Newmedia365.de

Schlagwort: Chief Information Security Officer

  • CISO Chief Security Information Officer – Ausbildung und Gehalt

    CISO Chief Security Information Officer – Ausbildung und Gehalt

    In vielen Unternehmen spielen die Themen IT-Sicherheit, IT-Governance, IT-Compliance und die Verantwortlichkeit im Unternehmen eine immer wichtiger werdende Rolle.

    BildAuch kleine und mittelständische Unternehmen benennen aufgrund der rechtlichen und organisatorischen Relevanz dieser Themen einen CISO – demnach einen Chief Security Information Officer. Nachfolgend möchten wir nun die Funktion des CISOs und die relevanten Themenfelder im Detail beschreiben.

    Die Grundlagen der Informationssicherheit

    Zu der Informationssicherheit gehört die Gesamtheit aller (Teil-) Aspekte zur Sicherheit bei der Informationsverarbeitung in Organisationen, Unternehmen oder Behörden. Die ISO 27001 bildet dabei den zentralen Part. Mittlerweile besteht eine über 30-jährige Erfahrung mit standartisierten Sicherheits-Management-Systemen. Die ISO 27001 ist mit ISO der 9001 eine der international erfolgreichsten Normen, wenn es um die Struktur und den Verbreitungsgrad geht. Weiterhin sind diese Normen Grundlage vieler Ausschreibungsunterlagen. Momentan gibt es ungefähr 50.000 zertifizierte Unternehmen. Die Tendenz ist stark steigend. Grundlage für (teils verpflichtende) Audits ist der BSI-Grundschutz.

    Der IT Grundschutz des (BSI) Bundesamtes für Sicherheit in der Informationstechnik

    Mit dem vom Bundesamt für Sicherheit in der Informationstechnik entwickelten IT-Grundschutz liegt ein Quasi-Standard vor, der im deutschen Sprachraum recht bekannt ist. Die Verantwortlichen im Unternehmen werden dabei mit wenigen Schritten zur Auswahl geeigneter Bausteine für die IT-Landschaft geführt. Diese Bausteine stehen jeweils für eine Gruppe von Standard-Sicherheitsmaßnahmen, die man im Maßnahmenkatalog des IT-Grundschutzes findet. Die Realisierung solcher Katalogmaßnahmen wird vom BSI für den normalen Schutzbedarf als ausreichend erachtet.
    Bei einem erhöhten Schutzbedarf schließt sich eine ergänzende Analyse an, um die Eignung und Wirksamkeit der ausgewählten Maßnahmen individuell zu beurteilen. Kern des IT-Grundschutzes ist die maßnahmenorientierte Sichtweise, wobei der Schwerpunkt auf technischen Maßnahmen liegt.

    Was sind erforderliche technische und organisatorische Maßnahmen?

    Was sind nun technische und organisatorische Maßnahmen (TOMs) zur Erreichung und Aufrechterhaltung einer störungsfreien Informationsverarbeitung?
    Technische und organisatorische Maßnahmen umfassen
    z.B. Zugriffs- und Zugangskontrollen sowie Weitergabe- und Eingabekontrollen. Diese
    Maßnahmen zielen darauf ab, dass unbefugte Dritte keinen Zugang zu Datenverarbeitungsanlagen wie einem Serverraum erlangen können.
    Weitere TOMs sind darüber hinaus, die Verwendung von Dateiverschlüsselungen, Firewalls, Virenschutzprogrammen oder Backups.
    All diese Maßnahmen müssen immer nach dem neusten Stand der Technik umgesetzt werden.
    Wie sieht das in Ihrem Unternehmen aus? Die Effektivität zur Erreichung des erforderlichen Schutzniveaus muss natürlich gerade für kleine Unternehmen wirtschaftlich angemessen und effizient sein. Wichtig ist ein vorausschauendes und effektives Risikomanagement.

