Rolf von Roessing | Donau-Universität Krems (original) (raw)
Papers by Rolf von Roessing
John Wiley & Sons, Inc. eBooks, Sep 11, 2015
The abstract should contain complete but concise description of your work. Do not forget to menti... more The abstract should contain complete but concise description of your work. Do not forget to mention your participation.
Computer Fraud & Security, Mar 1, 2016
Where once the scourge of the highways were cloaked highwaymen armed with single-shot pistols, ou... more Where once the scourge of the highways were cloaked highwaymen armed with single-shot pistols, our motorways and freeways are now under threat from a much more sinister menace – the Internet car hacker, armed with laptop and code. Vehicles are now a highly automated pieces of technology that, increasingly, are connected to the Internet. This introduces vulnerabilities the like of which we've not seen before. The car has become a node on the Internet of Things, and already we have seen proof-of-concept exploits. Automobile manufacturers, dealers and repair personnel must adapt to new technological concepts, not just for the safety, efficiency and comfort of drivers and passengers, but also to ensure their privacy and data security, says Rolf von Roessing of Forfa AG.
Recent developments in information technology operations have shown two distinct trends. Firstly,... more Recent developments in information technology operations have shown two distinct trends. Firstly, products and services have become increasingly commoditised, thus leading to successive waves of outsourcing and offshoring. Secondly, the introduction of intelligent end-point devices and direct accessibility of webbased services has blurred the boundaries of traditional companies and their perimeter. As a result, the “cloud computing” paradigm creates new challenges for security management, including the business value and cost-benefit considerations.
Dieser Beitrag stellt eine Einfuhrung ins Business Continuity Management (BCM) fur angehende sowi... more Dieser Beitrag stellt eine Einfuhrung ins Business Continuity Management (BCM) fur angehende sowie erfahrene Risikomanagerinnen und -manager dar. Ein kurzer Abriss uber die geschichtliche Entwicklung der Disziplin soll hierbei den Zugang zum heutigen Verstandnis erleichtern. Im Weiteren werden praxisrelevante zentrale Prinzipien und Konzepte, wie die Business Impact Analyse, Business Continuity Plane, der Wiederanlauf und die Wiederherstellung erlautert. Sie stellen wichtige Bausteine fur BCM-Vorhaben dar und kommen unabhangig von der Art der Organisation und ihrer Branchenzugehorigkeit zur Anwendung. Da BCM heute als standard- und regulierungsgetriebene Fachdisziplin wahrgenommen werden kann, wird auch kurz auf die verschiedenen heute gebrauchlichen Standards bzw. Normen fur BCM eingegangen. Sie sind ausschlaggebend dafur, dass BCM heute als kontinuierlicher Prozess verstanden und betrieben wird. Trotz der in der Folge festgestellten und beschriebenen Unterschiede von BCM und Risikomanagement soll kein Anstos fur deren Bekraftigung gegeben werden. Es wird im Gegenteil aufgezeigt, dass es unternehmerisch sinnvoll ist, die Gemeinsamkeiten und Synergiepotenziale zwischen den beiden Fachbereichen zu suchen und zu nutzen.
Risks and the business impact of a critical event are often difficult to quantify. In many cases,... more Risks and the business impact of a critical event are often difficult to quantify. In many cases, the strategic decisions with regard to mitigating risk and minimising financial damage must be taken on the basis of qualitative estimates and expert opinion. However, formulating a continuity and security strategy requires quantitative support across several dimensions: temporal, financial and systemic thresholds must be defined to ensure the optimum level of investment. The paper outlines a strategic decision support model for quantifying risk and business impact. It is further shown how the resulting risk management decisions of the firm can be optimised, and how typical problems of event (disaster) frequency and severity can be resolved. The paper builds on earlier research in audit, insurance and business continuity management to present an innovative approach towards this well-known problem.
Vieweg+Teubner eBooks, 2010
In recent years, information security management has matured into a professional discipline that ... more In recent years, information security management has matured into a professional discipline that covers both technical and managerial aspects in an organisational environment. Information security is increasingly dependent on business-driven parameters and interfaces to a variety of organisational units and departments. In contrast, common security models and frameworks have remained largely technical. A review of extant models ranging from [LaBe73] to more recent models shows that technical aspects are covered in great detail, while the managerial aspects of security are often neglected.Likewise, the business view on organisational security is frequently at odds with the demands of information security personnel or information technology management. In practice, senior and executive level management remain comparatively distant from technical requirements. As a result, information security is generally regarded as a cost factor rather than a benefit to the organisation.
