Title (deu)
Contingency Planning
ein Notfall-Framework für kleine und mittlere Betriebe (KMU) in der IT-Beratungsbranche
Author
Erwin Miglinci
Advisor
Gerald Quirchmayr
Assessor
Gerald Quirchmayr
Abstract (deu)
Für einen Großteil der Betriebe ist die Informationstechnologie ein unerlässlicher Faktor, welcher den wirtschaftlichen Fortbestand des Unternehmens sichert. Wichtige Geschäftsprozesse in der Planung, Durchführung und Verwaltung der Betriebe sind von funktionierenden IT- und Telekommunikationssystemen abhängig. Die Sicherung von wichtigen Unternehmensdaten vor Verlust oder unerlaubter Verwendung ist ebenso ein erheblicher Bestandteil des IT-Sicherheitsmanagements. Ein teilweiser oder völliger Ausfall der IT-Infrastruktur kann zu wesentlichen wirtschaftlichen Einbußen führen, dem Image der Firma nachhaltig schaden und letztendlich sogar zur Schließung des Betriebes beitragen. Damit derartige negative Szenarien nicht eintreten, ist es die Aufgabe der IT-Abteilung, in Zusammenarbeit mit allen Abteilungen des Betriebes Risiken bereits im Vorfeld zu erkennen und Pläne zu erstellen, in denen festgelegt wird, welche Aktionen gestartet werden müssen, um den Fortgang der Geschäftstätigkeit bei Eintreten eines Störfalls zu sichern. Unter dem Begriff „Planning for Contingencies“ (CP), werden alle Überlegungen, Vorkehrungen und Durchführungspläne verstanden, die beim unerwarteten Eintreten von Störungen die Rückkehr zur normalen Geschäftstätigkeit ermöglichen. Dies sollte im Idealfall in kürzester Zeit und zu den geringstmöglichen Kosten geschehen. Contingency Planning (Notfallplanung) gliedert sich in drei Hauptbereiche: Incident Response Planning (IRP), Business Continuity Planning (BCP) und Disaster Recovery Planning (DRP). IRP beschäftigt sich mit der Erkennung von Störfällen und legt Vorgehensweisen fest, die beim Eintreten der Störung zu befolgen sind. BCP sichert den Fortgang der geschäftlichen Tätigkeiten während einer Störung, und DRP legt unter anderem fest, welche Schritte notwendig sind, um in der gewohnten Umgebung die Geschäftsprozesse nach einer Krise wieder aufnehmen zu können. Die notwendigen Abläufe der einzelnen Pläne überschneiden sich teilweise in ihrer zeitlichen Abfolge.
Der personelle Aufwand und die Kosten für ein Notfallmanagement sind nicht unerheblich. Die Kosten sind unter anderem auch ein Grund dafür, dass CP bei kleineren und mittleren Unternehmen (KMU) nur in einem sehr überschaubaren Rahmen bzw. gar nicht verwirklicht wird. Die Abhängigkeit der KMU von deren IT-Systemen ist jedoch zumindest ebenso groß wie in Großbetrieben.
Ein Ziel dieser Diplomarbeit ist es, ein Framework für das Notfallmanagement speziell für kleine und mittlere Unternehmen bereitzustellen, das kostengünstig und einfach umsetzbar, aber dennoch effektiv ist.
Meine über 20-jährige Berufserfahrung in der EDV-Branche als Berater für IT-Systeme
für KMU hat mir einen detaillierten Einblick in das IT-Risikomanagement von über
200 Betrieben gegeben.
Eine Notfallplanung, wie sie in großen Unternehmen betrieben wird, ist aus finanziellen Gründen in KMU meist nicht möglich. Das Bewusstsein über die Notwendigkeit von Business-Notfallplänen ist bei über 95 Prozent der Betriebe vorhanden, doch fehlen in den meisten Fällen das Budget und die personellen Ressourcen für die Umsetzung.
