In vielen Unternehmen spielen die Themen IT-Sicherheit, IT-Governance, IT-Compliance und die Verantwortlichkeit im Unternehmen eine immer wichtiger werdende Rolle.
Auch kleine und mittelständische Unternehmen benennen aufgrund der rechtlichen und organisatorischen Relevanz dieser Themen einen CISO – demnach einen Chief Security Information Officer. Nachfolgend möchten wir nun die Funktion des CISOs und die relevanten Themenfelder im Detail beschreiben.
Die Grundlagen der Informationssicherheit
Zu der Informationssicherheit gehört die Gesamtheit aller (Teil-) Aspekte zur Sicherheit bei der Informationsverarbeitung in Organisationen, Unternehmen oder Behörden. Die ISO 27001 bildet dabei den zentralen Part. Mittlerweile besteht eine über 30-jährige Erfahrung mit standartisierten Sicherheits-Management-Systemen. Die ISO 27001 ist mit ISO der 9001 eine der international erfolgreichsten Normen, wenn es um die Struktur und den Verbreitungsgrad geht. Weiterhin sind diese Normen Grundlage vieler Ausschreibungsunterlagen. Momentan gibt es ungefähr 50.000 zertifizierte Unternehmen. Die Tendenz ist stark steigend. Grundlage für (teils verpflichtende) Audits ist der BSI-Grundschutz.
Der IT Grundschutz des (BSI) Bundesamtes für Sicherheit in der Informationstechnik
Mit dem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten IT-Grundschutz liegt ein Quasi-Standard vor, der im deutschen Sprachraum recht bekannt ist. Die Verantwortlichen im Unternehmen werden dabei mit wenigen Schritten zur Auswahl geeigneter Bausteine für die IT-Landschaft geführt. Diese Bausteine stehen jeweils für eine Gruppe von Standard-Sicherheitsmaßnahmen, die man im Maßnahmenkatalog des IT-Grundschutzes findet. Die Realisierung solcher Katalogmaßnahmen wird vom BSI für den normalen Schutzbedarf als ausreichend erachtet.
Bei einem erhöhten Schutzbedarf schließt sich eine ergänzende Analyse an, um die Eignung und Wirksamkeit der ausgewählten Maßnahmen individuell zu beurteilen. Kern des IT-Grundschutzes ist die maßnahmenorientierte Sichtweise, wobei der Schwerpunkt auf technischen Maßnahmen liegt.
Was sind erforderliche technische und organisatorische Maßnahmen?
Was sind nun technische und organisatorische Maßnahmen (TOMs) zur Erreichung und Aufrechterhaltung einer störungsfreien Informationsverarbeitung?
Technische und organisatorische Maßnahmen umfassen
z.B. Zugriffs- und Zugangskontrollen sowie Weitergabe- und Eingabekontrollen. Diese
Maßnahmen zielen darauf ab, dass unbefugte Dritte keinen Zugang zu Datenverarbeitungsanlagen wie einem Serverraum erlangen können.
Weitere TOMs sind darüber hinaus, die Verwendung von Dateiverschlüsselungen, Firewalls, Virenschutzprogrammen oder Backups.
All diese Maßnahmen müssen immer nach dem neusten Stand der Technik umgesetzt werden.
Wie sieht das in Ihrem Unternehmen aus? Die Effektivität zur Erreichung des erforderlichen Schutzniveaus muss natürlich gerade für kleine Unternehmen wirtschaftlich angemessen und effizient sein. Wichtig ist ein vorausschauendes und effektives Risikomanagement.
Risikomanagement
Die konkreten Ziele des Risikomanagements im Kontext der Informationssicherheit sind:
-Frühzeitiges Erkennen von Informationssicherheitsrisiken
-Etablierung einheitlicher Bewertungsmethoden für identifizierte Risiken
-Eindeutige Zuweisung von Verantwortlichkeiten beim Umgang mit Risiken
-Standardisierte Dokumentation von Risiken, inklusive deren Bewertungen
-Effiziente Behandlung von Risiken
In welchen Situationen ist das Risiko für Datenaustausch innerhalb und außerhalb der Organisation sehr hoch?
Bei der Anpassung der internen Organisation und Zusammenarbeit (insbesondere bei größeren Unternehmen), in
(Bestands-)Systemen und Anwendungen, die nicht aktualisiert oder abgelöst werden können.
Weiterhin die Zusammenarbeit mit externen Partnern/Dienstleistern vor allem, wenn sensible Daten das Unternehmen verlassen.
Zudem Fernzugriffe in das Unternehmensnetzwerk (z. B. von Partnerunternehmen und Herstellern). Auch Naturkatastrophen, Brände und Sturm- und Wasserschäden können die IT-Sicherheit empfindlich gefährden. Eine Backup Strategie und Cloud Lösungen sind strategisch wichtig und in das Risikomanagement zu integrieren. Weiterhin können Straftatbestände eine Rolle bei der Gefährdung der IT Sicherheit spielen. Beispielsweise Sabotage und Wirtschaftskriminalität. Der »Risikofaktor« Mensch ist ebenfalls eine Herausforderung. Selbst wenn keine kriminelle Energie hinter den Handlungen steckt, kann das unbedachte Öffnen einer E-Mail oder ein fahrlässiger Umgang mit Daten zu großen Herausforderungen führen. Der Einsatz neuartiger Systeme und Technologien (z. B. Cloud Technik und das Nutzen mobiler Geräte ) und der
Eintritt in neue Märkte (geografisch und produktbezogen) können eine Evaluation erforderlich machen.
