1Hugo Straumann, CT-SSM17. Juni 2002

0

2

4

6

8

10Wert

Zielerreichung

Reaktionszeit

Prozess

Massnahmen

Schadenpotenzial

Security Risk RadarHugo Straumann

•Methode

•Pilot

•Positionierung

Corporate TechnologyFür Dienstzwecke

2Hugo Straumann, CT-SSM17. Juni 2002

SchadensverhütendeMassnahmen

SchadenslimitierendeMassnahmen

Analyse

Bewertung

MassnahmenUmsetzung

Prozess

Reaktionszeit

Zielerreichung

Objekt Wir

Schadenspotenzial

Security risk model

Corporate TechnologyFür Dienstzwecke

3Hugo Straumann, CT-SSM17. Juni 2002

Fragen nach Risikokategorie und Objekttyp

Ressourcen Prozess, Lagerung

Unit Projekt System Applikation Produkt Dienstleistung

WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial

Umfeld, Kommunikation InformationRisiko - Kategorie

Objekttyp

Corporate TechnologyFür Dienstzwecke

4Hugo Straumann, CT-SSM17. Juni 2002

Wirtschaftlicher Wert

Budget und Leistungserbringung

TechnischOrgani-

sationell

Rechtlich und Geistig

Werte des Objekts in Prozent des Gesamten

Corporate TechnologyFür Dienstzwecke

5Hugo Straumann, CT-SSM17. Juni 2002

Performance

Kennzahlen

Einfluss

Kunden Partner Umwelt

Ressourcen

Mitarbeiter Verfügbarkeit Ausfallstatistik

Schnittstellen

Energie Information

Zielerreichung (Chancen, Risiken)

Eintretens-wahrscheinlichkeit

Corporate TechnologyFür Dienstzwecke

6Hugo Straumann, CT-SSM17. Juni 2002

Reaktionsfähigkeit Verhältnis der Aktionszeit zu der ReaktionszeitKritizität

Geschäftstyp Risikogradient (Auswirkungsbeschleunigung)

Aktionsgeschwindigkeit

Detektionsgeschwindigkeit Selbstverschuldungsgrad Betroffenheit (Ausbreitung)

Reaktionsmöglichkeit Kommunikation Eingriffsmöglichkeit (Hilflosigkeit, Abhängigkeit) Contingency Planning, Notfallplanung Erreichbarkeit, Kompetenz und Fähigkeit Bewusstsein

Corporate TechnologyFür Dienstzwecke

7Hugo Straumann, CT-SSM17. Juni 2002

Ziel definiert, Anweisungen, Vorgaben

Polycis definiert Prozesse der Organisation festgelegt Objekt definiert, Schnittstellen

Ziele bekannt, vereinbart Policies umgesetzt Verantwortlichkeit (befähigt)

Freigaben Neuinstallationen, Change Management Risikoanalysen in den Prozessen Bewusstsein fördern

Kennzahlen Kennzahlen Reporting definiert

Ziel definiert

Ziel vereinbart

Freigabe

Kennzahlen

Prozess Umsetzungsgrad der Sicherheitsprozesse

Corporate TechnologyFür Dienstzwecke

8Hugo Straumann, CT-SSM17. Juni 2002

Umfang und Vollständigkeit der umgesetzten Massnahmen

Zielerreichung und Risiken bekannt

Kennen Sicherheitsprozess gelebt

Umsetzungsgrad

Ausbildung Stand der Prozesse Allgemein geforderte Massnahmen umgesetzt Audit

Massnahmen zur Schadenbegrenzung

Konzept Bereitschaft

Massnahmen

Corporate TechnologyFür Dienstzwecke

9Hugo Straumann, CT-SSM17. Juni 2002

Schadenpotenzial

Wert in Prozent

des GesamtenMaximal mögliche Auswirkung auf:

Verfügbarkeit Ausfallkosten

Personen leibliche Schäden

Image - Vertraulichkeit und Authentizität - Integrität - Vertrauensverlust

Andere Kosten - Schadenersatz - Ressourcen - Umwelt

Corporate TechnologyFür Dienstzwecke

10Hugo Straumann, CT-SSM17. Juni 2002

Ressourcen Prozess, Lagerung

Unit Projekt System Applikation Produkt Dienstleistung

WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial

Umfeld, Kommunikation InformationRisiko - Kategorie

Objekttyp

Corporate TechnologyFür Dienstzwecke

11Hugo Straumann, CT-SSM17. Juni 2002

Fragebogen WERT-UNIT Umfeld, Kommunikatio

Kategorie Einheit Antwortspektrum

Name der Unit:andi_test_Unit Unit Bezugsgrösse

Budget und LeistungserbringungWie gross ist das Budget der Unit in sFr? sFr. 1

Wie gross ist das Budget der Gruppengesellschaft (GG) in sFr? sFr. 1

Welcher Betrag kann weiterverrechnet werden pro Jahr in sFr? (z.B.. durch SLA) sFr. 1

Wie gross ist die Anzahl Kunden der Unit? Anzahl 1Wie gross ist die Anzahl Kunden der Gruppengesellschaft (GG)? Anzahl 1

Wann war die letzte Umorganisation ? Monate 1Wie lange bleibt diese Organisation noch bestehen ? Monate 10

Technische WerteWie gross ist der Anlagenwert über der die Unit verfügt? sFr. 1

Wie gross ist der Gesamtwert der Infrastruktur der Gruppengesellschaft (GG)? sFr. 1

Wie gross ist der Wert der Netze, über welche die Unit verfügt? sFr. 1

Sind alle Verpflichtungen mit den Lieferanten schriftlich vereinbart (z.B. SLA’s) ? % 100

Wieviel Prozent des Budgets wird für den Unterhalt der Infrastruktur aufgewendet? % 100

Organisationelle WerteWie viele Personen arbeiten in der Unit? Anzahl 1

Wie viele Personen arbeiten in der Gruppengesellschaft (GG)? Anzahl 100

Welcher Prozentsatz der Personen ist für die Funktion ausgebildet? % 100

% 100

Rechtliche und geistige Werte

% 100

% 1Zu welchem Prozentsatz sind die Verpflichtungen gegenüber den Kunden vertraglich vereinbart worden (z.B. mit Konventionalstrafen) ?

