Chief Information Security Officer - Chief information security officer

Ein Chief Information Security Officer ( CISO ) ist die leitende Führungskraft innerhalb einer Organisation, die für die Einrichtung und Aufrechterhaltung der Unternehmensvision, -strategie und des Programms verantwortlich ist, um sicherzustellen, dass Informationsressourcen und Technologien angemessen geschützt werden. Der CISO leitet die Mitarbeiter bei der Identifizierung, Entwicklung, Implementierung und Aufrechterhaltung von Prozessen im gesamten Unternehmen an, um die Risiken der Informations- und Informationstechnologie (IT) zu reduzieren. Sie reagieren auf Vorfälle, legen geeignete Standards und Kontrollen fest, verwalten Sicherheitstechnologien und leiten die Einrichtung und Umsetzung von Richtlinien und Verfahren. Der CISO ist in der Regel auch für die informationsbezogene Compliance verantwortlich (zB überwacht die Implementierung, um eine ISO/IEC 27001- Zertifizierung für ein Unternehmen oder einen Teil davon zu erreichen). Der CISO ist auch für den Schutz firmeneigener Informationen und Vermögenswerte verantwortlich, einschließlich der Daten von Kunden und Verbrauchern. CISO arbeitet mit anderen Führungskräften zusammen, um sicherzustellen, dass das Unternehmen auf verantwortungsvolle und ethische Weise wächst.

Typischerweise erreicht der Einfluss des CISO die gesamte Organisation. Die Verantwortlichkeiten können umfassen, sind aber nicht beschränkt auf:

• Computer-Notfallteam /Computer-Sicherheitsvorfall-Reaktionsteam
• Internet-Sicherheit
• Disaster Recovery und Business Continuity Management
• Identitäts- und Zugriffsverwaltung
• Datenschutz
• Informationen die Einhaltung gesetzlicher Vorschriften (zB US - PCI DSS , FISMA , GLBA , HIPAA , UK Data Protection Act 1998 , Kanada PIPEDA , Europa BIPR )
• Informationsrisikomanagement
• Informationssicherheit und Informationssicherung
• Informationssicherheitsbetriebszentrum (ISOC)
• Informationstechnologiekontrollen für Finanz- und andere Systeme
• IT-Untersuchungen, digitale Forensik , eDiscovery

Einen CISO oder eine gleichwertige Funktion in Organisationen zu haben, ist in Unternehmen, Behörden und gemeinnützigen Organisationen zur Standardpraxis geworden. 2009 hatten etwa 85 % der großen Unternehmen einen Sicherheitsbeauftragten, gegenüber 56 % im Jahr 2008 und 43 % im Jahr 2006. Im Jahr 2018 wurde der Global State of Information Security Survey 2018 (GSISS), eine gemeinsame Umfrage von CIO, CSO , und PwC, kamen zu dem Schluss, dass 85 % der Unternehmen einen CISO oder einen gleichwertigen Mitarbeiter haben. Die Rolle des CISO hat sich erweitert und umfasst Risiken in Geschäftsprozessen , Informationssicherheit, Kundendatenschutz und mehr. Als Folge davon gibt es nun den Trend, die CISO-Funktion nicht mehr innerhalb der IT-Gruppe zu verankern. Im Jahr 2019 berichten nur 24 % der CISOs an einen Chief Information Officer (CIO), während 40 % direkt an einen Chief Executive Officer (CEO) berichten und 27 % den CEO umgehen und an den Vorstand berichten. Eine Einbettung der CISO-Funktion in die Berichtsstruktur des CIOs wird als suboptimal angesehen, da Interessenkonflikte möglich sind und die Verantwortlichkeiten der Rolle über die Verantwortlichkeiten der IT-Gruppe hinausgehen.

In Unternehmen geht der Trend dahin, dass CISOs ein starkes Gleichgewicht zwischen Geschäftssinn und Technologiewissen haben. CISOs sind oft sehr gefragt und die Vergütung ist vergleichbar mit anderen C-Level-Positionen, die ebenfalls einen ähnlichen Unternehmenstitel haben .

Ein typischer CISO verfügt über nicht-technische Zertifizierungen (wie CISSP und CISM ), obwohl ein CISO mit einem technischen Hintergrund über erweiterte technische Fähigkeiten verfügt. Andere typische Schulungen umfassen Projektmanagement zur Verwaltung des Informationssicherheitsprogramms, Finanzmanagement (z. B. Besitz eines akkreditierten MBA) zur Verwaltung von Infosec-Budgets und Soft-Skills zur Leitung heterogener Teams von Informationssicherheitsmanagern, Direktoren für Informationssicherheit, Sicherheitsanalysten, Sicherheitsingenieuren und Technologierisikomanager. Angesichts der Einbeziehung von CISO in Datenschutzangelegenheiten sind Zertifizierungen wie CIPP in letzter Zeit stark nachgefragt.

Eine neuere Entwicklung in diesem Bereich ist das Aufkommen von „virtuellen“ CISOs (vCISO, auch „Fractional CISO“ genannt). Diese CISOs arbeiten auf geteilter oder fraktionierter Basis für Organisationen, die möglicherweise nicht groß genug sind, um einen Vollzeit-CISO zu unterstützen, oder die aus verschiedenen Gründen eine spezialisierte externe Führungskraft mit dieser Rolle beauftragen möchten. vCISOs erfüllen in der Regel ähnliche Funktionen wie traditionelle CISOs und können auch als "Interims"-CISOs fungieren, während ein Unternehmen, das normalerweise einen traditionellen CISO beschäftigt, nach einem Ersatz sucht. Zu den wichtigsten Bereichen, die vCISOs ein Unternehmen unterstützen können, gehören:

• Beratung zu allen Formen von Cyber-Risiken und Pläne zu deren Bewältigung
• Coaching von Vorstands-, Management- und Sicherheitsteams
• Bewertung und Auswahl von Anbieterprodukten und -dienstleistungen
• Reifegradmodellierungsoperationen und Engineering-Teamprozesse, -fähigkeiten und -fähigkeiten
• Briefings und Updates des Vorstands und des Managementteams
• Planung und Überprüfung des Betriebs- und Kapitalbudgets

Siehe auch

• Informationssicherheit
  • Informationssicherheits-Governance
  • Informationssicherheitsmanagement
• Der Aufsichtsrat
• Chief Data Officer
• Geschäftsführer
• Chief Information Officer
• Chief Risk Officer
• Oberster Sicherheitschef

Verweise

Externe Links

• "Die CERT-Abteilung" . Carnegie Mellon University Software Engineering Institute . Abgerufen 2021-08-17 .
• Vogel, Brad (2020-04-21). "Was ist ein Chief Information Security Officer?" . Büro des CISO . Abgerufen 2021-08-17 .
• "Management von Informationssicherheitsrisiken: Organisation, Mission und Informationssystemansicht" . NIST . März 2011 . Abgerufen 2021-08-17 .