Leistungen Informationssicherheit:

Externer Informationssicherheitsbeauftragter (eISB):

Motivation:

Geschäftsprozesse werden heutzutage typischerweise realisiert auf IT-Anwendungen, die auf IT-Systemen laufen, IT-Ressourcen nutzen und über Netzwerke verbunden sind. Hierbei werden Informationen bzw. Daten verarbeitet. Diese Informationen bzw. Daten haben in der Regel einen Schutzbedarf. Können beispielsweise Unberechtigte diese einsehen oder werden sie unberechtigt verändert oder sogar gelöscht, so können Schäden entstehen. Dasselbe gilt für andere Werte wie die eingesetzten Anwendungen, Systeme und Ressourcen. Dieser Bedeutung wird in besonderen Bereichen auch gesetzlich Rechnung getragen, konkret u.a. durch den Schutz Kritischer Infrastrukturen durch das IT-Sicherheitsgesetz. Zur Realisierung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus zuständig bzw. verantwortlich ist die Geschäftsführung bzw. der Vorstand und insbesondere sog. Informationssicherheitsbeauftragte mit besonderer Fachkunde kümmern sich darum.
Informationssicherheit hat jedoch mehrere Motivatoren und positive nutzbringende Effekte:

Schutz:
von Informationen, Diensten, Systemen, usw.
damit Vermeidung von Schäden für das Unternehmen, den Verein, Personen
Rechtskonformität:
durch Berücksichtigung gesetzlicher Vorgaben wie IT-Sicherheitsgesetz
oder DS-GVO, damit Vermeidung von Abmahnungen oder Bußgeldern
Kostenreduktion:
durch benutzerfreundliche und effiziente Prozesse,
Standardisierung von Abläufen, Anwendungen, Systemen, usw.
Wertschöpfung:
durch Einrichtung neuer Abläufe zum Gewinn der Firma,
z.B. IT-basierter Produkt-Schutz oder IT-basierte Geschäfte

Kompetenz:

Informationssicherheit ist ein sehr anspruchsvolles Themengebiet der IT. Die Aufgaben der Informationssicherheit gehen sowohl in die „Breite“ (z.B. eine Multi-Tier-Anwendung) wie in die „Tiefe“ (z.B. mehrschichtiger Aufbau einer virtualisierten Systems), von organisatorischen Problemstellungen (z.B. Prozesse) über komplexe technische Gesamtbetrachtungen (z.B. Systemdesign) bis hin zu technischen Details (z.B. detailierte Systemabsicherung) und betreffen IT und Non-IT. Da die Sicherheit nur so gut ist wie das schwächste Glied, ist das Beherrschen eines übergreifenden Ansatzes, ein geeignetes Sicherheitsmanagement von Bedeutung. Der Informationssicherheitsbeauftragte sollte eine Begeisterung für die Informationssicherheit aufweisen und sich mit den zugehörigen Zielsetzungen identifizieren können; zudem ein gutes Wissen, Methodenkompetenz und Erfahrung in den Gebieten Informationssicherheit und IT besitzen; darüberhinaus, ob der oftmals sehr sensiblen Thematik geringer Umsetzungsbegeisterung oder existierender Sicherheitslücken oder gar aufgetretener Sicherheitsvorfällen, benötigt er kommunikatives und argumentatives Geschick sowie Kooperations- und Teamfähigkeit, jedoch auch Durchsetzungsvermögen, sofern erwünscht oder nötig; zudem sollte er eine schnelle Auffassungsgabe haben und die Fähigkeit besitzen, gut abstrahieren und Gesamtübersichten oder Querbezüge herstellen zu können. Da der Schutz personenbezogener Daten, der Datenschutz, letztlich über Informationssicherheit realisiert wird, läßt sich die Tätigkeit des Informationssicherheitsbeauftragten (ISB) auch gewinnbringend mit der des Datenschutzbeauftragten (DSB) kombinieren.

Aufgaben:

Der Informationssicherheitsbeauftragte hat sich schwerpunktmäßig um die Defintion, Realisierung und Aufrechterhaltung eines angemessenen Sicherheitsniveaus zu kümmern. Dazu kann er folgende Aufgaben erfüllen:

