BCM-News Daily Digest

  • Positive Nebeneffekte einer Business Impact Analyse: Köpfe kennen » Business Continuity Management News
    Im Krisenmanagement gibt es den Leitspruch "In der Krise Köpfe kennen". Dies bedeutet, die richtigen Ansprechpartner für die Lösung der Herausforderungen zu kennen, aber auch Verhaltensweisen von Menschen in Stress-Situationen einschätzen zu können. Ein wichtiger Weg, Köpfe kennenzulernen ist die Business Impact Analyse.

    Die Business Impact Analyse stellt eine Tournee durch die ganze Organisation auf der Suche nach kritischen Geschäftsprozessen dar. Auf dieser Tournee bekommt man Kontakt zu ganz vielen Menschen im Unternehmen aus den unterschiedlichsten Bereichen. Morgens ein Interview mit dem Prozessverantwortlichen aus dem Wertpapierbereich, der mit einem Mausklick Millionenbeträge bewegt, Nachmittags im Keller beim Facility Management umgeben vom Dieselgeruch des Notstromaggregats. In kaum einer Disziplin wie dem BCM, und hier insbesondere der Business Impact Analyse, gibt es die Möglichkeit, alle Bereiche und Nischen des Unternehmens zu erkunden und kennenzulernen. Auf diesem Weg lernt man viele Menschen kennen, lernt viel über deren Aufgabenbereiche und kann persönliche Kontakte über das BCM hinaus knüpfen. Der Kontakt reicht von der analytischen Betrachtung von Geschäftsprozessen, Dienstleistern, Technik und IT bis zu Präsentationen der Ergebnisse bei der Geschäftsführung.

    Ein wesentlicher Grund, warum ich beim Business Continuity Management seit vielen Jahren hängen geblieben bin, ist diese Vielseitigkeit der Themenbereiche mit einer hohen Anforderung an die Kommunikationsfähigkeit mit verschiedensten Ansprechpartnern. Die Business Impact Analyse ist eine große Chance für die BCM-Verantwortlichen ihr Gesicht zu zeigen, Köpfe zu kennen und Awarenessbildung für das BCM zu machen. Eine BIA mag durch einen Fragebogen erhebbar sein, das persönliche Kennenlernen ist durch Nichts zu ersetzen und jede Zeit und Mühe wert in meinen Augen.

    Der Beitrag Positive Nebeneffekte einer Business Impact Analyse: Köpfe kennen erschien zuerst auf Business Continuity Management News.

BCM-News Daily Digest

Positive Nebeneffekte einer Business Impact Analyse: Transparenz über die Organisation und die Geschäftsprozesse

Die Business Impact Analyse basiert auf den Geschäftsprozessen des Unternehmens. Ziel der BIA ist es, die zeitkritischen Geschäftsprozesse zu identifizieren, deren Unterbrechung oder Ausfall zu großen oder gar existentiellen Schäden für das Unternehmen führen können.

“A thorough understanding of the organization”, also ein tiefgreifendes Verständnis der Organisation, ist das Ziel der Analyse-Phase gemäß der Good Practice Guidelines des Business Continuity Institute BCI. Die Märkte, Kunden, Produkte und Services, Geschäftsprozesse sowie Dienstleister- und Lieferantenbeziehungen gehören zu einem erfolgreichen Funktionieren eines Unternehmens.

Gut modellierte Geschäftsprozesse und Ressourcenzusammenhänge sind daher eigentlich die Voraussetzung für das gute Gelingen einer Business Impact Analyse. Produkt- und Servicekataloge, Prozesslandkarten, IT-Anwendungslisten und dokumentierte Informationsverbünde, Dienstleister- und Vertragsverzeichnisse sowie betriebswirtschaftliche Kennzahlen wie Umsätze und Deckungsbeiträge gehören zum Basis-Werkzeugkasten einer BIA.