    Risikomanagement

    Die konkreten Ziele des Risikomanagements im Kontext der Informationssicherheit sind:

    -Frühzeitiges Erkennen von Informationssicherheitsrisiken
    -Etablierung einheitlicher Bewertungsmethoden für identifizierte Risiken
    -Eindeutige Zuweisung von Verantwortlichkeiten beim Umgang mit Risiken
    -Standardisierte Dokumentation von Risiken, inklusive deren Bewertungen
    -Effiziente Behandlung von Risiken

    In welchen Situationen ist das Risiko für Datenaustausch innerhalb und außerhalb der Organisation sehr hoch?
    Bei der Anpassung der internen Organisation und Zusammenarbeit (insbesondere bei größeren Unternehmen), in
    (Bestands-)Systemen und Anwendungen, die nicht aktualisiert oder abgelöst werden können.
    Weiterhin die Zusammenarbeit mit externen Partnern/Dienstleistern vor allem, wenn sensible Daten das Unternehmen verlassen.
    Zudem Fernzugriffe in das Unternehmensnetzwerk (z. B. von Partnerunternehmen und Herstellern). Auch Naturkatastrophen, Brände und Sturm- und Wasserschäden können die IT-Sicherheit empfindlich gefährden. Eine Backup Strategie und Cloud Lösungen sind strategisch wichtig und in das Risikomanagement zu integrieren. Weiterhin können Straftatbestände eine Rolle bei der Gefährdung der IT Sicherheit spielen. Beispielsweise Sabotage und Wirtschaftskriminalität. Der »Risikofaktor« Mensch ist ebenfalls eine Herausforderung. Selbst wenn keine kriminelle Energie hinter den Handlungen steckt, kann das unbedachte Öffnen einer E-Mail oder ein fahrlässiger Umgang mit Daten zu großen Herausforderungen führen. Der Einsatz neuartiger Systeme und Technologien (z. B. Cloud Technik und das Nutzen mobiler Geräte ) und der
    Eintritt in neue Märkte (geografisch und produktbezogen) können eine Evaluation erforderlich machen.

    Wie baut ein Unternehmen das Sicherheitskonzept auf?

    Wie kann nun ein mittelständisches Unternehmen ein Sicherheitskonzept in der Praxis umsetzen? Es kommt an dieser Stelle oft zu der Standardfrage nach dem Umfang des Sicherheitskonzeptes. Diese Frage ist nicht einheitlich zu beantworten.
    Je nach Art der Organisation, dem Anwendungsbereich sowie dem angestrebten Sicherheitsniveau kann es Sicherheitskonzepte mit 50 Seiten, aber auch mit 500 Seiten geben. Eine klare Struktur ist sinnvoll. Folgende Themen sollten in jede Konzeption integriert werden:

    1. Gegenstand des Sicherheitskonzeptes
    2. Zu schützende Objekte
    3. Subjekteigenschaften
    4. Bedrohungsanalyse
    5. Maßnahmenauswahl
    6. Schwachstellenanalyse
    7. Validierung der Maßnahmen
    8. Restrisiko -Betrachtung

    Themen für den CISO – Chief Security Information Officer

    Wie läuft die Ausbildung zum CISO ab und welche Themen sind Bestandteil? Die Fortbildung zum CISO vom Bildungsinstitut erfolgt in 4 praxisnahen Modulen:

    Inhalte Modul 1: Aufbau eines ISMS und IT-Grundschutz

    -Management und Steuerung der Informationssicherheit
    -Planung zum Aufbau eines geeigneten ISMS
    -Aufbau und Gestaltung einer Sicherheitsorganisation
    -Implementierung eines ISMS
    -Inhalte und Maßgaben nach ISO 27001
    -Umsetzungshinweise zum IT-Grundschutz durch das Bundesamt für Sicherheit in der -Informationstechnik
    -Praxisfälle aus dem Unternehmensalltag

