RM vs. ISMS. Integration von IT-Risiken in das ganzheitliche Risikomanagement. it-sa, 8. Oktober Seite 1 AXA Konzern AG



Ähnliche Dokumente
BYTEPROTECT CYBER-VERSICHERUNG VON AXA. It-sa

Haftung von IT-Dienstleistern

Wenn sich IT-Risiken verwirklichen

Cyber- und IT-Risiken im unternehmerischen Risikomanagement. Essen

CYBER-RISIKEN ERKENNEN BEWERTEN - VERSICHERN. 12. IT-Trends Sicherheit Bochum,

Innovative Elektronikversicherung für Rechenzentren

Strukturierte Verbesserung der IT-Sicherheit durch den Aufbau eines ISMS nach ISO 27001

Risikomanagement und Versicherung von Cyber-Risiken. Bochum,

ERFAHRUNGSBERICHT: PRÜFUNG NACH 8A (3) BSIG AUS PRÜFER- UND KRANKENHAUSSICHT

Übersicht über die IT- Sicherheitsstandards

1. IT-Grundschutz-Tag 2014

Netzwerke I Menschen I Kompetenzen. Erfolgreich gestalten.

Workloads kennen und verstehen

Implementierung eines Business Continuity Management Systems ISACA Trend Talk Bernhard Zacherl

Betriebliches Notfallmanagement Business Continuity Management

Cybersicherheit in der Smart Factory

Ketzerische Gedanken zur IT- Sicherheit. Dr. Nabil Alsabah Bereichsleiter IT-Sicherheit, Bitkom

RMSecur Umfassende Risikoberatung für Ihre Logistik RMSecur Risk-Management

Informationssicherheit im Unternehmen effizient eingesetzt

ISIS12 als Informationssicherheitsmanagementsystem Wenn weniger manchmal mehr ist! Ralf Wildvang

Definitionen Schwachstellen und Bedrohungen von IT-Systemen Sicherheitsmanagement Katastrophenmanagement Trends und Entwicklungen bei IT-Bedrohungen

Informationsveranstaltung "Digitalisierung im KMU" Herzlich willkommen. Zusammen erfolgreich.

Cyberrisiken in der Logistik. Prof. Dr. Christopher W. Stoller, LL.B.

Management von Informationssicherheit und Informationsrisiken Februar 2016

Management- und Organisationsberatung. Business Continuity Management (BCM)

Hacking und die rechtlichen Folgen für die Geschäftsleitung

Cyber Crime Versicherung. Rahmenvereinbarung für Mitglieder der österreichischen Gesellschaft der Wirtschaftstreuhänder

avestrategy : Starke Software Sicher zum Ziel!

Willkommen in der ORANGEN Welt. UNSER WEG ZUR ISO ZERTIFIZIERUNG

Informationssicherheit für den Mittelstand

Grundlagen des Datenschutzes. Gliederung zur Vorlesung im Sommersemester 2008 an der Universität Ulm von Bernhard C. Witt

ALLIANZ RISK BAROMETER 2018 DIE GRÖSSTEN GESCHÄFTSRISIKEN FÜR 2018

IT-Grundschutz nach BSI 100-1/-4

Zertifizierung Auditdauer und Preise

Integration eines Application Security Management in ein ISMS nach BSI IT- Grundschutz 1. BSI IT-Grundschutztag Limburg

DATENSCHUTZ in der Praxis

Inhaltsverzeichnis. Informationssicherheits-Management nach ISACA

CYBER-VERSICHERUNG SINN UND UNSINN. Bochum, 28. Juni 2017

VERSICHERUNG VON DATENSCHUTZVERLETZUNGEN

Absicherung eines Netzbetriebs. innogy SE Group Security Alexander Harsch V öffentlich

Informationsrisikomanagement

ISO 14001:2015 und EMAS

Hand in Hand: IT- und Facility-Management

TÜV Rheinland. Security Intelligence: Die Schlagkraft eines GRC nutzen. It-sa 2016, 18. Oktober 2016

ANHANG 17-G FRAGENKATALOG ZU NACHWEISEN INTERNATIONALER NORMEN UND ZERTIFIZIERUNGEN

Antrag auf Zertifizierung eines Informationssicherheitsmanagementsystems (ISMS) gem. ISO/IEC 27001:2013 und Fragebogen

Influenza Pandemie. Aktionismus Gelassenheit - Mittelweg. Präsentiert von: Ralf Schulte

Elektronikversicherung für Rechenzentren. Seite 1 AXA Versicherung AG - Dipl.-Ing. Werner Blödorn

Fragenkatalog Informationssicherheitsmanagement Zertifizierung nach ISO/IEC und ISO /IEC

ISO / ISO Vorgehen und Anwendung

Hope is not a Strategy

Cyber Crime ein Hype oder ständiger Begleiter?

