Können Sie sich einen eigenen Sicherheitsbeauftragten leisten?
Sicherheit bezeichnet die Abwesenheit unvertretbarer Risiken. Jedes Unternehmen muss für sich selbst festlegen, welche Risiken relevant sind und wie hoch das erforderliche Sicherheitsniveau ist. In der Informationssicherheit gilt es folglich, die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität zu gewährleisten, indem entsprechende Risiken auf ein akzeptables Mass reduziert werden.
Die Risikominimierung erfordert die Umsetzung organisatorischer und technischer Massnahmen. In einer Aktiengesellschaft ist der Verwaltungsrat für die Informationssicherheit verantwortlich. Er erlässt entsprechende Weisungen und kann bestimmte Aufgaben einem Dritten übertragen. In kleinen Firmen ist dies typischerweise ein Mitarbeiter, der zusätzlich zu seinem normalen Aufgabengebiet die Rolle des Informationssicherheitsbeauftragten übernimmt.
Aufgaben des Informationssicherheitsbeauftragten
Seine Aufgaben sind es, den Sicherheitsprozess zu steuern und die Geschäftsleitung beim Erlassen von Weisungen zu unterstützen. Dazu erstellt er Sicherheits- und Notfallvorsorgekonzepte, initiiert und überprüft Sicherheitsmassnahmen, untersucht Sicherheitsvorfälle und koordiniert sicherheitsrelevante Projekte. Er berichtet der Leitungsebene regelmässig über den Stand der Informationssicherheit und führt Sensibilisierungs- und Schulungsmassnahmen durch. Da viele Angriffe heute ziemlich direkt auf die Benutzer abzielen, schult der Beauftragte die Mitarbeitenden entweder mittels automatisierter Angriffssimulation und Online-Training oder im Unternehmen vor Ort anhand konkreter Beispiele.
IT-Grundschutz-Kompendium als Arbeitsinstrument
Methodisch helfen dem Informationssicherheitsbeauftragten verschiedene Frameworks, aus denen er anhand der Unternehmensgrösse, der Strategie und des Risikoappetits das passende auswählt. Von regelmässigen Reviews mit Checklisten über das Vorgehen gemäss IT-Grundschutz-Kompendium des deutschen Bundesamtes für Sicherheit in der Informationstechnik bis hin zu zertifizierbaren Managementsystemen nach dem ISO-27001-Standard gibt es für die unterschiedlichen Anforderungen passende Herangehensweisen. Für Betreiber von kritischen Infrastrukturen hat das Bundesamt für wirtschaftliche Landesversorgung letztes Jahr einen Minimalstandard zur Verbesserung der ICT-Resilienz veröffentlicht. Dieser darf von jedermann genutzt werden. Alle Methoden helfen, Lücken zu erkennen, den Stand der umgesetzten Massnahmen zu überwachen und Risiken zu bewältigen.
Zu klein für eigenen Sicherheitsbeauftragten?
Die Aufgaben des Informationssicherheitsbeauftragten erfordern eine ständige Weiterbildung in Methodik, aktueller Gefahrenlage und neuen Bewältigungstechniken. Das Engagement eines externen Sicherheitsbeauftragten hat vor allem für kleine Firmen Vorteile. Nutzer eines solchen Angebots profitieren von Experten mit aktuellen Weiterbildungen, die durch ihren Einsatz bei verschiedenen Mandaten passende Massnahmen kennen. Die Risikoidentifikation sollte mittels eines strukturierten Security-Checks und die Risikobeurteilung anhand eines Berichts in Zusammenarbeit mit dem Unternehmen erfolgen. Auch die Überwachung des Umsetzungsstands von Massnahmen sollte zum Dienstleistungsumfang gehören.
Whatsapp und Threads verschwinden aus chinesischem App Store
Logitechs Tastaturen und Mäuse erhalten direkten Draht zu ChatGPT
Das sind die Finalisten der Swiss Fintech Awards 2024
Peoplefone lanciert Mobile-Abos für Geschäftskunden
Update: Österreichischer Investor übernimmt Devolo
EU-Datenschützer beurteilen Bezahlzwang für Datenschutz als inakzeptabel
Firewalls von Palo Alto enthalten eine kritische Sicherheitslücke
Update: Bundesgericht akzeptiert Swisscom-Beschwerde gegen Weko-Entscheid
Was KI zur Barrierefreiheit im Web beitragen kann
