fortgeschrittene risikoanalysemethoden für kritische … · 2014-06-05 · – cobit 5:...
TRANSCRIPT
![Page 1: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/1.jpg)
Fortgeschrittene Risikoanalysemethoden für kritische Infrastrukturen, Lieferketten
und komplexe Abhängigkeiten
Dr. Stefan Schiebeck, MSc Austrian Institute of Technology
![Page 2: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/2.jpg)
Vorstellung • Zertifizierter ethischer Hacker, Auditor &
Risikomanager • Sicherheitsberater, Leiter Informationssicherheit • Promotion an der Universität Wien
– RiskSense, Methoden & Prototypentwicklung
• KIRAS Sicherheitsforschung – MetaRisk, Weiterentwicklung, Meta-Modell
![Page 3: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/3.jpg)
Agenda
• Modellierungsbasis • Risikosteuerung • Modell & Analyse • Kollaboration & Kontinuität • Analysemethoden
![Page 4: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/4.jpg)
Modellierungsbasis
• Unternehmenswert – Module
• Prozesse, Infrastruktur, IT-Systeme, etc. exponieren
– Gefährdungen • behandelt durch
priorisierte – Maßnahmen
• geplant / implementiert durch
– Rollen
Modell-Subset: IT-Grundschutz
![Page 5: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/5.jpg)
![Page 6: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/6.jpg)
![Page 7: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/7.jpg)
![Page 8: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/8.jpg)
![Page 9: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/9.jpg)
![Page 10: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/10.jpg)
![Page 11: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/11.jpg)
![Page 12: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/12.jpg)
![Page 13: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/13.jpg)
Risikosteuerung • Analysetiefe, Detailgrad, Personalressourcen • Reifegrade & Gefährdungstoleranzen, akzeptable Restrisiken
– Dyn. Systemaggregation & Normalisierung
• Taxonomien & Kreuzreferenzierungen bestehender Standards & Best Practices erweitern Steuerungsbereiche – ISO 27001: Einzelanforderungen, High-Level Controls – IT-Grundschutz: Module, Typen – COBIT 5: Stakeholder Needs, Enterprise/IT-related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen, High-Level Prozesse – CSF, NIST 800 53, SANS 20, TIA-942, etc.
![Page 14: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/14.jpg)
Model & Analyse
• Basismodell – Unternehmenswert
• Szenariomodell – Struktur & BIA – Vererbungsregeln
• Gesamtrisikomodell – Sensitivitätsanalyse
![Page 15: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/15.jpg)
Basismodell Unternehmenswert
![Page 16: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/16.jpg)
![Page 17: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/17.jpg)
Szenario-Modell
![Page 18: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/18.jpg)
![Page 19: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/19.jpg)
![Page 20: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/20.jpg)
Gesamtrisiko-Modell
• Gesamtsicht der Unternehmenswerte – Modul-spezifische Risikofaktoren – Szenario-Expositionen
• Sensitivitätsanalyse – Maßnahmen, Gefährdungen, Module, … mit
größtem Einfluss auf Gesamtmodell – Ressourcenoptimierung
![Page 21: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/21.jpg)
Kollaboration & Kontinuität
• Einbindung aller verantwortlicher Rollen/Benutzer – Bewertungszyklen
• Einbindung von Kennzahlen durch automatische Sensoren – Interne Risikofaktoren
![Page 22: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/22.jpg)
Kollaboration & Kontinuität
![Page 23: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/23.jpg)
Kollaboration & Kontinuität
• Einbindung aller verantwortlicher Rollen/Benutzer – Bewertungszyklen
• Einbindung von Kennzahlen durch automatische Sensoren – Interne Risikofaktoren – Externe Risikofaktoren
• Branchenkennzahlen, Early Warning Services, Global Incident Maps, Big Data Analytics, etc.
![Page 24: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/24.jpg)
Funktionale Beziehungen
• Systemdekomposition • Aggregationsfunktionen
– Summe – Maximum – Produkt – Minimum – Energetische Summe
![Page 25: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/25.jpg)
Künstliche neuronale Netze
• Lernfähiges System – Training / Verifikation
• System zu komplex für funktionale Darstellung – Bildverarbeitung, Musterkennung – Zeitreihenanalysen, z.B. Wetter – Text & Audioverarbeitung
![Page 26: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/26.jpg)
Bayes‘sche Entscheidungsnetze
• Gerichteter Graph – Zusammenhängende Systemzustände mit
bedingten Wahrscheinlichkeiten – Mehrere Inferenztypen
• Kausal, Diagnostisch, Inter-Kausal
– Ideal bei Kombination von Vorwissen mit verifizierbaren Daten
![Page 27: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/27.jpg)
![Page 28: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/28.jpg)
Fuzzy Logic
• Regelbasiertes System • Terme als graphische Indikatoren
– Keine mathematische Systembeschreibung möglich / sinnvoll
– Robuster, leicht handhabbarer Ansatz • Automatisierungstechnik, Betriebswirtschaft, Medizin,
Elektronik, etc.
![Page 29: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/29.jpg)
![Page 30: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/30.jpg)
Soziale Netzwerkanalyse
• Analyse der Unternehmensorganisation & Kommunikation – Maßzahlen
• Zentralität, Dichte, Cliquen – Einfach anwendbare Disziplin
• Interaktionen zwischen Objekten gleichen Typs – Anwendungsgebiete
• Terrorismus-, Betrugs- & Korruptions-Analysen • Business/Military Intelligence
![Page 31: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/31.jpg)
![Page 32: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/32.jpg)
Petri-Netze
• Zeitabhängige Systeme mit mehreren Zuständen – Abhängigkeiten mit zeitversetzten Auswirkungen – Geschäftsprozessmodellierung – Incident Mangement / Disaster Recovery
Simulationen
![Page 33: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/33.jpg)
![Page 34: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/34.jpg)
System Dynamics • Sozio-ökonomisches Weltmodell
– Population, industrielle Produktion, Umweltverschmutzung und natürliche Ressourcen
• Modellsimulation dynamischer Systeme – Qualitativ & quantitativ – Geschlossene Wirkungsketten mit Feedback Loops
• Anwendung besonders im sozio-ökonomischen Bereich – Controlling- & High-Level-Risikofaktoren – Szenarioanalysen
![Page 35: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/35.jpg)
![Page 36: Fortgeschrittene Risikoanalysemethoden für kritische … · 2014-06-05 · – COBIT 5: Stakeholder Needs, Enterprise/IT -related Goals, Processes – ITIL / ISO 20000: Einzelanforderungen,](https://reader031.vdocuments.net/reader031/viewer/2022013022/5f5e9a6749aa2e023616300a/html5/thumbnails/36.jpg)
Danke für Ihre Aufmerksamkeit!