Logo Logo
Help
Contact
Switch language to German
Kollaboratives Management von Informationssicherheitsrisiken in strategischen Allianzen. ein Meta-Framework zum Aufbau eines gemeinsamen Prozesses
Kollaboratives Management von Informationssicherheitsrisiken in strategischen Allianzen. ein Meta-Framework zum Aufbau eines gemeinsamen Prozesses
In den letzten Jahrzehnten wurden IT Produkte und Services immer komplexer, was auch zu einer zunehmenden Verflechtung der Unternehmen geführt hat. Kaum eine Organisation kann in diesen verknüpften Märkten noch völlig isoliert agieren und kommt ohne Beziehungen zu anderen Organisationen aus. Es formen sich zunehmend organisations- oder branchenübergreifende Partnerschaften, um Herausforderungen gemeinsam zu meistern. Manche Organisationen gehen einen Schritt weiter und formen strategische Allianzen, die eine besonders intensive Zusammenarbeit pflegen. Im Gegensatz zu einer einfachen Geschäftsbeziehung über einzelne Dienstleistungen oder einer kooperativen Partnerschaft in einem bestimmten Geschäftsbereich, zielt eine Allianz auf eine enge Kollaboration ab, um die gemeinsamen Ziele der Partner zu erreichen. Neben den gemeinsamen Unternehmungen die in einer Allianz die Geschäftsziele vorantreiben, besteht auch die Möglichkeit, weitere Herausforderungen durch gemeinsame IT Managementfunktionen zu lösen. Ein zentraler Aspekt in der Informationssicherheit ist das Risikomanagement, welches jede Organisation, die ein Informationssicherheitsmanagementsystem betreibt, implementiert hat. Allianzen entwickeln sich oftmals in gleichen Branchen oder Lieferketten, wodurch diese sowohl von den gleichen Bedrohungen betroffen sein können als auch gemeinsame Risiken behandeln wollen. Um die Zusammenarbeit in diesem Bereich zu erleichtern, wird in dieser Arbeit ein Meta-Framework für organisationsübergreifendes Informationssicherheitsrisikomanagement (ISRM) in strategischen Allianzen erstellt. Dabei wird davon ausgegangen, dass die Organisationen bereits ein Vorgehen zum ISRM etabliert haben, welches sich allerdings im Kontext eines Enterprise Risk Managements nur auf die eigene Organisation bzw. erweitert durch ein Supply Chain Risk Management auf Lieferanten bezieht. Die Frage ist also, wie die Teilnehmer der Allianz über das einfache Teilen von Informationen hinaus zusammenarbeiten können, um übergreifende Risiken zu identifizieren und eventuell gemeinsam zu behandeln. Das Framework besteht aus vier Komponenten, welche Organisationen dabei unterstützen, einen kollaborativen Prozess innerhalb der Allianz zu etablieren. Dazu liefert es ein Partnerschaftsmodell, mit dessen Hilfe sich die Anwendbarkeit des Prozesses innerhalb einer Partnerschaft evaluieren lässt. Eine gemeinsame Terminologie liefert die Grundlage, um die Konzepte und Begriffe innerhalb der Allianz zu vereinheitlichen und eine effektive Kommunikation zu ermöglichen. Der kollaborative Prozess definiert Abläufe, Schnittstellen und Verantwortlichkeiten innerhalb der Allianz, um gemeinsame Risiken zu verwalten. Letztlich liefern unterstützende Ressourcen die Werkzeuge für die Definition von Bedrohungen, Assets und einer Risikomethode im Prozess., IT products and services have become increasingly complex over the last few decades, which has resulted in an increasing interdependence of businesses. Hardly any organisation is capable to operate in complete isolation in these interconnected markets or without relationships to other organisations. More and more interorganisational or cross-sector partnerships are being formed to overcome challenges together. Some organisations are taking this even further and forming strategic alliances that foster particularly intensive collaboration. In contrast to a simple business relationship based on individual services or a co-operative partnership in a specific business area, an alliance is aimed at close collaboration in order to achieve the partners' common goals. In addition to the joint activities that drive the business objectives in an alliance, there is also the possibility of solving other challenges through joint IT management functions. A key aspect of information security is risk management, which every organisation that operates an information security management system has in place. Alliances often develop within one industry or supply chain, which means that are likely to be affected by similar threats and may want to address these common risks. In order to facilitate collaboration in this area, this thesis develops a meta-framework for interorganisational information security risk management (ISRM) in strategic alliances. It is assumed that the organisations have already established an ISRM process, albeit one that only refers to their own organisation in the context of enterprise risk management or is extended to suppliers through supply chain risk management. This raises the question of how the participants in the alliance can cooperate beyond the simple task of information sharing in order to identify overarching risks and possibly deal with them together. The framework consists of four components that support organisations in establishing a collaborative process within the alliance. It provides a partnership model that can be used to evaluate the applicability of the process within a partnership. A common terminology provides the basis for harmonising the concepts and terms within the alliance and enabling effective communication. The collaborative process defines procedures, interfaces and responsibilities within the alliance to manage shared risks. Finally, supporting resources provide the tools to define threats, assets and a risk methodology in the process.
information security management, information security risk management, process collaboration, interorganizational relations, security frameworks
Schmidt, Michael
2024
German
Universitätsbibliothek der Ludwig-Maximilians-Universität München
Schmidt, Michael (2024): Kollaboratives Management von Informationssicherheitsrisiken in strategischen Allianzen: ein Meta-Framework zum Aufbau eines gemeinsamen Prozesses. Dissertation, LMU München: Faculty of Mathematics, Computer Science and Statistics
[thumbnail of Schmidt_Michael.pdf]
Preview
PDF
Schmidt_Michael.pdf

