Informationssicherheit gehört heutzutage unbestritten zu den Kernthemen in jedem Unternehmen. Die heutige Dynamik und damit einhergehenden, sich ständig ändernden Anforderungen sind zwar längst nichts mehr Neues, jedoch immer noch eine Herausforderung für viele Unternehmen ‒ auch im Bereich der Cyber Security. Hinzu kommen die stetig wachsenden Unsicherheiten durch aktuelle Ereignisse, beispielsweise häufigere und aggressivere Malware-Attacken wie WannaCry oder Petya. Unternehmen, die Cybersicherheit ernst nehmen, setzen deshalb auf den Chief Information Security Officer (CISO). In einem früheren Blogpost haben wir Ihnen erklärt, weshalb auch Sie in Ihrem Unternehmen einen CISO benötigen, was einen guten CISO ausmacht und welchen Herausforderungen er sich stellen muss. Hier erfahren Sie nun, welche Aufgaben er zu meistern hat ‒ und liefern Ihnen gleich eine kostenlose Task- und Pendenzenliste mit.
Gratis-Arbeitshilfe für jeden CISO
Wie wir alle wissen, hat jedes Unternehmen individuelle Bedürfnisse und folgt keinem Lehrplan − schon gar nicht im Bereich der Cyber Security! In diesem Artikel erklären wir Ihnen, in welche Bereiche ein CISO seine Aufgaben zu unterteilen hat und was diese konkret beinhalten. Ihre persönlichen und ganz spezifischen Tasks sowie Pendenzen können Sie nun bequem und stets aktualisiert in unserer für Sie kostenlos erstellten PDF-Vorlage aufführen. So behalten Sie stets die Übersicht, welche Aufgaben für die jeweiligen Bereiche anfallen. Hier geht’s zum Download der Taskliste!
Diese Taskliste verschafft jedem CISO den Durchblick
In Zusammenarbeit mit unserem eigenen CISO und den Security-Experten haben wir versucht, alle Aufgaben zu umschreiben und zusammenzufassen. Entstanden ist dabei ein 11-Punkte-Plan, der Ihnen - vereinfacht dargestellt - aufzeigen soll, welche Tasks in welchen Bereich gehören:
Security Strategy/Architecture
Sicherheit wird bereits in der Definitionsphase gewonnen - oder verloren. Datenschutz, Qualität und Sicherheit müssen bereits zu Beginn richtig ausgearbeitet werden. Eine gelungene Sicherheitsstrategie und -architektur setzt sich jedoch nicht nur aus Infrastruktur, Hard- und Software zusammen, sondern auch aus Risiko- & Compliance Management, IT- & Security Governance, Information Security & Data Protection Management, Notfallvorsorge und natürlich dem proaktiven Schutz durch Aufklärung und Sensibilisierung. Die Herausforderungen für den CISO liegen hierbei insbesondere auf den immer grösseren Anforderungen von regulatorischer Seite aufgrund der zunehmenden Cybergefahren. Cyberkriminelle sind heutzutage nicht nur in der Lage die Infrastruktur zu durchbrechen, sondern auch auf anderen Wegen ans Ziel zu gelangen. Und genau das müssen Sie als CISO zu verhindern wissen!
Selling InfoSec (Internal)
Informationssicherheit darf keinesfalls separiert betrachtet werden. Daher gehört sie zwingend in die Chefetage und sollte auch in die gesamte Unternehmenskultur einfliessen. Leider wird der Cyber Security oftmals noch zu wenig Beachtung geschenkt. Ihre Aufgabe als CISO ist es, das Bewusstsein innerhalb des gesamten Unternehmens zu schärfen und die unabdingbare Management Attention zu schaffen.
Risk Management
Ein gelebtes Risikomanagement ist die Basis für alle Sicherheitsanstrengungen und somit unerlässlich, weshalb es auch unbedingt Teil der Unternehmensführung sein muss. Für effektiven, proaktiven Schutz werden Risiken identifiziert, hinsichtlich des Business Impacts analysiert, bewertet und entsprechende Massnahmen abgeleitet - ganzheitlich, oder für einzelne Teilaspekte resp. Systeme. Hierzu gehören beispielsweise auch die physische Sicherheit oder Ihre Mitarbeitenden. Dieser Punkt muss auf jeden Fall nach ganz oben auf Ihrer Liste!
(IT-) Governance
Auch die ausgeklügeltste Sicherheitsstrategie bringt nichts, wenn Sie nicht auf die Kern- und Führungsprozesse im Unternehmen ausgerichtet ist. Sie als CISO müssen die Vorgaben aus regulatorischer, als auch aus Business-Sicht kennen und immerzu in der Lage sein, diese gemeinsam mit Ihrem Team zu erfüllen.
