Die Durchführung von Table-Top-Übungen fordert die FINMA im Rundschreiben RS 2023/1 «Operationelle Risiken und Resilienz» (Randziffer 70) und präzisiert diese in der FINMA-Aufsichtsmitteilung 03/2024. Table-Top-Übungen (TTX Table-Top-Exercises) sind ein sehr gutes und wirksames Instrument, um IT- oder Business Continuity Pläne zu testen.
Guter Start mit tiefer Komplexität und wenig Risiken
Eine Table-Top-Übung ist eine einfache, aber wirksame Übung, bei der vorbereitete Pläne am Schreibtisch (at the table) durchbesprochen und die Interaktion zwischen den beteiligten Teilnehmern geübt und diskutiert werden können. Die Vorbereitung und Durchführung einer Table-Top-Übung ist einfach und mit geringen übungsbezogenen Risiken verbunden. Table-Top-Übungen basieren wie IT-Notfall- oder Krisenstabsübungen auf einem vordefinierten Szenario.
Mehr als nur IT – Integrieren Sie alle Rollen und Geschäftsbereiche
In die Durchführung einer Table-Top-Übung sollen möglichst alle Rollen und Geschäftsbereiche sowie Externe, die am Prozess oder Plan beteiligt sind, einbezogen werden, beispielsweise:
- IT-Notfall- / Krisenstab, um die organisatorischen Aspekte inkl. Alarmierungsprozess abzudecken
- Legal / Compliance, um rechtliche Aspekte zu thematisieren
- Kommunikation, um Kommunikationsmassnahmen zu integrieren
- Externe Dienstleister, um das Zusammenspiel zu testen
Somit können mit dem geringen Aufwand einer Table-Top-Übung Schwachstellen in der Zusammenarbeit und an den Nahtstellen festgestellt und im Nachgang behoben werden.
Steigern Sie die Komplexität – Fordern Sie Ihre IT
Beispielsweise wird durch eine Table-Top-Übung der Wiederherstellungsprozess nach einer Cyber-Attacke verifiziert. Nach erfolgreicher Durchführung kann die Komplexität durch weitere Übungen, resp. technische Tests, gesteigert werden:
- Technische Tests einzelner Funktionen von kritischen Teilen der IT-Infrastruktur oder der Inbetriebnahme von Alternativlösungen gemäss Notfallplanung
- Tests von einzelnen Outsourcing-Dienstleistungen, um sicherzustellen, dass bei externen Dienstleistungen die vertraglichen Verpflichtungen eingehalten werden
- Integraler Prozesstest zur Sicherstellung, dass mindestens ein kompletter Prozess (ggfs. auf Alternativ-Infrastruktur) mit allen notwendigen Applikationen/Hilfsmitteln gemäss Notfallplanung funktioniert
Trainieren Sie auch die Stabsarbeit
Als nächster logischer Schritt werden die Prozesse der Ereignisbewältigung, d.h. der Einsatz des IT-Notfall- oder Krisenstabes, beübt. Bei diesen Übungen wird die Stabsarbeit mit den entsprechenden Führungsprozessen und -instrumenten trainiert. Wie bei den Table-Top-Übungen kann die Übungsleitung das Szenario – wie im echten Leben – verändern und so die Herausforderung für die Teilnehmenden steigern.
Wir unterstützen Sie!
Die Swiss Infosec AG unterstützt Sie gerne
- bei der Ausarbeitung eines oder mehrerer Szenarien, inkl. Lageentwicklungsmöglichkeiten,
- bei der Vorbereitung und Moderation von Table-Top-Übungen,
- bei der Vorbereitung und bei der Durchführung von Übungen; wir übernehmen die Übungsleitung mit erfahrenen Spezialisten,
- bei der Aufbereitung der Ergebnisse und der Ableitung von Verbesserungsmassnahmen.