Doch auch im Business Continuity Management ist die Welt nicht optimal. In der Regel fehlen beim Projektstart eines oder gleich mehrere dieser Werkzeuge. Manche Werkzeuge sind vorhanden, aber stumpf wie zum Beispiel eine nicht gepflegtes IT-Anwendungsverzeichnis oder schlecht strukturierte Prozesslandkarten.

Jetzt die Hände in den Schoß zu legen und zu warten bis die Werkzeugkiste vom Himmel fällt ist jedoch der falsche Ansatz. Sehr oft habe ich in meiner Beratungspraxis erlebt, dass aus dem BCM-Projekt gestoppte oder eingeschlafene Ansätze mittels einer Initialzündung wieder zum Leben erweckt werden konnten. Oftmals sind Geschäftsprozessmodellierungsprojekte mehrfach euphorisch gestartet worden, um dann später frustriert wieder eingestellt zu werden oder schlicht einzuschlafen. Das BCM und insbesondere die Business Impact Analyse gibt vielen Werkzeugen einen Sinn und fügt sie zusammen. Was nutzt der schönste Drehmomentschlüssel im Werkzeugkasten, wenn es keine sinnvolle Anwendung dafür gibt oder er den völlig falschen Drehmomentbereich für die kleinen feinen Schrauben hat. Das BCM wird diese Werkzeuge nicht herstellen können, sondern den vielen schönen Tools einen Einsatzzweck geben, in dem sie alle für ein gemeinsames Ziel zusammenwirken können: “das Geschäft verstehen und modellieren”. Was gibt es nichts Schöneres, als sich mit einem gut ausgestatteten Werkzeugkoffer an die Arbeit zu machen und das Werk erfolgreich zu beenden mit einem gemeinsamen Verständnis, wie die Bausteine zusammenwirken.

BCM-News Daily Digest

  • Positive Nebeneffekte einer Business Impact Analyse: Licht in die Schatten-IT » Business Continuity Management News
    Die Business Impact Analyse dient im Business Continuity Management zur Identifikation der zeitkritischen Geschäftsprozesse und deren Ressourcen wie Personal, IT, Gebäude / Arbeitsplätze, Technik / Anlagen und Dienstleister. Neben diesen originären Zielen kann durch eine Business Impact Analyse auch ein deutlicher Mehrwert für andere Themenbereiche gewonnen werden. Hierzu gehört die zunehmende Schatten-IT, die zu Steuerungsverlusten in der IT führen kann.

    Unter Schatten-IT werden die IT-Anwendungen verstanden, die von Fachbereichen gekauft, erstellt und betrieben werden, ohne dass die IT, das Informationssicherheitsmanagement sowie die IT Security Kenntnis davon hat. Cloud-Lösungen und Web-Anwendungen begünstigen die Schatten-IT, denn die IT muss in den Kauf und Betrieb nicht eingebunden werden. Schatten-IT kann jedoch kritisch für die Durchführung von Geschäftsprozessen sein, sensitive Unternehmensdaten sowie personenbezogene Daten können in Schatten-IT gespeichert und verarbeitet werden und schließlich kann Schatten-IT eine IT-Sicherheitslücke bedeuten. Es ist daher für ein Unternehmen wichtig, die Schatten-IT möglichst gering zu halten. Dies gelingt durch ein auf die Nutzerbedürfnisse ausgerichtetes IT-Serviceangebot aber auch durch Transparenz über die vorhandene Schatten-IT.

    Im Rahmen der Business Impact Analyse werden alle Ressourcen erhoben, die für die Durchführung des Geschäftsprozesses im Normal- und Notbetrieb benötigt werden. Hierzu gehören neben den Services der Unternehmens-IT auch eigenerstellte Anwendungen (IDV) und fremdbezogene IT-Services wie Web-Anwendungen und Cloud-Services. Oftmals entsteht so mittels der BIA erstmals eine gesamthafte Sicht auf die im Unternehmen genutzten IT-Services inklusive der "Schatten-IT".

