Survival-Kit für IT-Verantwortliche...Wie sicher muss ein KMU sein (15.50 Uhr, Track 1)...
Transcript of Survival-Kit für IT-Verantwortliche...Wie sicher muss ein KMU sein (15.50 Uhr, Track 1)...
-
Wie sicher muss ein KMU sein (15.50 Uhr, Track 1)
Survival-Kit für IT-Verantwortliche
Prof. Dr. Hannes LubichFachhochschule Nordwestschweiz
-
224.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Wie sicher muss ein KMU sein? Ein „Survival-Kit“ für IT-
Verantwortliche
-
324.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Motivation
-
424.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Inhaltsverzeichnis
• Umgang mit Risiken
• Technische IT-Risken
• Organisatorische IT-Risiken
• Rechtliche / regulatorische Risiken
-
524.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Antike Gesellschaften Schicksal durch „die Götter“ vorbestimmt
Mittelalter
Neuzeit aktives, abstraktes Risiko-Management
Zukunft Vorhersagen, Derivate, Chaos Theorie
Historische Entwicklung des Risikoverständnisses
ZählenMessenStatistik
WahrscheinlichkeitVersicherungs-
modelle
Arabische Zahlen (0)Cardanoda Vinci
PascalFermat
Bernoulli‘sLeibniz
GaussLaplaceKeynes
von Neumann
-
624.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Was ist ein “Risiko”?
• Ein Risiko ist die kalkulierte Prognose eines möglichen Schadens bzw. Verlustes im negativen Fall (Gefahr) oder eines möglichen Nutzens bzw. Gewinns im positiven Fall (Chance). Was als Schaden oder Nutzen aufgefasst wird, hängt von Wertvorstellungen ab.
• „Management“ des Risikos durch Vermeidung, Übertragung, Begrenzung, Akzeptanz, Ignoranz
• Abhängig von Risikotyp und Risikokultur
-
724.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Beurteilungskriterien
• Ausmass des Schadens• Eintrittswahrscheinlichkeit• Grad der Ungewissheit• Grad der eigenen Einflussnahme• Geographische Ausbreitung und zeitliche Ausdehnung
des Schadens• Mögliche Umkehrbarkeit des Schadens• Verzögerung zwischen dem ursprünglichen Ereignis und
späteren Folgen• Gesellschaftlichen Reaktionen
-
824.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Risiko-KlassenNur Risiko
AbstraktKonkret
Chance & Risiko
http://www1.chinadaily.com.cn/en/doc/2003-08/18/xinsrc_9027bce6352648cfaecde7b866d84a27_18p5-1.jpg
-
924.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
IT-Risikoquellen / -ziele
Wer?• Extern:
– Hacker / Cracker– Informationssammler– Kriminelle Personen oder
Organisationen– Aufklärungsdienste– Partner / Kunden– Konkurrenten– Fanatiker / Terroristen– Militär
• Intern:– Unzufriedene Mitarbeiter– Lieferanten / Wartung– System Spezialisten– Kriminelle– Unvorsichtige Mitarbeiter
Was?• Zerstörung von Daten und
Konfigurationen• Ausspähen / Diebstahl von
Informationen oder Software• Verfälschung / Einspeisen von
Falschinformation• Verweigerung oder Verzögerung von
Zugriff oder Auslieferung (denial of service)
• Bedrohung der ordnungsgemässen Geschäftsausübung– Finanz. Verlust– Haftung– Regulation– Image
-
1024.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Technische IT-Risiken
-
1124.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Technische IT-Risiken
• Identitätsdiebstahl• Nicht-Anlagen / Nicht-Auswerten von Logs• Sperrung von Inhalten / Zugriffen für MA• Integration von Privat-/Fremdgeräten• Mobile Arbeitsplätze / Heimarbeitsplätze• Nutzung externer Dienste (Sourcing, SaaS)• Diebstahl von geistigem Eigentum
-
1224.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Organisatorische IT-Risiken
-
1324.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Organisatorische IT-Risiken
• Secuity Policies: Kontrolle, Durchsetzung und Sanktionierung
• Bewusstseinsbildung / -förderung
• Geschäftsweiterführung im Krisenfall
-
1424.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Rechtliche / regulatorische IT-Risiken
-
1524.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Rechtliche / regulatorische IT-Risiken
• Sorgfaltspflicht und Haftung gemäss OR
• Umgang mit schützenswerter Information (eigene, fremde), Aufbewahrungsfristen etc. gemäss DsG, GeBüV
• Zukünftig noch höhere Regulationsdichte
-
1624.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Zusammenfassung / Wie weiter?
1. Feststellung der geltenden Rechtsnorm2. Festlegung der schützenswerten Güter3. Festlegung der relevanten Risiken4. Festlegung des gewünschten Sollzustandes5. Soll / Ist Vergleich6. Massnahmenplan & Finanzierung7. Fortschrittskontrolle und –kommunikation8. Zyklische Neubeurteilung Soll / Ist
-
1724.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
-
1824.11. 2011 Prof. Dr. Hannes P. Lubich, FHNW
Fachhochschule NordwestschweizHochschule für TechnikInstitut für Mobile und Verteilte Systeme
Prof. Dr. Hannes P. LubichDozent für ICT System ManagementSteinackerstrasse 5, CH-5210 Windisch
T: +41 56 462 4758 (direkt)[email protected]
www.fhnw.ch
Besten Dank für Ihre Aufmerksamkeit
www.fhnw.ch
Wie sicher muss ein KMU sein (15.50 Uhr, Track 1)Wie sicher muss ein KMU sein? � Ein „Survival-Kit“ für IT-Verantwortliche MotivationInhaltsverzeichnisHistorische Entwicklung des RisikoverständnissesWas ist ein “Risiko”?BeurteilungskriterienRisiko-KlassenIT-Risikoquellen / -zieleTechnische IT-RisikenTechnische IT-RisikenOrganisatorische IT- RisikenOrganisatorische IT-RisikenRechtliche / regulatorische IT-RisikenRechtliche / regulatorische IT-RisikenZusammenfassung / �Wie weiter?Foliennummer 17Besten Dank für Ihre AufmerksamkeitDer TEFO-Nachmittag!Foliennummer 20