Resilien-Tech Resiliente Unternehmen Security Consulting 08. Mai 2014 Burkhard Kesting
Internationales Netzwerk KPMG International KPMG International KPMG ELLP KPMG in Deutschland Audit Tax Consulting Transactions & Restructuring Deutschland Rund 8.600 Mitarbeiter an 25 Standorten in sechs Regionen Security Consulting Ca. 80 Mitarbeiter an 5 Standorten in Deutschland Informationssicherheit Business Continuity Mgt. Identity & Access Mgt. Technische Sicherheit 1
Business Continuity Management System (BCMS) Kontinuierliche Verbesserung der Resilienz Act Organisation des BCMS Plan Business Impact Analyse Risikoanalyse Do Strategie & Wiederanlauf Notfalltests Überwachung & Überprüfung Check Definition von Rollen & Verantwortlichkeiten Erstellung der BCM -Leitlinie Entwicklung eines Trainings- & Awareness-Konzepts Entwicklung BIA-Methode Identifikation kritischer Prozesse Zuordnung von Assets (Service- Komponenten) Festlegung der Ausfall- und Wiederanlaufzeiten 3 4 5 6 2 3 4 5 1 2 3 4 1 1 2 3 Eintrittswahrscheinlichkeit Erarbeitung einer Business Continuity- Strategie Ableitung und Erstellung von Notfallund Wiederanlaufplänen Erstellung von Übungsund Testverfahren Regelmäßige Überprüfung des BCMS Verbesserung des BCMS 2
Workshop Resiliente Unternehmen Ergebnisse der World Café-Diskussionsrunden (1/2) World Café 1 04. Juli 2013 Wie sieht eine Zivil- und Katastrophenschutz-Verordnung für Unternehmen aus? World Café 2 05. Juli 2013 Wie unterscheiden sich Unternehmen aus dem öffentlichen Sektor, wie bspw. die Feuerwehr oder das THW, von privatwirtschaftlichen Unternehmen in Bezug auf Resilienz? # Themengebiet Ergebnis 1 Schnittstelle zwischen Staat und Privatwirtschaft Schnittstellen zwischen öffentlichen Institutionen und privatwirtschaftlichen Unternehmen, welche im nationalen Krisenfall einen Beitrag zur Steuerung und Behebung der Krise leisten müssen, sollten reguliert werden. 2 Versicherungspflichten Es sollten Versicherungspflichten mit Anforderungen an die Resilienz von Unternehmen definiert und entsprechende Versicherungsmodelle angeboten werden. 3 Resilienz-Überwachung & Incentivierung Die Resilienz von Unternehmen sollte durch eine staatliche Aufsichtsbehörde überwacht und geprüft werden. Unternehmen, bei denen keine ausreichende Resilienz festgestellt wurde, sollten durch erhöhte Versicherungsprämien oder Zusatzabgaben sanktioniert werden. 3
Workshop Resiliente Unternehmen Ergebnisse der World Café-Diskussionsrunden (2/2) # Themengebiet Ergebnis 4 Frühwarnsystem und Meldepflicht Es sollten Parameter für die Einführung eines nationalen Frühwarnsystems definiert werden, welches mit einer auf Branchen zugeschnittenen Meldepflicht verbunden ist. 5 Anreizsysteme Der Staat sollte Anreizsysteme für die Erlangung von Resilienz schaffen, welche die Belange der Privatwirtschaft berücksichtigen und im Einklang mit dem öffentlichen Interesse stehen. Ein nationales Anreizsystem würde zusätzlich die Verankerung der Resilienz als festen Bestandteil der Unternehmenskultur fördern. 6 Regularien zur Durchführung von Notfallund Krisenübungen Um die Bedeutung und Akzeptanz von Resilienz in Unternehmen zu erhöhen, sollten die Regularien zur Durchführung von Notfall- und Krisenübungen branchenspezifisch und im Hinblick auf die Unternehmensgröße angepasst werden. 7 Cyber-Risiken Cyber-Risiken stellen zunehmend existenzbedrohende Risiken dar. Folglich sollten die im Bereich der Informationssicherheit initiierten Ansätze zu Cyber Security (Cyber-Allianz etc.) in einem konkreten Maßnahmenplan dokumentiert und die Auswirkungen auf Resilienz analysiert werden. 4
Vielen Dank! Burkhard Kesting Manager Security Consulting Barbarossaplatz 1a T +49 221 2073-1367 50674 Köln F +49 1802 11991-5464 Germany M +49 175 5773330 bkesting@kpmg.com KPMG AG Wirtschaftsprüfungsgesellschaft, a subsidiary of KPMG Europe LLP Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zutreffend sein werden. Niemand sollte aufgrund dieser Informationen handeln ohne geeigneten fachlichen Rat und ohne gründliche Analyse der betreffenden Situation. Unsere Leistungen erbringen wir vorbehaltlich der berufsrechtlichen Prüfung der Zulässigkeit in jedem Einzelfall. Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind.