Upload
franz-hemm
View
109
Download
0
Embed Size (px)
Citation preview
1Hugo Straumann, CT-SSM17. Juni 2002
0
2
4
6
8
10Wert
Zielerreichung
Reaktionszeit
Prozess
Massnahmen
Schadenpotenzial
Security Risk RadarHugo Straumann
•Methode
•Pilot
•Positionierung
Corporate TechnologyFür Dienstzwecke
2Hugo Straumann, CT-SSM17. Juni 2002
SchadensverhütendeMassnahmen
SchadenslimitierendeMassnahmen
Analyse
Bewertung
MassnahmenUmsetzung
Prozess
Reaktionszeit
Zielerreichung
Objekt Wir
Schadenspotenzial
Security risk model
Corporate TechnologyFür Dienstzwecke
3Hugo Straumann, CT-SSM17. Juni 2002
Fragen nach Risikokategorie und Objekttyp
Ressourcen Prozess, Lagerung
Unit Projekt System Applikation Produkt Dienstleistung
WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial
Umfeld, Kommunikation InformationRisiko - Kategorie
Objekttyp
Corporate TechnologyFür Dienstzwecke
4Hugo Straumann, CT-SSM17. Juni 2002
Wirtschaftlicher Wert
Budget und Leistungserbringung
TechnischOrgani-
sationell
Rechtlich und Geistig
Werte des Objekts in Prozent des Gesamten
Corporate TechnologyFür Dienstzwecke
5Hugo Straumann, CT-SSM17. Juni 2002
Performance
Kennzahlen
Einfluss
Kunden Partner Umwelt
Ressourcen
Mitarbeiter Verfügbarkeit Ausfallstatistik
Schnittstellen
Energie Information
Zielerreichung (Chancen, Risiken)
Eintretens-wahrscheinlichkeit
Corporate TechnologyFür Dienstzwecke
6Hugo Straumann, CT-SSM17. Juni 2002
Reaktionsfähigkeit Verhältnis der Aktionszeit zu der ReaktionszeitKritizität
Geschäftstyp Risikogradient (Auswirkungsbeschleunigung)
Aktionsgeschwindigkeit
Detektionsgeschwindigkeit Selbstverschuldungsgrad Betroffenheit (Ausbreitung)
Reaktionsmöglichkeit Kommunikation Eingriffsmöglichkeit (Hilflosigkeit, Abhängigkeit) Contingency Planning, Notfallplanung Erreichbarkeit, Kompetenz und Fähigkeit Bewusstsein
Corporate TechnologyFür Dienstzwecke
7Hugo Straumann, CT-SSM17. Juni 2002
Ziel definiert, Anweisungen, Vorgaben
Polycis definiert Prozesse der Organisation festgelegt Objekt definiert, Schnittstellen
Ziele bekannt, vereinbart Policies umgesetzt Verantwortlichkeit (befähigt)
Freigaben Neuinstallationen, Change Management Risikoanalysen in den Prozessen Bewusstsein fördern
Kennzahlen Kennzahlen Reporting definiert
Ziel definiert
Ziel vereinbart
Freigabe
Kennzahlen
Prozess Umsetzungsgrad der Sicherheitsprozesse
Corporate TechnologyFür Dienstzwecke
8Hugo Straumann, CT-SSM17. Juni 2002
Umfang und Vollständigkeit der umgesetzten Massnahmen
Zielerreichung und Risiken bekannt
Kennen Sicherheitsprozess gelebt
Umsetzungsgrad
Ausbildung Stand der Prozesse Allgemein geforderte Massnahmen umgesetzt Audit
Massnahmen zur Schadenbegrenzung
Konzept Bereitschaft
Massnahmen
Corporate TechnologyFür Dienstzwecke
9Hugo Straumann, CT-SSM17. Juni 2002
Schadenpotenzial
Wert in Prozent
des GesamtenMaximal mögliche Auswirkung auf:
Verfügbarkeit Ausfallkosten
Personen leibliche Schäden
Image - Vertraulichkeit und Authentizität - Integrität - Vertrauensverlust
Andere Kosten - Schadenersatz - Ressourcen - Umwelt
Corporate TechnologyFür Dienstzwecke
10Hugo Straumann, CT-SSM17. Juni 2002
Ressourcen Prozess, Lagerung
Unit Projekt System Applikation Produkt Dienstleistung
WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial
Umfeld, Kommunikation InformationRisiko - Kategorie
Objekttyp
Corporate TechnologyFür Dienstzwecke
11Hugo Straumann, CT-SSM17. Juni 2002
Fragebogen WERT-UNIT Umfeld, Kommunikatio
Kategorie Einheit Antwortspektrum
Name der Unit:andi_test_Unit Unit Bezugsgrösse
Budget und LeistungserbringungWie gross ist das Budget der Unit in sFr? sFr. 1
Wie gross ist das Budget der Gruppengesellschaft (GG) in sFr? sFr. 1
Welcher Betrag kann weiterverrechnet werden pro Jahr in sFr? (z.B.. durch SLA) sFr. 1
Wie gross ist die Anzahl Kunden der Unit? Anzahl 1Wie gross ist die Anzahl Kunden der Gruppengesellschaft (GG)? Anzahl 1
Wann war die letzte Umorganisation ? Monate 1Wie lange bleibt diese Organisation noch bestehen ? Monate 10
Technische WerteWie gross ist der Anlagenwert über der die Unit verfügt? sFr. 1
Wie gross ist der Gesamtwert der Infrastruktur der Gruppengesellschaft (GG)? sFr. 1
Wie gross ist der Wert der Netze, über welche die Unit verfügt? sFr. 1
Sind alle Verpflichtungen mit den Lieferanten schriftlich vereinbart (z.B. SLA’s) ? % 100
Wieviel Prozent des Budgets wird für den Unterhalt der Infrastruktur aufgewendet? % 100
Organisationelle WerteWie viele Personen arbeiten in der Unit? Anzahl 1
Wie viele Personen arbeiten in der Gruppengesellschaft (GG)? Anzahl 100
Welcher Prozentsatz der Personen ist für die Funktion ausgebildet? % 100
% 100
Rechtliche und geistige Werte
% 100
% 1Zu welchem Prozentsatz sind die Verpflichtungen gegenüber den Kunden vertraglich vereinbart worden (z.B. mit Konventionalstrafen) ?
