Ein Informations-Sicherheits-Beauftragter: Brauche ich den überhaupt?
Ein Informationssicherheitsbeauftragter überwacht und setzt technische Maßnahmen um. Auch die Sensibilisierung der Mitarbeiter gehört zu seinen Aufgaben. Er entlastet die Führungsebene und trägt zur IT-Sicherheit und der Umsetzung der Unternehmensziele bei.
Die Bestellung eines Informationssicherheitsbeauftragten (ISB) ist im Gegensatz zu einem Datenschutzbeauftragten vom Gesetzgeber nicht grundsätzlich vorgeschrieben. Allerdings können Interessierte Schulungen besuchen, die sich an Richtlinien zur ITSicherheit orientieren, wie dem Standard ISO 27001 oder dem BSI IT-Grundschutz. Solche Zertifizierungen sind die Voraussetzung, um als ISB zu gelten.
Wir unterstützen Sie bei dieser Aufgabe: Der „externe Informations-Sicherheits-Beauftragte“ von GRASS-MERKUR
Sie benötigen einen ISB, aber können diese Aufgabe nicht mit internen Ressourcen besetzen? Dann haben wir die passende Lösung für Ihr Unternehmen.
Gerne stellen wir Ihnen weitere Informationen zu dieem Service zur Verfügung. Melden Sie sich einfach:
- per Mail vertrieb@grass-merkur.de
- telefonisch 0511 47 54 14 0
Warum brauchen Sie einen Informationssicherheitsbeauftragten?
Immer mehr Unternehmen entscheiden sich dafür, die Hilfe eines internen oder externen Beauftragten in Anspruch zu nehmen. Denn vor allem in großen Organisationen ist die Menge an Informationen und Geschäftsprozessen meist unüberschaubar. Der Geschäftsführung obliegt die Gesamtverantwortung über die IT-Governance. Dieser Verantwortung inhaltlich und auch im Sinne eines betrieblichen Risikomanagements gerecht zu werden, fordert den Führungspersonen nicht nur viel Zeit, sondern vor allem auch eine gewisse Expertise ab. Sie müssen Risiken identifizieren, bewerten und adäquate Sicherheitsmaßnahmen ableiten. Die Aufgabe eines ISB ist es, die Geschäftsführung im Hinblick auf die Planung, Steuerung und Kontrolle eines wirksamen Informationssicherheitsmanagements zu beraten. Oft ist die Position der Informationssicherheitsbeauftragten gar nicht besetzt oder wird kommissarisch von IT-Leitern übernommen. Die fehlende Unabhängigkeit von Fachbereichsleitern, Ressourcenengpässe und bisweilen auch fehlende Weiterbildungen bei Fragen rund um die Informationssicherheit, machen diese Konstellation jedoch nicht immer zur besten Wahl für ein so wichtiges Beratungs- und Kontrollorgan. Ein externer Informationssicherheitsbeauftragter schließt genau diese Lücke, die im Zuge der voranschreitenden Digitalisierung und den aktuellen Herausforderungen im Homeoffice zunehmend größer wird.
Aufgaben eines Informationssicherheitsbeauftragten
Für die meisten kleinen und mittelständischen Betriebe lohnt sich die Zertifizierung und regelmäßige Weiterbildung eines internen ISB nicht. Einen ISB extern zu bestellen ist für viele Unternehmen aber nicht nur aus Kostengründen eine sinnvolle Entscheidung: Als projekterfahrene Berater können sie oftmals besser einschätzen, welches Konzept für den spezifischen Unternehmensgegenstand und die jeweilige Ablauforganisation am geeignetsten ist. Das Spektrum, welches ein ISB zu erfüllen hat, ist sehr breit gefächert und wird in dem jeweiligen Anwendungsfall individuell mit der Geschäftsführung festgelegt. So übernimmt ein ISB typischerweise folgende Aufgaben:
- Ist-Aufnahme: Was sind sicherheitskritische Informationen? Wie sind diese gesichert? Wo bestehen Schwachstellen? Waren die bisherigen Maßnahmen erfolgreich? Und welche künftigen Maßnahmen sollten mit welcher Priorität umgesetzt werden?
- Der ISB berichtet direkt an die Geschäftsführung und dokumentiert Sicherheitsmängel, Risiken und sicherheitsrelevante Vorkommnisse.
- Ausarbeitung von Sicherheitskonzepten und Prüfung auf Umsetzbarkeit
- Der ISB stimmt die Ziele der Informationssicherheit mit den Zielen des Unternehmens ab und erstellt eine Leitlinie zur Informationssicherheit in Abstimmung mit den jeweiligen Abteilungsleitern.
- Er sorgt auch bei den Mitarbeitern und Nutzern für die notwendige Aufklärung und Sensibilisierung, um die Sicherheitsrichtlinien im Tagesgeschäft umzusetzen und anzuwenden, zum Beispiel in Form von Awareness Trainings.
Mehr als technische Maßnahmen
Eine besondere Herausforderung für den ISB stellen Unternehmen dar, die über veraltete technische Anlagen und gewachsene Systeme verfügen, die eng mit der gesamten Unternehmens-IT verflochten sind. Altsysteme, die als Datenlieferanten für nachgelagerte Systeme dienen, stellen oftmals potenzielle Sicherheitsrisiken für das gesamte Informationsnetzwerk dar. Diese lassen sich jedoch nicht ohne Weiteres austauschen oder stilllegen. Hier müssen die Informationssicherheitsbeauftragten sich diese Systeme im Einzelnen genau anschauen und gemeinsam mit der IT-Abteilung und der Geschäftsführung überlegen, wie sich die Systeme und Informationsflüsse absichern lassen, um die Ziele der Informationssicherheit und die individuellen Unternehmensziele bestmöglich miteinander zu vereinbaren. Ein weiteres Risiko ist das E-Mail-Postfach als Einfallstor für Malware. Zwar lassen sich die Risiken bis zu einem gewissen Grad über technisch organisatorische Maßnahmen eingrenzen, doch auch die Anwender sind in besonderem Maße gefordert, diese im Tagesgeschäft umzusetzen.
Foto: https://unsplash.com/photos/fPxOowbR6ls