Business Case Wie wird verkauft? Über das Abwägen von Chancen und Risiken der 28. März 2001 Motivation Ungelöste Fragen nach dem Kosten/Nutzen Verhältnis Wie kann man den Chancen und Risiken einer auf den Grund gehen? Kein Ziel: Beantwortung der Frage: Wieviel Franken kosten und wann hat sie sich amortisiert? Ziel: Ich möchte Ihnen Hilfsmittel zur Lösung an die Hand geben 28. März 2001 2 : Möglichkeiten und Nutzen Fachtagung der FGSec Seite 1
Die Henne und das Ei Was sind die Kosten und der Nutzen? Wo ist ist die Anwendung? Wo sind die Chancen und Risiken? 28. März 2001 3 Der Weg zur : Leben mit der Unvollkommenheit Purismus: ist unmöglich da ohne Businesscase nicht verkäuflich Pragmatismus: Wir tun s trotzdem. Problem: Unvollkommene Information Der Weg Vom kleinem zum grossen, vom einfachen um komplexen Lerneffekt Begrenzung der Risiken Erfassung und Verbreitung der gesicherten Überzeugungen Etablierung des Lernprozesses -> Prioritäten setzen Verbreiterung und Vertiefung der Erkenntnisse -> ist ein Managementproblem 28. März 2001 4 : Möglichkeiten und Nutzen Fachtagung der FGSec Seite 2
Anwendungsszenarien Mail/File Mail Authentisierung intern Elektr. Signatur für Dokumente Notebook Code Signing Starke Authentisierung für Einzelanwendungen Single Sign On Privilege Management VPN RAS, Mobile Computing Server Authentication 28. März 2001 5 Chancen bedingen Risiken Hoch Single Sign On Elektr. Signatur für Dokumente Komplexität Starke Authentisierung für Einzelanwendungen Mail/File Tief Tief Code Signing Server Authentication Nutzen VPN Hoch 28. März 2001 6 : Möglichkeiten und Nutzen Fachtagung der FGSec Seite 3
Bewertungsaspekte Chancen Risiken Interne Kommunikation Sicherheitsmechanismen Integrierte IT Security Architektur Single Sign On Single Point of Administration Strategische Sicherheitstechnologie Anforderungen Missing Trust Ausbildung/ Training Portabilität Anwendungen und Sponsoren Bona-Fides Interoperabilität Benutzungsfreundlichkeit Rechtmässigkeit E-Commerce Anwendungen Organisation und Prozesse Internationales Ausrollen von Kosten Kritische Infrastruktur Kosten /Nutzen Relation von Leading Edge Technologie Skalierbarkeit Standardisierung 28. März 2001 7 Flexibilität B2B Kommunikation Projektkoordination Relevanz der Bewertungsaspekte Bewertungsaspekte! Sicherheitsmechanismen Strategische Sicherheitstechnologie Integrierte IT-Security Architektur Single Sign On Single Point of Administration Rechtmässigkeit Interne Kommunikation B2B Kommunikation E-Commerce Anwendg. Anforderungen Rechtliche Rahmenbedingungen Anwendungs^szenario " 1 Mail Authentisierung intern 2 Elektr. Signatur für Dokumente 3 Mail-/File 1 2 3 4 5 6 7 8 9 10 4 Notebook 5 Code Signing 6 Starke Authentisierung für Einzelanwendungen 7 Single Sign On 28. März 2001 8 : Möglichkeiten und Nutzen Fachtagung der FGSec Seite 4
Chancen Mehr IT-Security Doing Business with more quality Chancen Kostenverminderung Doing Business more efficient Eröffnung neuer Anwendungen Doing more business 28. März 2001 9 Risiken Projekt Risiken Do we get the we asked for? Betriebsrisiken Does the meet the needs? Unflexible Can the adjust to tomorrows needs? 28. März 2001 10 : Möglichkeiten und Nutzen Fachtagung der FGSec Seite 5
Bewertung der Chancen und Risiken Chancen Risiken # Teilaspekt Legende: + grosse Relvanz, d.h. grosse/häufige Chance bzw. Risiko. # unklar, ggf. zutreffend, kommt vor <blank> keine Relevanz Improved IT Security Cost Savings Enabling Business Applications Project Risks Operational Risks Unflexible 1. Sicherheitsmechanismen + # # # 2. Strategische Sicherheitstechnologie # + + # 3. Integrierte IT Security Architektur + + # # 4. Single Sign On + + # # 5. Single Point of Administration + + # # +/# 6. Rechtmässigkeit # + # 7. Interne Kommunikation + + # + # 8. Business-to-Business Kommunikation + # # # + # 9. E-Commerce Anwendungen # + # + 28. März 2001 11 Das Ziel: Ein Chancen/Risiko Profil Bewertung Anwendungsszenario XY Mehr IT- Sicherheit Kostenverminderung Projekt Risiken Eröffnung neuer Geschäftsanwendungen Betriebsrisiken Unflexibilität 28. März 2001 12 : Möglichkeiten und Nutzen Fachtagung der FGSec Seite 6
Die Roadmap Vom Einfachen zum Schweren RAS, RAS, Mobile Mobile Computing Computing Mail Authentisierung Intern Starke Authentisierung für Einzelanwendung Mail-/File Mail-/File Elektr. Elektr. Signatur Signatur für für Dokumente Dokumente Single Single Sign Sign On On 28. März 2001 13 Die Hilfsmittel Chancen und Risiken Anwendungsszenarien Bewertungsaspekte 28. März 2001 14 : Möglichkeiten und Nutzen Fachtagung der FGSec Seite 7
Vielen Dank für die Aufmerksamkeit Fragen? 28. März 2001 15 : Möglichkeiten und Nutzen Fachtagung der FGSec Seite 8