„Tear down the wall“ – integrierte Umsetzung des Sicherheitsmanagements

Auf dem Online-Drehkreuz 3GRC fĂĽr Governance Risk & Compliance ist heute mein Artikel “Tear down the wall” – integrierte Umsetzung des Sicherheitsmanagements erschienen. An einem praktischen Beispiel wird die Notwendigkeit der Integration der verschiedenen Disziplinen des Sicherheitsmanagements eines Unternehmens beschrieben. Noch arbeiten oftmals die Disziplinen Business Continuity Management, Informationssicherheit, physische und personelle Sicherheit, Datenschutz und Risikomanagement eher neben- als miteinander. Hierdurch werden wichtige Synergieeffekte verschenkt und ein einheitliches ĂĽbergreifendes Sicherheitsniveau kann nicht geschaffen werden. Ich freue mich ĂĽber Ihre RĂĽckmeldungen und Meinungen.

Webinare im Rahmen der Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai 2016 findet die jährliche Business Continuity Awareness Week des Business Continuity Institute statt. Neben Postern und Studien zum kostenlosen Download gibt es auch in diesem Jahr wieder ein umfangreiches Programm an kostenfreien Webinaren zu verschiedenen Themen rund um das Thema Business Continuity Management. Das Programm ist jetzt veröffentlicht und kann unter diesem Link abgerufen werden.

Haben Sie Pläne zur Sensibilisierung der Mitarbeiter für das BCM?

Wie wäre es mit einem Artikel in der Mitarbeiterzeitschrift, einem Aushang mittels eines der Poster oder einem Beitrag bei den Einführungsveranstaltungen für neue Mitarbeiter?

Dies ist auch eine gute Gelegenheit, in Kooperation mit den Kollegen von der Informations-Sicherheit, dem Risikomanagement oder Facility Management die gemeinsamen Ziele und Schnittstellen fĂĽr die Unternehmenssicherheit aufzuzeigen. Gemeinsam im Team geht die Arbeit leichter.

Wer sind die “interested parties” aus ISO 22301

Dr. Christian Zänker (zaenker@bcmpartner.de) beschäftigt sich in seinem aktuellen Gastbeitrag fĂĽr die BCM-News mit der Rolle der “interested parties” in ISO 22301 und ISO 22313. Hierzu analysiert er in bekannter Schärfe die beiden Standards, um den “interested parties” auf die Schliche zu kommen. Doch einfach macht es ihm die etwas wirre Begriffswelt im Business Continuity Management nicht:

Im ISO Standard 22301 sind die interested parties an die Stelle der Stakeholder gerückt. Nunmehr werden durch die interested parties Anforderung an das BCMS gestellt, die durch einen gelebten P-D-C-A Zyklus Erfüllung finden und wieder als Managed Business Continuity die Erwartungen der interested parties befriedigen. So schön, so gut.

Weiterlesen…

Die zehn Schritte zum Business Continuity Management

Gerade kleine und mittelständische Unternehmen sind manchmal gezwungen, schnell und effizient ein Business Continuity Management zu implementieren. Zum Beispiel weil ein Kunde dies zur Auflage für den Vertragsabschluss gemacht hat. Von null auf hundert mal schnell ein standardkonformes Business Continuity Management einzuführen, dafür fehlt das Know How und die Ressourcen. Der neue lukrative Vertrag mit dem namhaften Kunden, der ganz unverschämt nach dem BCM verlangt, muss natürlich trotzdem unter Dach und Fach. Jetzt ist guter Rat teuer? Nein, es ist der Wink mit dem Zaunpfahl, das eigentlich schon immer benötigte BCM im Hause einzuführen. Schritt für Schritt, immer die Kundenanforderungen im Blick.

Diese 10 Schritte fĂĽhren dann trotzdem zum Ziel:

