Your SlideShare is downloading. ×
0
IT	
  Risk	
  Management	
  
Digicomp	
  Hacking	
  Day,	
  11.06.2014	
  
Umberto	
  Annino	
  
•  Wer	
  spricht?	
  
Umberto	
  Annino	
  
WirtschaCsinformaEker,	
  InformaEon	
  Security	
  
•  Was	
  ist	
  ein	
  ...
Risiko	
  
3	
  
Gefahr	
  
Bedrohung	
  
Schwach-­‐
stelle	
  
Asset	
  
Risiko	
  
Realitätsabgleich	
  
Compliance?	
  
Risk	
  Management?	
  
OperaEonal	
  Risk,	
  Business	
  ConEnuity?	
  
IT,	
  Inf...
IT	
  Risiko	
  in	
  der	
  Risiko-­‐Hierarchie	
  
5	
  
COSO	
  
Enterprise	
  Risk	
  Management	
  Framework	
  
6	
  
ISO	
  31000	
  Risk	
  Mgmt	
  (2009)	
  
Guidelines	
  and	
  Principles	
  and	
  Framework	
  
7	
  
ISO	
  31000	
  Framework	
  
8	
  
ISO	
  31000	
  
Processes	
  
9	
  
ISO	
  31000	
  -­‐	
  Processes	
  
10	
  
Design	
  of	
  
framework	
  for	
  
managing	
  risk	
  
Understanding	
  of...
ISO	
  31000	
  -­‐	
  Processes	
  
11	
  
Risk	
  
Management	
  
Process	
  
CommunicaEon	
  and	
  consultaEon	
  
Est...
ISO	
  31000	
  
Acributes	
  of	
  enhanced	
  risk	
  management	
  
•  Key	
  outcomes	
  
–  The	
  organisaEon	
  has...
ISO	
  27005	
  
InformaEon	
  Security	
  Risk	
  Management	
  
13	
  
ISO	
  27005	
  
Context	
  Establishment	
  
14	
  
Basic	
  
Criteria	
  
Risk	
  management	
  approach	
  
Risk	
  eva...
ISO	
  27005	
  
InformaEon	
  security	
  risk	
  assessment	
  
15	
  
Risk	
  
idenEficaEon	
  
IdenEficaEon	
  of	
  ass...
ITGI	
  RiskIT	
  Framework	
  
PosiEonierung	
  
16	
  
IT	
  Risk	
  (high	
  level)	
  categories	
  
17	
  
RiskIT	
  Framework	
  
18	
  
Risk	
  maps...	
  
•  Risk	
  
appeEte	
  
•  Risk	
  
tolerance	
  
•  Risk	
  
culture	
  
19	
  
Risk	
  culture	
  
20	
  
IT	
  risk	
  scenario	
  development	
  
21	
  
Risk	
  scenario	
  components	
  
22	
  
Aber:	
  scenario	
  based...	
  
!	
  keeping	
  it	
  real!	
  
23	
  
IT	
  Risk	
  Response	
  
opEons	
  and	
  
prioriEsaEon	
  
24	
  
Verwalten	
  von	
  IT	
  Risiken	
  
Risiko	
  
management	
  
Risiko	
  
analyse	
  
Risiko	
  
idenEfikaEon	
  
Konsolid...
QuanEfizieren	
  von	
  IT	
  Risiken	
  
26	
  
Big	
  Data?	
  Loss	
  DB?	
  
Komplexität	
  von	
  InformaEonssystemen	...
QuanEfizieren	
  von	
  IT	
  Risiken	
  
•  In	
  der	
  Praxis	
  eher	
  qualitaEv	
  stac	
  quanEtaEv	
  
–  Fehlende	...
Risk	
  Treatment	
  
28	
  
Risk	
  
treatment	
  
Avoid	
  
Eliminate	
  
Reduce	
  
Minimize
	
  	
  
Transfer	
  
Exte...
Risk	
  Treatment	
  –	
  ISO	
  27005	
  
29	
  
Konsolidieren	
  von	
  IT	
  Risiken	
  
Disjointed	
  risks	
  
30	
  
Konsolidieren	
  von	
  IT	
  Risiken	
  
shared	
  risks	
  
31	
  
32	
  
Upcoming SlideShare
Loading in...5
×

IT-Risk-Management Best Practice

573

Published on

Referat von Umberto Annino im Rahmen des Hacking Day 2014.

Published in: Business, Economy & Finance
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
573
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
30
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "IT-Risk-Management Best Practice"

