Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity &...

25
Albert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence 2. März 2010 Business Continuity Management Notwendige Voraussetzung sind auch für die Informatik Business Impact Analysen der Geschäftsprozesse

Transcript of Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity &...

Page 1: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

Albert Andrist

Leiter Business Continuity & Security

Schweizerische Mobiliar Versicherungen

Asset Management AG

IBM - CIO Club of Excellence

2. März 2010

Business Continuity

Management

Notwendige Voraussetzung sind – auch für

die Informatik – Business Impact Analysen

der Geschäftsprozesse

Page 2: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

22. März 2010 © A. Andrist / Die Mobiliar

Agenda

Die Mobiliar

Risk-Management und Business Continuity Management

Business Impact Analysen als Grundlage für die SLA der

Informatik mit dem Business

Durchführung und Auswertung der BIA

Erkenntnisse

Page 3: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

32. März 2010 © A. Andrist / Die Mobiliar

Die Mobiliar: Zahlen und Fakten

Genossenschaftlich verankert.

Konzentration auf den Markt Schweiz und Liechtenstein.

Breite Palette moderner Versicherungslösungen.

Lokale Kompetenz in Verkauf und Schaden.

Über 90 Prozent der Schadenfälle werden vor Ort auf den

Generalagenturen erledigt.

Beteiligung der Versicherten am Erfolg durch

Auszahlungen aus dem Überschussfonds.

2,8 Mia. Franken Prämienvolumen (2008).

Rund 1,4 Millionen Versicherte.

3‘467 Vollzeitstellen, 287 Lernende (Stand 31.12.2008).

Älteste private Versicherungsgesellschaft der Schweiz,

gegründet 1826.

Page 4: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

42. März 2010 © A. Andrist / Die Mobiliar

Die Mobiliar: Im ganzen Land präsent

Über 80 Generalagenturen und weitere rund 60

Geschäftsstellen in allen Landesgegenden und in

Liechtenstein.

Voll-Service-Center.

Page 5: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

52. März 2010 © A. Andrist / Die Mobiliar

Risikomatrix

Vorbereitung für

Bewältigung (CM)

Überbrückung (BC)Risiko-

Reduktion?

Rest-

Risiko Auftrag an die Linie

Entscheid

Komitee

Massnahmen

Konsequenzen

Kosten

Auftrag an die Linie

Entscheid

Komitee

Abstimmung, Koordination, Balance

Zusammenarbeit ORM und BCM

ORM BCM

Ris

iko

bew

irts

ch

aft

un

g

Ere

ign

isb

ew

ältig

un

g

Grundsätzlich spielt es keine Rolle, was die Ursache ist, die Auswirkungen für das Business sind massgebend: Unterbruch der normalen/gewohnten Geschäftstätigkeit!

Page 6: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

62. März 2010 © A. Andrist / Die Mobiliar

ORM und BCM sind komplementär

Operat.

Risiken

Versich.

Risiken

Strat.

Risiken

Finanzm.

Risiken

Externe

Ereignisse

Interne

Ereignisse

Technik

IT

Personal

HR

Infrastr.

AP

Provider

Au

sw

irku

ng

en

Über-

brückung

NFO

Krisen-

stab

Be-

wältigung

BCMORM

Wa

s k

ön

nte

pa

ss

iere

n?

Wie

ufi

g k

ön

nte

es

pa

ss

iere

n?

Wa

s k

ön

nte

ma

n t

un

,

da

mit

es

gli

ch

st

nic

ht

pa

ss

iert

?

Wa

s h

ätt

e e

s f

ür

fin

an

z. A

us

wir

ku

ng

en

We

lch

e

Au

sw

irk

un

gen

nn

ten

un

s w

ie

be

ein

trä

ch

tig

en

?

Wie

nn

ten

die

Be

ein

trä

ch

tig

un

gen

so

ra

sc

h w

ie m

ög

lic

h

be

ho

be

n w

erd

en

?

Wie

nn

ten

die

Be

ein

trä

ch

tig

un

gen

üb

erb

rüc

kt

we

rde

n?

