Post on 26-Mar-2018
transcript
Albert Andrist
Leiter Business Continuity & Security
Schweizerische Mobiliar Versicherungen
Asset Management AG
IBM - CIO Club of Excellence
2. März 2010
Business Continuity
Management
Notwendige Voraussetzung sind – auch für
die Informatik – Business Impact Analysen
der Geschäftsprozesse
22. März 2010 © A. Andrist / Die Mobiliar
Agenda
Die Mobiliar
Risk-Management und Business Continuity Management
Business Impact Analysen als Grundlage für die SLA der
Informatik mit dem Business
Durchführung und Auswertung der BIA
Erkenntnisse
32. März 2010 © A. Andrist / Die Mobiliar
Die Mobiliar: Zahlen und Fakten
Genossenschaftlich verankert.
Konzentration auf den Markt Schweiz und Liechtenstein.
Breite Palette moderner Versicherungslösungen.
Lokale Kompetenz in Verkauf und Schaden.
Über 90 Prozent der Schadenfälle werden vor Ort auf den
Generalagenturen erledigt.
Beteiligung der Versicherten am Erfolg durch
Auszahlungen aus dem Überschussfonds.
2,8 Mia. Franken Prämienvolumen (2008).
Rund 1,4 Millionen Versicherte.
3‘467 Vollzeitstellen, 287 Lernende (Stand 31.12.2008).
Älteste private Versicherungsgesellschaft der Schweiz,
gegründet 1826.
42. März 2010 © A. Andrist / Die Mobiliar
Die Mobiliar: Im ganzen Land präsent
Über 80 Generalagenturen und weitere rund 60
Geschäftsstellen in allen Landesgegenden und in
Liechtenstein.
Voll-Service-Center.
52. März 2010 © A. Andrist / Die Mobiliar
Risikomatrix
Vorbereitung für
Bewältigung (CM)
Überbrückung (BC)Risiko-
Reduktion?
Rest-
Risiko Auftrag an die Linie
Entscheid
Komitee
Massnahmen
Konsequenzen
Kosten
Auftrag an die Linie
Entscheid
Komitee
Abstimmung, Koordination, Balance
Zusammenarbeit ORM und BCM
ORM BCM
Ris
iko
bew
irts
ch
aft
un
g
Ere
ign
isb
ew
ältig
un
g
Grundsätzlich spielt es keine Rolle, was die Ursache ist, die Auswirkungen für das Business sind massgebend: Unterbruch der normalen/gewohnten Geschäftstätigkeit!
62. März 2010 © A. Andrist / Die Mobiliar
ORM und BCM sind komplementär
Operat.
Risiken
Versich.
Risiken
Strat.
Risiken
Finanzm.
Risiken
Externe
Ereignisse
Interne
Ereignisse
Technik
IT
Personal
HR
Infrastr.
AP
Provider
Au
sw
irku
ng
en
Über-
brückung
NFO
Krisen-
stab
Be-
wältigung
BCMORM
Wa
s k
ön
nte
pa
ss
iere
n?
Wie
hä
ufi
g k
ön
nte
es
pa
ss
iere
n?
Wa
s k
ön
nte
ma
n t
un
,
da
mit
es
mö
gli
ch
st
nic
ht
pa
ss
iert
?
Wa
s h
ätt
e e
s f
ür
fin
an
z. A
us
wir
ku
ng
en
We
lch
e
Au
sw
irk
un
gen
kö
nn
ten
un
s w
ie
be
ein
trä
ch
tig
en
?
Wie
kö
nn
ten
die
Be
ein
trä
ch
tig
un
gen
so
ra
sc
h w
ie m
ög
lic
h
be
ho
be
n w
erd
en
?
Wie
kö
nn
ten
die
Be
ein
trä
ch
tig
un
gen
üb
erb
rüc
kt
we
rde
n?
