Externer Informationssicherheits-Beauftragter (eISB):

Motivation:

Informationssicherheit bzw. die damit verbundenen Aufgaben und Komplexität sind sehr wichtig und sehr anspruchsvoll und weisen eine sehr hohe Bedeutung auf, denn Schäden können bis hin zur Existenzbedrohung gehen (z.B. Totalverlust der Daten). Es ist eine sehr wichtige und sehr anspruchsvolle Aufgabe zur Beherrschung der Risiken auf ein tolerierbares Niveau! Das Thema benötigt Aufmerksamkeit! Denn wer sich nicht rechtzeitig und präventiv darum kümmert, hat später gegebenenfalls erheblichen Schaden zu tragen (z.B. durch einen Erpressungstrojaner mit Verschlüsselung aller Daten und fehlenden Backup zur Wiederherstellung)! Der Mehrwert durch vermiedenen Schaden kann enorm sein!

Sicherheit bedingt eine Abwägung zwischen Sicherheit, Komfort und Wirtschaftlichkeit. Viele scheuen die Aufwände oder mögliche Komforteinbußen, vergessen aber die Vorteile, die erreicht werden. Denn bei Informationssicherheit mit Datenschutz können viele Nutzeffekte erreicht werden: Schutz erlangen, Schäden vermeiden betreffend der eigenen Werte inklusive personenbezogener Daten; höhere Rechtssicherheit erlangen mit Vermeidung von Abmahnungen, Bußgeldern oder zivilrechtlicher Ansprüche Betroffener; Außenwirkung optimal erzielen z.B. durch vorbildliche Informationssicherheits-Prozesse oder entsprechender Datenschutzerklärung im Web; Datenschutz optimieren durch kompetente Informationssicherheit; Kosten reduzieren dabei durch Bereinigung, Vereinfachung und Standardisierung von Abläufen oder Systemen und Wertschöpfung erlangen durch Schaffung neuer gewinnbringender Produkte.

Diese Bedeutung spiegelt sich rechtlich wider wie in der Europäischen NIS-Richtlinie, der Europäischen Datenschutz-Grundverordnung oder dem IT-Sicherheitsgesetz zur Erhöhung der Sicherheit betreffend Kritischer Infrastrukturen (KRITIS).

Die Geschäftsleitung bzw. der Vorstand ist verantwortlich ein angemessenes Sicherheitsniveau zu etablieren, ein (oder mehrere) Informationssicherheits-Beauftragte(r) als Experten helfen hierbei!

Kompetenz:

Ein guter Informationssicherheits-Beauftragter begeistert sich für Informationssicherheit und identifiziert sich mit den Zielsetzungen, Sicherheit liegt im "am Herzen"; er hat sehr gutes Wissen, eine schnelle Auffassungsgabe, ausgezeichnete analytische und konzeptionelle Fähigkeiten und langjährige Erfahrung; er kann gut abstrahieren, Gesamtübersichten oder Querbezüge herstellen; ob der oft sehr sensiblen Thematik existierender Sicherheitslücken oder aufgetretener Sicherheitsvorfälle oder geringer Umsetzungsbegeisterung, hat er hohe Sensibilität, kommunikatives und argumentatives Geschick, Kooperations- und Teamfähigkeit, bedarfsorientiert und erwünscht auch klares Durchsetzungsvermögen.

Aufgaben:

Informationssicherheit ist sehr anspruchsvoll. Die Aufgaben gehen in die „Breite“ (z.B. Multi-Tier-Anwendung) wie die „Tiefe“ (z.B. virtualisiertes System), reichen von organisatorischen Aufgabenstellungen (z.B. Berechtigungsprozesse) über komplexe Gesamtbetrachtungen (z.B. Systemdesign) bis hin zu technischen Details (z.B. Systemabsicherung) und betreffen IT und Non-IT. Da die Sicherheit nur so gut ist wie das schwächste Glied, ist das Beherrschen der Komplexität, eines übergreifenden Ansatzes, ein geeignetes Informationssicherheits-Management von großer Bedeutung. Der Informationssicherheits-Beauftragte hilft bei der Definition, Herstellung und Aufrechterhaltung eines angemessenen Informationssicherheitsniveaus mit den möglichen Leistungen:

Beratung und Unterstützung
aller Verantwortlichen und der Mitarbeiter zur Etablierung von Strategie, Organisation, Prozesse, Richtlinien, Analysen, Konzepte, Lösungen, Betrieb, Kontrollen und zugehöriger Qualitätssicherung; beispielsweise Durchführung von Schutzbedarfsfeststellungen, Bedrohungs- und Risikoanalysen, Erstellung von Sicherheitskonzepten, -leitlinien, -richtlinien, Notfallvorsorgekonzept usw., bedarfsorientiert Etablierung eines Informationssicherheits-Management-Systems (ISMS)

Steuerung und Koordination
als Motivator/"Treiber" im Unternehmen, gegebenenfalls darüberhinaus (z.B. externe Dienstleister). Dieser Aspekt ist sehr wichtig, da Informationssicherheit meist nicht die gewinnbringende Kernaufgabe ist und damit oft aus dem Fokus gerät.