  1. 1. IT  Risk  Management   Digicomp  Hacking  Day,  11.06.2014   Umberto  Annino  
  2. 2. •  Wer  spricht?   Umberto  Annino   WirtschaCsinformaEker,  InformaEon  Security   •  Was  ist  ein  Risiko?   !  Sicherheit  ist  das  Komplementärereignis   zum  Risiko   !  Risiko  ist  Schaden  mit  Potenzial   2  
  3. 3. Risiko   3   Gefahr   Bedrohung   Schwach-­‐ stelle   Asset   Risiko  
  4. 4. Realitätsabgleich   Compliance?   Risk  Management?   OperaEonal  Risk,  Business  ConEnuity?   IT,  InformaEon  Security  –  Cyber  Security?   Red  Team,  Threat  Modeling,  APT  and  openSSL?   Big  Data???     Security  ™  vs.  Compliance  ™   4  
  5. 5. IT  Risiko  in  der  Risiko-­‐Hierarchie   5  
  6. 6. COSO   Enterprise  Risk  Management  Framework   6  
  7. 7. ISO  31000  Risk  Mgmt  (2009)   Guidelines  and  Principles  and  Framework   7  
  8. 8. ISO  31000  Framework   8  
  9. 9. ISO  31000   Processes   9  
  10. 10. ISO  31000  -­‐  Processes   10   Design  of   framework  for   managing  risk   Understanding  of  the  organisaEon  and  its  context   Establishing  risk  management  policy   Accountability   IntegraEon  into  organisaEonal  processes   Resources   Establishing  internal  communicaEon  and  reporEng  mechanisms   Establishing  external  communicaEon  and  reporEng  mechanisms   ImplemenEng   risk   management   ImplemenEng  the  framework  for  managing  risk   ImplemenEng  the  risk  management  process   Monitoring  and  review  of  the  framework   ConEnual  improvement  of  the  framework   !  Mandate  and  commitment  
  11. 11. ISO  31000  -­‐  Processes   11   Risk   Management   Process   CommunicaEon  and  consultaEon   Establishing  the  external  context   Establishing  the  internal  context   Establishing  the  context  of  the  risk   management  process   Defining  risk  criteria   Risk  assessment   Risk  idenEficaEon   Risk  analysis   Risk  evaluaEon   Risk  treatment   Monitoring  and  review   Recording  the  risk  management   process  
  12. 12. ISO  31000   Acributes  of  enhanced  risk  management   •  Key  outcomes   –  The  organisaEon  has  a  current,  correct  and   comprehensive  understanding  of  its  risks   –  The  organisaEon‘s  risks  are  within  its  risk  criteria   •  Acributes   –  ConEnual  improvement   –  Full  accountability  for  risks   –  ApplicaEon  of  risk  management  in  all  decision  making   –  ConEnual  communicaEons   –  Full  integraEon  in  the  organisaEon‘s  governance   structure   12  
  13. 13. ISO  27005   InformaEon  Security  Risk  Management   13  
  14. 14. ISO  27005   Context  Establishment   14   Basic   Criteria   Risk  management  approach   Risk  evaluaEon  criteria   Impact  criteria   Risk  acceptance  criteria   ! Scope  and  Boundaries   ! OrganisaEon  for  informaEon  security  risk  management  
  15. 15. ISO  27005   InformaEon  security  risk  assessment   15   Risk   idenEficaEon   IdenEficaEon  of  assets   IdenEficaEon  of  threats   IdenEficaEon  of  exisEng  controls   IdenEficaEon  of  vulnerabiliEes   IdenEficaEon  of  consequences   Risk  analysis   Risk  analysis  methodologies   Assessment  of  consequences   Assessment  of  incident  likelihood   Level  of  risk  determinaEon  
  16. 16. ITGI  RiskIT  Framework   PosiEonierung   16  
  17. 17. IT  Risk  (high  level)  categories   17  
  18. 18. RiskIT  Framework   18  
  19. 19. Risk  maps...   •  Risk   appeEte   •  Risk   tolerance   •  Risk   culture   19  
  20. 20. Risk  culture   20  
  21. 21. IT  risk  scenario  development   21  
  22. 22. Risk  scenario  components   22  
  23. 23. Aber:  scenario  based...   !  keeping  it  real!   23  
  24. 24. IT  Risk  Response   opEons  and   prioriEsaEon   24  
  25. 25. Verwalten  von  IT  Risiken   Risiko   management   Risiko   analyse   Risiko   idenEfikaEon   Konsolidierung   Link  to   business   Risiko   bewertung   QuanEtaEv   QualiEaEv   StaEsEsche   Basis   Risiko   lenkung   Risiko   bearbeitung   Admin   Disziplin/ Aufwand   Kosten   ROI   Risiko   tracking   Nachvollzieh-­‐   barkeit   Konstanz   (Zahlen)   25  
  26. 26. QuanEfizieren  von  IT  Risiken   26   Big  Data?  Loss  DB?   Komplexität  von  InformaEonssystemen  (und  SoCware)?  
  27. 27. QuanEfizieren  von  IT  Risiken   •  In  der  Praxis  eher  qualitaEv  stac  quanEtaEv   –  Fehlende  staEsEsche  Basis   –  Prinzipiell  komplexe  Systeme   –  Wenig  akuter  Bedarf  zur  QuanEfizierung  !  über   Verknüpfung  mit  Business  Process   •  Konsolidierung  der  Werte  für  Management   ReporEng  als  Grundlage  für  QuanEfikaEon   •  In  der  Praxis  eher  „erste  Schrice“  stac  best   pracEse   •  ISO  27005,  ITGI  RiskIT  Framework  und   PracEcEoner  Guide  bieten  brauchbare   Grundlagen  (Framework)   27  
  28. 28. Risk  Treatment   28   Risk   treatment   Avoid   Eliminate   Reduce   Minimize     Transfer   Externalize   Accept   Residual  Risk   Controls   Measures   Avoid  /   Verhindern   Detect  /   Entdecken   Minimize  /   Eindämmen  
  29. 29. Risk  Treatment  –  ISO  27005   29  
  30. 30. Konsolidieren  von  IT  Risiken   Disjointed  risks   30  
  31. 31. Konsolidieren  von  IT  Risiken   shared  risks   31  
  32. 32. 32  
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×