Die Bank vol. 12 / 2015, 2015
Kreditinstitute sind nach den Mindestanforderungen für das Risikomanagement in Kreditinstituten (... more Kreditinstitute sind nach den Mindestanforderungen für das Risikomanagement in Kreditinstituten (MaRisk) gemäß AT 7.3 verpflichtet, für kritische Geschäftsprozesse ein Notfallkonzept einzuführen und ein Business Continuity Management System (BCMS) zu etablieren. Aufgrund komplexer Auslagerungskonstellationen liegen wichtige Geschäftsprozesse oder Teilprozesse oft nicht mehr in der Hand der Institute und erstrecken sich über eine lange Kette von Dienstleistern. Da die Verantwortung aber letztlich immer beim auslagernden Kreditinstitut bleibt, muss sichergestellt werden, dass das Notfallkonzept der Dienstleister bei kritischen Geschäftsprozessen den von der Bank definierten Mindestanforderungen entpricht und mit dem Notfallkonzept der Bank abgestimmt ist. Doch wann gilt ein Notfallkonzept als abgestimmt?
Proc. VDE Seminar Elektronische Geschäftsprozesse, 2002
Grundannahme der Einführung elektronischer Prozesse ist stets die Optimierung bestehender bzw. di... more Grundannahme der Einführung elektronischer Prozesse ist stets die Optimierung bestehender bzw. die Schaffung neuer Geschäftsformen, die einen meßbaren Nutzen-oder Ertragszuwachs im Unternehmen hervorrufen sollen. Die gegenläufige Zielvorstellung des Kosten-und Wettbewerbsdrucks führt jedoch vielfach dazu, daß elektronische Prozesse unter Vernachlässigung der Sicherheits-und Kontinuitätsaspekte entwickelt, implementiert und betrieben werden. Die resultierende Volatilität schafft einerseits Risiken im technischen und organisatorischen Bereich, andererseits eine hohe Empfindlichkeit der Unternehmen gegenüber Störfällen, Unterbrechungen oder dauerhaften Beeinträchtigungen komplexer elektronischer Vernetzungen. Die häufig geäußerte Annahme, diese Probleme seien dem Umfeld der IT-Sicherheit zuzurechnen, wird widerlegt. Statt dessen wird ein integrativer Ansatz des strategischen Kontinuitätsmanagements vorgeschlagen. NB: Aufgrund der Menge der Materialien werden diese auf Wunsch durch den Autor bereitgestellt (per e-mail o. ä.), um die Hintergründe leichter zugänglich zu machen.
Securing Mobile Devices, 2012
About ISACA ® With more than 100,000 constituents in 180 countries, ISACA (www.isaca.org) is a le... more About ISACA ® With more than 100,000 constituents in 180 countries, ISACA (www.isaca.org) is a leading global provider of knowledge, certifications, community, advocacy and education on information systems (IS) assurance and security, enterprise governance and management of IT, and IT-related risk and compliance. Founded in 1969, the nonprofit, independent ISACA hosts international conferences, publishes the ISACA ® Journal, and develops international IS auditing and control standards, which help its constituents ensure trust in, and value from, information systems. It also advances and attests IT skills and knowledge through the globally respected Certified Information Systems Auditor ® (CISA ®), Certified Information Security Manager ® (CISM ®), Certified in the Governance of Enterprise IT ® (CGEIT ®) and Certified in Risk and Information Systems Control TM (CRISC TM) designations.
Transforming Cybersecurity, 2014
About ISACA ® With more than 100,000 constituents in 180 countries, ISACA (www.isaca.org) is a le... more About ISACA ® With more than 100,000 constituents in 180 countries, ISACA (www.isaca.org) is a leading global provider of knowledge, certifications, community, advocacy and education on information systems (IS) assurance and security, enterprise governance and management of IT, and IT-related risk and compliance. Founded in 1969, the nonprofit, independent ISACA hosts international conferences, publishes the ISACA ® Journal, and develops international IS auditing and control standards, which help its constituents ensure trust in, and value from, information systems. It also advances and attests IT skills and knowledge through the globally respected Certified Information Systems Auditor ® (CISA ®), Certified Information Security Manager ® (CISM ®), Certified in the Governance of Enterprise IT ® (CGEIT ®) and Certified in Risk and Information Systems Control TM (CRISC TM) designations.