Business Enablement
Business Enablement zielt auf die ganzheitliche Integration der Strukturen, Prozesse sowie Tools in das Unternehmen. Gerade bei den sich immer schneller verändernden Prozessen - was heute fast die Regel ist - muss auch die Security mithalten können. Ihre Aufgabe als CISO ist es, diese laufend auf dem aktuellsten und den Bedürfnissen des Unternehmens gerechten Stand zu halten.
Project Delivery Lifecycle
Der klassische Projekt-Lebenszyklus wird beinahe in jedem Unternehmensbereich eingesetzt. Und wir sagen: zu Recht! Als CISO ist es Ihre Aufgabe sicherzustellen, dass (IT-) Security-Projekte korrekt initiiert, geplant, ausgeführt und abgeschlossen werden. Welche Projekte laufen bei Ihnen aktuell? Setzen Sie diese auf Ihre persönliche Task- und Pendenzenliste und behalten Sie so ganz einfach den Überblick.
Identity Management
Um Ihre Kronjuwelen zu schützen, ist ein funktionierendes Identity Management zwingend notwendig. So müssen auch Sie sich – nicht nur Ihre Mitarbeitenden − als Benutzer identifizieren und Zugriffsrechte sowie Einschränkungen auf Ressourcen im System definieren können. Als CISO müssen Sie sicherstellen, dass beispielsweise bei einer hohen Personenfluktuation Accounts gelöscht werden oder dass sensitive Daten auf keinen Fall in die falschen Hände gelangen – sei es durch WLAN-Zugang für Gäste, oder auch bei internen Positionswechseln. Hier gilt es auch zu beachten, dass Mitarbeitende nicht automatisch die alten Rechte behalten.
Security Operation
Eine der zweifellos wichtigsten Kernaufgaben eines CISO bilden die technische IT-Security sowie die Security Operation. Dies zeigt sich auf unterschiedlichste Weise; sei es durch den Aufbau und Betrieb eines eigenen Security Operation Centers oder durch Auslagerung zu einem spezialisierten Drittanbieter (CDC as a Service). Denn häufig fehlen in Unternehmen nicht nur Spezialisten, sondern auch das Budget, um diese Aufgaben fachgerecht ausführen zu können. Die Kompetenzen der Security Operation bleiben jedoch dieselben. Security Monitoring, Threat Detection, Incident & Vulnerability Management und Cyber Threat Intelligence bilden hier die Grundsteine zur Stärkung der Cyber Resilience.
Compliance Audits
Eine umfassende Überprüfung durch Dritte ist nicht nur empfehlenswert, um sich selbst einen Überblick über eventuelle Lücken zu verschaffen und diese gleich beheben zu können, sondern auch als Qualitätssiegel gegenüber Dritten. Denn auch Kunden orientieren sich verstärkt an Zertifizierungen, beispielsweise ISO 27001. Es sollte im Interesse jedes CISO sein, solche Konformitätsprüfungen wiederkehrend durchzuführen. Nur so bleibt Ihr Unternehmen sicherheitstechnisch stets auf dem aktuellsten Stand und somit wettbewerbsfähig.
Legal & Human Resources
Als CISO werden Sie zwingend auch mit personellen und rechtlichen Aspekten zu tun haben. Sei es in der Rekrutierung, welche durch den Fachkräftemangel zunehmend ein ernsthaftes Problem darstellt, oder aber beispielsweise auch im IT-Vertragswesen, Datenschutz etc.
Budget - Make or Buy
Und nicht zu vergessen: Sicherheit kostet. Hierbei bildet auch die Cyber Security keine Ausnahme. Budgetplanung ist unerlässlich und muss oft für eine längere Zeitspanne getätigt werden - schwierig, in einem so dynamischen Umfeld wie der Cyber Security. Wählen Sie den für Sie richtigen Weg: Make or Buy. Bedenken Sie bei der Budgetplanung auch die zukünftig notwendigen Personalressourcen sowie Weiterbildungen von Mitarbeitenden, denn sie sind das wichtigste Kapital Ihres Unternehmens!
Sie merken: Ihre Task- und Pendenzenliste wird ganz schön lang werden! Aber das ist auch gut so und zwingend nötig, wenn Sie Ihr Unternehmen erfolgreich vor Cyberattacken schützen möchten. Sie als CISO - mitsamt Ihrem Team - schützen die Daten Ihres Unternehmens (also die Kronjuwelen) und tragen so wesentlich zum Erfolg bei. Priorisieren Sie Ihre Aufgaben und gehen Sie dabei Schritt für Schritt vor.
Wir wünschen Ihnen viel Erfolg bei der Abarbeitung Ihrer CISO-Tasks!
PS: Selbstverständlich sind wir an Ihrem Feedback, Ihren persönlichen Erfahrungen und Anregungen interessiert. Sind aus Ihrer Sicht die richtigen und vor allem alle Bereiche abgedeckt? Wir freuen uns über Ihre Kommentare!
