CISO – nur eine sinnlose Jobbezeichnung? - IT

CISO – nur eine sinnlose
Jobbezeichnung?
Prof. Dr. Thomas Jäschke
Vorstellung - Ihr Referent
Prof. Dr. Thomas Jäschke
• Professor für Wirtschaftsinformatik an der FOM Hochschule für
Oekonomie & Management GmbH
• Vorstand der DATATREE AG und externer Datenschutzbeauftragter
für Unternehmen
• mehr als 20 Jahren Expertise in Datenschutz und Datensicherheit
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 2
Vorstellung - Unternehmen
DATATREE AG
• Gründung in 2011
• Sitz in Düsseldorf
• bundesweit tätig, mit Schwerpunkt in NRW
• Beratung von Unternehmen und öffentlichen Stellen
– bei der Einführung von Datenschutzkonzepten und ITSicherheitsleitlinien
– bei der Umsetzung konkreter Maßnahmen und Dienstvereinbarungen
im Bereich Datenschutz und IT-Sicherheit
– bei der Sicherstellung durch entsprechende Kontrollmechanismen
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 3
Überblick – Themen des heutigen Vortrages
Einführung in die rechtlichen Grundlagen
Das neue IT-Sicherheitsgesetz
Informationssicherheit ist Chefsache
CISO – Aufgaben und Verantwortlichkeiten
Datenschutzbeauftragter und CISO in Personalunion
Praktische Hinweise für die erfolgreiche Einführung
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 4
Einführung in die rechtlichen Grundlagen
Compliance
Compliance
• Einhaltung von Regeln, Gesetzen und Vorschriften
• IT-Compliance ist ein Teilbereich der Compliance auf der
Gesamtunternehmensebene
Die vier Perspektiven der IT-Compliance
•
•
•
•
Verhalten
Zustand
Managementsystem
Institution
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 5
Einführung in die rechtlichen Grundlagen
Rechtliche Vorgaben
Rechtliche Vorgaben der IT-Compliance
(Auszug)
• Bundesdatenschutzgesetz (BDSG)
• Telekommunikationsgesetz (TKG)
• Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler
Unterlagen (GDPdU)
• Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
(KonTraG)
• Entwurf eines Gesetzes zur Erhöhung der Sicherheit
informationstechnischer Systeme (IT-Sicherheitsgesetz)
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 6
Das neue IT-Sicherheitsgesetz
Grundlagen
Was soll das IT-Sicherheitsgesetz regeln?
1. IT-Sicherheit “kritischer Infrastrukturen”
2. Einzuhaltende Mindeststandards für IT-Sicherheit
3. Neue Meldepflichten von IT-Betreibern zu sicherheitsrelevanten
Vorfällen
4. BSI bekommt die neue Aufgabe einer Meldestelle bei
Sicherheitsvorfällen
5. Provider müssen Sicherheit „nach Stand der Technik” anbieten
6. Neue Warnpflichten der Provider, falls ihnen Missbrauch auffällt
7. Bundeskriminalamt soll für Cyberdelikte zuständig werden
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 7
Das neue IT-Sicherheitsgesetz
KRITIS
KRITIS-Sektoren
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 8
Informationssicherheit ist Chefsache
IS Definition
Informationssicherheit ist…
Aufrechterhaltung der Vertraulichkeit, Integrität und Verfügbarkeit
von Informationen¹
• Sie beinhaltet IT-Sicherheit als
Leistungsdomäne
• Berücksichtigt zusätzlich weitere
Themen, z.B.:
– Strategie, Compliance, Prozesse
– Techn. und org. Maßnahmen
• Fokus auf Schutzbedarf
Informationssicherheit
IT- Sicherheit
¹(ISO/IEC 27001)
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 9
Informationssicherheit ist Chefsache
Ausgangslage
Problemstellungen:
•
•
•
•
•
•
Deutsche Unternehmen im Fokus von Cyber-Kriminellen
Informationssicherheit oft ein Lippenbekenntnis
Reduktion von Informationssicherheit auf IT-Sicherheit
Rudimentäre Ausrichtung an Unternehmenszielen und -strategie
Historische Aufteilung von Verantwortlichkeiten
Keine gemeinsame, unternehmensübergreifende Strategie –
Zielsetzung
• Stetig steigende Compliance-Anforderungen
• Fehlendes Budget
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 10
Informationssicherheit ist Chefsache
Lösungsansatz
Strategische Ausrichtung
• Integration Top-Level Management (CISO)
• Ausrichtung an Unternehmenszielen und -strategie
• Anpassung von Firmenkultur und -philosophie
Organisatorische und betriebliche Maßnahmen
• Verfahrens- und Arbeitsanweisungen
• Sicherheitsbewusstsein schaffen – Awareness
• Betriebsprozesse standardisieren, dokumentieren
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 11
Chief Information Security Officer
Aufgaben und Verantwortlichkeiten
Der Chief Information Security Officer (CISO) ist zuständig für die
Wahrnehmung aller Belange der Informationssicherheit innerhalb
der Unternehmung.