The Business Model for Information Security, 2010
This is the original BMIS publication by ISACA
Handbuch der Unternehmensberatung, E. Schmidt Verlag, 2010
Betriebliches Kontinuitätsmanagement und Business Resilience haben sich inden vergangenen Jahren ... more Betriebliches Kontinuitätsmanagement und Business Resilience haben sich inden vergangenen Jahren zu bedeutenden Beratungsfeldern entwickelt. Anhand der historischen Entwicklung und der heutigen Anforderungen in der Unternehmenspraxis wird gezeigt, wie das BCM als Beratungsgebiet einzuordnen ist und welche Kompetenzen erforderlich sind.Auf das sich entwickelnde Beratungsthema Business Resilience wird ein theoretischer und praktischer Ausblick gegeben.
Continuity Magazine, 2008
Measuring the value of BCM KPIs (Key Performance Indicators) for Business Continuity Management e... more Measuring the value of BCM KPIs (Key Performance Indicators) for Business Continuity Management enable a company to measure and monitor its performance on a strategic and operational level. The KPIs are also known as the "lead indicators" as they should help to disclose deviations from the desired performance levels. Based on the strategic goals of a company's BCM programme, the target values for KPIs will be set. Comparing current KPI values to these targets will immediately identify deficiencies and will highlight areas for improvement in the BCM programme. One possible definition states that KPIs should measure the performance of the BCM programme on a day-today basis. Due to the fact that there might be no common understanding about the purpose and objectives of KPIs, or because the general meaning of KPI deviates from this definition, it is necessary to ensure that all parties involved agree on the same general understanding of this tool prior to any discussion about KPIs. In today's business world the importance of benchmarking is increasing continually. That means that virtually every company wants to compare its performance to the market leaders'. Consequently, a general KPI comprehension-a language-is needed, and this language should include the BCM KPIs.
Zeitschrift für Unternehmensberatung vol. 6, 2007, pp69-73, 2007
Der folgende Artikel soll als Einführung zum betrieblichen Kontinuitätsmanagement dienen, um dess... more Der folgende Artikel soll als Einführung zum betrieblichen
Kontinuitätsmanagement dienen, um dessen erweiterte
Sicht als strategische Disziplin in der Beratung näher beleuchten.
Dabei werden sowohl die historischen Zusammenhänge
als auch die Anforderungen dargestellt, die sich aus
verschiedenen Quellen herleiten lassen. Es ergibt sich daraus
nicht nur die Notwendigkeit eines BKM-Prozesses im Unternehmen,
sondern auch die Notwendigkeit qualifizierter Beratung
in Planung, Umsetzung und Erfolgskontrolle.
Proc. D-A-CH Sicherheitskonferenz, 2005
Im Bereich der IT-Sicherheit und des Business Continuity Management sind durch zahlreiche neue Vo... more Im Bereich der IT-Sicherheit und des Business Continuity Management sind durch zahlreiche neue Vorschriften und Standards Vorgaben entstanden, die in der Sicherheits-und Risikoanalyse der Unternehmen ihren Niederschlag finden müssen. Die Anforderungen an das interne Kontrollsystem der Unternehmen sind gestiegen. Sektorspezifische Anforderungen im Banken-und Finanzumfeld wurden durch den Sarbanes-Oxley Act und andere Regelungen ergänzt. Seit 2003 existiert mit der öffentlich verfügbaren Spezifikation PAS 56 der British Standards Institution ein einheitliches Rahmenwerk für das betriebliche Kontinuitätsmanagement. Zusammen mit den älteren Normen ISO 17799 und BS 7799 bildet PAS 56 ein Instrumentarium für die Gestaltung und Bewertung der (Überlebens-) Sicherheit im Unternehmen. Das Paper beschreibt das Rahmenwerk der Kontinuität im Sinne des BS PAS 56 und vergleicht diese Vorgaben mit bestehenden Normen in der IT-Sicherheit. "Security" wird dadurch um mehrere Dimensionen erweitert, da sowohl Corporate Governance als auch allgemeines Risikomanagement erfaßt sind. In weiteren Schritten schlägt das Paper einen Prüfungsrahmen vor, der für die Unternehmensführung ein unerläßliches Instrument zur Angleichung der internen Verhältnisse an die herrschenden Vorschriften darstellt.