Page 7: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

72. März 2010 © A. Andrist / Die Mobiliar

Bu

sin

es

s C

on

tin

uit

y M

an

ag

em

en

t

Bu

sin

ess C

on

tin

uity P

lan

nin

g B

CP

Crisis

Ma

na

ge

me

nt P

lan

nin

g C

MP

Ereignis Normal-

zustand

Schadenbegrenzung

Schadenbehebung

Rückführung

in den Normal-

zustand

Geschäftsfortführung

Recovery

Crisis Management

(Bewältigung)

Continuity Management

(Überbrückung)

Ereignisbewältigung und Business Continuity

Maximal

tolerierbare

Ausfallzeit

eines

Geschäfts-

Prozesses

IT Desaster-Recovery

IT Services Continuity Management

IT Incident Management

IT Continuity

Planning

IT Continuity

Informatik-Prozesse (ITIL)

Page 8: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

82. März 2010 © A. Andrist / Die Mobiliar

IT Continuity

DIBA-Level

Service-Level Vereinbarungen

für den Disasterfall

Page 9: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

92. März 2010 © A. Andrist / Die Mobiliar

BCM und ITIL (ITSCM)

Business Perspective

Appl. Mgmt.

Requirements

Design

Build

Deploy

Operate&Optimize

Service Delivery

Capacity-Mgmt.

Availability-Mgmt.

Financial-Mgmt.

Lie

fera

nte

n

Operativ

Taktisch

Strategisch

Service Support

Release-

Mgmt.

Change-

Mgmt.

Problem

-

Mgmt.

Configuration Management

Incident-

Mgmt.

Service

Desk

Infrastr. Mgmt.

Operations Mgmt

Systems Mgmt

Install.-Mgmt

Network Mgmt

Business

Continuitiy

Management

Service-Level-

ManagementL

eis

tun

gs

neh

me

r K

un

de

nContinuitiy-Mgmt.

Page 10: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

102. März 2010 © A. Andrist / Die Mobiliar

Continuity-Kosten in der IT

10

Die Komplexität

und die Ab-

hängigkeiten

nehmen zu!

Die Leistungs-

anforderungen

steigen!

Die Menge

der Einheiten

nimmt zu!

Die Kosten

nehmen zu!

Page 11: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

112. März 2010 © A. Andrist / Die Mobiliar

Service Level Management

Leistungsstufen definieren

- das bestehende "Angebot" überprüfen?

- kann die Komplexität reduziert werden?

- ist innerhalb des Prozesses alles gleich?

Dekomposition prüfen

- was gehört wohin?

- was wird wo und warum eingesetzt?

SLA gemeinsam mit dem Business

vereinbaren

- auf der Basis priorisierter Geschäfts-

prozesse (BIA als Grundlage!)

Page 12: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

122. März 2010 © A. Andrist / Die Mobiliar

Business Continuity und Prozesse

Geschäftsprozesse der Mobiliar

Welche Informatik-Anwendungen und

Informatik-Systeme werden dafür benötigt?

Welche externen Dienstleister (Provider)

werden dafür benötigt?

Welche Funktionen (und Funktionsträger)

werden dafür benötigt?

Welche Infrastruktur/Arbeitsplätze werden

dafür benötigt?

Kritik

alitä

t (MTA

)M

ax

ima

l tole

rierb

are

Au

sfa

llze

it

Prozess-Kritikalität

13 Geschäftsprozess Vertreib

1

S t d.

4

S t d.

1 2

S t 1

T a g2

T a g 1

W . 2

W . 1

M t >

1

M t

13.01 Geschäftsprozess A 1 1 2 3 4 5 5 5 5

13.02 Geschäftsprozess B 1 1 1 2 3 4 4 5 5

13.03 Geschäftsprozess C 1 2 2 3 3 4 5 5 5

13.04 Geschäftsprozess D 1 1 1 2 2 2 3 4 4

13.05 Geschäftsprozess E 1 1 1 1 1 1 1 2 2

Page 13: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

132. März 2010 © A. Andrist / Die Mobiliar

Ressourcenbereiche

IT/Telefon

Personal

Infra/AP

■ Personal (HR)Betriebswichtige Funktionen (Prozesse),deren Funktionsträger und Stellvertretungen

■ Informatik (IT)Arbeitsplatzrechner, Server, Netzwerke, Telefonie

■ Externe Leistungserbringer(Provider)Informatik, Strom, Datenleitungen,Post, Banken

Provider

■ Facilities (FM)Gebäude, Räumlichkeiten, Arbeitsplatz, Infrastruktur

Page 14: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

142. März 2010 © A. Andrist / Die Mobiliar

Kritikalität der Geschäftsprozesse (MTA)*

■ Ziel ist es, die Kritikalität der Geschäftsprozesse auf der Zeitachse in Bezug auf folgende Auswirkungen zu prüfen

- wann hat ein Ausfall welche direkten finanziellenAuswirkungen(Ertragsminderung, Mehrkosten)