  1. Unterstützung der Geschäftsführung sicherstellen:
    Stellen Sie die Unterstützung der Geschäftsführung für das Thema sicher. Sie stellt personelle und finanzielle Ressourcen. Insbesondere benötigen Sie die aktive Unterstützung der Geschäftsführung bei Priorisierungskonflikten und Widerständen.
  2. Scope fĂĽr das BCM definieren:
    welche Produkte, Services, Standorte, Prozesse werden im ersten Schritt betrachtet?
  3. Betroffene Mitarbeiter abholen:
    Workshop “die 5 W-Fragen zum BCM: wozu, wie, wann, wer, womit”.
  4. Business Impact Analyse zur Identifikation der kritischen Prozesse und Ressourcen im definierten Scope durchfĂĽhren:
    Konzentrieren Sie sich auf das Ziel und verlieren Sie sich nicht in der Ermittlung finanzieller Impacts. Führen Sie die BIA in Form von Interviews und Workshops mit den Verantwortlichen. Dies spart Zeit und erhöht die Qualität.
  5. Notfallkonzepte fĂĽr die kritischen Prozesse erstellen:
    Nutzen Sie Templates für die Erstellung der Notfallkonzepte je Geschäftsprozess. Erläutern Sie in einem Workshop exemplarisch die Vorgehensweise und Inhalte.
  6. Notfallchecklisten fĂĽr Szenarien erstellen:
    Erstellen Sie Notfallchecklisten für einzelne BCM-Szenarien, nach denen im Notfall strukturiert vorgegangen werden kann. Nicht die Masse, sondern die Qualität ist für eine gute Notfallplanung entscheidend.
  7. eine erste BCM-Ăśbung auf Basis der erstellten Dokumentationen durchfĂĽhren:
    führen Sie schnell eine erste Übung auf Basis der erstellten Dokumentationen durch. Hierdurch lässt sich das Verfahren verifizieren und es ist ein erstes Erfolgserlebnis.
  8. Lessons learned durchfĂĽhren, Dokumentationen und Prozesse optimieren:
    Optimieren Sie die Verfahren und Dokumentationen auf Basis der Erfahrungen.
  9. Die weitere Implementierung planen:
    Planen Sie die nächsten Stufen der BCM-Implementierung.
  10. BCM in der Linie etablieren: Rollen, Ressourcen, Prozesse
    Etablieren Sie das BCM in der Linie mit Verantwortlichkeiten und Ressourcen.

Poster fĂĽr die Business Continuity Awareness Week 2016

Vom 16. bis 20. Mai findet dieses Jahr wieder die Business Continuity Awareness Week “BCAW” statt. Die Woche ist dazu da, das Bewusstsein fĂĽr Business Continuity Management in den Organisationen zu stärken. Das Business Continuity Institute bietet in dieser Woche auf der Webseite BCAW2016 zahlreiche hochwertige und kostenfreie Webinare internationaler Referenten zu BCM an. Zur UnterstĂĽtzung der Awareness-Kampagne gibt es auch in diesem Jahr wieder Poster. Diese können kostenfrei in unterschiedlichen Formaten von der Seite heruntergeladen werden und dĂĽrfen BĂĽros und Gänge schmĂĽcken.

BCAW_A44-1

Implementierung von Business Continuity Management bei begrenzten Ressourcen

Viele Unternehmen schrecken vor der Implementierung von Business Continuity Management zurĂĽck, weil sie die Ressourcen fĂĽr ein solches Vorhaben nicht einsetzen können oder wollen. Die Implementierung eines vollumfänglichen Business Continuity Management ist auch tatsächlich ein Vorhaben, das bei der Implementierung und dem Betrieb erhebliche personelle und finanzielle Ressourcen binden kann. Aus diesem Grund auf die Implementierung eines BCM ganz zu verzichten, ist jedoch eine falsche und gefährliche Entscheidung. Die Geschäftsleitung verstößt damit im Ăśbrigen auch gegen gesetzliche Vorgaben fĂĽr das Risikomanagement aus dem Aktiengesetz und GmbHG. Auch Kunden fordern zunehmend bei Vertragsabschluss eine Notfallvorsorge und ein Krisenmanagement. “Doing the right things”, ist  ein wichtiger betriebswirtschaftlicher Grundsatz fĂĽr die Effektivität des Handelns. Ăśbertragen auf die Implementierung von BCM bedeutet dies, mit begrenzten Ressourcen die größtmögliche Wirkung zu erzielen. Hierzu mĂĽssen die geschäftskritischen Produkte und Prozesse des Unternehmens identifiziert werden. In der strategischen BIA erfolgt dies aus einer Top-Level-Sicht des Unternehmens:

  • welches sind die Produkte und Services des Unternehmens, die nicht unterbrochen werden dĂĽrfen?
  • welches sind die Kunden, deren Versorgung die höchste Priorität haben?
  • welches sind die kritischen Geschäftsprozesse zur Erstellung dieser Produkte und Services?
  • Welches sind die kritischen IT-Anwendungen,  Dienstleister und weitere Ressourcen, die zur Erstellung dieser Services benötigt werden?