Proc. D-A-CH Sicherheitskonferenz, 2004
Basel II beschreibt unter dem Sammelbegriff des operationellen Risikos zahlreiche IT-bezogene Ris... more Basel II beschreibt unter dem Sammelbegriff des operationellen Risikos zahlreiche IT-bezogene Risikoklassen und stützt sich auf die klassischen Sicherheitsziele Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit. Die technische und wirtschaftliche Bewertung IT-bezogener Sicherheitsrisiken erweist sich in diesem Rahmen jedoch als schwierig. Im folgenden wird ein Vorgehensmodell vorgeschlagen, das dieses Problem löst und IT Security zu einem meßbaren Bestandteil des operationellen Risikos macht.
Proc. Münchner Kreis Sicherheitskonferenz, 2003
Die IT-Sicherheit hat nicht nur durch die populäre Berichterstattung der letzten Jahre, sondern a... more Die IT-Sicherheit hat nicht nur durch die populäre Berichterstattung der letzten Jahre, sondern auch durch eine wachsende Anzahl juristisch bedeutsamer Vorfälle den Status eines strategischen Risikos erreicht. Waren noch in den frühen neunziger Jahren die IT-Umgebungen im Unternehmen eine Unterstützungsfunktion für das traditionelle Kerngeschäft, so wurden sie nach der erfolgreichen Bewältigung des "Y2K"-Problems sehr häufig zum Kerngeschäft selbst. Die Ansätze zu einer "New Economy" verdeutlichten, daß die Ware Information und ihr Wert zunehmend zum Gegenstand unternehmerischen Handelns wurden.
Proc. NIA / ISACA Joint Seminar on Information Systems Business Continuity Planning, Pune, India, 2001
Business continuity planning and management (BCP/BCM) is a multidisciplinary subject influenced b... more Business continuity planning and management (BCP/BCM) is a multidisciplinary subject influenced by several laws, industry standards, and other fields of research. From an insurance point of view, BCP/BCM presents a complementary subject area which suggests further convergence between the two fields. The paper examines this context of BCP and presents an integration approach. The corresponding presentation is designed to provide practical guidance on BCP integration with other business processes.
John Wiley & Sons, Inc. eBooks, Sep 11, 2015
The abstract should contain complete but concise description of your work. Do not forget to menti... more The abstract should contain complete but concise description of your work. Do not forget to mention your participation.
Computer Fraud & Security, Mar 1, 2016
Where once the scourge of the highways were cloaked highwaymen armed with single-shot pistols, ou... more Where once the scourge of the highways were cloaked highwaymen armed with single-shot pistols, our motorways and freeways are now under threat from a much more sinister menace – the Internet car hacker, armed with laptop and code. Vehicles are now a highly automated pieces of technology that, increasingly, are connected to the Internet. This introduces vulnerabilities the like of which we've not seen before. The car has become a node on the Internet of Things, and already we have seen proof-of-concept exploits. Automobile manufacturers, dealers and repair personnel must adapt to new technological concepts, not just for the safety, efficiency and comfort of drivers and passengers, but also to ensure their privacy and data security, says Rolf von Roessing of Forfa AG.
Recent developments in information technology operations have shown two distinct trends. Firstly,... more Recent developments in information technology operations have shown two distinct trends. Firstly, products and services have become increasingly commoditised, thus leading to successive waves of outsourcing and offshoring. Secondly, the introduction of intelligent end-point devices and direct accessibility of webbased services has blurred the boundaries of traditional companies and their perimeter. As a result, the “cloud computing” paradigm creates new challenges for security management, including the business value and cost-benefit considerations.
