CRISAM Frühlings Akademie 2015 Information Risk Management 26. und 27. Mai 2015 Enterprise Risk Management 9. und 10. Juni 2015
Die diesjährige CRISAM Frühlings Akademie 2015 der calpana business consulting findet am 26., 27. Mai und 9., 10. Juni 2015 am Standort der Firma calpana in Linz statt. Schwerpunkte dieser Akademie sind im Information Risk Management: Effektives Reporting, Umgang mit Gefährdungen und Risikostrukturanalyse (Aufbau des Risikomodells). Im Enterprise Risk Management konzentrieren wir uns auf Szenarien-basierte qualitative Risikoanalysen mit CRISAM und deren Reporting und Auswertungsmöglichkeiten. Information Risk Management Tag 1 (Dienstag, 26. Mai 2015) 09:00 Uhr Einleitung und Themenvorstellung zur CRISAM Frühlings Akademie 2015 09:15 Uhr Das CRISAM Vorgehensmodell für professionelles IS-Risikomanagement Das Tool CRISAM wurde seit der Gründung der calpana business consulting gmbh stetig weiterentwickelt. Die Methode CRISAM, welche Sie dabei unterstützt ein strukturiertes ISMS aufzubauen, den gesamten Risikomanagement-Lebenszyklus softwaregestützt zu durchwandern und Compliance Anforderungen auf Knopfdruck zu prüfen, ist seit 2005 nahezu unveränderte Basis unseres Riskmanagement- Ansatzes. Ziel dieses Schulungsblocks ist es, Sie mit dem Vorgehensmodell vertraut zu machen, den konkreten Nutzen für Ihre Organisation in den einzelnen Phasen heraus zu arbeiten und Ihre Praxiserfahrungen für die unterschiedlichen Aufgaben zu diskutieren. 11:30 Uhr CRISAM Knowledge Pack Updates Wir präsentieren Ihnen, die wichtigsten Neuerungen und Änderungen einiger Knowledge Packs (z.b. Data Center, Data Privacy, SCADA, PCI DSS, ) und demonstrieren Ihnen, wie Sie die neuen Risiken im Risikomodell verwenden können. Ergänzend dazu demonstrieren wir Ihnen, wie Content Libraries erstellt werden und wie eigene Risiken, Anforderungen und Policy-Inhalte in ein kundenspezifisches Knowledge Pack zusammengefasst werden können. 13:15 Uhr CRISAM Gefährdungen mit dem neuen CRISAM ISMS Knowledge Pack V22 Viele CRISAM Kunden haben einen guten Überblick über ihre Informationssicherheits-Risiken, die mit CRISAM identifiziert wurden. Aber welche Gefährdungen hinter diesen Risiken stecken, wird erst durch den neuen CRISAM Gefährdungsbericht auswertbar. Wir zeigen Ihnen Ansätze zur Klassifizierung von Gefährdungen (z.b. BSI) und erläutern unseren gewählten Ansatz, der Ihnen ab dem ISMS Katalog V22 zur Verfügung steht. Im Anschluss diskutieren wir mit Ihnen, die einzelnen Kapitel des Berichts und wie diese interpretiert und z.b. dem Management präsentiert werden können. 14:15 Uhr Modellierungsworkshop - Fallbeispiele und Erfahrungsaustausch Teil 1 Einführung in die Modellierungsregeln und praktische Anwendung an einzelnen Beispielen in Workshop-Atmosphäre mit Hands-On-Übungen. Diskussion über unterschiedliche Modellierungsoptionen und deren Auswirkungen. Dabei erfolgt die Fokussierung auf: Anwendung der Modellierungsregeln Detaillierungsgrad und Auswirkungen Modellierung von Applikationsabhängigkeiten Business IT-Services vs. Technical IT-Services Tipps und Tricks bei der Modellierung und Toolanwendung Kundenspezifische Anforderungen und Probleme Stand: März 2015, Irrtümer und Änderungen vorbehalten. Copyright calpana business consulting gmbh. Seite 2/6
