Der aspectra-Blog seit 2012

Wir brauchen einen Chief Security Officer!

Die Einführung von Compliance und Zertifizierungen nach ISO 27001 bedingen einen Chief Security Officer (CSO). Doch gerade kleinere IT Organisation verfügen selten über genügend Personal-Ressourcen und Budgetmöglichkeiten diese Stelle zu besetzen. Was tun?

Die Aufgaben des CSO

Der Chief Security Officer ist ein wichtiger Bestandteil der Sicherheitsorganisation und steht als Vermittler zwischen Geschäftsleitung, einem allfälligen Sicherheitsausschuss und den Mitarbeitern. Egal in welcher Form der CSO Posten besetzt ist, die Aufgaben bestehen. Im Wesentlichen sind dies:

  • Im Tagesgeschäft Durchsetzung der Informationssicherheitspolitik.
  • Sicherstellen, dass geeignete technische, physikalische und verfahrenstechnische Kontrollen eingeführt sind.
  • Erstellung von Vorgaben, Bereitstellen von Ressourcen, Unterstützung und Überprüfung, dass Informationen angemessen und innerhalb ihres Zuständigkeitsbereichs geschützt sind.
  • Information über von Arbeitnehmern/Lieferanten gemachte Empfehlungen.
  • Information über tatsächliche oder vermutete Verstösse gegen die Richtlinien (Sicherheitsvorfälle).
  • Überprüfung der Einhaltung der Informationssicherheitspolitik und gelegentliche interne Audits.

Mögliche Organisationsformen

Idealerweise ist der CSO eine Person mit Stv. die sich ausschliesslich um obige Belange kümmert. In der Realität lassen sich aber auch andere Modelle praktikabel umsetzen. So kann z.B.  in einem IT Betrieb ein GL-Mitglied die Rolle des CSO innerhalb eines IT-Sicherheitsausschusses haben. Dieser wiederum besteht aus den Teamleitern und den Fachverantwortlichen. Zum Austausch trifft sich diese Gruppe mindestens quartalsweise und geht nach einer standardisierten Agenda vor.

Eine weitere Möglichkeit ist, die CSO-Rolle einem IT-Projektleiter anzuvertrauen. Dieser kennt die Abläufe in IT-Organisationen ebenfalls bestens und kann sowohl die GL wie Mitarbeiter adressatengerecht ansprechen. Es versteht sich von selbst, dass einem solchen Projektleiter die entsprechende Zeit zur Verfügung gestellt wird.

Unabhängigkeit und Ausbildung

Unabhängig von der Organisationsform ist darauf zu achten, dass der CSO keinen Interessen- und IT-Rechtkonflikten unterliegt. D.h. ein CSO darf keinen direkten Zugriff auf Server-Systeme oder Firewall-Konfigurationen haben, sondern nur Review und Auditrechte derselben. Auch sollten die Mitarbeiterziele den CSO keinesfalls dazu verführen, möglichst viele Policies und Kontrollen aufzustellen, da dadurch der Blick aufs Wesentliche verloren geht. Damit ein CSO seine Pflichten jedoch wahrnehmen kann und von der Belegschaft anerkannt wird, ist neben der persönlichen Autorität auch ein fundiertes Fachwissen unabdingbar. Der Besuch entsprechender Veranstaltungen und CSO- bzw. Datensicherheitsbeauftragter-Schulungen stärken nicht nur das Wissen des CSO, es werden auch immer die neusten Entwicklungen und Vorgaben in die eigene IT Organisation getragen.

Suche