    Wichtig ist, die Fachbereiche für das "Aufdecken" dieser bislang für die IT unbekannten Anwendungswelt nicht zu bestrafen, sondern Schatten-IT in den geregelten IT-Betrieb zu überführen (incl. Tests, Dokumentationen, Change- und Releasemanagement, Notfallvorsorge etc.) soweit sinnvoll oder durch adäquate IT-Services zu ersetzen.

    Das BCM kann so mit Hilfe der BIA einen wichtigen Beitrag zur Umsetzung der IT-Strategie beitragen.

    Der Beitrag Positive Nebeneffekte einer Business Impact Analyse: Licht in die Schatten-IT erschien zuerst auf Business Continuity Management News.

  • Hohe Bereitschaft, Lösegeld zu zahlen
    CrowdStrike hat sich in einer weltweiten Umfrage dem Thema Ransomware angenommen. Dabei zeigt sich, dass deutsche Unternehmen nach einer erfolgreichen Ransomware-Attacke wesentlich öfter Lösegeld zahlen als andere Länder.

Positive Nebeneffekte einer Business Impact Analyse: Köpfe kennen

Im Krisenmanagement gibt es den Leitspruch “In der Krise Köpfe kennen”. Dies bedeutet, die richtigen Ansprechpartner für die Lösung der Herausforderungen zu kennen, aber auch Verhaltensweisen von Menschen in Stress-Situationen einschätzen zu können. Ein wichtiger Weg, Köpfe kennenzulernen ist die Business Impact Analyse.

Die Business Impact Analyse stellt eine Tournee durch die ganze Organisation auf der Suche nach kritischen Geschäftsprozessen dar. Auf dieser Tournee bekommt man Kontakt zu ganz vielen Menschen im Unternehmen aus den unterschiedlichsten Bereichen. Morgens ein Interview mit dem Prozessverantwortlichen aus dem Wertpapierbereich, der mit einem Mausklick Millionenbeträge bewegt, Nachmittags im Keller beim Facility Management umgeben vom Dieselgeruch des Notstromaggregats. In kaum einer Disziplin wie dem BCM, und hier insbesondere der Business Impact Analyse, gibt es die Möglichkeit, alle Bereiche und Nischen des Unternehmens zu erkunden und kennenzulernen. Auf diesem Weg lernt man viele Menschen kennen, lernt viel über deren Aufgabenbereiche und kann persönliche Kontakte über das BCM hinaus knüpfen. Der Kontakt reicht von der analytischen Betrachtung von Geschäftsprozessen, Dienstleistern, Technik und IT bis zu Präsentationen der Ergebnisse bei der Geschäftsführung.

Ein wesentlicher Grund, warum ich beim Business Continuity Management seit vielen Jahren hängen geblieben bin, ist diese Vielseitigkeit der Themenbereiche mit einer hohen Anforderung an die Kommunikationsfähigkeit mit verschiedensten Ansprechpartnern. Die Business Impact Analyse ist eine große Chance für die BCM-Verantwortlichen ihr Gesicht zu zeigen, Köpfe zu kennen und Awarenessbildung für das BCM zu machen. Eine BIA mag durch einen Fragebogen erhebbar sein, das persönliche Kennenlernen ist durch Nichts zu ersetzen und jede Zeit und Mühe wert in meinen Augen.

Positive Nebeneffekte einer Business Impact Analyse: Licht in die Schatten-IT

Die Business Impact Analyse dient im Business Continuity Management zur Identifikation der zeitkritischen Geschäftsprozesse und deren Ressourcen wie Personal, IT, Gebäude / Arbeitsplätze, Technik / Anlagen und Dienstleister. Neben diesen originären Zielen kann durch eine Business Impact Analyse auch ein deutlicher Mehrwert für andere Themenbereiche gewonnen werden. Hierzu gehört die zunehmende Schatten-IT, die zu Steuerungsverlusten in der IT führen kann.