Audit-Prozess in den Bereichen Industrieautomation und eingebettete Systeme

Hauptversammlung 2013

Vorbereitetsein. ist Macht. Elastizität. BK Strategie. Business Kontinuität Krisenmanagement. Reputation. Identifizierung der Bedrohungen

Die Modernisierung des IT-Grundschutzes

IT-Grundschutz IT-Sicherheit ohne Risiken Und Nebenwirkungen

(ISMS) Informationssicherheits-Managementsystem. - das ABC der Umsetzung

Zertifizierung Auditdauer und Preise

Cyber-Sicherheit. Maßnahmen und Kooperationen. Marc Schober BSI Referat C23 - Allianz für Cyber-Sicherheit, Penetrationszentrum und IS-Revision

Wirtschaftsschutz in der Industrie

Absicherung von Cyber-Risiken

Wirtschaftsschutz in der digitalen Welt

Blick über den Tellerand Erfahrungen der EVU

Wider den Blackout. Sicherheit für kritische Infrastruktur nach ISO und Dr. Friedrich Neurauter (TINETZ)

Fluch und Segen der ISO Zertifizierung auf der Basis von IT-Grundschutz

Die Datenschutz-Grundverordnung Auswirkungen auf die Praxis

BGM MAßNAHMENPROJEKTE ZUR ERHOLUNGSFÄHIGKEIT Health on Top

Der Product Approval Process gem. Solvency II

Thomas W. Harich. IT-Sicherheit im Unternehmen

Datenschutz leichter gemacht : DSGVO-Umsetzung mit Schnittstellen zu ISO Dr. Bettina Thurnher, Information Security Manager, Gebrüder Weiss

Security und Privacy im Smart Home aus Sicht des Nutzers. Dr. Siegfried Pongratz ITG Workshop, 23. Oktober 2015, Offenbach

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Mittelstand vs. Konzern Wer ist besser geschützt?

bürgerorientiert professionell rechtsstaatlich Cybercrime Aktuelle Entwicklungen und Lagebild

Cyber defense. ZKI Frühjahrstagung Frankfurt (Oder), 8. März 2016 Dr. Bernd Eßer

Internet, Datennetze und Smartphone

LIVE HACKING: AUSNUTZUNG VON SICHERHEITSLÜCKEN BEI INDUSTRIELLEN AUTOMATISIERUNGSSYSTEMEN

Notes Datenbanken HB OF, Risikomanagement

Design-Build-Run smarte Lösungen aus einer Hand

Präventive Planung - Ereignisbewältigung und Rückführung. Brandschutz/ Inspektionsstelle. Arbeitssicherheit/ Security. Umweltsicherheit/ Naturgefahren

Ausblick und Diskussion. 8. März IT-Grundschutz-Tag 2018 Holger Schildt Referatsleiter IT-Grundschutz

SEMINAR "WIRTSCHAFTSSTRAFRECHT- COMPLIANCE" (17./18. JUNI 2016)

PRAXISLEITFADEN RISIKOMANAGEMENT

IT-Sicherheit für KMUs

ISO 27001: Basis für formales Verfahren zur Zertifzierung; seit 2005 internationaler Standard; Prozessorientierter Ansatz

Inhalt. 1 Einführung... 1

Das IT Sicherheitsgesetz kritische Infrastrukturen im Zugzwang. - Made in Germany

Der IT-Security Dschungel im Krankenhaus. Ein möglicher Ausweg

Magna Steyr Industrial Services Innovations- & Technologie Consulting

SAP Penetrationstest. So kommen Sie Hackern zuvor!

AXA in Deutschland Ein Unternehmen definiert Maßstäbe neu. Stand: Mai 2011

Management operationaler IT- und Prozess-Risiken

CARMAO UNTERNEHMENSRESILIENZ. INFORMATIONSSICHERHEIT. MEHR.