    Inhalte Modul 2: Sicherheitslücken und Krisenkommunikation

    -Personelle Aspekte der Informationssicherheit
    -Informationssicherheitskampagnen
    -Praxishinweise nach IT-Grundschutz des BSI
    -Sicherheitsprojekte und Sicherheitsanalysen
    -Prozess für den Umgang mit Sicherheitslücken
    -Sicherheitsvorfälle und -lücken
    -Prozess für die Reaktion auf Sicherheitsvorfälle
    -Krisenmanagement und Kommunikation

    Inhalte Modul 3: Risiko- und Notfallmanagement

    -Grundlagen der Forensik
    -Erkennen von Vorfällen und Notfällen
    -Risikoübernahme, Risikomanagement, Compliance
    -Einführung und Standards des Risikomanagementes
    -Risikomanagement-Prozess planen
    -Risikomanagement mit der ISO 37301 und ISO 27001
    -Notfallmanagement nach BSI 100-4
    -Business Continuity Management nach BSI 200-4
    -Wirksamkeitsmessung und Gap-Analyse
    -Berichterstattung mit Managementbewertung

    Inhalte Modul 4: IT-Compliance, Haftung und Audits

    -Auditierung und Zertifizierung der Informationssicherheit
    -Planung eines Audits und Anforderung an die verschiedenen Rollen
    -Einführung in relevante Rechtsgrundlagen für den CISO
    -Standards der Auditierung und Zertifizierung
    -Rechtliche Aspekte der Informationssicherheit
    -Grundlagen IT-Compliance
    -Stellung und Haftung von Rollen der Informationssicherheit in Unternehmen und Behörden
    -Praxisfälle aus dem Unternehmensalltag

    Gehalt des CISO – Chief Security Information Officer

    Es taucht in unseren Seminaren häufig die Frage nach der Bezahlung des CISOs auf. Da diese Aufgabe sehr verantwortungsvoll ist und einige Kompetenzen erfordert, wird der Job in der Regel auch angemessen bezahlt. Die durchschnittlichen Angaben der potentiellen Arbeitgeber liegen bei einem durchschnittlichen Jahresgehalt für einen CISO zwischen 120.000 und 200.000 Euro.

    Ausbildung zum CISO

    Das Bildungsinstitut Wirtschaft bildet den CISO in vier Tagen in einer praxisnahen Ausbildung aus. Interesse.

    Unser Team freut sich auf Sie! Wir informieren Sie gerne über Details.

    Hier geht es zu unserer Kursübersicht

    Verantwortlicher für diese Pressemitteilung:

    Bildungsinstitut Wirtschaft
    Frau Nicole Biermann-Wehmeyer
    Up de Welle 17
    46399 Bocholt
    Deutschland

    fon ..: 02871-2395078
    web ..: http://www.bildungsinstitut-wirtschaft.de
    email : info@bildungsinstitut-wirtschaft.de

    Pressekontakt:

    Bildungsinstitut Wirtschaft
    Herr Nicole Biermann-Wehmeyer
    Up de Welle 17
    46399 Bocholt

    fon ..: 02871-2395078
    web ..: http://www.bildungsinstitut-wirtschaft.de
    email : info@bildungsinstitut-wirtschaft.de

  • Was heute auf der Agenda der IT-Sicherheitsverantwortlichen stehen sollte

    Tipps der TÜV TRUST IT GmbH Unternehmensgruppe TÜV AUSTRIA

    Der Verantwortungsbereich und die Aufgabenvielfalt der Chief Information Security Officer (CISO) wächst angesichts der Digitalisierung und täglich neuen Cyber-Gefahren mit großer Dynamik. Detlev Henze, Geschäftsführer der TÜV TRUST IT, hat zusammengestellt, worauf die IT-Sicherheitsverantwortlichen aktuell ein besonderes Augenmerk legen sollten. Sie sind zudem eingeladen, am CISO Award 2018 teilzunehmen, den TÜV TRUST IT gemeinsam mit der CARMAO GmbH ausrichtet.

