Fortgeschrittene Risikoanalysemethoden für kritische Infrastrukturen, Lieferketten und komplexe Abhängigkeiten

Transkript

1 Fortgeschrittene Risikoanalysemethoden für kritische Infrastrukturen, Lieferketten und komplexe Abhängigkeiten Dr. Stefan Schiebeck, MSc Austrian Institute of Technology

2 Vorstellung Zertifizierter ethischer Hacker, Auditor & Risikomanager Sicherheitsberater, Leiter Informationssicherheit Promotion an der Universität Wien RiskSense, Methoden & Prototypentwicklung KIRAS Sicherheitsforschung MetaRisk, Weiterentwicklung, Meta-Modell

3 Agenda Modellierungsbasis Risikosteuerung Modell & Analyse Kollaboration & Kontinuität Analysemethoden

4 Modellierungsbasis Unternehmenswert Module Prozesse, Infrastruktur, IT- Systeme, etc. exponieren Gefährdungen behandelt durch priorisierte Maßnahmen geplant / implementiert durch Rollen Modell-Subset: IT-Grundschutz

5

6

7

8

9

10

11

12

13 Risikosteuerung Analysetiefe, Detailgrad, Personalressourcen Reifegrade & Gefährdungstoleranzen, akzeptable Restrisiken Dyn. Systemaggregation & Normalisierung Taxonomien & Kreuzreferenzierungen bestehender Standards & Best Practices erweitern Steuerungsbereiche ISO 27001: Einzelanforderungen, High-Level Controls IT-Grundschutz: Module, Typen COBIT 5: Stakeholder Needs, Enterprise/IT-related Goals, Processes ITIL / ISO 20000: Einzelanforderungen, High-Level Prozesse CSF, NIST , SANS 20, TIA-942, etc.

14 Model & Analyse Basismodell Unternehmenswert Szenariomodell Struktur & BIA Vererbungsregeln Gesamtrisikomodell Sensitivitätsanalyse

15 Basismodell Unternehmenswert

16

17 Szenario-Modell

18

19

20 Gesamtrisiko-Modell Gesamtsicht der Unternehmenswerte Modul-spezifische Risikofaktoren Szenario-Expositionen Sensitivitätsanalyse Maßnahmen, Gefährdungen, Module, mit größtem Einfluss auf Gesamtmodell Ressourcenoptimierung

21 Kollaboration & Kontinuität Einbindung aller verantwortlicher Rollen/Benutzer Bewertungszyklen Einbindung von Kennzahlen durch automatische Sensoren Interne Risikofaktoren

22 Kollaboration & Kontinuität

23 Kollaboration & Kontinuität Einbindung aller verantwortlicher Rollen/Benutzer Bewertungszyklen Einbindung von Kennzahlen durch automatische Sensoren Interne Risikofaktoren Externe Risikofaktoren Branchenkennzahlen, Early Warning Services, Global Incident Maps, Big Data Analytics, etc.

24 Funktionale Beziehungen Systemdekomposition Aggregationsfunktionen Summe Maximum Produkt Minimum Energetische Summe

25 Künstliche neuronale Netze Lernfähiges System Training / Verifikation System zu komplex für funktionale Darstellung Bildverarbeitung, Musterkennung Zeitreihenanalysen, z.b. Wetter Text & Audioverarbeitung

26 Bayes sche Entscheidungsnetze Gerichteter Graph Zusammenhängende Systemzustände mit bedingten Wahrscheinlichkeiten Mehrere Inferenztypen Kausal, Diagnostisch, Inter-Kausal Ideal bei Kombination von Vorwissen mit verifizierbaren Daten

27

28 Fuzzy Logic Regelbasiertes System Terme als graphische Indikatoren Keine mathematische Systembeschreibung möglich / sinnvoll Robuster, leicht handhabbarer Ansatz Automatisierungstechnik, Betriebswirtschaft, Medizin, Elektronik, etc.

29

30 Soziale Netzwerkanalyse Analyse der Unternehmensorganisation & Kommunikation Maßzahlen Zentralität, Dichte, Cliquen Einfach anwendbare Disziplin Interaktionen zwischen Objekten gleichen Typs Anwendungsgebiete Terrorismus-, Betrugs- & Korruptions-Analysen Business/Military Intelligence

31

32 Petri-Netze Zeitabhängige Systeme mit mehreren Zuständen Abhängigkeiten mit zeitversetzten Auswirkungen Geschäftsprozessmodellierung Incident Mangement / Disaster Recovery Simulationen

33

34 System Dynamics Sozio-ökonomisches Weltmodell Population, industrielle Produktion, Umweltverschmutzung und natürliche Ressourcen Modellsimulation dynamischer Systeme Qualitativ & quantitativ Geschlossene Wirkungsketten mit Feedback Loops Anwendung besonders im sozio-ökonomischen Bereich Controlling- & High-Level-Risikofaktoren Szenarioanalysen

35

36 Danke für Ihre Aufmerksamkeit!