Fachvortrag Bedrohung und Sicherheitslage in der Cloud bei cloudbasierten Anwendungen und Prozessen. Markus Willems

Transkript:

RM vs. ISMS Integration von IT-Risiken in das ganzheitliche Risikomanagement it-sa, 8. Oktober 2013 Seite 1

Inhalt 1. Neuartige IT-Risiken 2. Risikomanagementprozess 3. Bedrohungsanalyse 4. Business Impact Analyse 5. Risikoanalyse und -bewertung 6. Maßnahmen zur Risikobewältigung 7. Fazit Seite 2

AXA Deutschland Teil einer starken weltweiten Gruppe Die AXA Gruppe in Zahlen 2012 Einnahmen: Konzernergebnis (IFRS): Operatives Ergebnis (Underlying Earnings): Verwaltetes Vermögen: Mitarbeiter/Vermittler: 90,1 Mrd. Euro 4,2 Mrd. Euro 4,3 Mrd. Euro 1.116 Mrd. Euro 163.000 weltweit Der AXA Konzern in Zahlen 2012 Einnahmen: 10,5 Mrd. Euro Konzernergebnis (IFRS): 388 Mio. Euro Operatives Ergebnis (Underlying Earnings): 368 Mio. Euro Kapitalanlagen: 73 Mrd. Euro Mitarbeiter: 10.486 Exklusiv-Vermittler: 4.979

Lifecycle of Information Security Ganzheitlicher IT-Risikomanagement-Ansatz durch Kooperation der AXA Versicherung AG mit IT-Beratungsunternehmen: SIZ Informationszentrum der Sparkassenorganisation GmbH (Informationsmanagementsysteme, Zertifizierung, Business Continuity etc.) 8com GmbH (insb. Penetrationstests, Awareness, Schulung) www.lifecycle-of-is.de Seite 4

Neuartige IT-Risiken Die Nutzung des Internets birgt neuartige Risiken Zunehmende Abhängigkeit der Geschäftsprozesse, insbesondere des Vertriebes, von der Informationstechnik Globale Reichweite der anonymen Technik Internet, so dass Angreifer für den Angegriffenen unsichtbar bleiben Zunahme von Geldströmen und Bezahlvorgängen über IT-System Professionalisierung des Cyber-Crime Wirtschaftsspionage Häufig ist die Unternehmensleitung in der Bewertung und Bewältigung von derartigen Risiken fachlich überfordert Seite 5

Risikomanagementprozess (nach ISO 31000) Seite 6

Bedrohungsanalyse (1) Gefahren und Ereignisse, die sich negativ auswirken auf: Verfügbarkeit von IT-Systemen Verfügbarkeit und Authentizität von Daten (ggf. auch solcher, die extern gespeichert sind) Funktionalität und Effektivität von Hard- und Software (z. B. zur Prozessteuerung) Rechtssicherheit beim Umgang mit vertraulichen bzw. geschützten Daten Außendarstellung des Unternehmens (z. B. Hacking der Webseite) Vermögen Qualität von bezogenen Outsourcing-Leistungen. Seite 7

Bedrohungsanalyse (2) Verletzung von Datenschutzgesetzen, z.b. gestohlener Laptop mit vertraulichen Daten Verlust von Daten Shit-Storm Störung der Webseite Identitätsdiebstahl DoS-Angriffe Verlust des Domain-Namens Ausfall von Servern, Netzwerken und dadurch ggf. auch von Produktionsanlagen und Logistik Wirtschaftsspionage und Sabotage Verseuchung des Netzwerkes durch Schadprogramme Checklisten als Hilfen, z.b. der Risiko-Check IT der AXA Versicherung AG (www.lifecycle-of-is.de) Seite 8

Business Impact Analyse Einfluss auf die Geschäftsprozesse Befragung verantwortlicher Geschäftsbereiche, z.b. welche Auswirkungen ein Ausfall des internen Netzwerks hat bzw. ab welchem Zeitraum ernsthafte Verluste drohen Ermittlung der maximal akzeptablen Ausfallzeiten (induktive Vorgehensweise) Bewertung des verbleibenden Risikos, wenn die Wiederanlaufzeiten doch einmal überschritten werden Bewertung schwerwiegender Risiken wie Betriebsunterbrechung und auch Reputationsverlust oder auch die Folgen einer schwerwiegenden Datenschutzverletzung Wirtschaftsspionage stellt für innovative deutsche Unternehmen eine Bedrohung des zukünftigen Erfolges dar. Seite 9

Risikoanalyse und -bewertung Risikomatrix Seite 10

Maßnahmen zur Risikobewältigung vermeiden vermindern versichern Seite 11

Fazit Ziel des Risikomanagements Absicherung des Unternehmenserfolgs Mit der vorgestellten Methodik können Risiken aus der Welt des Internets und der IT in ein unter-nehmerisches, wertorientiertes Risikomanagementsystem integriert werden. Es fördert das Verständnis zwischen IT- und kaufmännischen Fachkräften. Die wertorientierte Bewertung erlaubt es darüber hinaus angemessene Maßnahmen zu bestimmen und entsprechend zu budgetieren. Seite 12

Vielen Dank für Ihre Aufmerksamkeit Besuchen Sie uns: Halle 12 Stand 112 Seite 13 Ort, Datum

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback