Post on 28-Jan-2021
transcript
Notfallmanagement Resilienz in Organisationen schaffen
„Krise ist ein produktiverZustand, man muss
ihm nur den Beigeschmack der Katastrophe nehmen.“
Max Frisch
2
3OSYSCON GmbH 2018
Organisationen in der modernen Welt
4OSYSCON GmbH 2018
Warum Notfallmanagement
Ausfallszenarien
Ausfall Gebäude/ Infrastruktur Ausfall IT
Ausfall Personal Ausfall Dienstleister
• Stromausfall• Bombendrohung• Hochwasser• Rohrbruch
• Personalausfall• Insolvenz• Ausfall
Infrastruktur
• Längerer Systemausfall
• Feuer / Wasser• Internet (Cloud-
Dienste)
• Krankheit• Streik• Unfälle / Todesfälle
5
Rechtliche Rahmenbedingungen
6Stand 2018
Weitere Normen und Gesetze
KonTraG
Basel II / III
Verpflichtung zur Einrichtung eines Risikomanagementsystems.
Berücksichtigung operationeller Risiken bei der Eigenkapitalausstattung von Banken.
Aktiengesetz
Garantenpflicht der Vorstände, Schaden von der Gesellschaft abzuwenden.
ISAE 3402
Berücksichtigung operationeller und IT-Risiken bei Versicherungen.
7Stand 2018
Regulatorische Rahmenbedinungen
ManagementsystemeDefinition
Instrument zur systematischen Organisationsführung und Steuerung.
Durch eine Aufbauorganisation (Beauftragte, Koordinatoren) werden, von der Unternehmensleitung, vorgegebene Ziele systematisch mit Hilfe einer Ablauforganisation (Prozesse, Verfahren) erreicht.
Die Zielerreichung wird mit Hilfe von internen Audits, Kennzahlen und regelmäßigen Berichtengemessen.
Die Weiterentwicklung wird durch Anweisungen der Leitung an die Aufbauorganisation vorangetrieben.
04.04.2018 Stand 2018 8
Plan – Do – Check - ActKreislauf eines Managementsystems
Planung und Konzeption
Optimierung und Verbesserung
Erfolgskontrolle und Überprüfung
Umsetzung und Implementierung
04.04.2018 Stand 2018 9
10Stand 2018
Notfallmanagement nach BSI 100-4
Initiierung Konzeption Umsetzung Notfall-bewältigungÜbungen und
Tests Verbesserung
11Stand 2018
Praktische UmsetzungUMRA – Rahmenwerk für die Umsetzung des Notfallmanagements
12Stand 2018
Stufe INotfallmanagement ermöglichen
Initiierung
•Leitlinie
Konzeption
•Business Impact Analyse
•Strategie-entwicklung
Notfallbewältigung
Notfallhandbuch•Wiederanlaufplan•Wiederherstellungs-plan
•Geschäfts-fortführungsplan
•Krisen-kommunikation
Übungen und Tests
•Plan-Review•Alarmierungs-übungen
Verbesserung
•Schulung und Sensibilisierung
13Stand 2018
Stufe II + Stufe IIINotfallprävention und Weiterentwicklung
Initiierung
•Leitlinie
Konzeption
•Business Impact Analyse
•Strategie-entwicklung
•Risikoanalyse•Notfallvorsorge-konzept
Notfallbewältigung
Notfallhandbuch•Wiederanlaufplan•Wiederherstellungs-plan
•Geschäfts-fortführungsplan
•Krisen-kommunikation
Übungen und Tests
•Plan-Review•Alarmierungs-übungen
•Übungsplan•Übungskonzept•Übungsbericht•Drehbücher
Verbesserung
•Schulung und Sensibilisierung
• Interner Audit•Kontinuierliche Verbesserung
14Stand 2018
InitiierungRahmenbedingungen schaffen
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
Leitlinie Zeit
Personal Finanzen
15Stand 2018
Rollen und Verantwortlichkeiten
16Stand 2018
Konzeption
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
Business Impact Analyse Strategieentwicklung
17Stand 2018
Business Impact AnalyseKritische Geschäftsprozesse analysieren und bewerten
Einkauf Lager Produktion Lager Verkauf Service
Wareneingang
Schaden Ressourcen Kritische Termine
4h 24h 96h 144h
niedrig normal hoch Sehr hoch
Sommer Weihnachtsgeschäft
18OSYSCON GmbH 2018
Eskalation eines Notfalls
Störung
Notfall
Krise
Katastrophe
19Stand 2018
Parameter Die Ausfallzeit ist nicht alles
20Stand 2018
Beispiel aus der Praxis
21Stand 2018
Strategieentwicklung
22Stand 2018
Strategieoptionen
Redundante Standorte Ausweichstandorte Telearbeit
Schulung Dienstleister Dokumentation
Backups SLA / CarePacks Redundanz
23Stand 2018
Beispiel RechenzentrumKosten im Vergleich zu den Basiskosten / Wiederherstellungszeiten
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
0h 72h
Act
ive/
Act
ive
Hot
Sta
ndby
War
m S
tand
by
Col
d S
tand
y
24Stand 2018
Die „kleinen“ Lösungen
Backup in die Cloud Mobiles Notfallrechenzentrum
VPN loka
l
25Stand 2018
Umsetzung
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
26Stand 2018
Notfallbewältigung
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
Krisenstab Infrastruktur
27Stand 2018
Krisenstab
KrisenentscheidungsgremiumGeschäftsleitung
Leiter KrisenstabNotfallbeauftragter
Öffentlichkeitsarbeit
Kernteam erweitert
IT-Sicherheit
Physische Sicherheit
Notfallteams
Leiter IT Standort-sicherheit
Recht
Personal Fach-abteilungen
Datenschutz
Infrastruktur IT Recht
28Stand 2018
Infrastruktur
29Stand 2018
Übungen und Tests
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
30Stand 2018
Übungsarten
Bezeichnung Inhalt Beteiligte Frequenz Aufwand
Schreibtischtest Der Notfallbeauftragte geht mit allen Beteiligten das Notfallkonzept am Schreibtisch durch.
Interne Mitglieder der Notfallorganisation
Strukturiertes Durchgehen
Theoretisches Durcharbeiten eines Szenarios mit allen Beteiligten
Alle für das Szenario notwendigen Führungspersonen
Simulation Ein Ausfall wird durch Festlegung simuliert
Alle betroffenen Mitarbeiter und Dienstleister
Livetest Benötigte Ressourcen stehen nicht mehr zur Verfügung (Mitarbeiter beurlauben, Abschaltung Strom, Trennung Netzwerk etc. )
s.o
oft hoch
selten niedrig
31Stand 2018
ÜbungszenarienNotfälle kommen auf leisen Sohlen
Ein Mitarbeiter aus dem Marketing meldet sich um 14 Uhr mit plötzlicher Übelkeit krank. Er hat in der Pause eine Currywurst Pommes in der Kantine verzehrt. Diese war heute im Sonderangebot. Er isst sonst eher immer das vegetarische Gericht aber heute haben alle die Currywurst bestellt.
Eine Email wird vom Abteilungsleiter 3 an den Helpdesk gesendet, mit der Bitte um Überprüfung, ob es sich um einen Trojaner handeln könnte. Im Anhang soll eine Bewerbung sein. Der Abteilungsleiter hat nicht auf den Anhang gedrückt, weil es ihm komisch vorkam, dass eine Bewerbungs-Email von einem Unbekannten direkt an ihn adressiert worden ist.
In der Stadt findet ein großer internationaler Gipfel statt. Es werden mehrere hundert Teilnehmer und mehrere Tausend Demonstranten erwartet. Bereits am ersten Tag kommt es zwischen den Demonstranten und der Polizei zu gewaltsamen Auseinandersetzungen. In der Folge muss die Polizei die Straße, in der die ABC GmbH ihren einzigen Sitz hat, für drei Tage komplett sperren.
32Stand 2018
Übungsablauf Planbesprechung
Der Übungsdurchführende stellt die Lage oder Lageentwicklung vor und gibt ein Zeitlimit für eine Entscheidung.
Die Teilnehmer besprechen die Handlungsoptionen und und stellen sie dem Entscheidungsgremium vor.
Das Entscheidungsgremium wählt eine der Optionen ausund weist die Umsetzung durch den Krisenstab oder dieNotfallteams an.
33Stand 2018
Verbesserung
Initiierung
Konzeption
Umsetzung
Notfallbewältigung
Übungen und Tests
Aufrechterhaltung und Verbesserung
34Stand 2018
Lessons Learned
• Notwendige Dokumentation komplettieren
• Vollständigkeit überprüfen
• Durchführung innerhalb von zwei Wochen nach dem Vorfall
• Teilnahme von allenBeteiligten
• Vorfall diskutieren• Prozess diskutieren• Maßnahmen
Konkrete Ursachenermittlung vor Verursacherermittlung
04.04.2018 Stand 2018
Ishikawa-DiagrammUrsachenermittlung durchführen
Vorfälle können nicht behandelt werden
Führungspersonal kennt Anforderungen nicht
Funktionen inNebenaufgaben
Veraltete Systeme
Beschaffung von Werkzeugen langwierig
Kein Behandlungsprozessdefiniert
Kein Sicherheitskonzept Geringes Sicherheitsbudget
Qualifizierte Mitarbeiteraußerhalb des Besoldungsrahmens
Keine dedizierten Werkzeuge zur Erkennung
Hohe Arbeitsbelastungder Mitarbeiter
Fragen?
36Stand 2018
Vielen Dank für Ihre AufmerksamkeitStefan LorenzGeschäftsführerOSYSCON GmbHMax-Planck-Straße 7-9D- 27721 RitterhudePhone: 04292 / 5625 684 0Mail: sl@osyscon.de
Gerd-Jürgen PeterKey Account Manager ML Consulting Schulung, Service & Support GmbHMax-Planck-Straße 39D- 50858 KölnPhone: 02234 / 92 03 - 261Mail: g.peter@mlgruppe.de
mailto:sl@osyscon.demailto:g.peter@mlgruppe.de
Stefan Lorenz
38OSYSCON GmbH 2018
Geschäftsführer OSYSCON GmbH
Berater IT-Sicherheitsmanagement und Business ContinuityExterner Datenschutzbeauftragter
ZertifizierungenISO 27001 Lead AuditorISO 27001 Lead ImplementerDatenschutzbeauftragter nach DSGVO
StudiumMaster of Business AdministrationMagister Artium Geschichtswissenschaften
��Notfallmanagement „Krise ist ein produktiver�Zustand, man muss�ihm nur den Beigeschmack der Katastrophe nehmen.“Organisationen in der modernen Welt Warum NotfallmanagementRechtliche RahmenbedingungenWeitere Normen und GesetzeRegulatorische RahmenbedinungenManagementsystemePlan – Do – Check - ActNotfallmanagement nach BSI 100-4Praktische UmsetzungStufe IStufe II + Stufe IIIInitiierungRollen und VerantwortlichkeitenKonzeptionBusiness Impact AnalyseEskalation eines Notfalls Parameter Beispiel aus der PraxisStrategieentwicklungStrategieoptionenBeispiel RechenzentrumDie „kleinen“ LösungenUmsetzungNotfallbewältigungKrisenstabInfrastrukturÜbungen und TestsÜbungsartenÜbungszenarienÜbungsablauf PlanbesprechungVerbesserungLessons LearnedIshikawa-DiagrammFragen?Vielen Dank für Ihre AufmerksamkeitStefan Lorenz