Weiterlesen…

BCM-News Daily Digest

  • ISOTC292 New Standard for Product Security published
    <blockquote>The new ISO 22984 provide guidelines for organisations facing physical and cyber threats or other product related threats. The goal is to develop more resilient products, related services and to protect consumers. The standard guides organisations taking the right steps to identify and apply appropriate organisational, technical, and judicial measures.</blockquote>
  • Changing tactics and targets: five ransomware challenges for 2021
    <blockquote>Asigra Inc. has identified five ransomware challenges which it expects to impact businesses in 2021, driven in part by an escalation of increasingly sophisticated ransomware attacks globally.</blockquote>
  • Forensiker schildert telefonische Deepfakes
    Wenn Diktatoren auf Youtube Popsongs im Duett singen, liegt der Deepfake auf der Hand. Weniger verdächtig – aber finanziell folgenschwer – sind digital nachgebildete Stimmen von Geschäftsführern, die per Telefon unaufschiebbare Überweisungen einfordern.
  • Wie wahrscheinlich ist das Unwahrscheinliche? » Business Continuity Management News
    Business Continuity Management (BCM) ist eine Disziplin des Risikomanagements. Es ist daher naheliegend, für die Risikoanalyse im BCM auf die klassischen und bewährten Methoden und Verfahren dieser Disziplin zurückzugreifen. Zu diesen klassischen Vorgehensweisen gehört die Betrachtung eines Risikos unter den beiden Gesichtspunkten Eintrittswahrscheinlichkeit und Schadenshöhe. Als Ergebnis lassen sich Risiken sehr anschaulich in einer Risikomatrix darstellen und es lassen sich erwartete Schadenshöhen zum Beispiel für die finanzielle Risikovorsorge berechnen. Beim BCM stößt dieses Vorgehen jedoch an seine Grenzen, denn wir betrachten im BCM Risiken mit geringer Eintrittswahrscheinlichkeit dafür aber existentiellen Schadenshöhen. Die Eintrittswahrscheinlichkeit des Risikos spielt bei der Notfallvorsorge für BCM-Risiken keine Rolle, denn ein Schaden, wann immer er eintritt, würde die Existenz des Unternehmens bedrohen. Es ist zum Beispiel unerheblich für die (IT-) Notfallplanung, wann und wie oft eine Cyber-Attacke auf die IT-Infrastruktur zu erwarten ist, denn eine entsprechende Vorsorge der IT und des BCM für den Fall einer Cyber-Attacke ist für ein Unternehmen notwendig zur Aufrechterhaltung der kritischen Geschäftsprozesse. Ob und wie die Eintrittswahrscheinlichkeit doch noch ihren Weg ins BCM finden kann, behandelt mein aktueller Beitrag auf 3GRC.

    Der Beitrag Wie wahrscheinlich ist das Unwahrscheinliche? erschien zuerst auf Business Continuity Management News.

Wie wahrscheinlich ist das Unwahrscheinliche?

Business Continuity Management (BCM) ist eine Disziplin des Risikomanagements. Es ist daher naheliegend, für die Risikoanalyse im BCM auf die klassischen und bewährten Methoden und Verfahren dieser Disziplin zurückzugreifen. Zu diesen klassischen Vorgehensweisen gehört die Betrachtung eines Risikos unter den beiden Gesichtspunkten Eintrittswahrscheinlichkeit und Schadenshöhe. Als Ergebnis lassen sich Risiken sehr anschaulich in einer Risikomatrix darstellen und es lassen sich erwartete Schadenshöhen zum Beispiel für die finanzielle Risikovorsorge berechnen. Beim BCM stößt dieses Vorgehen jedoch an seine Grenzen, denn wir betrachten im BCM Risiken mit geringer Eintrittswahrscheinlichkeit dafür aber existentiellen Schadenshöhen. Die Eintrittswahrscheinlichkeit des Risikos spielt bei der Notfallvorsorge für BCM-Risiken keine Rolle, denn ein Schaden, wann immer er eintritt, würde die Existenz des Unternehmens bedrohen. Es ist zum Beispiel unerheblich für die (IT-) Notfallplanung, wann und wie oft eine Cyber-Attacke auf die IT-Infrastruktur zu erwarten ist, denn eine entsprechende Vorsorge der IT und des BCM für den Fall einer Cyber-Attacke ist für ein Unternehmen notwendig zur Aufrechterhaltung der kritischen Geschäftsprozesse. Ob und wie die Eintrittswahrscheinlichkeit doch noch ihren Weg ins BCM finden kann, behandelt mein aktueller Beitrag auf 3GRC.