- wann hat ein Ausfall welche betrieblichen/operationellenAuswirkungen(Störung der Arbeitsprozesse)

- wann hat ein Ausfall welche rechtlichen Auswirkungen(Compliance)

- wann hat ein Ausfall welche Auswirkungen auf dasImage(Reputation)

* MTA = Maximal tolerierbare Ausfallzeit

Page 15: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

152. März 2010 © A. Andrist / Die Mobiliar

Durchführung der BIA in einem IT-Projekt

AnalyseIdentifikation der Anforderungen

Mobiliar Services DesignDokumentation der Services und

ihrer Abhängigkeiten

Solution DesignDesign und Planung der Implementation der

Disaster-toleranten Services

Meilenstein / Entscheid I: Interviews D: Data Gathering WS: WorkshopsLegend

Das Mobiliar Services Design

WS

BD

Business Impact

Analysis

Aktuelle Möglichkeiten

benötigte Recovery Capability

Tolerierbarer Verlust

Aktuelle Ausfalldauer

Ou

tag

e c

os

ts gap

I

TimelineM3M2

Recovery Capability Assessment

D

WS

• High level solution design

• Migration• Operation• Test concepts

• Detail solution design

• Migration details

• Operation details

• Test cases

Define IATA Services

Model

Projekt ManagementUnterstützung der Projectleitung und Koordination der Ressourcen

BD: Background Delivery

Establish Implementation Roadmap

Develop DRP Framework

Legend

I

• Basis Infrastruktur Services

• Common Services

• Geschäfts-Anwendungs Services

Business Impact Analysis

I

M1

Recovery Capability Assessment

D

WS

Solution Macro Design

BD

WS

• Lösungs Architektur

• Migrations-konzept

• Operation Konzept

• Test Konzept

Solution Micro

Design

• Detail Lösungs Design

• Migration Details

• Operation Details

• Testfälle

Das Mobiliar Services

Model

WS

BD

WS

Roadmap Implementation WS

DIBA Handbuch BD

WS

Page 16: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

162. März 2010 © A. Andrist / Die Mobiliar

Durchführung der BIA

Vorbereiten BIA Workshops

• Projekt Kickoff

- Informationspräsentation

BIA

- Fragebogen

- Interview Guide

Interview mit

Verantwortlichem BCM:

Verstehen der aktuellen

Planung und bekannten

Anforderungen

Workshop

Verifikation:

• BIA-Resultate

• BSLA

Nachbearbeiten der

Workshop-Resultate

1.2

1.1

1.3

1.4Formulieren BSLA

1.5

Erstellen BIA charts1.6

1.7

BIA Workshop:

• Übersicht über das Projekt

• Anforderungen RTO/RPO

• Impacts auf das Geschäft bei

Ausfällen

2 Monate 6-7 Monate 2-3 Monate

Prozess-Kritikalität

13 Geschäftsprozess Vertreib

1

S t d.

4

S t d.

1 2

S t 1

T a g2

T a g 1

W . 2

W . 1

M t >

1

M t

13.01 Geschäftsprozess A 1 1 2 3 4 5 5 5 5

13.02 Geschäftsprozess B 1 1 1 2 3 4 4 5 5

13.03 Geschäftsprozess C 1 2 2 3 3 4 5 5 5

13.04 Geschäftsprozess D 1 1 1 2 2 2 3 4 4

13.05 Geschäftsprozess E 1 1 1 1 1 1 1 2 2

Off

lin

eO

nlin

e

Page 17: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

172. März 2010 © A. Andrist / Die Mobiliar

Erhebung

■ Im Rahmen von Interviews oder Workshops wurden mit vorbereiteten Fragebogen folgende Daten aufgenommen:

Spitzenzeiten des Prozesses

Finanzielle Auswirkungen auf der Zeitachse(Ertragsausfall, Umsatzverlust, Mehrkosten)

Nicht-Finanzielle Auswirkungen auf der Zeitachse(Compliance, Image, Betrieb)

Maximale Ausfalldauer der IT-Systeme / RTO(abgeleitet aus den Kritikalitätsfragen)

Maximaler Datenverlust bei einem Ausfall / RPO

Arbeitsplatzanforderungen auf der Zeitachse(Anzahl Personen, besondere Infrastruktur)

Ausweichlösungen und Überbrückungsverfahren …auch manuelle, es sind vielfach die einfachsten und sichersten

Page 18: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

182. März 2010 © A. Andrist / Die Mobiliar

BCM > nicht nur an Technik denken!