72. März 2010 © A. Andrist / Die Mobiliar
Bu
sin
es
s C
on
tin
uit
y M
an
ag
em
en
t
Bu
sin
ess C
on
tin
uity P
lan
nin
g B
CP
Crisis
Ma
na
ge
me
nt P
lan
nin
g C
MP
Ereignis Normal-
zustand
Schadenbegrenzung
Schadenbehebung
Rückführung
in den Normal-
zustand
Geschäftsfortführung
Recovery
Crisis Management
(Bewältigung)
Continuity Management
(Überbrückung)
Ereignisbewältigung und Business Continuity
Maximal
tolerierbare
Ausfallzeit
eines
Geschäfts-
Prozesses
IT Desaster-Recovery
IT Services Continuity Management
IT Incident Management
IT Continuity
Planning
IT Continuity
Informatik-Prozesse (ITIL)
82. März 2010 © A. Andrist / Die Mobiliar
IT Continuity
DIBA-Level
Service-Level Vereinbarungen
für den Disasterfall
92. März 2010 © A. Andrist / Die Mobiliar
BCM und ITIL (ITSCM)
Business Perspective
Appl. Mgmt.
Requirements
Design
Build
Deploy
Operate&Optimize
Service Delivery
Capacity-Mgmt.
Availability-Mgmt.
Financial-Mgmt.
Lie
fera
nte
n
Operativ
Taktisch
Strategisch
Service Support
Release-
Mgmt.
Change-
Mgmt.
Problem
-
Mgmt.
Configuration Management
Incident-
Mgmt.
Service
Desk
Infrastr. Mgmt.
Operations Mgmt
Systems Mgmt
Install.-Mgmt
Network Mgmt
Business
Continuitiy
Management
Service-Level-
ManagementL
eis
tun
gs
neh
me
r K
un
de
nContinuitiy-Mgmt.
102. März 2010 © A. Andrist / Die Mobiliar
Continuity-Kosten in der IT
10
Die Komplexität
und die Ab-
hängigkeiten
nehmen zu!
Die Leistungs-
anforderungen
steigen!
Die Menge
der Einheiten
nimmt zu!
Die Kosten
nehmen zu!
112. März 2010 © A. Andrist / Die Mobiliar
Service Level Management
Leistungsstufen definieren
- das bestehende "Angebot" überprüfen?
- kann die Komplexität reduziert werden?
- ist innerhalb des Prozesses alles gleich?
Dekomposition prüfen
- was gehört wohin?
- was wird wo und warum eingesetzt?
SLA gemeinsam mit dem Business
vereinbaren
- auf der Basis priorisierter Geschäfts-
prozesse (BIA als Grundlage!)
122. März 2010 © A. Andrist / Die Mobiliar
Business Continuity und Prozesse
Geschäftsprozesse der Mobiliar
Welche Informatik-Anwendungen und
Informatik-Systeme werden dafür benötigt?
Welche externen Dienstleister (Provider)
werden dafür benötigt?
Welche Funktionen (und Funktionsträger)
werden dafür benötigt?
Welche Infrastruktur/Arbeitsplätze werden
dafür benötigt?
Kritik
alitä
t (MTA
)M
ax
ima
l tole
rierb
are
Au
sfa
llze
it
Prozess-Kritikalität
13 Geschäftsprozess Vertreib
1
S t d.
4
S t d.
1 2
S t 1
T a g2
T a g 1
W . 2
W . 1
M t >
1
M t
13.01 Geschäftsprozess A 1 1 2 3 4 5 5 5 5
13.02 Geschäftsprozess B 1 1 1 2 3 4 4 5 5
13.03 Geschäftsprozess C 1 2 2 3 3 4 5 5 5
13.04 Geschäftsprozess D 1 1 1 2 2 2 3 4 4
13.05 Geschäftsprozess E 1 1 1 1 1 1 1 2 2
132. März 2010 © A. Andrist / Die Mobiliar
Ressourcenbereiche
IT/Telefon
Personal
Infra/AP
■ Personal (HR)Betriebswichtige Funktionen (Prozesse),deren Funktionsträger und Stellvertretungen
■ Informatik (IT)Arbeitsplatzrechner, Server, Netzwerke, Telefonie
■ Externe Leistungserbringer(Provider)Informatik, Strom, Datenleitungen,Post, Banken
Provider
■ Facilities (FM)Gebäude, Räumlichkeiten, Arbeitsplatz, Infrastruktur
142. März 2010 © A. Andrist / Die Mobiliar
Kritikalität der Geschäftsprozesse (MTA)*
■ Ziel ist es, die Kritikalität der Geschäftsprozesse auf der Zeitachse in Bezug auf folgende Auswirkungen zu prüfen
- wann hat ein Ausfall welche direkten finanziellenAuswirkungen(Ertragsminderung, Mehrkosten)
