11. IT-Trends Sicherheit 2015 Mittwoch, 22. April 2015 Themenbereich: Für Entscheider Titel des Vortrages CISO – nur eine sinnlose Jobbezeichnung? Wie die Position eines CISO echten Mehrwert in Ihrem Unternehmen schaffen kann Referent: Prof. Dr. Thomas Jäschke Nutzen für den Fachbesucher Angesichts rapide zunehmender Hacker-Attacken und gesetzlichen Erfordernissen stellt sich für immer mehr Unternehmen die Frage, wie sinnvoll die Einführung eines institutionalisierten IT-Sicherheitsmanagement und damit auch die Schaffung der Position eines IT-Sicherheitsbeauftragten (CISO) sind. Vor diesem Hintergrund erhalten die Besucher ausführliches Know-how darüber: was ein CISO überhaupt ist und was sein Aufgabengebiet umfasst. warum die Einführung eines CISO sinnvoll ist und nicht als reiner Zeit- und Kostenfaktor betrachtet werden sollte. welche Anforderungen an einen CISO gestellt und wer diese Rolle(n) am besten übernehmen kann. wie ein CISO in der Unternehmenshierarchie eingegliedert wird und welche Interessenskonflikte entstehen können. Ziel des Vortrags ist es, Unternehmen eine Entscheidungshilfe an die Hand zu geben, wann die Berufung eines CISO sinnvoll ist und welcher Weg für das individuelle Unternehmen der geeignetste ist. Abstract Neues Jahr – neues Gesetz: kurz vor Weihnachten meldeten vor allem die Fachmedien, dass das Bundeskabinett den Gesetzesentwurf „zur Erhöhung der Sicherheit informationstechnischer Systeme“ – auch IT-Sicherheitsgesetz genannt beschlossen hat. Für viele Unternehmen bedeutet das neue Gesetz, dass sie ein Mindestniveau an IT-Sicherheit einhalten, dieses durch Sicherheitsaudits nachweisen und Meldeverfahren für Sicherheitsvorfälle einführen müssen. Bereits jetzt sind sie verpflichtet bei der Einführung neuer Technologien und Verfahren die Kompatibilität mit dem Bundesdatenschutzgesetz, dem Telemediengesetz u.a. prüfen. Angesichts dieser Erfordernisse stellt sich für Unternehmen die Frage, ob es Sinn macht, eigene Positionen zu schaffen. Das Bundesamt für Sicherheit in der Informationstechnologie (BSI) empfiehlt die Ernennung eines Informationssicherheitsbeauftragten/(Chief) Information Security Officer (nachfolgend CISO genannt) – mit der Beschließung des ITDatatree AG, Heubesstraße 10, 40597 Düsseldorf, T: 0211 / 598 947 20, www.datatree.eu Sicherheitsgesetzes könnte dies auch schnell obligatorisch werden. Die Berufung eines Datenschutzbeauftragten (DSB) ist sogar gesetzlich vorgeschrieben. Der geplante Vortrag soll vor allem dazu dienen, Unternehmensleitungen und IT Abteilungen darüber aufzuklären, warum und wann es Sinn macht, IT-Sicherheit im Unternehmen zu institutionalisieren. Weiter soll erörtert werden, welche gesetzlichen, technischen und ökonomischen Maßnahmen zur Einführung eines Informationssicherheitsmanagements erforderlich sind. Weiterhin gibt der Vortrag interessierten Unternehmen eine Entscheidungshilfe an die Hand, welcher Weg für das individuelle Unternehmen der geeignetste ist. In einem ersten Schritt definiert der Referent das Profil des Informationssicherheitsbeauftragten/CISO sowie sein Aufgabengebiet. Genannt werden hier vor allem die einschlägigen Definitionen aus dem Grundschutzkatalog des BSI sowie weitere Standards (z.B. ITIL), die je nach Unternehmen eine praktikablere Lösung darstellen. Die formalen wie persönlichen Voraussetzungen, die ein CISO erfüllen sollte werden erörtert, wie die Institutionen, die eine entsprechende Aus- oder Weiterbildung anbieten. Angesichts der berechtigten Überlegung, ob denn nicht auch der Datenschutzbeauftragte die Aufgaben des CISO übernehmen kann, werden in der Folge auch dessen Aufgaben und Obliegenheiten genannt. Denn beim Datenschutz handelt es sich um das (verfassungsmäßige) Recht jedes einzelnen Bürgers auf Schutz der Privatsphäre vor missbräuchlicher Datenverarbeitung („Recht auf informationelle Selbstbestimmung“). Datensicherheit hingegen ist der Schutz der Daten, in diesem Fall auch Firmendaten, Patente etc. vor Missbrauch, unberechtigter Einsicht oder Verwendung durch entsprechende Maßnahmen Dies bedeutet einen Unterschied nicht nur im Aufgabenbereich, sondern auch unterschiedliche Interessen: Während ein Informationssicherheitsbeauftragter z.B. im Falle von (privater) Internetnutzung von Mitarbeitern möglichst viel protokollieren möchte, um ex-post Missbrauch nachweisen zu können, ist es im Interesse des Datenschutzbeauftragten, dass möglichst wenig Daten von Betroffenen gespeichert werden. Bei „Bring-Your-Own-Device“-Lösungen hingegen werden sich DSB und CISO einig sein und eventuell gegen Mitarbeiter und auch Unternehmensführungen angehen, die dies für eine praktikable und günstige Lösung halten. In diesem Zusammenhang werden auch die Vorteile, aber auch das Konfliktpotenzial erläutert, wenn Datenschutz-beauftragten und CISO in einer Personalunion beauftragt werden. Diese Interessenskonflikte werden ebenso Teil des Vortrages sein wie die Einordnung des CISOs in die Unternehmenshierarchie, seine Weisungsbefugnisse und Berichtswege und die praktische Zusammenarbeit mit anderen Abteilungen des Unternehmens, Betriebsrat, Dienstleistern und Kunden. Der Vortrag schließt seine Agenda, in welchen Schritten ein Unternehmen die Position eines CISO schaffen und ein professionelles Informationssicherheitsmanagement im Unternehmen einführen sollte. Datatree AG, Heubesstraße 10, 40597 Düsseldorf, T: 0211 / 598 947 20, www.datatree.eu
© Copyright 2024 ExpyDoc