Information Risk Management Tag 2 (Mittwoch, 27. Mai 2015) 09:00 Uhr Reporting Life Cycle Risikomanagement im stillen Kämmerchen oder offenes KPI basiertes Informationssicherheitsmanagementsystem (ISMS) mit regelmäßigen Ergebnispräsentationen an unterschiedliche Stakeholder? Die in CRISAM erfassten Daten können zur Schaffung von Awareness, zum Berichten von Missständen und Fortschritten sowie auch zur Überwachung des ISMS genutzt werden. Die Regelmäßigkeit der Berichterstattung muss z.b. in Abstimmung mit der Unternehmenskultur festgelegt werden. Welche Berichte Ihnen zur Verfügung stehen und für welche Zielgruppe Sie die unterschiedlichen Auswertungen, Grafiken und Ergebnisse verwenden können um die notwendige Aufmerksamkeit und das benötigte Budget zu erhalten, diskutieren wir mit Ihnen in diesem Block. 11:15 Uhr Rich Text Reports Wie Sie Ihre CRISAM Ergebnisse noch besser darstellen können Seit dem neuen Release (CRISAM 5) ist der CRISAM Report Designer fester Bestandteil des CRISAM Clients. Der Designer bietet die Möglichkeit, auf Basis der Standard-Berichte in CRISAM, Anpassungen und Änderungen am Design sowie auch an den Inhalten der Berichte durchzuführen. Die RTF- Ergänzung bietet nun noch komfortablere, aus Microsoft Word bekannte Formatierungsmöglichkeiten. Im Rahmen dieses Veranstaltungsblocks demonstrieren wir Ihnen, wie Sie Ihre Berichte bearbeiten und verbessern können. 13:15 Uhr Risiken in Euro ausdrücken Das Szenario Analyse Modul Sind die Informationssicherheitsrisiken identifiziert, steht man vor der Aufgabe herauszufinden, welche Risiken man schnellstmöglich behandeln muss und welche weniger hohe Priorität haben. Um diesen Prozess in die Sprache des Managements zu übersetzen, steht das Scenario Analysis Modul, kurz SAM genannt, zur Verfügung. Das Modul ermöglicht es Ihnen, auf Basis Ihrer CRISAM Ergebnisse, Simulationen durchzuführen um dem Management nachvollziehbare Kosten-Nutzen Rechnungen präsentieren zu können. Dabei werden Risiken und die potentiell auftretenden Schäden im Rahmen einer Monte-Carlo Simulation zu Erwartungswerten in Euro berechnet. Die Grundlage dieser Analysen wird für die Maßnahmen und Budgetplanung sowie auch für die Akzeptanz von Risiken genutzt. Wir zeigen Ihnen, wie CRISAM bei der Berechnung der Erwartungswerte vorgeht, wie Sie die Ergebnisse interpretieren können und wie Sie daraus Entscheidungen und Priorisierungen ableiten können. 14:45 Uhr Modellierungsworkshop - Fallbeispiele und Erfahrungsaustausch Teil 2 Im zweiten Teil des Modellierungsworkshops starten wir mit einer kurzen Wiederholung der Modellierungsregeln und praktischen Anwendung an einzelnen Beispielen. Dabei erfolgt die Fokussierung auf: Tipps und Tricks bei der Modellierung und Toolanwendung Aufbau und Nutzung des Risikomodells Aufbau und Nutzung eines Service Katalogs CRISAM zur Anforderungsanalyse Übungen bzw. Demonstrationen Kundenspezifische Anforderungen und Probleme Stand: März 2015, Irrtümer und Änderungen vorbehalten. Copyright calpana business consulting gmbh. Seite 3/6