Anteil der technischen Werte die inventarisiert und einer Person zugeordnet sind?
Zu welchem Prozentsatz sind rechtliche Werte wie: Patente, Lizenzen, Rechte aus Gesetzen und Standards, Vertragswerte vorhanden?
Ressourcen Prozess, Lagerung
Unit Projekt System Applikation Produkt Dienstleistung
WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial
Umfeld, Kommunikation InformationRisiko - Kategorie
Objekttyp
Corporate TechnologyFür Dienstzwecke
12Hugo Straumann, CT-SSM17. Juni 2002
Ressourcen Prozess, Lagerung
Unit Projekt System Applikation Produkt Dienstleistung
WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial
Umfeld, Kommunikation InformationRisiko - Kategorie
Objekttyp
Corporate TechnologyFür Dienstzwecke
13Hugo Straumann, CT-SSM17. Juni 2002
Fragebogen PROZESS-UNIT Umfeld, Kommunikation
Kategorie Antwortspektrum
Name der Unit:
andi_test_Unit
Ziel definiert, Anweisungen, Vorgaben
Ist die Sicherheit in den Prozessen der Unit definiert?
Und werden diese Prozesse eingehalten?
Sind die Schnittstellen der Unit definiert?
Ziele vereinbart, bekannt und freigegeben
Wurden die Sicherheitsziele an diese Unit angepasst?
Sind die Verantwortlichen definiert?
Ist der Mitarbeiter-Mutations-Prozess betreffend Sicherheit, Zutritt und Zugriff definiert?
Freigaben
Ist für jeden Sign-off Prozess eine Risiko-Analyse vorgeschrieben?
Ist festgelegt, wer die Risikoanalyse und den Sign-off freigibt?
Kennzahlen definiert
Sind die Sicherheitskennzahlen definiert?
Ist das Reporting (was, wann, an wen) definiert?
Werden bei einer Reorganisation die Prozesse der Unit neu beurteilt?
Sind die Sicherheitsvorgaben und -normen und die gesetzlichen Verpflichtungen der Unit definiert?
Ist vorgeschrieben, dass Entwicklungs- und Betriebsanlagen physisch und zuständigkeitsmässig getrennt sind?Ist der Sicherheitsanspruch bezüglich Zutritt und Zugriff gewährleistet und sind die Verantwortlichen definiert?
nicht(s)
mehrheitlich
nicht(s)
nicht(s)
nicht(s)
nicht(s)
vollständig
nicht(s)
vollständig
nicht(s)
nicht(s)
gering
mehrheitlich
nicht(s)
Ressourcen Prozess, Lagerung
Unit Projekt System Applikation Produkt Dienstleistung
WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial
Umfeld, Kommunikation InformationRisiko - Kategorie
Objekttyp
Corporate TechnologyFür Dienstzwecke
14Hugo Straumann, CT-SSM17. Juni 2002
Security Risk Radar
Corporate TechnologyFür Dienstzwecke
15Hugo Straumann, CT-SSM17. Juni 2002
Sicherheitsbalance
02468
10Wert
Zielerreichung
Reaktions-fähigkeit
Prozess
Massnahmen
Schadenpotenzial
Kennzahlen
• Sicherheitsvorfälle• Betriebsunterbrüche• Unfälle
Kosten aus Schaden wegen Sicherheitsmängel
Sicherheitskostenzur Risikoverminderung
Corporate TechnologyFür Dienstzwecke
16Hugo Straumann, CT-SSM17. Juni 2002
Das Optimum der Sicherheitskosten
VorfälleVerhütung
Corporate TechnologyFür Dienstzwecke
17Hugo Straumann, CT-SSM17. Juni 2002
Strategische Sicherheitsrisiken identifizierenFrühzeitiges Erkennen potentiell auftretender Sicherheitsrisiken über verschiedene Gruppengesellschaften
Schnelles und direktes Feedback über den Sicherheitsstand in den Gruppengesellschaften
Rascher Überblick durch die Bildung von Risikokennzahlen, übergreifendes Controlling, Benchmarking
Freiwilliger Einsatz
Aufwand pro Risikoeinschätzung 1 - 2 Stunden
Corporate TechnologyFür Dienstzwecke
18Hugo Straumann, CT-SSM17. Juni 2002
Area of further interest
Time for risk analysis
Syst
em
or
netw
ork
com
ple
xit
y
Established risk analysis methods
Risk radar
Business risks
Consortium risks mgmt
Complex system risks
Corporate TechnologyFür Dienstzwecke
19Hugo Straumann, CT-SSM17. Juni 2002
Danke für die Aufmerksamkeit
und
kühle Sommertage