Diese Fragen werden in einem Workshop mit der Geschäftsleitung geklärt. Die Festlegungen hieraus legen den Scope des BCM fest. Durch die Konzentration auf “bestandsgefährdende” Produkte und Prozesse kann der Scope fĂĽr das BCM im ersten Schritt sehr eng gezogen werden. Durch die nachfolgende taktische und operative BIA wird diese strategische BIA verprobt und vertieft.

Durch die “Konzentration auf das Wesentliche” kann auch mit begrenzten Ressourcen ein Business Continuity Management implementiert werden. In den weiteren Schritten der Implementierung wird der Scope dann sukzessive erweitert und vertieft. Die Methoden und Verfahren sind hierfĂĽr bereits aus der initialen Implementierung erprobt und bewährt. Wichtig ist es, den ersten Schritt zu machen.

BCM-Wiki

Umfrage: Zusammenarbeit im Rahmen von Lieferkettenunterbrechungen

Sehr geehrte Damen und Herren,

die Vermeidung und die schnellstmögliche Behebung von Lieferkettenunterbrechungen sind schon heute wesentliche Erfolgsfaktoren europäischer Unternehmen im globalen Wettbewerb. Der Ausfall wichtiger Lieferanten kann zu Produktionsausfällen mit verheerenden finanziellen Konsequenzen führen. Viele Beispiele zeigen, dass die Art und die Güte der Zusammenarbeit der beteiligten Unternehmen bei einer Unterbrechung ein zentraler Faktor dafür ist, wie schnell sich die Lieferkette erholt.

Die Forschungsgruppe Produktions- und Logistiknetzwerke an der Jacobs University Bremen untersucht im Rahmen einer Doktorarbeit, wie Unternehmen heute bei Lieferkettenunterbrechungen zusammenarbeiten.

Wir wĂĽrden uns sehr freuen, wenn Sie Ihre Erfahrungen als Branchenexperte in einer kurzen Umfrage (ca. 15 Minuten) mit uns teilen wĂĽrden. Den Link zur Umfrage finden Sie hier: http://ww2.unipark.de/uc/Jacobs-University-F/

Gerne stellen wir Ihnen die Ergebnisse in Form einer Benchmark-Studie im Anschluss kostenlos zur Verfügung. Dazu können Sie am Ende der Umfrage Ihre Kontaktdaten angeben. Die Analyse selbst erfolgt anonymisiert.

Vielen Dank fĂĽr Ihr Mitwirken.

Mit freundlichen GrĂĽĂźen

Marie BrĂĽning

Research Associate, PhD Student

Department of Mathematics and Logistics

Wachsende Bedeutung von “non property damage risks”

Risiken, die keine physischen Schäden verursachen, aber trotzdem zu finanziellen Schadensfolgen fĂĽr das Unternehmen fĂĽhren, nehmen zu. Zu diesen Risiken gehören zum Beispiel Schäden durch Cyber Attacken oder geo-politische Risiken. Die finanziellen Schäden in Folge von Reputations- und Imageverlusten ĂĽbersteigen mittlerweile die direkten Kosten durch Cyber Attacken. Dies ist ein Ergebnis des Allianz Risk Barometer 2015. Ăśber 500 Risikomanager in mehr als 40 Ländern wurden fĂĽr die Studie befragt. Geschäftsunterbrechungen auf Grund von physischen Schäden wie Feuer, Explosion oder Naturkatastrophen sowie Unterbrechungen der Lieferkette dominieren jedoch nach wie vor die Risikolandschaft. Insbesondere die stark wachsende internationale Vernetzung der Wirtschaft schlägt sich in den Risiken nieder. Der legendäre “umgefallene Sack Reis in China” kann mittlerweile auch hierzulande ĂĽber die eng verflochtenen Lieferketten einen Tsunami auslösen. Business Continuity Management und Transparenz der Lieferkette um diese Risiken zu reduzieren ist trotzdem bei vielen Unternehmen noch Fehlanzeige. “Collaboration between different areas of the company – such as purchasing, logistics, product development and finance – is necessary in order to develop robust processes which identify break points in the supply chain. Supply chain performance management analysis can enable early warning systems to be created, ” so Volker Muench, Global Practice Group Leader, AGCS Property Underwriting in der Studie. Und da waren sie wieder, die Silos, die es aufzubrechen gilt.