5MB

Abstract

In den letzten Jahrzehnten wurden IT Produkte und Services immer komplexer, was auch zu einer zunehmenden Verflechtung der Unternehmen geführt hat. Kaum eine Organisation kann in diesen verknüpften Märkten noch völlig isoliert agieren und kommt ohne Beziehungen zu anderen Organisationen aus. Es formen sich zunehmend organisations- oder branchenübergreifende Partnerschaften, um Herausforderungen gemeinsam zu meistern. Manche Organisationen gehen einen Schritt weiter und formen strategische Allianzen, die eine besonders intensive Zusammenarbeit pflegen. Im Gegensatz zu einer einfachen Geschäftsbeziehung über einzelne Dienstleistungen oder einer kooperativen Partnerschaft in einem bestimmten Geschäftsbereich, zielt eine Allianz auf eine enge Kollaboration ab, um die gemeinsamen Ziele der Partner zu erreichen. Neben den gemeinsamen Unternehmungen die in einer Allianz die Geschäftsziele vorantreiben, besteht auch die Möglichkeit, weitere Herausforderungen durch gemeinsame IT Managementfunktionen zu lösen. Ein zentraler Aspekt in der Informationssicherheit ist das Risikomanagement, welches jede Organisation, die ein Informationssicherheitsmanagementsystem betreibt, implementiert hat. Allianzen entwickeln sich oftmals in gleichen Branchen oder Lieferketten, wodurch diese sowohl von den gleichen Bedrohungen betroffen sein können als auch gemeinsame Risiken behandeln wollen. Um die Zusammenarbeit in diesem Bereich zu erleichtern, wird in dieser Arbeit ein Meta-Framework für organisationsübergreifendes Informationssicherheitsrisikomanagement (ISRM) in strategischen Allianzen erstellt. Dabei wird davon ausgegangen, dass die Organisationen bereits ein Vorgehen zum ISRM etabliert haben, welches sich allerdings im Kontext eines Enterprise Risk Managements nur auf die eigene Organisation bzw. erweitert durch ein Supply Chain Risk Management auf Lieferanten bezieht. Die Frage ist also, wie die Teilnehmer der Allianz über das einfache Teilen von Informationen hinaus zusammenarbeiten können, um übergreifende Risiken zu identifizieren und eventuell gemeinsam zu behandeln. Das Framework besteht aus vier Komponenten, welche Organisationen dabei unterstützen, einen kollaborativen Prozess innerhalb der Allianz zu etablieren. Dazu liefert es ein Partnerschaftsmodell, mit dessen Hilfe sich die Anwendbarkeit des Prozesses innerhalb einer Partnerschaft evaluieren lässt. Eine gemeinsame Terminologie liefert die Grundlage, um die Konzepte und Begriffe innerhalb der Allianz zu vereinheitlichen und eine effektive Kommunikation zu ermöglichen. Der kollaborative Prozess definiert Abläufe, Schnittstellen und Verantwortlichkeiten innerhalb der Allianz, um gemeinsame Risiken zu verwalten. Letztlich liefern unterstützende Ressourcen die Werkzeuge für die Definition von Bedrohungen, Assets und einer Risikomethode im Prozess.

Abstract

IT products and services have become increasingly complex over the last few decades, which has resulted in an increasing interdependence of businesses. Hardly any organisation is capable to operate in complete isolation in these interconnected markets or without relationships to other organisations. More and more interorganisational or cross-sector partnerships are being formed to overcome challenges together. Some organisations are taking this even further and forming strategic alliances that foster particularly intensive collaboration. In contrast to a simple business relationship based on individual services or a co-operative partnership in a specific business area, an alliance is aimed at close collaboration in order to achieve the partners' common goals. In addition to the joint activities that drive the business objectives in an alliance, there is also the possibility of solving other challenges through joint IT management functions. A key aspect of information security is risk management, which every organisation that operates an information security management system has in place. Alliances often develop within one industry or supply chain, which means that are likely to be affected by similar threats and may want to address these common risks. In order to facilitate collaboration in this area, this thesis develops a meta-framework for interorganisational information security risk management (ISRM) in strategic alliances. It is assumed that the organisations have already established an ISRM process, albeit one that only refers to their own organisation in the context of enterprise risk management or is extended to suppliers through supply chain risk management. This raises the question of how the participants in the alliance can cooperate beyond the simple task of information sharing in order to identify overarching risks and possibly deal with them together. The framework consists of four components that support organisations in establishing a collaborative process within the alliance. It provides a partnership model that can be used to evaluate the applicability of the process within a partnership. A common terminology provides the basis for harmonising the concepts and terms within the alliance and enabling effective communication. The collaborative process defines procedures, interfaces and responsibilities within the alliance to manage shared risks. Finally, supporting resources provide the tools to define threats, assets and a risk methodology in the process.