Informationssicherheitsbeauftragter

CISO-Cief Information Security Officer

Als Cief Information Security Officer CISO bzw. Informationssicherheitsbeauftragter habe ich Unternehmen im Bereich Security entscheidend weiter entwickelt. Ein CISO bzw. ISB nimmt eine wichtige Position im Unternehmen wahr, ähnlich dem Datenschutzbeauftragten.

Es muss eine zentrale Stelle geben, die die Informationssicherheit für das gesamte Unternehmen dauerhaft im Blick behält. Werden alle Maßnahmen, die dem Schutz der Unternehmens- und Kundendaten zuzurechnen sind eingesetzt? Ist die Wirksamkeit dieser Maßnahmen nachvollziehbar und messbar? Welche Prozesse und Daten gibt es, die besonders schützenswert sind? Ist sichergestellt, dass bei allen Projekten bezüglich Infrastruktur und Datenverarbeitung der Sicherheitsbeauftragte einbezogen wird? Je früher die Informationssicherheit mit einbezogen wird, desto günstiger können notwendige Maßnahmen umgesetzt werden. Leider steht die schnelle Umsetzung und Implementierung von Lösung im Vordergrund, nicht aber die sichere Verarbeitung von vertraulichen Daten oder den Kronjuwelen eines Unternehmens. Neben der Neuplanung muss der CISO darauf achten, dass alle umgesetzten Maßnahmen dauerhaft betrieben werden.

Vorfälle müssen rechtzeitig erkannt werden können, ebenso wie Anomalien. Die aktuelle Bedrohungslage kann beim Bundesamt für Sicherheit in der Informationstechnik BSI, aber auch der Allianz für Cybersicherheit nachvollzogen und darauf reagiert werden. Bei Vorfällen und Anomalien muss der CISO/ISB umgehend benachrichtigt werden. Er entscheidet dann über das weitere Vorgehen, die Abschaltung von Systemen, die Hinzuziehung externer Berater, wie die Consultants einer Cyberversicherung. Wie soll bei einem Verschlüsselungtrojaner vorgegangen werden, der das Unternehmen erreicht hat? Die Systeme ausschalten oder lediglich die Netzwerkverbindung trennen? Wurde der schnellen Restore betroffener Daten im Backupkonzept berücksichtigt

Eine Zertifizierung ISO 27001 stellt sicher, dass sich die Verantwortlichen Gedanken zur Informationssicherheit gemacht haben.

„Mit der Zertifizierung geben wir unseren Kunden ein klares Signal, dass wir als Rechenzentrumsanbieter notwendige Maßnahmen zur Einhaltung und ständigen Verbesserung der Informationssicherheit implementiert haben und, weitaus wichtiger, in regelmäßigen Abständen überprüfen lassen. Diesen hohen Maßstab können nur wenige Service Provider vorweisen.“

Bernd Leibold, Rechenzentrumsleiter

Der CISO budgetiert die Maßnahmen, die zu treffen sind. Dieser leiten sich auch aus der Risikobetrachtung der ISO 27001 und dem damit verbundenen Risikobehandlungsplan ab. Reverse Proxy, Antivirus, SSL Proxy, Systeme gegen SQL-Injection, PCI/DSS, Portsecurity, Penetrationtest, Mobile Device Policy, Patchmanagemnt, Awareness und so weiter.