BCM-News Daily Digest

  • Wissensvorsprung durch SARS: Fast ein Jahr Corona – In China kehrt die Normalität zurück | ZEIT ONLINE
    Zhong Nanshan ist so etwas wie der Christian Drosten Chinas. Der führende Pandemie-Forscher der Volksrepublik gab mit seinen Ratschlägen schon die Richtung vor, als sein Land vor 18 Jahren von der Lungenkrankheit SARS heimgesucht worden war.
    Damals sammelten die Chinesen wichtige Erfahrungen für den Kampf gegen Coronaviren. Auch dieser Wissensvorsprung half dem Milliardenvolk, bislang besser durch die Krise zu kommen, als große Teile des Westens.
  • [toread] How to Avoid Getting Killed by Ransomware
    <blockquote>If you're an IT security professional, mastering mystifying terminology and arcane acronyms is a rite of passage — maybe even a badge of honor. But there's one unusually blunt cybersecurity term anyone can understand — the "kill chain." A successful attack (the "kill") doesn't just happen. It's the end result of a sequence of essential steps (the "chain") that must be completed in order. If you break the chain, you stop the attack.</blockquote>
  • Standards Australia consults on risk management and business continuity briefing paper
    Standards Australia has published a briefing paper to explore the way forward for risk management and business continuity standards published by the organization. The 'Risk Management and Business Continuity Sector Briefing Paper' outlines a proposed plan for activities in this area.
  • Herausforderung "BCM-Übungsrahmenplanung" -Weniger ist manchmal Mehr » Business Continuity Management News
    Die Anforderungen an Häufigkeit, Umfang und Variabilität von BCM-Tests und Übungen steigen laufend, getrieben insbesondere durch Kunden, Prüfer, Audits sowie Regulatorik. Mehr Tests und Übungen in kürzerer Zeit und dies auch noch verbunden mit höheren Anforderungen an Inhalte, Variabilität der Szenarien und Dokumentation erfordern eine gut durchdachte und stringent durchgeführte BCM Test- und Übungsrahmenplanung.

Herausforderung „BCM-Übungsrahmenplanung“ –Weniger ist manchmal Mehr

Die Anforderungen an Häufigkeit, Umfang und Variabilität von BCM-Tests und Übungen steigen laufend, getrieben insbesondere durch Kunden, Prüfer, Audits sowie Regulatorik. Mehr Tests und Übungen in kürzerer Zeit und dies auch noch verbunden mit höheren Anforderungen an Inhalte, Variabilität der Szenarien und Dokumentation erfordern eine gut durchdachte und stringent durchgeführte BCM Test- und Übungsrahmenplanung.

Weiterlesen…

BCM-News Daily Digest

BCM-News Daily Digest

  • Schweizer Politik arbeitet mit Versicherern am Zukunftspandemieschutz – Versicherungswirtschaft-heute
    "Das menschliche Gehirn hat Mühe, Interesse an Dingen zu finden, die noch nicht geschehen sind." Schöner und treffender wie Swiss-Re-CEO Christian Mumenthaler hat niemand formuliert, wie bar jeder Vorbereitung Politik und Wirtschaft auf Covid-19 waren. Sein Angestellter Ivo Menzinger, u.a. Head of Product Management für Public Sector Solutions, zeigt in einem Projekt für den Schweizer Versicherungsverband (SVV) die Notwendigkeiten auf, um künftig nicht wieder ins Pandemiemesser zu laufen. Offenb…