    1. Management Commitment zum Thema Informationssicherheit:
    Zum selbstverständlichen Grundsatz gehört, dass CISOs alle Entscheidungen konsequent aus Sicht des Unternehmens treffen. Aber dafür ist nicht nur ein enger Austausch mit der Geschäftsleitung erforderlich, sondern gleichzeitig muss ein klares Bekenntnis des Managements zu den geplanten Sicherheitsstrategien eingefordert werden.

    2. Compliance-Anforderungen richtig managen:
    Der Gesetzgeber definiert immer mehr Sicherheitspflichten für die Unternehmen, dazu gehören beispielsweise das IT-Sicherheitsgesetz oder die Bank- und Versicherungsaufsicht und Anforderungen an die IT (BAIT bzw. VAIT). Dem CISO kommt es zu, effiziente Wege zu entwickeln, um die inzwischen sehr komplexen rechtlichen Erfordernisse umzusetzen.

    3. Den sicheren Weg in die Digitalisierung ebnen:
    So vielfältig sich der Nutzen der digitalen Transformation darstellt, so wesentlich ist auch, dass damit neue und umfassendere Sicherheitsrisiken einhergehen. Dies gilt nicht zuletzt für Information Security by Design, also die Berücksichtigung von Sicherheitsanforderungen bereits im Software-Entwicklungsprozess. Es gehört zu den Kernaufgaben der CISOs, für den digitalen Wandel den konzeptionellen Rahmen zu definieren und für dessen Umsetzung zu sorgen. Dies sollte nach dem Motto erfolgen: Wie kann die Digitalisierung sicher ermöglicht werden ohne sie zu bremsen.

    4. Die Cyber-Risiken im Blick halten:
    Die hohe digitale Entwicklungsgeschwindigkeit lässt fast täglich weitere Cyber-Gefahren entstehen. Dies verlangt eine kontinuierliche Fortbildung der IT-Sicherheitsverantwortlichen, weil sie ansonsten nicht in der Lage sind, neue Risiken zu verstehen, die Relevanz für ihr Unternehmen einzuschätzen und die notwendigen Maßnahmen einzuleiten.

    5. Maßnahmen nach dem Top-down-Prinzip priorisieren: CISOs sollten sich zunächst auf die hohen Informationswerte konzentrieren statt nach dem Gießkannenprinzip zu arbeiten, weil sonst die Budgets mitunter für den Schutz weniger relevanter Informationen ausgegeben werden. Es ist also eine gezielte Investitionspolitik vorzunehmen, die sich auf hoch bewertete Unternehmensrisiken konzentriert.

    6. Die Cloud-Strategie nicht vernachlässigen:
    Cloud-Dienste verbreiten sich derzeit in großer Geschwindigkeit, dies wird zusätzlich durch Produkte wie MS Office 365 befruchtet. Doch auch wenn damit erhöhte Sicherheitsanforderungen einhergehen, sollten CISOs die Cloud-Entwicklung nicht kritisch sondern als sinnvolle Ergänzung für die herkömmlichen IT-Services betrachten und diese Dienste in die Sicherheitskonzepte integrieren.

    7. Keinen Tool-Zoo entstehen lassen:
    Unternehmen setzen für die immer komplexeren Sicherheitsgefahren reflexartig immer mehr Werkzeuge für spezifische Anforderungen ein und bauen sich damit einen unübersichtlichen Tool-Zoo auf. Meist findet jedoch keine Prüfung statt, wie die verschiedenen Werkzeuge miteinander harmonieren. Damit entsteht die Gefahr, dass die Tools selbst zu einer Bedrohung werden.

    8. Externe Spezialkompetenzen genau auswählen:
    Ohne Einsatz von Security-Spezialisten kommt kaum noch ein Unternehmen aus. Ohne klares Evaluierungskonzept des CISOs gestaltet sich deren Auswahl jedoch schwierig und es entsteht die Gefahr, dass die Erfordernisse nur unzureichend abgebildet werden. Im Bedarfsfall sollte deshalb auch die Dienstleisterauswahl mit externer Unterstützung erfolgen.

