RM vs. ISMS Integration von IT-Risiken in das ganzheitliche Risikomanagement it-sa, 8. Oktober 2013 Seite 1
Inhalt 1. Neuartige IT-Risiken 2. Risikomanagementprozess 3. Bedrohungsanalyse 4. Business Impact Analyse 5. Risikoanalyse und -bewertung 6. Maßnahmen zur Risikobewältigung 7. Fazit Seite 2
AXA Deutschland Teil einer starken weltweiten Gruppe Die AXA Gruppe in Zahlen 2012 Einnahmen: Konzernergebnis (IFRS): Operatives Ergebnis (Underlying Earnings): Verwaltetes Vermögen: Mitarbeiter/Vermittler: 90,1 Mrd. Euro 4,2 Mrd. Euro 4,3 Mrd. Euro 1.116 Mrd. Euro 163.000 weltweit Der AXA Konzern in Zahlen 2012 Einnahmen: 10,5 Mrd. Euro Konzernergebnis (IFRS): 388 Mio. Euro Operatives Ergebnis (Underlying Earnings): 368 Mio. Euro Kapitalanlagen: 73 Mrd. Euro Mitarbeiter: 10.486 Exklusiv-Vermittler: 4.979
Lifecycle of Information Security Ganzheitlicher IT-Risikomanagement-Ansatz durch Kooperation der AXA Versicherung AG mit IT-Beratungsunternehmen: SIZ Informationszentrum der Sparkassenorganisation GmbH (Informationsmanagementsysteme, Zertifizierung, Business Continuity etc.) 8com GmbH (insb. Penetrationstests, Awareness, Schulung) www.lifecycle-of-is.de Seite 4
Neuartige IT-Risiken Die Nutzung des Internets birgt neuartige Risiken Zunehmende Abhängigkeit der Geschäftsprozesse, insbesondere des Vertriebes, von der Informationstechnik Globale Reichweite der anonymen Technik Internet, so dass Angreifer für den Angegriffenen unsichtbar bleiben Zunahme von Geldströmen und Bezahlvorgängen über IT-System Professionalisierung des Cyber-Crime Wirtschaftsspionage Häufig ist die Unternehmensleitung in der Bewertung und Bewältigung von derartigen Risiken fachlich überfordert Seite 5
Risikomanagementprozess (nach ISO 31000) Seite 6
Bedrohungsanalyse (1) Gefahren und Ereignisse, die sich negativ auswirken auf: Verfügbarkeit von IT-Systemen Verfügbarkeit und Authentizität von Daten (ggf. auch solcher, die extern gespeichert sind) Funktionalität und Effektivität von Hard- und Software (z. B. zur Prozessteuerung) Rechtssicherheit beim Umgang mit vertraulichen bzw. geschützten Daten Außendarstellung des Unternehmens (z. B. Hacking der Webseite) Vermögen Qualität von bezogenen Outsourcing-Leistungen. Seite 7
Bedrohungsanalyse (2) Verletzung von Datenschutzgesetzen, z.b. gestohlener Laptop mit vertraulichen Daten Verlust von Daten Shit-Storm Störung der Webseite Identitätsdiebstahl DoS-Angriffe Verlust des Domain-Namens Ausfall von Servern, Netzwerken und dadurch ggf. auch von Produktionsanlagen und Logistik Wirtschaftsspionage und Sabotage Verseuchung des Netzwerkes durch Schadprogramme Checklisten als Hilfen, z.b. der Risiko-Check IT der AXA Versicherung AG (www.lifecycle-of-is.de) Seite 8
Business Impact Analyse Einfluss auf die Geschäftsprozesse Befragung verantwortlicher Geschäftsbereiche, z.b. welche Auswirkungen ein Ausfall des internen Netzwerks hat bzw. ab welchem Zeitraum ernsthafte Verluste drohen Ermittlung der maximal akzeptablen Ausfallzeiten (induktive Vorgehensweise) Bewertung des verbleibenden Risikos, wenn die Wiederanlaufzeiten doch einmal überschritten werden Bewertung schwerwiegender Risiken wie Betriebsunterbrechung und auch Reputationsverlust oder auch die Folgen einer schwerwiegenden Datenschutzverletzung Wirtschaftsspionage stellt für innovative deutsche Unternehmen eine Bedrohung des zukünftigen Erfolges dar. Seite 9
Risikoanalyse und -bewertung Risikomatrix Seite 10
Maßnahmen zur Risikobewältigung vermeiden vermindern versichern Seite 11
Fazit Ziel des Risikomanagements Absicherung des Unternehmenserfolgs Mit der vorgestellten Methodik können Risiken aus der Welt des Internets und der IT in ein unter-nehmerisches, wertorientiertes Risikomanagementsystem integriert werden. Es fördert das Verständnis zwischen IT- und kaufmännischen Fachkräften. Die wertorientierte Bewertung erlaubt es darüber hinaus angemessene Maßnahmen zu bestimmen und entsprechend zu budgetieren. Seite 12
Vielen Dank für Ihre Aufmerksamkeit Besuchen Sie uns: Halle 12 Stand 112 Seite 13 Ort, Datum