IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern

Größe: px

Ab Seite anzeigen:

Download "IT-Riskmanagement Strategie und Umsetzung. Inhalte. Begriffe. Armin Furter TKH Informationmangement Bern"

Adam Harry Solberg
vor 8 Jahren
Abrufe

1 IT-Riskmanagement Strategie und Umsetzung Armin Furter TKH Informationmangement Bern Inhalte Einführung Allgemeines Risikomangement IT-Risikomanagement Mögliche Methoden Begriffe Bedrohung Schaden Schadensausmass Risiko 1

Allgemeines Risikomangement IT-Risikomanagement

2 Unfälle und Katastrophen Kriminelle Handlungen Menschliches Versagen und technische Defekte Bedrohungsarten Identifikation und Messung von Risiken Wichtigkeit Wahrscheinlichkeit Sicherheitsdispositiv Risikobereiche und Massnahmen Allgemeines Risikomangement Business Risk= Der Grad der Exponierung einer Unternehmung gegenüber Unsicherheiten, die sie effektiv managen muss, um ihre Ziele zu erreichen und Werte zu generieren 2

Sicherheitsdispositiv Risikobereiche und Massnahmen Allgemeines Risikomangement Business Risk= Der Grad

3 Was fehlt bezüglich Riskmangement dabei oft? Gesamtsicht auf oberster Stufe Transparents über die Risikosituation Zweckmässige Zuordnung der finanziellen und personellen Ressourcen Erfolgskontrolle bezüglich der getroffenen Vorkehrungen Business Risk Mangement Prozess 1. Festlegung der Businessrisk Mangement Konzepte 2. Risikoanalyse 3. Entwicklung von Riskmanagementstrategien 4. Gestaltung und Umsetzung von Riskmangement Fähigkeiten Business Risk Mangement Prozess II 5. Überwachung der Riskmanagement Leistung 6. Verbesserung der Riskmanagement Fähigkeiten 3

Erfolgskontrolle bezüglich der getroffenen Vorkehrungen Business Risk Mangement Prozess 1. Festlegung der Businessrisk Mangement Konzepte 2.

4 Business Risk Model Externe Geschäftsrisiken Prozessrisiken Informations- und Entscheidungsrisiken IT-Riskmanagement Information = ein wichtiger Unternehmenswert IT-Prozess Risiken Vertraulichkeit Verfügbarkeit Integrität Verbindlichkeit IT-Riskmanagement Vertraulichkeit Sicherstellen des Datenschutzes und Schutz von klassifizierten Informationen Verfügbarkeit Schutzmassnahmen gegen unbeabsichtigte oder mutwillige Zerstörung und Löschung von Informationen, sowie die Sicherstellung des Funktionieren des Informationssystems 4

Vertraulichkeit Sicherstellen des Datenschutzes und Schutz von klassifizierten Informationen Verfügbarkeit Schutzmassnahmen gegen

5 IT-Riskmanagement Integrität Sicherstellen von Format, Vollständigkeit, Richtigkeit, Genauigkeit, Aktualität, Zuverlässigkeit, Widerspruchsfreiheit, Unversehrtheit der Informationen Verbindlichkeit Sicherstellen der Nachweisbarkeit von Versand, Empfang oder Verarbeitung von Informationen Sicherheitsmanagement Im Informationsmanagement wird die Informationssicherheit mittels des Sicherheitsmanagements planmässig hergestellt überwacht und eingehalten Die grundsätzliche Aufgabe des Sicherheitsmanagements besteht darin, die Erreichung der strategischen Sicherheitsziele zu gewährleisten, d.h. Verhindern von realen und den daraus resultierenden wirtschaftlichen Schäden im Unternehmen Basis-Dienste des Sicherheitsmanagements Koordination Analyse von Risiken und Sicherheitsanforderungen Security Design Implementierung des Sicherheitskonzeptes Ausführung und Administration des Sicherheitskonzeptes Tests, Weiterführung und Verbesserung der Massnahmen 5

Sicherheitsmanagements planmässig hergestellt überwacht und eingehalten Die grundsätzliche Aufgabe des Sicherheitsmanagements besteht darin, die Erreichung der strategischen Sicherheitsziele zu

6 MANAGEMENT DER IT- SICHERHEIT Informations -schutz Logische Sicherheit Physische Sicherheit Notfallplanung Versicherungs -schutz Integrale Sicherheit Datenschutz Arbeitssicherheit Qualitätssicherung Personenschutz Umweltschutz MANAGEMENT DER IT-SICHERHEIT Informationsschutz Informatiksicherheit Physische Sicherheit Datenschutz Informationsschutz Qualitätssicherung Personenschutz Versicherungsschutz Arbeitssicherheit Notfallplanung Umweltschutz MANAGEMENT DER IT- SICHERHEIT IT-Sicherheitsmanagement ist ein kontinuierlicher Prozess, der die Vertraulichkeit, Integrität, Verfügbarkeit, Verbindlichkeit, Authentizität und Zuverlässigkeit von Systemen der Informationstechnik (IT-Systemen) innerhalb einer Organisation gewährleisten soll. IT-Sicherheit ist immer eine Management- Aufgabe. Nur wenn die Leitung einer Organisation voll hinter den IT-Sicherheitszielen und den damit verbundenen Aktivitäten steht, kann diese Aufgabe erfolgreich wahrgenommen werden. 6

Versicherungsschutz Arbeitssicherheit Notfallplanung Umweltschutz MANAGEMENT DER IT- SICHERHEIT IT-Sicherheitsmanagement ist ein kontinuierlicher Prozess, der die Vertraulichkeit, Integrität,

7 MANAGEMENT DER IT-SICHERHEIT Ansätze und Vorgehen Informeller Ansatz Grundschutz Ansatz Risikoanalyse Gemischte Form Vorgehen Informeller Ansatz Annahme Sicherheitslücken sind offensichtlich und können ohne genauere Betrachtung identifiziert werden Vorteile schnell, klar, einfach Nachteile keine Struktur, Risiken an sich sind unbekannt Sicherheit wird auch nur angenommen Kataloge von jedem nach Gutdünken erstellbar Vorgehen Grundschutzansatz Kataloge Bundesamt für Informatik: Weisung Nr. S02 British Standard 7799 Deutsches BSI: IT-Grundschutzhandbuch Annahmen Die Risiken sind gleichmässig verteilt. Ein einheitlicher Satz an Massnahmen genügt. Vorteile einheitlich, einfach, Kosten schnell umgesetzt Nachteil Annahme wird nicht überprüft Risikokatalog 7

angenommen Kataloge von jedem nach Gutdünken erstellbar Vorgehen Grundschutzansatz Kataloge Bundesamt für Informatik: Weisung Nr.

8 Einordnung des IT-Grundschutzes in den IT-Sicherheitsprozess Definition der IT-Sicherheitsziele für Behörde/Unternehmen Etablierung eines IT-Sicherheitsmanagements Erstellen eines IT-Sicherheitskonzepts Schutzbedarfsfeststellung IT-Grundschutz Risikoanalyse Konsolidierung der Maßnahmen Realisierung der Maßnahmen Vorgehen Detaillierte Risikoanalyse Es bestehen Risiken, die im Detail betrachtet werden müssen Strukturiertes Vorgehen hilft bei der Erkennung und Behandlung Vorteile gründlich, detailliert Risiken danach bekannt Nachteile aufwendig, langwierig Risiken nicht exakt bestimmbar Ergebnis schnell überholt Vorgehen Kombinierter Ansatz Annahme Es gibt grössere und kleinere Risiken Beide müssen adäquat behandelt werden für die kleineren reicht Grundschutz, die grösseren müssen detailliert betrachtet und behandelt werden Vorteile Risiken bekannt, Aufwand entspricht Risikolage Nachteile nicht sofort eingängig, Erfahrung vorteilhaft 8

Detail betrachtet werden müssen Strukturiertes Vorgehen hilft bei der Erkennung und Behandlung Vorteile gründlich, detailliert Risiken danach bekannt Nachteile aufwendig, langwierig Risiken nicht

9 Häufige Fehler Sicherheitsmanagement zu späte Einbindung keine einheitliche Sicherheitspolitik nicht definierte oder bekannte Verantwortlichkeiten und Sicherheitsstandards fehlende Sensibilisierung Sicherheit nur Marketing-Element Normative Ebene ( Moralische, ethische und rechtliche Rahmenbedingungen) Ethik Normen Moral Good Practice Konzeptionelle Ebene (Entscheidungsbereich der obersten GL) Planung Kontrolle Good Practice Entscheidung Anordnung 9

Marketing-Element Normative Ebene ( Moralische, ethische und rechtliche Rahmenbedingungen) Ethik Normen Moral

10 Mitarbeiter Benchmarking Strategische Ebene Kompetenzbereich des mittleren Mgt (Strategiebildungs- und Planungsprozesse) Dokumen - tation Audit Risikoanalyse Kontrolle Planung Good Practice Anordnung Informations - sicherheits - politik Entscheidung Organisation Standards Mitar - beiter Intervention Prävention Strategie -Elemente Massnahmenorientierte Ebene Aufgabenbereich der Fachabteilungen (Konkrete Umsetzung von Strategien und Plänen) Ziel Inhalt ext Benchmarking Risikobewertung Risikoidentifikation Einführung Ziele Inhalt Schwer - pktaudit Audit Dokumen - tation Notfall Kontrolle Risiko - analyse Intervention Störfall Informa - tionssicher - heitspolitik Planung Good Practice Anordnung Int Benchmarking Standardaudit Zwischenfall Entscheidung Prävention Spez Sicherungsmassnahmen Organi - sation Allg Sicherungsmassnahmen Benchmarking Standards Aufbau Spezifische Standards Ablauf Eigentümer - konzept Verantwort - lichkeiten Schulung Allg Standards 10

(Konkrete Umsetzung von Strategien und Plänen) Ziel Inhalt ext Benchmarking Risikobewertung Risikoidentifikation Einführung Ziele Inhalt Schwer - pktaudit Audit Dokumen - tation Notfall Kontrolle

Ähnliche Dokumente

Informationsmanagement

Informationsmanagement Kurseinheit 5: IT-Sicherheitsmanagement Teil 1 der Kurzzusammenfassung: Einführung Lehrstuhl für Betriebswirtschaftslehre, insb. Informationsmanagement Ziel der Kurzzusammenfassung