Diese Arbeit beschreibt bestehende Best-Practice-Umsetzungen für Contingency Planning aus IT Infrastructure Library (ITIL), dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI-1004), ISO 2700x auf der Basis des IT-Grundschutzes und Control Objectives for Information and Related Technology (COBIT). In dieser Diplomarbeit werden die wesentlichen Punkte aus den verschiedenen beschriebenen Normen bezüglich des Notfallmanagements ausgearbeitet, die speziell für KMU einfach umsetzbar sind. Ein weiterer Bestandteil dieser Arbeit ist die Erstellung eines Rahmenwerkes, welche die Unternehmen in der IT-Beratungsbranche für die Erfassung der relevanten Daten verwenden sollen, um Contingency Planning im Betrieb umsetzen zu können. Für die Untersuchung der Anwendbarkeit des Rahmenwerks wird das Unternehmen EMIG Datenverarbeitung GmbH mit fünf Mitarbeitern exemplarisch dienen.
Abstract (eng)
Information technology is an essential factor for most companies and instrumental to ensuring a company's continued viability. Key business processes in corporate planning, implementation and administration depend on functioning IT and telecommunication systems. The protection of important company data from loss or unauthorized utilization is also a substantial element of IT security management. Partial or complete failure of IT infrastructure can result in substantial economic loss, inflict lasting harm to a company's image, and finally, it can even contribute to a company's failure. In order to prevent such negative scenarios from occurring, the IT department is called upon to identify risks in advance and to create plans laying down the actions to take to ensure the continuation of business operations in the event of an incident. The term "Planning for Contingencies" (CP) comprises all considerations, precautionary measures and implementation plans allowing the resumption of normal business operations in the event of unexpected disruptions. Ideally, this should happen in the shortest time and for the lowest cost possible. Contingency Planning is divided into three main areas: Incident Response Planning (IRP), Business Continuity Planning (BCP) und Disaster Recovery Planning (DRP). IRP is concerned with the recognition of incidents and defines procedures to be followed in the event of a disturbance. BCP ensures the continuation of business operations during an incident and DRP determines, among other things, which steps are necessary to allow the resumption of business operations in the familiar environment after a crisis. There is some chronological overlap among the necessary processes of the individual plans.
The aim of this diploma paper is to provide an economical, easily implementable, but still effective emergency management framework specifically for small and medium-sized enterprises.
With more than 20 years of professional experience in the IT sector as advisor for IT systems for small and medium-sized enterprises, I have had the opportunity to gain detailed insight into the IT risk management of more than 200 companies. The IT security policy of most of these companies consists of backups to tape or hard disk, usually performed daily. The following scenario is no rare occurrence: During the hot summer months the air conditioning in the server room fails and some hard disks stop working. As a result, all the e-mails located on the exchange server can no longer be retrieved. Re-establishment (if at all possible) takes several hours or even several days if external support agents, who are not immediately available, have to be hired for reconstruction. Incoming jobs cannot be processed and missed deadlines may result in a loss of revenue.
Micro enterprises (Liikanen, 2003), with up to ten employees, only very rarely have staff at their disposal that is exclusively responsible for the operation and maintenance of their electronic data processing (EDP). Often the company owner is personally responsible for IT concerns on top of a full daily work load. In small companies with less than 50 employees (Liikanen, 2003), there is usually one employee with IT and other responsibilities. For financial reasons, emergency planning like in large companies is usually impossible for SMEs. There is an awareness of the necessity of business emergency plans in more than 95 percent of the companies, but in most cases the budget and the staff resources for implementation are not available.
This diploma paper describes examples of existing best-practice implementation for contingency planning taken from the IT Infrastructure Library (ITIL), ISO 2700x standards and Control Objectives for Information and Related Technology (COBIT). The present diploma paper explores the emergency-management-related key elements of the various standards described that can be easily implemented specifically by SMEs. A further part of this paper is comprised of templates that the companies can use to record relevant data in order to implement contingency planning. The company EMIG Datenverarbeitung GmbH, with five employees, shall serve for the practicality to exemplify the implementation of an emergency management plan.
