Mittlerweile ist der IT-Sicherheitsbeauftragte in Organisationen nicht mehr wegzudenken – zum Glück. Allzuoft wird dieser jedoch in Nebenfunktion mit unzureichenden Kompetenzen wahrgenommen.
Der IT-Sicherheitsbeauftragte ist der Experte für Sicherheit in der Informationstechnik einer Organisation. Dieser berät die Organisation(s-Leitung) in allen Belangen zum Schutz der IT-abhängigen Organisations-Prozesse. Eng verknüpft mit der IT-Sicherheit sind immer auch der Datenschutz und das Risiko-Management (hier in Bezug auf IT).
Aufgaben des IT-Sicherheitsbeauftragten
- Erstellen umfassender, systemübergreifender IT-Sicherheitskonzepte auch für komplexe Umgebungen,
- Erarbeitung von Risiko-Analysen für bestehende oder zu planende Systeme,
- Beratung in allen Belangen der IT-Sicherheit,
- Durchführung von Sicherheits-Audits nach vorgegebenen Standards,
- Unterstützung beim Aufbau von IT-Sicherheits-Prozessen bzw. IT-Sicherheits-Zertifizierungen,
- Beratung zum Aufbau von ISMS und DSMS,
- ggf. Datenschutz-Beauftragter nach Artikel 39 DSGVO und § 7 BDSG
- Untersuchen des aktuellen Stands der IT-Sicherheit bzw. des Datenschutzes einer Organisation.
Die Person hinter dem IT-Sicherheitsbeauftragten
Es kommt auf 2 entscheidende Dinge in Bezug auf IT-Sicherheitsbeauftragte an:
- Fachexpertise
- Kompetenzen
Der IT-Sicherheitsbeauftragte einer Organisation braucht Erfahrung und Methoden-Kenntnisse im Bereich der Informationssicherheit. Berufseinsteiger sind für die Position ungeeignet. Ebenso wichtig ist, dass der IT-Sicherheitsbeauftragte über die notwendigen Kompetenzen in der Organisation verfügt. Dieser muss in direkter Kommunikations-Linie zur Organisations-Leitung stehen. Im günstigsten Fall als eigene Stabsstelle analog zum Datenschutz-Beauftragten. Ganz besonders gehört der IT-Sicherheitsbeauftragte nicht in die IT-Abteilung. Auch kommt es auf die Charakter-Eigenschaften des Rollen-Inhabers an. Analystische und kommunikative (diplomatische) Fähigkeiten sind ein Muss.
Folgen für die Organisations-Leitung
Immer mehr Prozesse in Organisationen laufen IT-gestützt ab und hängen nicht selten vollständig von IT ab. Unzureichender Schutz in der IT wirken sich dadurch direkt auf die unterstützen Organisations-Prozesse und indirekt auf den Organisations-Erfolg aus.
Für die Organisations-Leitung bedeutet das sich Gedanken zum Einsatz des IT-Sicherheitsbeauftragten zu machen.
Was ist mir die Sicherheit meines Organisations-Erfolgs wert?
Another post on the topic: Artane
Die Aufgaben-Last für den IT-Sicherheitsbeauftragten ist kritisch zu prüfen. Je abhängiger die Organisations-Prozesse von der IT sind und je komplexer die Organisations-IT ist desto eher ist der IT-Sicherheitsbeauftragte als Vollzeit-Stelle auszuplanen.