Beratung und Unterstützung
des Verantwortlichen (Geschäftsführung, Vorstand) und der Mitarbeiter zur Herstellung einer angemessenen Informationssicherheit, damit der Etablierung von Organisation, Prozessen, Richtlinien, Konzepten, Auditierungen und Dokumentationen zur Realisierung eines angemessenen Sicherheitsniveaus. Hierbei Sicherheits-relevante Aufgaben wie beispielsweise Durchführung von Schutzbedarfsfeststellungen, Bedrohungs- und Risikoanalysen, Erstellung von Sicherheitskonzepten, Leitlinien, Richtlinien, Regelungen, Notfallvorsorgekonzept usw. bis hin zu Aufbau und Pflege eines Informationssicherheits-Management-Systems. Konkrete Richtlinien können z.B. sein: Leitlinie Informationssicherheit, Richtlinie Informationssicherheitsmanagement, Richtlinie Passwörter bzw. Richtlinie Authentifikation, Richtlinie Berechtigungsmanagement bzw. Richtlinie Autorisierung oder gemeinsam Richtlinie Identitäts- und Zugriffsmanagement (Identity und Access Management), Richtlinie Zutritts- und Zugangskontrolle, Richtlinie Sichere IT-Nutzung, Richtlinie Sicherer IT-Betrieb, Richtlinie Sichere IT-Entwicklung, Richtlinie Sichere IT-Anwendungen und -Systeme, Richtlinie Sichere Datenspeicherung und Datensicherung, Richtlinie Sichere Kommunikation, Richtlinie Telearbeit (inklusive Mobilgeräte), Richtlinie Notfallvorsorge und -management, Richtlinie Mitarbeiter und Schulung, Richtlinie Kontrolle und Auditierung.
Steuerung und Koordination
als "Treiber" / Motivator im Unternehmen, Verein, ... und gegebenfalls darüberhinaus betreffend externe Dienstleister im Rahmen der Analyse, Konzeption, Steuerung, Realisierung und Kontrolle von Informationssicherheit bzw. Informationssicherheitsprozessen und/oder -management oder -projekte; dieser Aspekt ist oft sehr wichtig, da Informationssicherheit üblicherweise nicht die Kernaufgabe bzw. das gewinnbringende Geschäftsfeld im Unternehmen, Verein, ... ist und damit leicht aus dem Fokus gerät und zu wenig Aufmerksamkeit erhält
Ansprechpartner
zentraler, für Geschäftsführung und Mitarbeiter zu allen Informationssicherheits-relevanten Vorgängen
Überwachung und Kontrolle
der Einhaltung einer angemessenen Informationssicherheit inklusive dem Aufzeigen und Dokumentieren von Handlungsbedarfen an den Verantwortlichen
Risikorientierung
bei der Erfüllung der Aufgaben durch geeignete Priorisierung
Schulung und Sensibilisierung
und auch Motivation des Verantwortlichen und seiner Mitarbeiter zu Themen der Informationssicherheit z.B. mittels Seminare oder Übungen. Angemessene Fachkenntnisse der Mitarbeiter und andere Beteiligter sind zum Erreichen einer angemessenen Informationssicherheit sehr wichtig, da das jeweilige Bewußtsein, das Können, die Einstellung und das Verhalten von großer Bedeutung sind.
Unterstützung bei Sicherheitsverletzungen
mit geeigneter Untersuchung, Behandlung, Ableitung von Verbesserungen und Dokumentation
Messung
der Informationssicherheit bzw. des Sicherheitsniveaus bzw. der eingesetzen Maßnahmen auf Wirksamkeit und Effektivität, z.B. orientiert an Kennzahlen (wie detektierte Schadsoftware), Auswertung von Sicherheitsvorfällen, Durchführung von Übungen, Tests oder Audits.

Intern oder Extern:

Ein Informationssicherheitsbeauftragter kann intern besetzt werden durch einen Mitarbeiter (interner ISB) oder extern durch Beauftragung eines Dienstleisters (externer ISB), jeweils geeignete Kompetenz vorausgesetzt. Intern kann dies auch als Teilzeit-Tätigkeit neben anderen Aufgaben erfolgen und sollte keine Person eingesetzt werden, die in einen Interessenkonflikt geraten könnte oder für die eine Gefahr der Selbstkontrolle besteht, damit beispielsweise nicht IT-Administratoren. Extern kann die Funktion eines Informationssicherheitsbeauftragten auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird, die nicht der Einrichtung des Verantwortlichen angehört. Der externe Informationssicherheitsbeauftragte kann dabei unabhängiger agieren, da er nicht in Firmen-interne Abläufe oder -Verpflichtungen eingebunden ist.

Vorteile Externer Informationssicherheitsbeauftragter:

Fokussierung
eigene Mitarbeiter kümmern sich fokussiert und produktiv um die Kernaufgaben
Schnelle KnowHow-Gewinnung
für das Unternehmen, den Verein, ..., denn Informationssicherheit und damit verbunden auch Datenschutz ist eine anspruchsvolle Aufgabe, für die technisches und organisatorisches, gegebenfalls auch rechtliches Fachwissen erforderlich ist; dies kann intern aufgebaut werden oder in der Regel schneller bzw. sofort extern beauftragt bzw. einbezogen werden
Gewinn durch übertragbares KnowHow
da der externe Informationssicherheitsbeauftragte in mehreren Firmen aktiv ist, erhält er übergreifendes Wissen und Lösungsansätze und kann diese als Mehrwert weitergeben
Keine Konflikte mit internen Aufgaben
da ein interner Informationssicherheitsbeauftragter möglicherweise Interessenskonflikte mit anderen Aufgaben oder Kollegen hat, der externe in der Regel nicht
4-Augen-Prinzip
als wichtige und bewährte Methode zur Qualitätssicherung, d.h. das Tun erfolgt durch interne Mitarbeiter oder externe Dienstleister, der externe Informationssicherheitsbeauftragte kontrolliert unabhängig vom Tun oder damit verbundenen Abhängigkeiten oder Restriktionen
Geringere Aufwände
da externe Informationssicherheitsbeauftragte sich z.B. eigenständig fortbilden, der Firma entstehen keine Kosten durch Freistellung oder Fortbildung interner Mitarbeiter
Synergieeffekte zu Datenschutz
als kostenreduzierende Win-Win-Kombination, denn entsprechendes KnowHow vorausgesetzt, kann der Informationssicherheitsbeauftragte auch Datenschutz mit abdecken, möglich als Kombination als externer Datenschutzbeauftragter (eDSB)
Versicherung
durch eine Berufshaftpflichtversicherung.

Die Anmeldung zu unserem Newsletter findet sich hier

Irrtümer und Änderungen vorbehalten; Angebote der DresPleier GmbH sind stets freibleibend und unverbindlich und werden erst durch die schriftliche Bestätigung (auch per Mail) für die DresPleier GmbH verbindlich.