Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Transkript

1 Rudolf Schraml Beratung und Vertrieb IT-Security und Datenschutz

2 Effektives IT-Risikomanagement Chance oder Risiko Was vor einiger Zeit nur für die großen Unternehmen galt, ist jetzt auch im Mittelstand angekommen

3 Inhalt Warum IT-Risikomanagement? Für wen ist das IT-Risikomanagement wichtig? Risikoverständnis Warum ist ein Risikomanagement wichtig? IT-Risikomanagementprozess GRC Chance IT-Risikomanagement Risiko IT-Risikomanagement 3

4 Warum IT-Risikomanagement? Unternehmensziele abhängig vom sicheren Ablauf wichtiger Geschäftsprozesse Geschäftsprozesse abhängig von IT-Systemen Unternehmensziele in Gefahr 4

5 Für wen ist IT-Risikomanagement wichtig? Konzerne Mittelstand Zulieferer Abhängigkeit von den Systemen prüfen 5

6 Risikoverständnis Was ist ein Risiko? Verfügbarkeit 6

7 Risikoverständnis Was ist ein Risiko? Personal? IT-Sicherheit? Um nur wenige prägnante Beispiele zu nennen! 7

8 Warum ist ein IT-Risikomanagement wichtig? Sie kennen Ihre IT-Risiken Sie können diese Risiken bewerten monetär qualitativ Haftung Sie können diese Risiken minimieren beseitigen mit ihnen Leben Sie kennen die aus den Risiken entstandene Haftungssituation 8

9 IT-Risikomanagementprozess Wie sieht der typische IT-Risikomanagementprozess aus? Risikoerkennung Risikoanalyse Implementierung Risikostrategie Definition Risikoüberwachung Automatisierung? 9

10 IT-Risikomanagementprozess Kriterium Stufe 1 Stufe 2 Stufe 3 Stufe 4 Geschäftsstrategie und Informatikeinsatz Die Geschäftsstrategie basiert wesentlich auf der Nutzung des Internets bzw. von neuen Technologien sowie aktivem Informationsaustausch über Datennetze. Die Geschäftsstrategie basiert teilweise auf der Nutzung des Internets bzw. von neuen Technologien; wichtige Geschäftsprozesse basieren auf Informationsaustausch über Datennetze. Die Geschäftsstrategie ist kaum von neuen Technologien abhängig; wichtige Geschäftsprozesse nutzen diese Technologien aber bereits. Die Geschäftsstrategie ist nicht von neuen Technologien (z.b. Internet oder e-commerce) abhängig. Innovationsgrad beim Informatikeinsatz Das Unternehmen nutzt eine moderne und komplexe IT-Infrastruktur und adaptiert aufkommende Technologien deutlich vor der Branche. Das Unternehmen nutzt eine komplexe IT- Infrastruktur und adaptiert neue Technologien ohne Verzögerung. Das Unternehmen nutzt eine umfangreiche, vorwiegend aus Standardkomponenten bestehende IT-Infrastruktur und adaptiert neue Technologien mit Verzögerung. Das Unternehmen nutzt eine unkomplizierte IT- Infrastruktur, die vorwiegend aus Standardkomponenten besteht; die IT-Infrastruktur bleibt eher hinter technologischen Entwicklungen zurück. Abhängigkeit von Verfügbarkeit der Informatikmittel Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft resp. Primärprozesse) ein kritischer Faktor; die akzeptable Ausfallzeit liegt unter 4 stunden. Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft resp. Primärprozesse) wichtig; die akzeptable Ausfallzeit liegt zwischen 4 Stunden und 2 Tagen. Die IT-Verfügbarkeit ist für das Geschäft (Frontgeschäft resp. Primärprozesse) bedingt wichtig; die akzeptable Ausfallzeit liegt zwischen 2 Tagen und einer Woche. Die IT-Verfügbarkeit ist für den operativen Betrieb und die internen Primärprozesse unkritisch; ein Ausfall von mehr als einer Woche scheint akzeptabel. 10

11 GRC GRC - Governance, Risk and Compliance: Welche relevanten Richtlinien gibt es im Zusammenhang mit IT Risikomanagement? ISO COBIT IDW PS 330 Basel II 11

12 GRC GRC - Governance, Risk and Compliance: Welche relevanten Gesetze gibt es im Zusammenhang mit IT Risikomanagement? Sarbanes-Oxley Act (SOX) BDSG KonTraG AO HGB 12

13 Chance IT-Risikomanagement Zusatzeffekte: Effektivitätserhöhung Sicherheit bei Personalfluktuation Haftungsfolgen werden minimiert besseres Rating (Banken, Kunden). 13

14 Risiko IT-Risikomanagement Konzepte von der Stange Verlust vom Augenmaß. 14

15 Viel Erfolg bei der Umsetzung!!! Rudolf Schraml ISO Lead Auditor Datenschutzauditor Industrieallee1 D- Tel: +49 (0)9231 / Fax: +49 (0)9231 / Rudolf.Schraml@procomp.de 15