- wann hat ein Ausfall welche betrieblichen/operationellenAuswirkungen(Störung der Arbeitsprozesse)
- wann hat ein Ausfall welche rechtlichen Auswirkungen(Compliance)
- wann hat ein Ausfall welche Auswirkungen auf dasImage(Reputation)
* MTA = Maximal tolerierbare Ausfallzeit
152. März 2010 © A. Andrist / Die Mobiliar
Durchführung der BIA in einem IT-Projekt
AnalyseIdentifikation der Anforderungen
Mobiliar Services DesignDokumentation der Services und
ihrer Abhängigkeiten
Solution DesignDesign und Planung der Implementation der
Disaster-toleranten Services
Meilenstein / Entscheid I: Interviews D: Data Gathering WS: WorkshopsLegend
Das Mobiliar Services Design
WS
BD
Business Impact
Analysis
Aktuelle Möglichkeiten
benötigte Recovery Capability
Tolerierbarer Verlust
Aktuelle Ausfalldauer
Ou
tag
e c
os
ts gap
I
TimelineM3M2
Recovery Capability Assessment
D
WS
• High level solution design
• Migration• Operation• Test concepts
• Detail solution design
• Migration details
• Operation details
• Test cases
Define IATA Services
Model
Projekt ManagementUnterstützung der Projectleitung und Koordination der Ressourcen
BD: Background Delivery
Establish Implementation Roadmap
Develop DRP Framework
Legend
I
• Basis Infrastruktur Services
• Common Services
• Geschäfts-Anwendungs Services
Business Impact Analysis
I
M1
Recovery Capability Assessment
D
WS
Solution Macro Design
BD
WS
• Lösungs Architektur
• Migrations-konzept
• Operation Konzept
• Test Konzept
Solution Micro
Design
• Detail Lösungs Design
• Migration Details
• Operation Details
• Testfälle
Das Mobiliar Services
Model
WS
BD
WS
Roadmap Implementation WS
DIBA Handbuch BD
WS
162. März 2010 © A. Andrist / Die Mobiliar
Durchführung der BIA
Vorbereiten BIA Workshops
• Projekt Kickoff
- Informationspräsentation
BIA
- Fragebogen
- Interview Guide
Interview mit
Verantwortlichem BCM:
Verstehen der aktuellen
Planung und bekannten
Anforderungen
Workshop
Verifikation:
• BIA-Resultate
• BSLA
Nachbearbeiten der
Workshop-Resultate
1.2
1.1
1.3
1.4Formulieren BSLA
1.5
Erstellen BIA charts1.6
1.7
BIA Workshop:
• Übersicht über das Projekt
• Anforderungen RTO/RPO
• Impacts auf das Geschäft bei
Ausfällen
2 Monate 6-7 Monate 2-3 Monate
Prozess-Kritikalität
13 Geschäftsprozess Vertreib
1
S t d.
4
S t d.
1 2
S t 1
T a g2
T a g 1
W . 2
W . 1
M t >
1
M t
13.01 Geschäftsprozess A 1 1 2 3 4 5 5 5 5
13.02 Geschäftsprozess B 1 1 1 2 3 4 4 5 5
13.03 Geschäftsprozess C 1 2 2 3 3 4 5 5 5
13.04 Geschäftsprozess D 1 1 1 2 2 2 3 4 4
13.05 Geschäftsprozess E 1 1 1 1 1 1 1 2 2
Off
lin
eO
nlin
e
172. März 2010 © A. Andrist / Die Mobiliar
Erhebung
■ Im Rahmen von Interviews oder Workshops wurden mit vorbereiteten Fragebogen folgende Daten aufgenommen:
Spitzenzeiten des Prozesses
Finanzielle Auswirkungen auf der Zeitachse(Ertragsausfall, Umsatzverlust, Mehrkosten)
Nicht-Finanzielle Auswirkungen auf der Zeitachse(Compliance, Image, Betrieb)
Maximale Ausfalldauer der IT-Systeme / RTO(abgeleitet aus den Kritikalitätsfragen)
Maximaler Datenverlust bei einem Ausfall / RPO
Arbeitsplatzanforderungen auf der Zeitachse(Anzahl Personen, besondere Infrastruktur)
Ausweichlösungen und Überbrückungsverfahren …auch manuelle, es sind vielfach die einfachsten und sichersten
182. März 2010 © A. Andrist / Die Mobiliar
BCM > nicht nur an Technik denken!
