Im REWE-Sortiment: Notfallplanung nach ISO 27001 als Business Garant Vom Einkauf bis zum Vertrieb

Christoph Wenin

Christoph Wenin

CISO und Datenschutzbeauftragter

Leiter IT-Governance & Security

Seit 2004 im Unternehmen

• EUR 13,21 Mrd. Umsatz • 77.583 MitarbeiterInnen

international 41.242 davon in Österreich

• ~ 3.700 Filialen international

davon ~ 2.500 Filialen in Österreich

REWE International AG: einer der größten Arbeitgeber Österreichs

Ausgangslage

Waren des täglichen Bedarfs in Filialen verkaufen zu können

Geschäftsprozesse sind definiert

Keine einheitliche Konzernsicht

Jeder für sich

Notfallplanung erarbeiten und implementieren

Herausforderungen entstehen von alleine

4

„Vorbereitung und Planung, die eine Aufrechterhaltung der unternehmenskritischen Geschäftsprozesse während und nach einem

Zwischenfall ermöglichen.“

5

„Treffen von Vorkehrungen, die eine schnelle Wiederherstellung eines betriebsbereiten IT -Systems nach einem Ausfall ermöglichen.“

Business Continuity

Disaster Recovery

Der Handel

6

Es liegt in der Natur eines Handelsunternehmens, Waren an Kunden verkaufen zu wollen • Ständige Forderungen an das Marketing und den Vertrieb • Optimierung von Filialdesign • Standardisierung von Vertriebsabläufen • Einkauf – Verkauf

IT-gestützte Geschäftsprozesse • Durchgängig • Homogen • IT-Services sind ständig verfügbar – oder doch nicht

7

„Bisher ist nie etwas passiert!“

Vorgehensweise

8

Fix is‘ nix Mithilfe dieses Mottos wurden zu Anfang die Basisprozesse des

Vertriebs analysiert • Wie funktioniert der Vertrieb

− Preisgestaltung − Floorplanning

• Wie werden Artikel nachbestellt − Filiallagerkapazität − Schnell- oder langsam-„Dreher“ − Regionalartikel wie Milch oder Gebäck − Wo werden diese Artikel bestellt

Vorgehensweise

Vorgehensweise

Fix is‘ nix Im Anschluss folgte die Logistik

• Gesamtkapazitäten • Kühl- und Gefriergüter • Mehrschichtbetrieb • Tourenplanung • An- und Abfahrtsrouten

Ohne Logistik kein Vertrieb, ohne Vertrieb keine Logistik Schnittpunkt IT-Services

Vorgehensweise

IT-Services finden sich in allen Geschäftsprozessen, mit einer Ausnahme wieder • Die Hauspost wird ohne IT zugestellt

Erster Schritt in Richtung gesicherte Kontinuität • Interviews mit den Prozessverantwortlichen • Interviews mit den Ausführenden in Filiale, Lager und IT

Zweiter Schritt, die Analyse der vorhanden IT-Services • Abhängigkeiten erkennen • LAN, SAN und WAN • Strom, Klima, Gebäude • Server- und Storage-Infrastruktur

Vorgehensweise

Der runde Tisch Defizite ansprechen und aufzeigen Vertriebssicherheit aus mehrerlei Gründen nicht gewährleistet IT-Prozesse waren nicht entsprechend katastrophensicher

Beispiel Lagerausfall Ein Lagerstandort kann seine Filialen nicht mehr beliefern Die Gründe hierfür sind aus IT-Sicht unerheblich Die Logistik spricht von einem Ausfalllager Ein oder mehr physische Lagerstandorte übernehmen die

Belieferung der entsprechenden Filialen IT-Services mussten angepasst werden, um unverzüglich reagieren

zu können Änderungen in den Bereichen Vertrieb und Logistik erheblich Die gesamte Artikelwartung war betroffen Vorhandene Lagerstandorts- und Kapazitätsverwaltung teilweise

unbrauchbar

Vorgehensweise

Artikelstamm • Jeder Artikel erhält ein Backup-Lager • Aus der Logistik kommen jeweils aktuelle Kapazitäts- und

Lagerstandsinformationen In der Lagerverwaltung gibt es eine granulierte Abstufung der

Ausfallsbereiche • Gang • Sortiment • Kühl- und/oder Gefriergut • Standort • Tourenplanungsdaten vorab berechnen

Zusätzliche Absicherung von IT-Komponenten • WAN-Anbindung • active – active Clustering

Ergebnis

„Informationstechnologie spielt eine Schlüsselrolle zur

Aufgabenerfüllung.“

Christoph Wenin CISO Datenschutzbeauftragter Leiter der Stabsstelle IT-Governance & Security REWE International AG