Damit Security-Maßnahmen wirken und ein Unternehmen nachhaltig vor digitalen Bedrohungen wie Hacker-Angriffen schützen, ist eine ganzheitliche Security-Strategie erforderlich. Diese zu entwickeln und auf Managementebene sowie organisationsweit durchzusetzen, gehört zum Aufgabenprofil eines Chief Information Security Officer (CISO).
Doch Experten mit diesem Anforderungsprofil zu finden und für sich zu gewinnen, stellt viele Unternehmen vor große Herausforderungen. Der virtuelle CISO (vCISO) etabliert sich hierbei als Alternative.
IT-Grundschutz des BSI, ISO 27001, KRITIS und branchenspezifische Sicherheitsstandards (B3S): Die Anzahl an Security Frameworks und gesetzlichen Vorgaben nimmt im Zuge der Digitalisierung und steigender Cyberangriffe zu. Das schärft das Bewusstsein für die IT-Sicherheit und spielt auch bei der Auswahl geeigneter Geschäftspartner und Dienstleister eine immer größere Rolle. Oftmals wähnen sich Unternehmen mit technischen Security-Maßnahmen wie Firewalls, Zugriffskontrollen oder VPN-Tunneln in Sicherheit. Doch erst mit Einbettung dieser Maßnahmen in ein organisationsweites IT-Security-Konzept erhöhen sie ihre IT-Sicherheit nachhaltig.
Security nicht nur Sache der IT-Abteilung
Sicherheit strategisch aufzusetzen und zu steuern, ist eine anspruchsvolle Aufgabe, die sowohl Konzerne als auch mittelständische Unternehmen herausfordern kann. Das überrascht nicht: Denn die Steuerung und Überwachung der IT-Sicherheit erfordert personelle und finanzielle Ressourcen. Es gilt, den Überblick über Frameworks, Methoden und Lösungen zu behalten und den steigenden Anforderungen eines dynamischen Marktes gewachsen zu sein.
Doch nicht nur der Mangel an Ressourcen erschwert es, die IT-Sicherheit neben dem Kerngeschäft strategisch im Unternehmen aufzusetzen und zu verankern. Oftmals wird diese Aufgabe auch nur in den Verantwortungsbereich der IT-Abteilungen übertragen. Ein ganzheitlicher Blick auf die Security geht jedoch weit über die technische Umsetzung und Administration von IT-Maßnahmen hinaus. Für einen strategischen Managementansatz braucht es einen Verantwortlichen auf Entscheider-Ebene, der Sicherheit konzeptionell denkt und als Bindeglied zwischen Management und IT-Abteilung fungiert. Das leistet ein Chief Information Security Officer (CISO).
Herausforderung Ressourcenmangel
Beschließt eine Organisation, sich einen CISO ins Haus zu holen, tut sich ein weiteres Problem auf: Die Nachfrage nach und das Ringen um qualifizierte und erfahrene Fachkräfte ist hoch, die Suche nach einem geeigneten Kandidaten meist langwierig. Daher gewinnt der Service eines virtuellen CISO zunehmend an Bedeutung.
Virtueller CISO – was steckt dahinter?
Hinter einem virtuellen CISO (vCISO) steckt ein Experte oder ein ganzes Team, das Unternehmen dabei hilft, ein umfassendes Sicherheitskonzept zu entwerfen, geplante Security-Maßnahmen umzusetzen und kontinuierlich zu verbessern. Das Team bündelt dabei eine Vielzahl von Kompetenzen und Expertisen aus unterschiedlichen Bereichen: Strategie und Konzeption, technisches Know-how und auch fundierte Kenntnisse der einzelnen gesetzlich vorgegebenen Security Frameworks, wie zum Beispiel die Zertifizierung nach ISO 27001 oder der IT-Grundschutz des BSI.
Umfassendes Aufgabenfeld
Das Aufgabenspektrum ist breit gefächert: Organisationen, die bereits über einen internen CISO verfügen, suchen oft nach einem Sparringspartner, der Impulse von außen gibt und durch Beratung unterstützt. Andere stehen noch ganz am Anfang und benötigen einen Experten, der ein vollumfängliches Security-Konzept aufsetzt. Die Aufgaben orientieren sich also stark an den jeweiligen Bedürfnissen und unternehmensindividuellen Anforderungen. Zentrale Tätigkeiten umfassen unter anderem:
- Ganzheitliche Beratung: von Konzeptionierung bis zu konkreten Handlungsempfehlungen.
- Entwicklung eines Informationssicherheitskonzeptes orientiert an gängigen Sicherheitsstandards.
- Ausrollen der Security-Strategie unternehmensweit und bei Bedarf auch auf internationaler Ebene.
- Begleitung der technischen Umsetzung von Security-Maßnahmen.
- Erstellung von Dokumentationen, die beispielsweise auch für ein Audit erforderlich sind.
- Beratung und Unterstützung des unternehmenseigenen CISO, den Vorstand für das Security-Thema zu sensibilisieren und seine Mitwirkung zu erreichen.
- Sparringspartner und Training des internen CISO.
- Erhöhung der Awareness für IT-Sicherheit durch Schulungen der Mitarbeiter.
Es gehört auf die Agenda jedes Unternehmens, IT-Sicherheit systematisch zu betrachten, auf Managementebene anzusiedeln und eine ganzheitliche Strategie zu entwickeln. Als Berater und Sparringspartner bringt der virtuelle CISO die dafür notwendige Expertise – strategisch und technisch – und seine Markterfahrung mit. Er unterstützt Organisationen bedarfsorientiert. Für Unternehmen heißt das, mehr Flexibilität, höhere Effizienz und freie Ressourcen für das Kerngeschäft.
Security Roadmap
Der vCISO begleitet Unternehmen auf dem gesamten Weg hin zum ganzheitlichen Security-Konzept:
- Um zu ermitteln, wie eine Organisation in puncto Security aufgestellt ist, empfiehlt es sich, eine Bestandsaufnahme mit darauf aufsetzender Risikoanalyse durchzuführen: Die Ausgangslage lässt sich beispielsweise durch einen Security Quick Check einschätzen. Wo liegen Schwachstellen? Welche Sicherheitsmaßnahmen wurden bereits ergriffen? Welche gesetzlichen Anforderungen müssen berücksichtigt werden?
- Im nächsten Schritt sollte die Ausarbeitung von organisationsweiten Sicherheitsrichtlinien erfolgen, um das Unternehmen nachhaltig zu schützen.
- Darin sind konkrete Handlungsempfehlungen und Maßnahmen einzubetten, um die in der Risikoanalyse aufgedeckten Sicherheitslücken zu schließen.
- Security ist ein laufender Prozess: Der vCISO überprüft und optimiert Sicherheitskonzepte und -maßnahmen kontinuierlich.
Auf der it-sa in Nürnberg, 25.-27. Oktober 2022, informiert Damovo, international agierender ICT-Dienstleister und Systemintegrator, über den Service des vCISO und berät in allen Fragen rund um das Thema Security: Halle 7A, Stand A-418 (Cisco-Stand).