SPONSORED-POST Unternehmensschutz

Können Sie sich einen eigenen Sicherheitsbeauftragten leisten?

Uhr
von Lukas Studer, Security Consultant, First Frame Networkers

Sicherheit bezeichnet die Abwesenheit unvertretbarer Risiken. Jedes Unternehmen muss für sich selbst festlegen, welche Risiken relevant sind und wie hoch das erforderliche Sicherheitsniveau ist. In der Informationssicherheit gilt es folglich, die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität zu gewährleisten, indem entsprechende Risiken auf ein akzeptables Mass reduziert werden.

Lukas Studer, Security Consultant, First Frame Networkers (Source: © (c) 2018 Andreas Feusi Photography, www.andreasfeusi.ch)
Lukas Studer, Security Consultant, First Frame Networkers (Source: © (c) 2018 Andreas Feusi Photography, www.andreasfeusi.ch)

Die Risikominimierung erfordert die Umsetzung organisatorischer und technischer Massnahmen. In einer Aktiengesellschaft ist der Verwaltungsrat für die Informationssicherheit verantwortlich. Er erlässt entsprechende Weisungen und kann bestimmte Aufgaben einem Dritten übertragen. In kleinen Firmen ist dies typischerweise ein Mitarbeiter, der zusätzlich zu seinem normalen Aufgabengebiet die Rolle des Informationssicherheitsbeauftragten übernimmt.

Aufgaben des Informationssicherheitsbeauftragten

Seine Aufgaben sind es, den Sicherheitsprozess zu steuern und die Geschäftsleitung beim Erlassen von Weisungen zu unterstützen. Dazu erstellt er Sicherheits- und Notfallvorsorgekonzepte, initiiert und überprüft Sicherheitsmassnahmen, untersucht Sicherheitsvorfälle und koordiniert sicherheitsrelevante Projekte. Er berichtet der Leitungsebene regelmässig über den Stand der Informationssicherheit und führt Sensibilisierungs- und Schulungsmassnahmen durch. Da viele Angriffe heute ziemlich direkt auf die Benutzer abzielen, schult der Beauftragte die Mitarbeitenden entweder mittels automatisierter Angriffssimulation und Online-Training oder im Unternehmen vor Ort anhand konkreter Beispiele.

IT-Grundschutz-Kompendium als Arbeitsinstrument

Methodisch helfen dem Informationssicherheitsbeauftragten verschiedene Frameworks, aus denen er anhand der Unternehmensgrösse, der Strategie und des Risikoappetits das passende auswählt. Von regelmässigen Reviews mit Checklisten über das Vorgehen gemäss IT-Grundschutz-Kompendium des deutschen Bundesamtes für Sicherheit in der Informationstechnik bis hin zu zertifizierbaren Managementsystemen nach dem ISO-27001-Standard gibt es für die unterschiedlichen Anforderungen passende Herangehensweisen. Für Betreiber von kritischen Infrastrukturen hat das Bundesamt für wirtschaftliche Landesversorgung letztes Jahr einen Minimalstandard zur Verbesserung der ICT-Resilienz veröffentlicht. Dieser darf von jedermann genutzt werden. Alle Methoden helfen, Lücken zu erkennen, den Stand der umgesetzten Massnahmen zu überwachen und Risiken zu bewältigen.

Zu klein für eigenen Sicherheitsbeauftragten?

Die Aufgaben des Informationssicherheitsbeauftragten erfordern eine ständige Weiterbildung in Methodik, aktueller Gefahrenlage und neuen Bewältigungstechniken. Das Engagement eines externen Sicherheitsbeauftragten hat vor allem für kleine Firmen Vorteile. Nutzer eines solchen Angebots profitieren von Experten mit aktuellen Weiterbildungen, die durch ihren Einsatz bei verschiedenen Mandaten passende Massnahmen kennen. Die Risikoidentifikation sollte mittels eines strukturierten Security-Checks und die Risikobeurteilung anhand eines Berichts in Zusammenarbeit mit dem Unternehmen erfolgen. Auch die Überwachung des Umsetzungsstands von Massnahmen sollte zum Dienstleistungsumfang gehören.

Webcode
DPF8_167496

Kommentare

« Mehr