Im REWE-Sortiment: Notfallplanung nach ISO 27001 als Business Garant Vom Einkauf bis zum Vertrieb
Christoph Wenin
Christoph Wenin
CISO und Datenschutzbeauftragter
Leiter IT-Governance & Security
Seit 2004 im Unternehmen
• EUR 13,21 Mrd. Umsatz • 77.583 MitarbeiterInnen
international 41.242 davon in Österreich
• ~ 3.700 Filialen international
davon ~ 2.500 Filialen in Österreich
REWE International AG: einer der größten Arbeitgeber Österreichs
Ausgangslage
Waren des täglichen Bedarfs in Filialen verkaufen zu können
Geschäftsprozesse sind definiert
Keine einheitliche Konzernsicht
Jeder für sich
Notfallplanung erarbeiten und implementieren
Herausforderungen entstehen von alleine
4
„Vorbereitung und Planung, die eine Aufrechterhaltung der unternehmenskritischen Geschäftsprozesse während und nach einem
Zwischenfall ermöglichen.“
5
„Treffen von Vorkehrungen, die eine schnelle Wiederherstellung eines betriebsbereiten IT -Systems nach einem Ausfall ermöglichen.“
Business Continuity
Disaster Recovery
Der Handel
6
Es liegt in der Natur eines Handelsunternehmens, Waren an Kunden verkaufen zu wollen • Ständige Forderungen an das Marketing und den Vertrieb • Optimierung von Filialdesign • Standardisierung von Vertriebsabläufen • Einkauf – Verkauf
IT-gestützte Geschäftsprozesse • Durchgängig • Homogen • IT-Services sind ständig verfügbar – oder doch nicht
7
„Bisher ist nie etwas passiert!“
Vorgehensweise
8
Fix is‘ nix Mithilfe dieses Mottos wurden zu Anfang die Basisprozesse des
Vertriebs analysiert • Wie funktioniert der Vertrieb
− Preisgestaltung − Floorplanning
• Wie werden Artikel nachbestellt − Filiallagerkapazität − Schnell- oder langsam-„Dreher“ − Regionalartikel wie Milch oder Gebäck − Wo werden diese Artikel bestellt
Vorgehensweise
Vorgehensweise
Fix is‘ nix Im Anschluss folgte die Logistik
• Gesamtkapazitäten • Kühl- und Gefriergüter • Mehrschichtbetrieb • Tourenplanung • An- und Abfahrtsrouten
Ohne Logistik kein Vertrieb, ohne Vertrieb keine Logistik Schnittpunkt IT-Services
Vorgehensweise
IT-Services finden sich in allen Geschäftsprozessen, mit einer Ausnahme wieder • Die Hauspost wird ohne IT zugestellt
Erster Schritt in Richtung gesicherte Kontinuität • Interviews mit den Prozessverantwortlichen • Interviews mit den Ausführenden in Filiale, Lager und IT
Zweiter Schritt, die Analyse der vorhanden IT-Services • Abhängigkeiten erkennen • LAN, SAN und WAN • Strom, Klima, Gebäude • Server- und Storage-Infrastruktur
Vorgehensweise
Der runde Tisch Defizite ansprechen und aufzeigen Vertriebssicherheit aus mehrerlei Gründen nicht gewährleistet IT-Prozesse waren nicht entsprechend katastrophensicher
Beispiel Lagerausfall Ein Lagerstandort kann seine Filialen nicht mehr beliefern Die Gründe hierfür sind aus IT-Sicht unerheblich Die Logistik spricht von einem Ausfalllager Ein oder mehr physische Lagerstandorte übernehmen die
Belieferung der entsprechenden Filialen IT-Services mussten angepasst werden, um unverzüglich reagieren
zu können Änderungen in den Bereichen Vertrieb und Logistik erheblich Die gesamte Artikelwartung war betroffen Vorhandene Lagerstandorts- und Kapazitätsverwaltung teilweise
unbrauchbar
Vorgehensweise
Artikelstamm • Jeder Artikel erhält ein Backup-Lager • Aus der Logistik kommen jeweils aktuelle Kapazitäts- und
Lagerstandsinformationen In der Lagerverwaltung gibt es eine granulierte Abstufung der
Ausfallsbereiche • Gang • Sortiment • Kühl- und/oder Gefriergut • Standort • Tourenplanungsdaten vorab berechnen
Zusätzliche Absicherung von IT-Komponenten • WAN-Anbindung • active – active Clustering
Ergebnis
„Informationstechnologie spielt eine Schlüsselrolle zur
Aufgabenerfüllung.“
Christoph Wenin CISO Datenschutzbeauftragter Leiter der Stabsstelle IT-Governance & Security REWE International AG