Operationelle Risiken im Kapitalmarkt gestern, heute und morgen 5. Juni 2013, ISSS - Züricher Tagung Prof. Dr. Hannes P. Lubich Fachhochschule Nordwestschweiz Information Security Society Switzerland ISSS Zürcher Tagung 2013 1
Motivation Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 2
Was ist ein Risiko? Ein Risiko ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im negativen Fall (Gefahr) oder eines möglichen Nutzens bzw. Gewinns im positiven Fall (Chance). Was als Schaden oder Nutzen aufgefasst wird, hängt von den vorherrschenden Wertvorstellungen ab. Management des Risikos durch Vermeidung, Übertragung, Begrenzung, Akzeptanz, Ignoranz Abhängig von Risikotyp und Risikokultur Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 3
Beurteilungskriterien Ausmass des Schadens Eintrittswahrscheinlichkeit Grad der Ungewissheit Grad der eigenen Einflussnahme Geographische Ausbreitung und zeitliche Ausdehnung des Schadens Mögliche Umkehrbarkeit des Schadens Verzögerung zwischen dem ursprünglichen Ereignis und späteren Folgen Gesellschaftlichen Reaktionen Nur Verlustrisiko, oder Gewinn- und Verlustwahrscheinl. Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 4
Der «Perception Gap» bei der Risikobeurteilung Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 5
Historische Entwicklung des Risikoverständnisses Antike Gesellschaften Schicksal durch die Götter vorbestimmt Zählen Messen Mittelalter Statistik Wahrscheinlichkeit Versicherungsmodelle Arabische Zahlen (0) Cardano da Vinci Pascal Fermat Bernoulli s Leibniz Gauss Laplace Keynes von Neumann Neuzeit Zukunft aktives, abstraktes Risiko-Management Vorhersagen, Derivate, Chaos Theorie Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 6
Risikotypen Zyklop (Bsp. Erdbeben oder Verlust eines operativen RZ) Hoher Schaden im Eintrittsfall & unbekannte Wahrscheinlichkeit Medusa (Bsp. BSE oder Angriff auf Finanzplatz durch eine dirty bomb ) Unbekannter Schaden im Eintrittsfall & unbekannte Wahrscheinlichkeit Damokles (Bsp. Bruch eines Staudammes oder Verlust RZ & Mitarb.) Hoher Schaden im Eintrittsfall & geringste Wahrscheinlichkeit Pandora (Bsp. Umweltgifte oder Verkauf von Kundendaten-CD) irreversible Einwirkung auf Umwelt, Auswirkungen unbekannt Kassandra (Bsp. Klimawandel oder IT Legacy Migration) große temporäre Spanne zwischen der Ursache und dem Schadensfall Pythia (Bsp. Elektrosmog oder finanzielle Bewertung von IT-Risiken) Mehrdeutigkeit und Uneinigkeit über Ursache und Schaden Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 7
Aspekte unserer Risiko-Kultur Die Risikokultur beschreibt den Gesamtrahmen der Risiko- Identifikation, der Risikobewertung und die adäquaten Massnahmen zur Schadensprophylaxe. Strategien zur Behandlung konkreter Risiken entstehen ad hoc aus unserer Soziokultur, während Strategien zur Behandlung abstrakter Risiken und Gruppenrisiken mangels kultureller Erfahrung eine genaue Analyse benötigen. Unser persönliches Risikomanagement (privat, geschäftlich, gesellschaftlich) beruht auf dem Lernen aus Fehlern (anderer). Wir neigen dazu, Risiken und Probleme zu ignorieren, für die wir keine Lösungen haben. Wir haben eine meist positive Grundhaltung. Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 8
Ab wann ist etwas ein Risiko? Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 9
Konkrete Risiken Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 10
Abstrakte Risiken Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 11
Fokus auf falsche Risiken Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 12
Lösungen in der Realität Zu viel Fokus auf Technologie als Lösung für org. Probleme Zu viele punktuelle Lösungen ohne ausreichende Integration Zu viele Ereignisprotokolle ohne ausreichende Korrelation Mangelnder Überblick in Echtzeit oder zumindest near time Zu wenig Reaktionszeit aufgrund von Echtzeit-Anforderungen Zu viele Akteure (Betrieb, Wartung, Entwicklung, Anwender, Partner, Kunden, Outsourcer ) Zu wenig harte Daten aus BIA, Schadensregister etc. Zu schlechte Übertragbarkeit der Modelle für Finanzrisiken auf operationelle Risiken Weiterhin hohes Schadenspotential für die Finanzbranche, sowie für deren leitende Organe/Mitarbeiter Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 13
Was ist zu tun? Zusammenfassung der Risiko-Management- und Sicherheitslösungen in einen zentral bewirtschafteten methodisch sauberen Framework, anstatt die Komplexität der IT durch weitere Punktlösungen weiter zu erhöhen. Integration und Korrelation sämtlicher Sicherheitslösungen Zentrale Steuerung und Überwachung der Informationssicherheit als Beitraggeber für das übergeordnete OpRisk-Management Automatisierunggrad signifikant erhöhen Mut zur Lücke Handelnde Personen in den Mittelpunkt stellen Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 14
Ein Schlüsselfaktor: Personen Ich kann die Bewegung der Himmelskörper berechnen, aber nicht das Verhalten der Menschen. Isaac Newton (1643-1727), engl. Physiker, Mathematiker u. Astronom Mathematik ist perfekt; Realität ist subjektiv. Mathematik ist definiert; Computer sind störrisch. Mathematik ist logisch; Menschen sind unberechenbar, launenhaft und schwer zu durchschauen. (Bruce Schneier, aus: Secrets & Lies, Vorwort) Menschen verstehen sich nicht darauf, Risiken zu analysieren. (Bruce Schneier, aus: Secrets & Lies, Der menschliche Faktor) Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 15
Menschen benötigen (bestimmte) Risiken Security is mostly a superstition. It does not exist in nature, nor do the children of men as a whole experience it. Avoiding danger is no safer in the long run than outright exposure. Life is either a daring adventure, or nothing. Helene Keller Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 16
Bewusstseinsförderung und Einflussgrössen Erhöhung der Nachhaltigkeit des Sicherheitsbewusstseins auf allen Stufen Einbettung von Informationssicherheit und Risiko-Management in die relevante interne Ausbildung / Computerbased Training / Tutorials für alle Stufen Durchführung und Auswertung von Tests und Übungen Einbettung in das regelmässige Reporting an Geschäftsleitung und Verwaltungsrat OpRisk Key Performance Indicators definieren und in das firmenweite Qualitätsmanagement integrieren Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 17
Ausblick Weiter wachsende Mobilität / intelligente Geräte / spontane Netzwerke, Sensorik Erhöhte Abhängigkeit von komplexer Technologie Erhöhte rechtliche / regulatorische Anforderungen Vertiefte Kosten- / Nutzen-Betrachtungen Cloud & Sourcing Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 18
Zusammenfassung I Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 19
Zusammenfassung II Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 20
Besten Dank für Ihre Aufmerksamkeit Fachhochschule Nordwestschweiz Hochschule für Technik Institut für Mobile und Verteilte Systeme Prof. Dr. Hannes P. Lubich Dozent für ICT System Management Steinackerstrasse 5, CH-5210 Windisch hannes.lubich@fhnw.ch www.fhnw.ch Information Security Society Switzerland ISSS Zürcher Tagung 2013 ISSS2010XZ643293 21