CISO Chief Security Information Officer - Ausbildung und Gehalt

Auch kleine und mittelständische Unternehmen benennen aufgrund der rechtlichen und organisatorischen Relevanz dieser Themen einen CISO - demnach einen Chief Security Information Officer. Nachfolgend möchten wir nun die Funktion des CISOs und die relevanten Themenfelder im Detail beschreiben.


Die Grundlagen der Informationssicherheit​

Zu der Informationssicherheit gehört die Gesamtheit aller (Teil-) Aspekte zur Sicherheit bei der Informationsverarbeitung in Organisationen, Unternehmen oder Behörden. Die ISO 27001 bildet dabei den zentralen Part. Mittlerweile besteht eine über 30-jährige Erfahrung mit standartisierten Sicherheits-Management-Systemen. Die ISO 27001 ist mit ISO der 9001 eine der international erfolgreichsten Normen, wenn es um die Struktur und den Verbreitungsgrad geht. Weiterhin sind diese Normen Grundlage vieler Ausschreibungsunterlagen. Momentan gibt es ungefähr 50.000 zertifizierte Unternehmen. Die Tendenz ist stark steigend. Grundlage für (teils verpflichtende) Audits ist der BSI-Grundschutz.


Der IT Grundschutz des (BSI) Bundesamtes für Sicherheit in der Informationstechnik​

Mit dem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten IT-Grundschutz liegt ein Quasi-Standard vor, der im deutschen Sprachraum recht bekannt ist. Die Verantwortlichen im Unternehmen werden dabei mit wenigen Schritten zur Auswahl geeigneter Bausteine für die IT-Landschaft geführt. Diese Bausteine stehen jeweils für eine Gruppe von Standard-Sicherheitsmaßnahmen, die man im Maßnahmenkatalog des IT-Grundschutzes findet. Die Realisierung solcher Katalogmaßnahmen wird vom BSI für den normalen Schutzbedarf als ausreichend erachtet.
Bei einem erhöhten Schutzbedarf schließt sich eine ergänzende Analyse an, um die Eignung und Wirksamkeit der ausgewählten Maßnahmen individuell zu beurteilen. Kern des IT-Grundschutzes ist die maßnahmenorientierte Sichtweise, wobei der Schwerpunkt auf technischen Maßnahmen liegt.


Was sind erforderliche technische und organisatorische Maßnahmen?​

Was sind nun technische und organisatorische Maßnahmen (TOMs) zur Erreichung und Aufrechterhaltung einer störungsfreien Informationsverarbeitung?
Technische und organisatorische Maßnahmen umfassen
z.B. Zugriffs- und Zugangskontrollen sowie Weitergabe- und Eingabekontrollen. Diese
Maßnahmen zielen darauf ab, dass unbefugte Dritte keinen Zugang zu Datenverarbeitungsanlagen wie einem Serverraum erlangen können.
Weitere TOMs sind darüber hinaus, die Verwendung von Dateiverschlüsselungen, Firewalls, Virenschutzprogrammen oder Backups.
All diese Maßnahmen müssen immer nach dem neusten Stand der Technik umgesetzt werden.
Wie sieht das in Ihrem Unternehmen aus? Die Effektivität zur Erreichung des erforderlichen Schutzniveaus muss natürlich gerade für kleine Unternehmen wirtschaftlich angemessen und effizient sein. Wichtig ist ein vorausschauendes und effektives Risikomanagement.


Risikomanagement​

Die konkreten Ziele des Risikomanagements im Kontext der Informationssicherheit sind:

-Frühzeitiges Erkennen von Informationssicherheitsrisiken
-Etablierung einheitlicher Bewertungsmethoden für identifizierte Risiken
-Eindeutige Zuweisung von Verantwortlichkeiten beim Umgang mit Risiken
-Standardisierte Dokumentation von Risiken, inklusive deren Bewertungen
-Effiziente Behandlung von Risiken

In welchen Situationen ist das Risiko für Datenaustausch innerhalb und außerhalb der Organisation sehr hoch?
Bei der Anpassung der internen Organisation und Zusammenarbeit (insbesondere bei größeren Unternehmen), in
(Bestands-)Systemen und Anwendungen, die nicht aktualisiert oder abgelöst werden können.
Weiterhin die Zusammenarbeit mit externen Partnern/Dienstleistern vor allem, wenn sensible Daten das Unternehmen verlassen.
Zudem Fernzugriffe in das Unternehmensnetzwerk (z. B. von Partnerunternehmen und Herstellern). Auch Naturkatastrophen, Brände und Sturm- und Wasserschäden können die IT-Sicherheit empfindlich gefährden. Eine Backup Strategie und Cloud Lösungen sind strategisch wichtig und in das Risikomanagement zu integrieren. Weiterhin können Straftatbestände eine Rolle bei der Gefährdung der IT Sicherheit spielen. Beispielsweise Sabotage und Wirtschaftskriminalität. Der »Risikofaktor« Mensch ist ebenfalls eine Herausforderung. Selbst wenn keine kriminelle Energie hinter den Handlungen steckt, kann das unbedachte Öffnen einer E-Mail