Quelle: Gratiszeitung NEWS, 4./5. September 2008
Die einfachsten
Lösungen sind
meist die Besten –
nicht zu weit
suchen –
Technik bringt
neue Risiken und
zus. Komplexität!
192. März 2010 © A. Andrist / Die Mobiliar
Business und IT – eine gemeinsame Sicht ...
... uns ist
alles klar!
... uns ist
alles klar!
... nur von hier
sieht alles etwas
anders aus!
Info
rmatik
Bu
sin
ess
202. März 2010 © A. Andrist / Die Mobiliar
Einheitliche Metrik
■ Für die unternehmensweite, einheitliche Beurteilung der Kritikalität ist eine für alle Prozesse geeignete Metrik festzulegen
Ertragsausfall/
Umsatzverlust
Führt der Ausfall dieser Unternehmensfunktion zu
Einnahmeverlusten aufgrund von nicht erhaltenen
Einnahmen/Prämien/Zinsen etc.?
Umsatzeinbusse durch Verlust von Marktanteilen?
Mehrkosten Fallen aufgrund des Ausfalls vertragsrechtliche und/oder
ordnungspolitische Forderungen an (begründete
Gebühren und Geldstrafen)?
Fallen sonst externe Mehrkosten an?
Mehraufwand Wäre Überzeit oder zusätzliches Personal nötig, um
den Arbeitsrückstand des Unternehmensprozesses
aufgrund des Ausfalles aufzuarbeiten?
Compliance Gesetzliche Auswirkungen od. vertragliche
Vereinbarungen (Strafen, Sanktionen,
Rechtsstreitigkeiten etc.)
Servicequalität/
Image
Servicequalität gegenüber den Kunden.
Image (Reputation) und Auswirkungen auf den Brand
der Mobiliar als verlässlichen, persönlichen und
kundennahen Partner.
Operation/
Betrieb
Operative, betrieblich negative Auswirkungen
(Produktivität, Personalbelastung, Moral etc.)
212. März 2010 © A. Andrist / Die Mobiliar
Auswertung – die gemeinsame Basis
■ Die Auswertung der BIAs verschafft Übersicht und Sicherheit bei der Beurteilung – für Business und IT
222. März 2010 © A. Andrist / Die Mobiliar
Mengengerüst BIA Mobiliar
686 Geschäftsprozesse auf 6 Prozessebenen
4 Direktionsstandorte und weitere ca. 150 Standorte
(wobei diese grundsätzlich nicht entscheidend sind, sondern die Prozesse)
Alle 3 Geschäftsprozessebereiche wurden berücksichtigt
(Hauptprozesse, Supportprozesse, Führungsprozesse)
Business Impact Analysen für
ca. 60 Geschäftsprozesse gemacht
(max. bis auf Prozessebene 3)
3 Standard-Prozesse für die
80 Generalagenturen
Durchführung im Rahmen von
Interviews und Workshops
Bern BG35Zürich
Nyon
Bern MB68
ca. 150 weitere StaO
232. März 2010 © A. Andrist / Die Mobiliar
Erkenntnisse
■ Um BIA`s durchführen zu können, sind wohldefinierte Prozess-Strukturen und entsprechende Verantwortlichkeiten notwendig
■ Bei der Ersterhebung muss eine Begleitung der Prozessverantwortlichen sichergestellt werden (Workshop, Interview)
■ Entwicklung einer einfachen Metrik, die die ganze Unternehmung abzudecken vermag
■ Bei der Ermittlung der Kritikalität muss die Auswirkung auf der Zeitachse, nicht das Ereignis im Vordergrund stehen(Continuity Management ist nicht Risk-Management)
■ Bereits zu Beginn die Machbarkeit und Umsetzung der Auswertung und Dokumentation sicherstellen (Nachhaltigkeit)
242. März 2010 © A. Andrist / Die Mobiliar
... wo bleibt
unser
Geschäft?
... ich dachte
wir hätten ein
Backup!
Business Continuity Management
252. März 2010 © A. Andrist / Die Mobiliar
Besten Dank
Albert Andrist
Schweizerische Mobiliar Versicherungen
Asset Management AG
Bundesgasse 35
CH - 3001 Bern
Schweiz
031 389 7811
albert.andrist@mobi.ch