Ansprechpartner
zentraler, für alle Verantwortlichen und Mitarbeiter zur Informationssicherheit, gegebenenfalls inklusive Benennung und Bekanntgabe nach außerhalb.

Überwachung und Kontrolle
mit Aufzeigen und Dokumentieren von Handlungsbedarfen an den Verantwortlichen mit Messung der Wirksamkeit und Effektivität (z.B. Kennzahlen, Audits).

Schulung und Sensibilisierung
mit Motivation der Verantwortlichen und Mitarbeiter, gegebenenfalls darüberhinaus (z.B. externe Dienstleister). Angemessene Fachkenntnisse der Beteiligten sind zum Erreichen eines angemessenen Informationssicherheitsniveaus sehr wichtig, da das jeweilige Bewusstsein, das Können, die Einstellung und das Verhalten von großer Bedeutung sind.

Hilfe bei Sicherheitsverletzungen
Vorbereitung und Qualitätssicherung geeigneter Reaktionszeiten, Mitwirkung zur Schadensbegrenzung im Falle von Sicherheitsvorfällen mit Untersuchung, Behandlung und Ableitung von Verbesserungen.

Intern oder Extern:

Ein Informationssicherheits-Beauftragter kann intern besetzt werden durch einen Mitarbeiter (interner ISB) oder extern durch Beauftragung eines Dienstleisters (externer ISB).
Intern kann dies auch als Teilzeit-Tätigkeit neben anderen Aufgaben erfolgen und sollte keine Person eingesetzt werden, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht, damit beispielsweise nicht IT-Administratoren.
Extern kann die Funktion auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen angehört. Der externe Informationssicherheits-Beauftragte kann dabei unabhängiger agieren, da er nicht in Unternehmens-interne Abläufe oder -Verpflichtungen eingebunden ist.

Vorteile Externer Informationssicherheits-Beauftragter:

Hohe Kompetenz
und schnelle Know-How-Gewinnung, denn die Aufgaben sind sehr anspruchsvoll, geeignete Kompetenzen können intern aufgebaut oder in der Regel schneller bzw. sofort extern beauftragt bzw. einbezogen werden.

Gewinn durch übertragbares KnowHow
da der externe Informationssicherheits-Beauftragte in mehreren Unternehmen aktiv ist, kann er übergreifendes und bewährtes Wissen, Methoden und Lösungen einbringen, was Fehler oder Fehlversuche reduzieren kann.

Keine Konflikte mit internen Aufgaben
da ein interner Informationssicherheits-Beauftragter möglicherweise Interessenskonflikte mit anderen Aufgaben oder Kollegen hat, der externe in der Regel nicht.

Fokussierung
eigene Mitarbeiter kümmern sich fokussiert und produktiv um ihre Kernaufgaben.

4-Augen-Prinzip
als bewährte Methode zur Qualitätssicherung, d.h. das Tun erfolgt durch interne Mitarbeiter oder externe Dienstleister, der externe Informationssicherheits-Beauftragte kontrolliert unabhängig davon.

Geringere Aufwände
da externe Informationssicherheits-Beauftragte sich z.B. eigenständig fortbilden, dem Unternehmen entstehen keine Kosten durch Freistellung oder Fortbildung interner Mitarbeiter

Synergieeffekte zu Datenschutz
als aufwandreduzierende Win-Win-Kombination, denn entsprechende Kompetenz vorausgesetzt kann der Informationssicherheits-Beauftragte auch als Datenschutz-Beauftragter synergetisch agieren, da der Schutz personenbezogener Daten letztlich über Informationssicherheit realisiert wird.

Versicherung
durch eine Berufshaftpflichtversicherung.

Wir bieten diese Leistung an und
wir freuen uns auf Ihre sehr geschätzte Anfrage.

Anmeldung zum Newsletter Informationen zum Datenschutz Impressum

Copyright © DresPleier GmbH. Alle Rechte vorbehalten. Irrtümer und Änderungen vorbehalten; Angebote der DresPleier GmbH sind stets freibleibend und unverbindlich und werden erst durch die schriftliche Bestätigung (auch per Mail) für die DresPleier GmbH verbindlich.