Keywords (eng)
Disaster-RecoveryBusiness-Contingency
Keywords (deu)
NotfallmanagementNotfallrahmenwerk für kleine und mittlere UnternehmenCOBITITILISODisaster-Recovery-PlanPhasen für die Business-Contingency-PlanungBusiness-Impact-AnalyseRisikoanalyse
Subject (deu)
Subject (deu)
Type (deu)
Persistent identifier
https://phaidra.univie.ac.at/o:1315071
rdau:P60550 (deu)
139 S. : graph. Darst.
Number of pages
139
Association (deu)
Title (deu)
Contingency Planning
ein Notfall-Framework für kleine und mittlere Betriebe (KMU) in der IT-Beratungsbranche
Author
Erwin Miglinci
Abstract (deu)
Für einen Großteil der Betriebe ist die Informationstechnologie ein unerlässlicher Faktor, welcher den wirtschaftlichen Fortbestand des Unternehmens sichert. Wichtige Geschäftsprozesse in der Planung, Durchführung und Verwaltung der Betriebe sind von funktionierenden IT- und Telekommunikationssystemen abhängig. Die Sicherung von wichtigen Unternehmensdaten vor Verlust oder unerlaubter Verwendung ist ebenso ein erheblicher Bestandteil des IT-Sicherheitsmanagements. Ein teilweiser oder völliger Ausfall der IT-Infrastruktur kann zu wesentlichen wirtschaftlichen Einbußen führen, dem Image der Firma nachhaltig schaden und letztendlich sogar zur Schließung des Betriebes beitragen. Damit derartige negative Szenarien nicht eintreten, ist es die Aufgabe der IT-Abteilung, in Zusammenarbeit mit allen Abteilungen des Betriebes Risiken bereits im Vorfeld zu erkennen und Pläne zu erstellen, in denen festgelegt wird, welche Aktionen gestartet werden müssen, um den Fortgang der Geschäftstätigkeit bei Eintreten eines Störfalls zu sichern. Unter dem Begriff „Planning for Contingencies“ (CP), werden alle Überlegungen, Vorkehrungen und Durchführungspläne verstanden, die beim unerwarteten Eintreten von Störungen die Rückkehr zur normalen Geschäftstätigkeit ermöglichen. Dies sollte im Idealfall in kürzester Zeit und zu den geringstmöglichen Kosten geschehen. Contingency Planning (Notfallplanung) gliedert sich in drei Hauptbereiche: Incident Response Planning (IRP), Business Continuity Planning (BCP) und Disaster Recovery Planning (DRP). IRP beschäftigt sich mit der Erkennung von Störfällen und legt Vorgehensweisen fest, die beim Eintreten der Störung zu befolgen sind. BCP sichert den Fortgang der geschäftlichen Tätigkeiten während einer Störung, und DRP legt unter anderem fest, welche Schritte notwendig sind, um in der gewohnten Umgebung die Geschäftsprozesse nach einer Krise wieder aufnehmen zu können. Die notwendigen Abläufe der einzelnen Pläne überschneiden sich teilweise in ihrer zeitlichen Abfolge.
Der personelle Aufwand und die Kosten für ein Notfallmanagement sind nicht unerheblich. Die Kosten sind unter anderem auch ein Grund dafür, dass CP bei kleineren und mittleren Unternehmen (KMU) nur in einem sehr überschaubaren Rahmen bzw. gar nicht verwirklicht wird. Die Abhängigkeit der KMU von deren IT-Systemen ist jedoch zumindest ebenso groß wie in Großbetrieben.
Ein Ziel dieser Diplomarbeit ist es, ein Framework für das Notfallmanagement speziell für kleine und mittlere Unternehmen bereitzustellen, das kostengünstig und einfach umsetzbar, aber dennoch effektiv ist.
Meine über 20-jährige Berufserfahrung in der EDV-Branche als Berater für IT-Systeme
für KMU hat mir einen detaillierten Einblick in das IT-Risikomanagement von über
200 Betrieben gegeben.
Eine Notfallplanung, wie sie in großen Unternehmen betrieben wird, ist aus finanziellen Gründen in KMU meist nicht möglich. Das Bewusstsein über die Notwendigkeit von Business-Notfallplänen ist bei über 95 Prozent der Betriebe vorhanden, doch fehlen in den meisten Fällen das Budget und die personellen Ressourcen für die Umsetzung.