Dieser Beitrag stellt eine Einfuhrung ins Business Continuity Management (BCM) fur angehende sowi... more Dieser Beitrag stellt eine Einfuhrung ins Business Continuity Management (BCM) fur angehende sowie erfahrene Risikomanagerinnen und -manager dar. Ein kurzer Abriss uber die geschichtliche Entwicklung der Disziplin soll hierbei den Zugang zum heutigen Verstandnis erleichtern. Im Weiteren werden praxisrelevante zentrale Prinzipien und Konzepte, wie die Business Impact Analyse, Business Continuity Plane, der Wiederanlauf und die Wiederherstellung erlautert. Sie stellen wichtige Bausteine fur BCM-Vorhaben dar und kommen unabhangig von der Art der Organisation und ihrer Branchenzugehorigkeit zur Anwendung. Da BCM heute als standard- und regulierungsgetriebene Fachdisziplin wahrgenommen werden kann, wird auch kurz auf die verschiedenen heute gebrauchlichen Standards bzw. Normen fur BCM eingegangen. Sie sind ausschlaggebend dafur, dass BCM heute als kontinuierlicher Prozess verstanden und betrieben wird. Trotz der in der Folge festgestellten und beschriebenen Unterschiede von BCM und Risikomanagement soll kein Anstos fur deren Bekraftigung gegeben werden. Es wird im Gegenteil aufgezeigt, dass es unternehmerisch sinnvoll ist, die Gemeinsamkeiten und Synergiepotenziale zwischen den beiden Fachbereichen zu suchen und zu nutzen.
Risks and the business impact of a critical event are often difficult to quantify. In many cases,... more Risks and the business impact of a critical event are often difficult to quantify. In many cases, the strategic decisions with regard to mitigating risk and minimising financial damage must be taken on the basis of qualitative estimates and expert opinion. However, formulating a continuity and security strategy requires quantitative support across several dimensions: temporal, financial and systemic thresholds must be defined to ensure the optimum level of investment. The paper outlines a strategic decision support model for quantifying risk and business impact. It is further shown how the resulting risk management decisions of the firm can be optimised, and how typical problems of event (disaster) frequency and severity can be resolved. The paper builds on earlier research in audit, insurance and business continuity management to present an innovative approach towards this well-known problem.
Vieweg+Teubner eBooks, 2010
In recent years, information security management has matured into a professional discipline that ... more In recent years, information security management has matured into a professional discipline that covers both technical and managerial aspects in an organisational environment. Information security is increasingly dependent on business-driven parameters and interfaces to a variety of organisational units and departments. In contrast, common security models and frameworks have remained largely technical. A review of extant models ranging from [LaBe73] to more recent models shows that technical aspects are covered in great detail, while the managerial aspects of security are often neglected.Likewise, the business view on organisational security is frequently at odds with the demands of information security personnel or information technology management. In practice, senior and executive level management remain comparatively distant from technical requirements. As a result, information security is generally regarded as a cost factor rather than a benefit to the organisation.
Die Bank vol. 12 / 2015, 2015
Kreditinstitute sind nach den Mindestanforderungen für das Risikomanagement in Kreditinstituten (... more Kreditinstitute sind nach den Mindestanforderungen für das Risikomanagement in Kreditinstituten (MaRisk) gemäß AT 7.3 verpflichtet, für kritische Geschäftsprozesse ein Notfallkonzept einzuführen und ein Business Continuity Management System (BCMS) zu etablieren. Aufgrund komplexer Auslagerungskonstellationen liegen wichtige Geschäftsprozesse oder Teilprozesse oft nicht mehr in der Hand der Institute und erstrecken sich über eine lange Kette von Dienstleistern. Da die Verantwortung aber letztlich immer beim auslagernden Kreditinstitut bleibt, muss sichergestellt werden, dass das Notfallkonzept der Dienstleister bei kritischen Geschäftsprozessen den von der Bank definierten Mindestanforderungen entpricht und mit dem Notfallkonzept der Bank abgestimmt ist. Doch wann gilt ein Notfallkonzept als abgestimmt?
Proc. VDE Seminar Elektronische Geschäftsprozesse, 2002
Grundannahme der Einführung elektronischer Prozesse ist stets die Optimierung bestehender bzw. di... more Grundannahme der Einführung elektronischer Prozesse ist stets die Optimierung bestehender bzw. die Schaffung neuer Geschäftsformen, die einen meßbaren Nutzen-oder Ertragszuwachs im Unternehmen hervorrufen sollen. Die gegenläufige Zielvorstellung des Kosten-und Wettbewerbsdrucks führt jedoch vielfach dazu, daß elektronische Prozesse unter Vernachlässigung der Sicherheits-und Kontinuitätsaspekte entwickelt, implementiert und betrieben werden. Die resultierende Volatilität schafft einerseits Risiken im technischen und organisatorischen Bereich, andererseits eine hohe Empfindlichkeit der Unternehmen gegenüber Störfällen, Unterbrechungen oder dauerhaften Beeinträchtigungen komplexer elektronischer Vernetzungen. Die häufig geäußerte Annahme, diese Probleme seien dem Umfeld der IT-Sicherheit zuzurechnen, wird widerlegt. Statt dessen wird ein integrativer Ansatz des strategischen Kontinuitätsmanagements vorgeschlagen. NB: Aufgrund der Menge der Materialien werden diese auf Wunsch durch den Autor bereitgestellt (per e-mail o. ä.), um die Hintergründe leichter zugänglich zu machen.