Was bedeutet dies fĂĽr das Business Continuity Management? Die klassischen BCM-Risikoszenarien wie Ausfall von Gebäuden, Personal oder IT bleiben von Relevanz. Weitere Szenarien, die non property damage risks abbilden, mĂĽssen im Business Continuity Management stärker berĂĽcksichtigt werden. Die Frage ist, wie muss eine Business Impact Analyse und eine Notfallplanung aussehen, die eine angemessene Reaktion ermöglicht. Fakt ist, dass die Anforderungen an Reaktions- und Wiederanlaufzeiten bei diesen Risiken deutlich kĂĽrzer werden, als wir sie häufig fĂĽr die klassischen BCM-Szenarien in der Business Impact Analyse abbilden. Kritischer Erfolgsfaktor fĂĽr die Bewältigung dieser Szenarien ist eine schnelle Reaktion und Kommunikation – sowohl intern als auch intern. Aspekte, die auch in Tests und Ăśbungen fĂĽr das BCM und Krisenmanagement berĂĽcksichtigt werden mĂĽssen. Ăśbungen, die eine Cyber-Attacke simulieren, zeigen diesen Effekt allen Beteiligten deutlich auf. Dynamik, Zeit- und Entscheidungsdruck sind ungleich höher als bei den klassischen BCM-Szenarien. Da hilft nur ĂĽben, denn leider ist die Wahrscheinlichkeit von einer Cyber-Attacke getroffen zu werden sehr hoch und  sei es nur wie im Falle des Ludwigsluster Wurstfabrikanten, dessen Mail-Adresse zum Versand von Malware missbraucht wurde. Empörte und hilflose Opfer des Cryptolockers legten daraufhin durch Anfragen und Beschwerden die Infrastruktur des Unternehmens fĂĽr mehrere Stunden lahm.

Vom schwierigen Verhältnis zwischen Business Continuity Management und Organizational Resilience

Vor einigen Jahren tauchte der Begriff “Resilience” in der klassischen Business Continuity Welt auf und Nichts war mehr so wie es vorher war. BCM war out und altmodisch, Resilience in und hip. Keine Konferenz, kein Artikelbeitrag ohne das magische Wort “Resilience”. Weiterlesen…

BCM Barometer 2015/2016 – Startschuss!

Gerne weisen die BCM-News auf die aktuelle Umfrage zum Business Continuity Management “das BCM Barometer” der BCM Academy GmbH hin:
“Mit ĂĽber 60 Personen hat sich diese Debutumfrage schon groĂźer Beliebtheit erfreut, auch das Feedback nach der Herausgabe der Ergebnisse war durchweg positiv. Wir haben auch einige Verbesserungsvorschläge aufgenommen und hier und da nochmal “nachgefeilt” und können nun in die nächste Runde starten.
Wir, die BCM Academy GmbH in Hamburg, möchten mit dieser Umfrage die Entwicklungen im BCM im deutschsprachigen Raum festhalten und genau wie im letzten Jahr anschließend allen BCM-Interessierten kostenfrei zur Verfügung stellen. (Das BCM Barometer des Vorjahres finden Sie kostenfrei zum Download hier: http://www.bcmacademy.de/de/bcm-barometer)
Die Erhebung ist auch dieses Mal wieder absolut anonym, es werden keine IP-Adressen ermittelt oder gespeichert – somit ist es wichtig, dass Sie nach dem Beginn der Umfrage diese auch zu Ende bringen. Wenn Sie den Browser geschlossen haben können Sie die Umfrage nicht fortsetzen. Die Umfrage wird maximal 10 Minuten Ihrer Zeit in Anspruch nehmen.
Ihre Teilnahme selbstverständlich freiwillig und wir sind daher auf Sie angewiesen, insofern schon jetzt ein herzliches Dankeschön für Ihr Mitwirken.
Wir lassen die Umfrage bis Ende Februar geöffnet und veröffentlichen die Ergebnisse aufgearbeitet bis Ende April 2016 auf unserer Homepage.”

Die Umfrage finden Sie online unter diesem Link: https://surv.es/5506
Technische Empfehlungen: Neuere Versionen von Internet Explorer, Firefox sowie alle gängigen Mobile Devices.
FĂĽr Fragen jeglicher Art sowie Feedback:

Birthe Christiansen
Telefon: 040 – 890 664 62
E-Mail: bchristiansen@bcmacademy.de