Die Business Impact Analyse (BIA) identifiziert, quantifiziert und beschreibt die Auswirkungen eines Ausfalls von Ressourcen auf die Geschäftsprozesse. Der Begriff Geschäftsprozesse wird hier wie folgt definiert: Geschäftsprozesse bestehen aus einer Folge von Einzelaktivitäten, mit denen die Geschäftsziele erreicht werden sollen. Das Ergebnis der BIA ist eine Übersicht über die zeitkritischen Geschäftsprozesse und die benötigten Ressourcen. Es ist wichtig zu wissen, dass diese Bewertung nicht mit der Bedeutung bzw. der Wichtigkeit eines Geschäftsprozesses zu verwechseln bzw. gleichzusetzen ist. Denn ein Geschäftsprozess kann sehr wohl eine hohe Bedeutung für das Unternehmen haben, jedoch dagegen im Notfall für das Notfallmanagement lediglich eine geringe Priorität haben.
Kernaufgaben der Business Impact Analyse:
- Darstellung der Prioritäten der Prozesse im Unternehmen
- Bewertung von Auswirkungen bei einem Ausfall von Ressourcen in der Prozesskette
- Darstellung der Zeit zur Wiederherstellung der Prozesse bei einem Ausfall von Ressourcen
Risikoappetit des BIAs
Der Risikoappetit eines Unternehmens wird über das individuelle Festlegen der Schwellenwerte für die Auswirkungsklassen berücksichtigt. Und zwar bezogen auf die folgenden Kategorien: wirtschaftlicher Schaden, Verstöße gegen Gesetze, Vorschriften und Verträge sowie Reputationsverlust. Auswirkungen, die das Unternehmen in besonderer Weise nicht tolerieren möchte, können durch eine Gewichtung in den Auswirkungsklassen berücksichtigt werden.
Grundlagen für die Resilienz – Identity- and Access Management (IAM)
Der dramatische Anstieg von Identity– and Access Management (IAM) Initiativen in fast allen Branchen in den letzten Jahren zeigt, dass viele Unternehmen das Basic-Tooling im Rahmen der Risikominimierung einsetzen. In diesem Zusammenhang wird die Fähigkeit, eine umfassende IAM-Lösung effektiv zu implementieren, zu einem entscheidenden Erfolgsfaktor für jedes Unternehmen, das sich im Prozess signifikanter Veränderungen befindet.
Für die Ermittlung der Kritikalitäten von Geschäftsaktivitäten müssen natürlich – je nach Branche -unterschiedliche Faktoren herangezogen werden. Im Hinblick auf die Security-Basics ist das beispielsweise das IAM. Dieses sorgt in Unternehmen für eine zentrale Verwaltung von Identitäten und Zugriffsrechten auf unterschiedliche Systeme und Applikationen. Authentifizierung und Autorisierung der User sind zentrale Funktionen des IAM.
Identity- and Access Management (IAM) lässt sich mit dem Begriff Identitäts- und Zugriffsverwaltung übersetzen. IAM stellt einen Sammelbegriff für alle Prozesse und Anwendungen dar, die für die Administration von Identitäten und die Verwaltung von Zugriffsrechten auf verschiedene Applikationen, Systeme und Ressourcen zuständig sind. Um für eine einfache und zentral administrierbare Lösung zu sorgen, kommen spezielle Identity- und Access Management-Konzepte zum Einsatz. Diese bestehen aus mehreren Softwarekomponenten.
Arbeit (fast) in Echtzeit
Das IAM ist in der Lage, Benutzern die Autorisierung zu erteilen, diese aber auch wieder zu entziehen. Viele Systeme arbeiten bei der Vergabe der Autorisierung nahezu in Echtzeit und ermöglichen ein Rechtemanagement ohne Wartezeiten für den User. In der Regel besitzen die IAM-Systeme Self-Service-Oberflächen, über die der User die benötigten Autorisierung selbst beantragen oder Passwörter verändern kann.
Die Genehmigung der Rechte kann automatisch auf Basis zuvor definierter Regeln und vorhandener Nutzer- und Rollenkonzepte, oder manuell durch einen Administrator erfolgen. Selbstverständlich kann man einen automatisierten Antrags- und Genehmigungsprozess initiieren. Die Hauptsoftware des Identity- und Access Managements arbeitet in vielen Installationen auf dedizierter Hardware oder auf einer virtuell für das IAM bereitgestellten Infrastruktur. Sie tritt als eine Art Makler zwischen den verschiedenen Komponenten des IAM auf und kann Informationen aus unterschiedlichen Datenbanken und Verzeichnisdiensten beziehen.
Von Kernaufgaben bis hin zu Vorzügen des Identity- und Access-Managements – dies alles lesen Sie in der zeitnah folgenden Fortsetzung dieses Blog-Artikels.
Übrigens: Sollten Sie Plant Security in Ihrem Unternehmen fest verankern und dieses somit fit für die Zukunft machen sowie auf der Suche nach geballtem Fachwissen in diesem Bereich sein, sollten Sie unbedingt hier reinschauen und sich für unsere erste Plant Security Convention am 11. September dieses Jahres in Basel anmelden.
Digitale Transformation secure mitgestalten, Zukunft definieren