Securing Mobile Devices, 2012
About ISACA ® With more than 100,000 constituents in 180 countries, ISACA (www.isaca.org) is a le... more About ISACA ® With more than 100,000 constituents in 180 countries, ISACA (www.isaca.org) is a leading global provider of knowledge, certifications, community, advocacy and education on information systems (IS) assurance and security, enterprise governance and management of IT, and IT-related risk and compliance. Founded in 1969, the nonprofit, independent ISACA hosts international conferences, publishes the ISACA ® Journal, and develops international IS auditing and control standards, which help its constituents ensure trust in, and value from, information systems. It also advances and attests IT skills and knowledge through the globally respected Certified Information Systems Auditor ® (CISA ®), Certified Information Security Manager ® (CISM ®), Certified in the Governance of Enterprise IT ® (CGEIT ®) and Certified in Risk and Information Systems Control TM (CRISC TM) designations.
Transforming Cybersecurity, 2014
About ISACA ® With more than 100,000 constituents in 180 countries, ISACA (www.isaca.org) is a le... more About ISACA ® With more than 100,000 constituents in 180 countries, ISACA (www.isaca.org) is a leading global provider of knowledge, certifications, community, advocacy and education on information systems (IS) assurance and security, enterprise governance and management of IT, and IT-related risk and compliance. Founded in 1969, the nonprofit, independent ISACA hosts international conferences, publishes the ISACA ® Journal, and develops international IS auditing and control standards, which help its constituents ensure trust in, and value from, information systems. It also advances and attests IT skills and knowledge through the globally respected Certified Information Systems Auditor ® (CISA ®), Certified Information Security Manager ® (CISM ®), Certified in the Governance of Enterprise IT ® (CGEIT ®) and Certified in Risk and Information Systems Control TM (CRISC TM) designations.
The Business Model for Information Security, 2010
This is the original BMIS publication by ISACA
Handbuch der Unternehmensberatung, E. Schmidt Verlag, 2010
Betriebliches Kontinuitätsmanagement und Business Resilience haben sich inden vergangenen Jahren ... more Betriebliches Kontinuitätsmanagement und Business Resilience haben sich inden vergangenen Jahren zu bedeutenden Beratungsfeldern entwickelt. Anhand der historischen Entwicklung und der heutigen Anforderungen in der Unternehmenspraxis wird gezeigt, wie das BCM als Beratungsgebiet einzuordnen ist und welche Kompetenzen erforderlich sind.Auf das sich entwickelnde Beratungsthema Business Resilience wird ein theoretischer und praktischer Ausblick gegeben.
Continuity Magazine, 2008
Measuring the value of BCM KPIs (Key Performance Indicators) for Business Continuity Management e... more Measuring the value of BCM KPIs (Key Performance Indicators) for Business Continuity Management enable a company to measure and monitor its performance on a strategic and operational level. The KPIs are also known as the "lead indicators" as they should help to disclose deviations from the desired performance levels. Based on the strategic goals of a company's BCM programme, the target values for KPIs will be set. Comparing current KPI values to these targets will immediately identify deficiencies and will highlight areas for improvement in the BCM programme. One possible definition states that KPIs should measure the performance of the BCM programme on a day-today basis. Due to the fact that there might be no common understanding about the purpose and objectives of KPIs, or because the general meaning of KPI deviates from this definition, it is necessary to ensure that all parties involved agree on the same general understanding of this tool prior to any discussion about KPIs. In today's business world the importance of benchmarking is increasing continually. That means that virtually every company wants to compare its performance to the market leaders'. Consequently, a general KPI comprehension-a language-is needed, and this language should include the BCM KPIs.
Zeitschrift für Unternehmensberatung vol. 6, 2007, pp69-73, 2007
Der folgende Artikel soll als Einführung zum betrieblichen Kontinuitätsmanagement dienen, um dess... more Der folgende Artikel soll als Einführung zum betrieblichen
Kontinuitätsmanagement dienen, um dessen erweiterte
Sicht als strategische Disziplin in der Beratung näher beleuchten.