Aufgaben: (Auszug)
• den Informationssicherheitsprozess zu steuern
• Umsetzung der Sicherheitsziele
• Regelungen zur Informationssicherheit zu erlassen
(Notfallplan, Sicherheitskonzept, usw.)
• sicherheitsrelevante Projekte zu koordinieren
• Kontrollinstanz der IT-Sicherheit
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 12
Chief Information Security Officer
Einordnung
Aufbauorganisation
• der Berichtsweg findet direkt
zum Chief Executive Officer (CEO) statt
• CISO kann als Stabsstelle eingerichtet werden
CEO
• der CISO ist nicht dem CIO unterstellt
• IT-Security ist eine Untermenge der
Aufgaben eines CISO
CISO
• Sicherung und Risikomanagement aller
Informationswerte (Assets) eines
Unternehmens sind die Aufgaben des CISO
DATATREE AG | 22.04.2015
CIO
CISO – nur eine sinnlose Jobbezeichnung? | 13
DSB und CISO in Personalunion
Schnittmenge TOMs
Datenschutz
Datensicherheit
Geschützt:
natürliche Personen
§ 9 BDSG
und Anlage
Gefahr:
Verletzung von
Persönlichkeitsrechten
DATATREE AG | 22.04.2015
Geschützt:
Hard-/Software,
Daten
Gefahr:
Verlust, Zerstörung,
Missbrauch
CISO – nur eine sinnlose Jobbezeichnung? | 14
DSB und CISO in Personalunion
Synergien nutzen
Gemeinsame Kompetenzen für Datenschutz und
Informationssicherheit
• beiden Rollen schließen sich nicht aus
• Aspekte der Personalunion:
– Schnittstellen zwischen den beiden Rollen sollten klar definiert
und dokumentiert werden
– konfliktträchtige Themen ggf. noch nachrichtlich an die Revision
weiterleiten
– ausreichend Ressourcen für die Wahrnehmung beider Rollen
• Erfüllungsgehilfen
• qualifizierter Vertreter
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 15
Praktische Hinweise für die erfolgreiche
Einführung
Zusammenfassung
 Stetig steigender Sicherheitsbedarf
 Sicherheitsmanagement in der Aufbauorganisation
realisieren
 Klare Aufgabenbeschreibung (CIO, CISO und DSB)
 Synergien nutzen -> CISO u. DSB
• Sicherheitsbewusstsein muss gestärkt werden
– Firmenkultur und -philosophie
• Position in der Hierarchie und Verantwortlichkeiten
• Zusammenarbeit mit anderen Abteilungen und Weisungsbefugnisse
• Berichtswege an Geschäftsführung
• Intern oder extern besetzen?
DATATREE AG | 22.04.2015
CISO – nur eine sinnlose Jobbezeichnung? | 16
Vielen Dank für
Ihre
Aufmerksamkeit!
Bei Rückfragen stehen wir Ihnen gerne zur Verfügung:
DATATREE AG
Heubesstraße 10
40597 Düsseldorf
Tel. (0211) 598 947 20 | Fax (0211) 598 947 29
[email protected] | www.datatree.eu

Download Report