Enterprise Risk Management Tag 1 (Dienstag 9. Juni 2015) 09:00 Uhr Einleitung und Themenvorstellung zur CRISAM Frühlings Akademie 2015 09:15 Das CRISAM Vorgehensmodell für professionelles unternehmensweites Risikomanagement Im Rahmen dieses Beitrags diskutieren wir mit Ihnen, wie unternehmensweites Risikomanagement zum Wettbewerbsvorteil wird und welche gesetzlichen Anforderungen damit erfüllt werden. Um den Einstieg in unternehmensweites Risikomanagement bestmöglich zu unterstützen, haben wir ein 5-stufiges Reifegradmodell entworfen, um vom Einsteiger bis zum Risk-Expert alle Anforderungen abdecken zu können. Wir demonstrieren Ihnen, wie Sie am Beginn des Reifegradmodells einfache Risiken erfassen und bewerten können (Risikoinventar Reifegrad 1). Wenn sich Risiken gegenseitig beeinflussen, können diese miteinander verknüpft werden (Reifegrad 3). Das gesamte Potential von CRISAM wird im Rahmen des Reifegrads 5 mit der Risiko- und Chancenplanung, welche die strategischen Entscheidungen des Unternehmens unterstützt, erreicht. Jede der angegebenen Stufen verwendet unterschiedliche statistische Methoden und Werkzeuge deren Funktionsweise und Anwendung wir gemeinsam mit Ihnen auffrischen möchten. 13:15 Getting started So beginnen Sie Ihre Analysen Die Oberfläche des CRISAM Explorers ist an die Office 2013 Vorgaben angepasst und erlaubt somit einen schnellen Einstieg in das Arbeiten mit CRISAM. Im Rahmen dieses Blocks zeigen wir alle wichtigen Grundlagen zur Toolbedienung die benötigt werden, um z.b. das erste Risikoprojekt anzulegen, unterschiedliche Modelle und Timeslots zu erstellen und erste Risiken zu bewerten. Anhand eines einfachen Beispiels (entsprechend dem Reifegrad 2-3) demonstrieren wir Ihnen Schritt für Schritt die notwendigen Arbeitsschritte um die Risiken abbilden zu können. Weiters zeigen wir, wie die Risikomodellierung an eine Planung angebunden werden kann und wie die Planungsergebnisse aus Excel in den CRISAM Explorer importiert und verarbeitet werden können. 15:00 Uhr Workflows im unternehmensweiten Risikomanagement Im CRISAM Explorer stehen Ihnen Workflows zur Verfügung, die es Ihnen erlauben Wissen und Bewertungen von unterschiedlichen Stakeholdern im Unternehmen zu sammeln. Die Anwendung dieser Workflows und die Verwendung des CRISAM Web Access Risk Assistants, der es Ihnen und Ihren Mitarbeitern ermöglicht mit einfachen Worten die beste Formel für Ihre Bedürfnisse auszuwählen, sind Inhalte dieses Veranstaltungsblocks. Stand: März 2015, Irrtümer und Änderungen vorbehalten. Copyright calpana business consulting gmbh. Seite 4/6
Enterprise Risk Management Tag 2 (Mittwoch 10. Juni 2015) 09:00 Uhr Statistik für Risikomanager Als Einstimmung für das Praxisbeispiel starten wir mit einer Auffrischung der statistischen Werkzeuge die Sie als Risikomanager benötigen. Wir zeigen Ihnen welche Verteilung sich für welchen Anwendungsfall am besten eignet und was Sie dabei beachten müssen. Dieses wichtige Grundlagenwissen zu Verteilungen und statistischen Grundbegriffen präsentieren wir Ihnen in zusammengefasster Form, um entstandene Lücken zu beheben und eine gemeinsame Basis für die weiteren für die anderen Beiträge dieses Tages zu schaffen. 