Anteil der technischen Werte die inventarisiert und einer Person zugeordnet sind?

Zu welchem Prozentsatz sind rechtliche Werte wie: Patente, Lizenzen, Rechte aus Gesetzen und Standards, Vertragswerte vorhanden?

Ressourcen Prozess, Lagerung

Unit Projekt System Applikation Produkt Dienstleistung

WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial

Umfeld, Kommunikation InformationRisiko - Kategorie

Objekttyp

Corporate TechnologyFür Dienstzwecke

12Hugo Straumann, CT-SSM17. Juni 2002

Ressourcen Prozess, Lagerung

Unit Projekt System Applikation Produkt Dienstleistung

WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial

Umfeld, Kommunikation InformationRisiko - Kategorie

Objekttyp

Corporate TechnologyFür Dienstzwecke

13Hugo Straumann, CT-SSM17. Juni 2002

Fragebogen PROZESS-UNIT Umfeld, Kommunikation

Kategorie Antwortspektrum

Name der Unit:

andi_test_Unit

Ziel definiert, Anweisungen, Vorgaben

Ist die Sicherheit in den Prozessen der Unit definiert?

Und werden diese Prozesse eingehalten?

Sind die Schnittstellen der Unit definiert?

Ziele vereinbart, bekannt und freigegeben

Wurden die Sicherheitsziele an diese Unit angepasst?

Sind die Verantwortlichen definiert?

Ist der Mitarbeiter-Mutations-Prozess betreffend Sicherheit, Zutritt und Zugriff definiert?

Freigaben

Ist für jeden Sign-off Prozess eine Risiko-Analyse vorgeschrieben?

Ist festgelegt, wer die Risikoanalyse und den Sign-off freigibt?

Kennzahlen definiert

Sind die Sicherheitskennzahlen definiert?

Ist das Reporting (was, wann, an wen) definiert?

Werden bei einer Reorganisation die Prozesse der Unit neu beurteilt?

Sind die Sicherheitsvorgaben und -normen und die gesetzlichen Verpflichtungen der Unit definiert?

Ist vorgeschrieben, dass Entwicklungs- und Betriebsanlagen physisch und zuständigkeitsmässig getrennt sind?Ist der Sicherheitsanspruch bezüglich Zutritt und Zugriff gewährleistet und sind die Verantwortlichen definiert?

nicht(s)

mehrheitlich

nicht(s)

nicht(s)

nicht(s)

nicht(s)

vollständig

nicht(s)

vollständig

nicht(s)

nicht(s)

gering

mehrheitlich

nicht(s)

Ressourcen Prozess, Lagerung

Unit Projekt System Applikation Produkt Dienstleistung

WertZielerreichungReaktionsfähigkeitProzessMassnahmenSchadenpotenzial

Umfeld, Kommunikation InformationRisiko - Kategorie

Objekttyp

Corporate TechnologyFür Dienstzwecke

14Hugo Straumann, CT-SSM17. Juni 2002

Security Risk Radar

Corporate TechnologyFür Dienstzwecke

15Hugo Straumann, CT-SSM17. Juni 2002

Sicherheitsbalance

02468

10Wert

Zielerreichung

Reaktions-fähigkeit

Prozess

Massnahmen

Schadenpotenzial

Kennzahlen

• Sicherheitsvorfälle• Betriebsunterbrüche• Unfälle

Kosten aus Schaden wegen Sicherheitsmängel

Sicherheitskostenzur Risikoverminderung

Corporate TechnologyFür Dienstzwecke

16Hugo Straumann, CT-SSM17. Juni 2002

Das Optimum der Sicherheitskosten

VorfälleVerhütung

Corporate TechnologyFür Dienstzwecke

17Hugo Straumann, CT-SSM17. Juni 2002

Strategische Sicherheitsrisiken identifizierenFrühzeitiges Erkennen potentiell auftretender Sicherheitsrisiken über verschiedene Gruppengesellschaften

Schnelles und direktes Feedback über den Sicherheitsstand in den Gruppengesellschaften

Rascher Überblick durch die Bildung von Risikokennzahlen, übergreifendes Controlling, Benchmarking

Freiwilliger Einsatz

Aufwand pro Risikoeinschätzung 1 - 2 Stunden

Corporate TechnologyFür Dienstzwecke

18Hugo Straumann, CT-SSM17. Juni 2002

Area of further interest

Time for risk analysis

Syst

em

or

netw

ork

com

ple

xit

y

Established risk analysis methods

Risk radar

Business risks

Consortium risks mgmt

Complex system risks

Corporate TechnologyFür Dienstzwecke

19Hugo Straumann, CT-SSM17. Juni 2002

Danke für die Aufmerksamkeit

und

kühle Sommertage