Wie baut ein Unternehmen das Sicherheitskonzept auf?
Wie kann nun ein mittelständisches Unternehmen ein Sicherheitskonzept in der Praxis umsetzen? Es kommt an dieser Stelle oft zu der Standardfrage nach dem Umfang des Sicherheitskonzeptes. Diese Frage ist nicht einheitlich zu beantworten.
Je nach Art der Organisation, dem Anwendungsbereich sowie dem angestrebten Sicherheitsniveau kann es Sicherheitskonzepte mit 50 Seiten, aber auch mit 500 Seiten geben. Eine klare Struktur ist sinnvoll. Folgende Themen sollten in jede Konzeption integriert werden:
1. Gegenstand des Sicherheitskonzeptes
2. Zu schützende Objekte
3. Subjekteigenschaften
4. Bedrohungsanalyse
5. Maßnahmenauswahl
6. Schwachstellenanalyse
7. Validierung der Maßnahmen
8. Restrisiko -Betrachtung
Themen für den CISO – Chief Security Information Officer
Wie läuft die Ausbildung zum CISO ab und welche Themen sind Bestandteil? Die Fortbildung zum CISO vom Bildungsinstitut erfolgt in 4 praxisnahen Modulen:
Inhalte Modul 1: Aufbau eines ISMS und IT-Grundschutz
-Management und Steuerung der Informationssicherheit
-Planung zum Aufbau eines geeigneten ISMS
-Aufbau und Gestaltung einer Sicherheitsorganisation
-Implementierung eines ISMS
-Inhalte und Maßgaben nach ISO 27001
-Umsetzungshinweise zum IT-Grundschutz durch das Bundesamt für Sicherheit in der -Informationstechnik
-Praxisfälle aus dem Unternehmensalltag
Inhalte Modul 2: Sicherheitslücken und Krisenkommunikation
-Personelle Aspekte der Informationssicherheit
-Informationssicherheitskampagnen
-Praxishinweise nach IT-Grundschutz des BSI
-Sicherheitsprojekte und Sicherheitsanalysen
-Prozess für den Umgang mit Sicherheitslücken
-Sicherheitsvorfälle und -lücken
-Prozess für die Reaktion auf Sicherheitsvorfälle
-Krisenmanagement und Kommunikation
Inhalte Modul 3: Risiko- und Notfallmanagement
-Grundlagen der Forensik
-Erkennen von Vorfällen und Notfällen
-Risikoübernahme, Risikomanagement, Compliance
-Einführung und Standards des Risikomanagementes
-Risikomanagement-Prozess planen
-Risikomanagement mit der ISO 37301 und ISO 27001
-Notfallmanagement nach BSI 100-4
-Business Continuity Management nach BSI 200-4
-Wirksamkeitsmessung und Gap-Analyse
-Berichterstattung mit Managementbewertung
Inhalte Modul 4: IT-Compliance, Haftung und Audits
-Auditierung und Zertifizierung der Informationssicherheit
-Planung eines Audits und Anforderung an die verschiedenen Rollen
-Einführung in relevante Rechtsgrundlagen für den CISO
-Standards der Auditierung und Zertifizierung
-Rechtliche Aspekte der Informationssicherheit
-Grundlagen IT-Compliance
-Stellung und Haftung von Rollen der Informationssicherheit in Unternehmen und Behörden
-Praxisfälle aus dem Unternehmensalltag
Gehalt des CISO – Chief Security Information Officer
Es taucht in unseren Seminaren häufig die Frage nach der Bezahlung des CISOs auf. Da diese Aufgabe sehr verantwortungsvoll ist und einige Kompetenzen erfordert, wird der Job in der Regel auch angemessen bezahlt. Die durchschnittlichen Angaben der potentiellen Arbeitgeber liegen bei einem durchschnittlichen Jahresgehalt für einen CISO zwischen 120.000 und 200.000 Euro.
Ausbildung zum CISO
Das Bildungsinstitut Wirtschaft bildet den CISO in vier Tagen in einer praxisnahen Ausbildung aus. Interesse.
Unser Team freut sich auf Sie! Wir informieren Sie gerne über Details.
Hier geht es zu unserer Kursübersicht
Verantwortlicher für diese Pressemitteilung:
Bildungsinstitut Wirtschaft
Frau Nicole Biermann-Wehmeyer
Up de Welle 17
46399 Bocholt
Deutschland
fon ..: 02871-2395078
web ..: http://www.bildungsinstitut-wirtschaft.de
email : info@bildungsinstitut-wirtschaft.de
Pressekontakt:
Bildungsinstitut Wirtschaft
Herr Nicole Biermann-Wehmeyer
Up de Welle 17
46399 Bocholt
fon ..: 02871-2395078
web ..: http://www.bildungsinstitut-wirtschaft.de
email : info@bildungsinstitut-wirtschaft.de