10:00 Uhr Praxisbeispiel für unternehmensweites Risikomanagement Anhand eines Praxisbeispiels (entsprechend dem Reifegrad 4-5) zeigen wir die wichtigsten Aufgaben die bei unternehmensweitem Riskmanagement durchzuführen sind und nehmen dabei Bezug auf die folgenden Themenbereiche: Voraussetzungen zum Start eines neuen Risikomanagementprojektes Herangehensweise an die Identifizierung der wichtigsten und größten Risiken Bewertung der Risiken mit Eintrittswahrscheinlichkeit und Schadensauswirkung Wie können im eigenen Unternehmen Quick Win Projekte initiiert werden 13:15 Uhr Risikokennzahlen Um Risiken messen und berichten zu können, gibt es in der Praxis etablierte Performance- bzw. Rendite Risikokennzahlen und Indikatoren. Wie diese Messwerte errechnet werden können und was die Kennzahlen aussagen, wird im Rahmen dieses Beitrags besprochen. Weiters wollen wir Sie bei der Einführung und Etablierung eines Reporting Frameworks für unternehmensweites Risikomanagement unterstützen und mit Ihnen diskutieren, wie man dieses Framework im Unternehmen sinnvoll etablieren kann. 14:15 Uhr Risikomanagement Reporting Das Erfassen und Bewerten von Risiken, Eintrittswahrscheinlichkeiten und Schadenshöhen stellt einen spannenden Aufgabenblock im Risikomanagement-Life-Cycle dar. Aber ohne Auswertung der Ergebnisse kann der erwartete Mehrwert durch das Riskmanagement nicht erreicht werden. CRISAM besitzt durch das Scenario Analysis Module (SAM) die Möglichkeit, hunderte oder tausende Simulationsläufe für die erfassten Risiken und Gegenmaßnahmen durchzuführen. Gemeinsam mit den integrierten Kennzahlen, Statistiken und Auswertungen ist es möglich Empfehlungen für die Unternehmenssteuerung abzuleiten. Wir zeigen Ihnen wie sie Vorstands-taugliche Risikoberichte erzeugen, auf was Sie dabei achten müssen (Stichwort Information Design) und was Sie aus dem CRISAM Risiko Bericht an wertvollen Auswertungen dafür benutzen können. Aus den vier Tagen des Schulungsangebots können Sie sich Ihr individuelles Paket zusammenstellen. Für das Zustandekommen eines Workshop-Tages ist eine Mindestteilnehmerzahl von drei Personen Voraussetzung. Preis pro Person/Schulungstag: EUR 550,- exkl. USt. (20 % Rabatt für weitere Teilnehmer desselben Unternehmens). Je nach Intensität der Diskussionen planen wir die Workshops um ca. 16:00 Uhr zu beenden. Stand: März 2015, Irrtümer und Änderungen vorbehalten. Copyright calpana business consulting gmbh. Seite 5/6
Copyright-Hinweis Copyright 2015, calpana business consulting GmbH Diese Unterlage ist Eigentum der calpana business consulting gmbh, welcher alle Rechte daran vorbehalten sind. Sie darf ohne vorheriges schriftliches Einverständnis weder zur Gänze noch teilweise gewerblich verwertet, an Dritte mitgeteilt oder zum Zweck der Überlassung an Dritte vervielfältigt werden. Die unbefugte Verwendung oder Weitergabe des Handbuches wird gerichtlich verfolgt. The information contained herein is the property of calpana business consulting gmbh and no part may be reproduced or used except as authorized by contract or other written permission. The copyright and the foregoing restrictions on reproduction and use extend to all media in which the information may be embodied. calpana business consulting gmbh A-4020 Linz, Blumauerstraße 43 tel: +43 (732) 601216-0 fax: +43 (732) 601216-209 office@calpana.com www.calpana.com Firmenbuch-Nr.: FN261730y Firmenbuchgericht Linz UID: ATU61651607 DVR: 2112060 Stand: März 2015, Irrtümer und Änderungen vorbehalten. Copyright calpana business consulting gmbh. Seite 6/6