Quelle: Gratiszeitung NEWS, 4./5. September 2008

Die einfachsten

Lösungen sind

meist die Besten –

nicht zu weit

suchen –

Technik bringt

neue Risiken und

zus. Komplexität!

Page 19: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

192. März 2010 © A. Andrist / Die Mobiliar

Business und IT – eine gemeinsame Sicht ...

... uns ist

alles klar!

... uns ist

alles klar!

... nur von hier

sieht alles etwas

anders aus!

Info

rmatik

Bu

sin

ess

Page 20: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

202. März 2010 © A. Andrist / Die Mobiliar

Einheitliche Metrik

■ Für die unternehmensweite, einheitliche Beurteilung der Kritikalität ist eine für alle Prozesse geeignete Metrik festzulegen

Ertragsausfall/

Umsatzverlust

Führt der Ausfall dieser Unternehmensfunktion zu

Einnahmeverlusten aufgrund von nicht erhaltenen

Einnahmen/Prämien/Zinsen etc.?

Umsatzeinbusse durch Verlust von Marktanteilen?

Mehrkosten Fallen aufgrund des Ausfalls vertragsrechtliche und/oder

ordnungspolitische Forderungen an (begründete

Gebühren und Geldstrafen)?

Fallen sonst externe Mehrkosten an?

Mehraufwand Wäre Überzeit oder zusätzliches Personal nötig, um

den Arbeitsrückstand des Unternehmensprozesses

aufgrund des Ausfalles aufzuarbeiten?

Compliance Gesetzliche Auswirkungen od. vertragliche

Vereinbarungen (Strafen, Sanktionen,

Rechtsstreitigkeiten etc.)

Servicequalität/

Image

Servicequalität gegenüber den Kunden.

Image (Reputation) und Auswirkungen auf den Brand

der Mobiliar als verlässlichen, persönlichen und

kundennahen Partner.

Operation/

Betrieb

Operative, betrieblich negative Auswirkungen

(Produktivität, Personalbelastung, Moral etc.)

Page 21: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

212. März 2010 © A. Andrist / Die Mobiliar

Auswertung – die gemeinsame Basis

■ Die Auswertung der BIAs verschafft Übersicht und Sicherheit bei der Beurteilung – für Business und IT

Page 22: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

222. März 2010 © A. Andrist / Die Mobiliar

Mengengerüst BIA Mobiliar

686 Geschäftsprozesse auf 6 Prozessebenen

4 Direktionsstandorte und weitere ca. 150 Standorte

(wobei diese grundsätzlich nicht entscheidend sind, sondern die Prozesse)

Alle 3 Geschäftsprozessebereiche wurden berücksichtigt

(Hauptprozesse, Supportprozesse, Führungsprozesse)

Business Impact Analysen für

ca. 60 Geschäftsprozesse gemacht

(max. bis auf Prozessebene 3)

3 Standard-Prozesse für die

80 Generalagenturen

Durchführung im Rahmen von

Interviews und Workshops

Bern BG35Zürich

Nyon

Bern MB68

ca. 150 weitere StaO

Page 23: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

232. März 2010 © A. Andrist / Die Mobiliar

Erkenntnisse

■ Um BIA`s durchführen zu können, sind wohldefinierte Prozess-Strukturen und entsprechende Verantwortlichkeiten notwendig

■ Bei der Ersterhebung muss eine Begleitung der Prozessverantwortlichen sichergestellt werden (Workshop, Interview)

■ Entwicklung einer einfachen Metrik, die die ganze Unternehmung abzudecken vermag

■ Bei der Ermittlung der Kritikalität muss die Auswirkung auf der Zeitachse, nicht das Ereignis im Vordergrund stehen(Continuity Management ist nicht Risk-Management)

■ Bereits zu Beginn die Machbarkeit und Umsetzung der Auswertung und Dokumentation sicherstellen (Nachhaltigkeit)

Page 24: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

242. März 2010 © A. Andrist / Die Mobiliar

... wo bleibt

unser

Geschäft?

... ich dachte

wir hätten ein

Backup!

Business Continuity Management

Page 25: Business Continuity Management - IBM · PDF fileAlbert Andrist Leiter Business Continuity & Security Schweizerische Mobiliar Versicherungen Asset Management AG IBM - CIO Club of Excellence

252. März 2010 © A. Andrist / Die Mobiliar

Besten Dank

Albert Andrist

Schweizerische Mobiliar Versicherungen

Asset Management AG

Bundesgasse 35

CH - 3001 Bern

Schweiz

031 389 7811

[email protected]