Dabei werden sowohl die historischen Zusammenhänge
als auch die Anforderungen dargestellt, die sich aus
verschiedenen Quellen herleiten lassen. Es ergibt sich daraus
nicht nur die Notwendigkeit eines BKM-Prozesses im Unternehmen,
sondern auch die Notwendigkeit qualifizierter Beratung
in Planung, Umsetzung und Erfolgskontrolle.
Proc. D-A-CH Sicherheitskonferenz, 2005
Im Bereich der IT-Sicherheit und des Business Continuity Management sind durch zahlreiche neue Vo... more Im Bereich der IT-Sicherheit und des Business Continuity Management sind durch zahlreiche neue Vorschriften und Standards Vorgaben entstanden, die in der Sicherheits-und Risikoanalyse der Unternehmen ihren Niederschlag finden müssen. Die Anforderungen an das interne Kontrollsystem der Unternehmen sind gestiegen. Sektorspezifische Anforderungen im Banken-und Finanzumfeld wurden durch den Sarbanes-Oxley Act und andere Regelungen ergänzt. Seit 2003 existiert mit der öffentlich verfügbaren Spezifikation PAS 56 der British Standards Institution ein einheitliches Rahmenwerk für das betriebliche Kontinuitätsmanagement. Zusammen mit den älteren Normen ISO 17799 und BS 7799 bildet PAS 56 ein Instrumentarium für die Gestaltung und Bewertung der (Überlebens-) Sicherheit im Unternehmen. Das Paper beschreibt das Rahmenwerk der Kontinuität im Sinne des BS PAS 56 und vergleicht diese Vorgaben mit bestehenden Normen in der IT-Sicherheit. "Security" wird dadurch um mehrere Dimensionen erweitert, da sowohl Corporate Governance als auch allgemeines Risikomanagement erfaßt sind. In weiteren Schritten schlägt das Paper einen Prüfungsrahmen vor, der für die Unternehmensführung ein unerläßliches Instrument zur Angleichung der internen Verhältnisse an die herrschenden Vorschriften darstellt.
Proc. D-A-CH Sicherheitskonferenz, 2004
Basel II beschreibt unter dem Sammelbegriff des operationellen Risikos zahlreiche IT-bezogene Ris... more Basel II beschreibt unter dem Sammelbegriff des operationellen Risikos zahlreiche IT-bezogene Risikoklassen und stützt sich auf die klassischen Sicherheitsziele Vertraulichkeit, Verfügbarkeit, Integrität und Verbindlichkeit. Die technische und wirtschaftliche Bewertung IT-bezogener Sicherheitsrisiken erweist sich in diesem Rahmen jedoch als schwierig. Im folgenden wird ein Vorgehensmodell vorgeschlagen, das dieses Problem löst und IT Security zu einem meßbaren Bestandteil des operationellen Risikos macht.
Proc. Münchner Kreis Sicherheitskonferenz, 2003
Die IT-Sicherheit hat nicht nur durch die populäre Berichterstattung der letzten Jahre, sondern a... more Die IT-Sicherheit hat nicht nur durch die populäre Berichterstattung der letzten Jahre, sondern auch durch eine wachsende Anzahl juristisch bedeutsamer Vorfälle den Status eines strategischen Risikos erreicht. Waren noch in den frühen neunziger Jahren die IT-Umgebungen im Unternehmen eine Unterstützungsfunktion für das traditionelle Kerngeschäft, so wurden sie nach der erfolgreichen Bewältigung des "Y2K"-Problems sehr häufig zum Kerngeschäft selbst. Die Ansätze zu einer "New Economy" verdeutlichten, daß die Ware Information und ihr Wert zunehmend zum Gegenstand unternehmerischen Handelns wurden.
Proc. NIA / ISACA Joint Seminar on Information Systems Business Continuity Planning, Pune, India, 2001
Business continuity planning and management (BCP/BCM) is a multidisciplinary subject influenced b... more Business continuity planning and management (BCP/BCM) is a multidisciplinary subject influenced by several laws, industry standards, and other fields of research. From an insurance point of view, BCP/BCM presents a complementary subject area which suggests further convergence between the two fields. The paper examines this context of BCP and presents an integration approach. The corresponding presentation is designed to provide practical guidance on BCP integration with other business processes.