Diese Arbeit beschreibt bestehende Best-Practice-Umsetzungen für Contingency Planning aus IT Infrastructure Library (ITIL), dem deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI-1004), ISO 2700x auf der Basis des IT-Grundschutzes und Control Objectives for Information and Related Technology (COBIT). In dieser Diplomarbeit werden die wesentlichen Punkte aus den verschiedenen beschriebenen Normen bezüglich des Notfallmanagements ausgearbeitet, die speziell für KMU einfach umsetzbar sind. Ein weiterer Bestandteil dieser Arbeit ist die Erstellung eines Rahmenwerkes, welche die Unternehmen in der IT-Beratungsbranche für die Erfassung der relevanten Daten verwenden sollen, um Contingency Planning im Betrieb umsetzen zu können. Für die Untersuchung der Anwendbarkeit des Rahmenwerks wird das Unternehmen EMIG Datenverarbeitung GmbH mit fünf Mitarbeitern exemplarisch dienen.
Abstract (eng)
Information technology is an essential factor for most companies and instrumental to ensuring a company's continued viability. Key business processes in corporate planning, implementation and administration depend on functioning IT and telecommunication systems. The protection of important company data from loss or unauthorized utilization is also a substantial element of IT security management. Partial or complete failure of IT infrastructure can result in substantial economic loss, inflict lasting harm to a company's image, and finally, it can even contribute to a company's failure. In order to prevent such negative scenarios from occurring, the IT department is called upon to identify risks in advance and to create plans laying down the actions to take to ensure the continuation of business operations in the event of an incident. The term "Planning for Contingencies" (CP) comprises all considerations, precautionary measures and implementation plans allowing the resumption of normal business operations in the event of unexpected disruptions. Ideally, this should happen in the shortest time and for the lowest cost possible. Contingency Planning is divided into three main areas: Incident Response Planning (IRP), Business Continuity Planning (BCP) und Disaster Recovery Planning (DRP). IRP is concerned with the recognition of incidents and defines procedures to be followed in the event of a disturbance. BCP ensures the continuation of business operations during an incident and DRP determines, among other things, which steps are necessary to allow the resumption of business operations in the familiar environment after a crisis. There is some chronological overlap among the necessary processes of the individual plans.
The aim of this diploma paper is to provide an economical, easily implementable, but still effective emergency management framework specifically for small and medium-sized enterprises.
With more than 20 years of professional experience in the IT sector as advisor for IT systems for small and medium-sized enterprises, I have had the opportunity to gain detailed insight into the IT risk management of more than 200 companies. The IT security policy of most of these companies consists of backups to tape or hard disk, usually performed daily. The following scenario is no rare occurrence: During the hot summer months the air conditioning in the server room fails and some hard disks stop working. As a result, all the e-mails located on the exchange server can no longer be retrieved. Re-establishment (if at all possible) takes several hours or even several days if external support agents, who are not immediately available, have to be hired for reconstruction. Incoming jobs cannot be processed and missed deadlines may result in a loss of revenue.
Micro enterprises (Liikanen, 2003), with up to ten employees, only very rarely have staff at their disposal that is exclusively responsible for the operation and maintenance of their electronic data processing (EDP). Often the company owner is personally responsible for IT concerns on top of a full daily work load. In small companies with less than 50 employees (Liikanen, 2003), there is usually one employee with IT and other responsibilities. For financial reasons, emergency planning like in large companies is usually impossible for SMEs. There is an awareness of the necessity of business emergency plans in more than 95 percent of the companies, but in most cases the budget and the staff resources for implementation are not available.
This diploma paper describes examples of existing best-practice implementation for contingency planning taken from the IT Infrastructure Library (ITIL), ISO 2700x standards and Control Objectives for Information and Related Technology (COBIT). The present diploma paper explores the emergency-management-related key elements of the various standards described that can be easily implemented specifically by SMEs. A further part of this paper is comprised of templates that the companies can use to record relevant data in order to implement contingency planning. The company EMIG Datenverarbeitung GmbH, with five employees, shall serve for the practicality to exemplify the implementation of an emergency management plan.
Keywords (eng)
Disaster-RecoveryBusiness-Contingency
Keywords (deu)
NotfallmanagementNotfallrahmenwerk für kleine und mittlere UnternehmenCOBITITILISODisaster-Recovery-PlanPhasen für die Business-Contingency-PlanungBusiness-Impact-AnalyseRisikoanalyse
Subject (deu)
Subject (deu)
Type (deu)
Persistent identifier
https://phaidra.univie.ac.at/o:1315072
Number of pages
139
Association (deu)
License
Citable links
Other links
Managed by
Details
Metadata
Export formats
Universitätsring 1, 1010 Wien | T
T +43-1-4277-0