ressourcenübersichten

31 Typen von Reaktionen Betroffene Pläne Zielsetzung Personal, Gebäude Sofortmaßnahmen Retten / Löschen / Bergen von Menschen und Inventar Leitung Krisenmanagement Entscheiden, Koordinieren Überwachen Geschäftsfunktionen Geschäftspläne Wiederanlaufen und Fortführen der Geschäftsfunktionen Infrastruktur / IT Infrastruktur- / IT-Pläne Wiederherstellung von Infrastruktur, IT-Systemen und Services

32 Organisation Krisenmanagement Angehörige Betriebsrat Geschäftsleitung Leiter Krisenstab Katastrophenschutz Aufsichtsbehörden Ermittlungsbehörden Versicherungen Einsatzteams vor Ort Personal Facility-Management IT-Management Recht Kommunikation Risiko-Management Presse / Funk / Fernsehen Internet-Auftritt IT-Notfallteams Management Geschäftsbereich 1 Management Geschäftsbereich 2 Notfallteams Gb 1 Notfallteams Gb 2 Dienstleister Partner Lieferanten Kunden

33 Dokumentation der Planung zur Reaktion Form angepasst an Nutzer: grafischer Plan Checkliste Aktivitätenbeschreibungen Schnittstellen zur Umgebung: Personalwesen Configuration Management Data Base Incident Management Tool Verteiler: potentielle Arbeitsorte Mitglieder der BC-Organisation Pflege mit Tool: Aktualisierung und Freigabe Schnittstellenunterstützung Testablaufunterstützung und Protokoll

34 Komponenten für Qualitätssicherung Komponenten Änderungsdienst Überprüfung regelmäßige BIA Verfolgung betriebliche Änderungen Verfolgung Testergebnisse Check der Auswirkungen Maßnahmen und Dokumentation Testplanung Testdurchführung

35 Vielen Dank für Ihre Aufmerksamkeit! Dipl.-Inform. Bernd Ewert Geschäftsführer consequa GmbH Süderstraße Hamburg Tel.: 040 / Fax: 040 / bernd.ewert@consequa.de