    9. Geschick für das Personalmanagement entwickeln: Gute Mitarbeiter zu finden und zu halten, stellt derzeit infolge der großen Nachfrage beim fachlich hochqualifizierten Personal eine der größten Herausforderungen dar. Umso wichtiger ist es, dass CISOs diesem Thema eine große Aufmerksamkeit schenken, indem sie interessante Job-Perspektiven mit einem attraktiven Arbeitsumfeld schaffen.

    „Die Funktion der IT-Sicherheitsverantwortlichen wird für die Unternehmen deutlich an Wert gewinnen“, urteilt Henze. Auch aus diesem Grund haben TÜV TRUST IT und CARMAO den CISO Award 2018 ins Leben gerufen. Teilnehmen können CISOs/Sicherheitsbeauftragte aus den Kategorien Mittelstand, Großunternehmen und Öffentliche Institutionen. Es werden die besten innovativen Leistungen prämiert.

    Zur hochkarätig besetzten Expertenjury gehören neben Detlev Henze (TÜV TRUST IT) und Ulrich Heun (CARMAO GmbH) als Vertreter der Veranstalter Frank Fischer (Deutsche Börse Group, Chief Security Officer), Prof. Dr. Christoph Meinel (Institutsdirektor und CEO des Hasso-Plattner-Instituts), Dr. Rolf Reinema (Vice President IT Workplace, Infrastructure & Operations bei ZF Friedrichshafen) sowie Prof. Dr. Oliver Weissmann (Hochschule Darmstadt).

    Weitere Informationen und Teilnahmeanmeldung unter www.ciso2018.com.

    Verantwortlicher für diese Pressemitteilung:

    TÜV TRUST IT GmbH
    Frau Christina Münchhausen
    Waltherstraße 49-51
    51069 Köln
    Deutschland

    fon ..: +49 )0)221 96 97 89 – 0
    fax ..: +49 )0)221 96 97 89 – 12
    web ..: http://www.it-tuv.com
    email : info@it-tuv.com

    Die TÜV TRUST IT GmbH ist bereits seit vielen Jahren erfolgreich als IT-TÜV tätig und gehört zur Unternehmensgruppe TÜV AUSTRIA. Von ihren Standorten Köln und Wien aus fungiert das Unternehmen als der neutrale, objektive und unabhängige Partner der Wirtschaft. Im Vordergrund stehen dabei die Identifizierung und Bewertung von IT-Risiken. Die Leistungen konzentrieren sich auf die Bereiche Management der Informationssicherheit, Mobile Security, Cloud Security, Sicherheit von Systemen, Applikationen und Rechenzentren, IT-Risikomanagement und IT-Compliance.

    Über die CARMAO GmbH
    Die 2003 gegründete CARMAO GmbH bietet mit einem Expertenpool von etwa 60 zertifizierten Consultants Beratung, Dienstleistungen und Seminare mit den Schwerpunkten Informationssicherheit, IT-Risikomanagement, IT-Compliance sowie Datenschutz an. Zu den Besonderheiten von CARMAO gehören das Framework CHARISMA zur intelligenten und aufwandsschonenden Projektrealisierung sowie ein eigenes Forensik-Labor. Für ihre zunehmend global tätigen Kunden ist das Beratungshaus sowohl national als auch international aktiv. Zum Kundenstamm zählen verschiedene DAX- und eine Vielzahl weiterer renommierter Unternehmen aus allen wichtigen Branchen.
    www.carmao.de

    Pressekontakt:

    denkfabrik groupcom GmbH
    Herr Wilfried Heinrich
    Pastoratstraße 6
    50354 Hürth

    fon ..: 02233 / 6117 – 72
    web ..: http://www.denkfabrik-group.com
    email : wilfried.heinrich@denkfabrik-group.com