Der IT-Sicherheitsbeauftragte – Experte für Sicherheit

Posted onAutorTobiasSchreib einen Kommentar

Der IT-Sicherheitsberater - Experte für Sicherheit
Image by Gerd Alt­mann from Pixabay

Mitt­ler­wei­le ist der IT-Sicher­heits­be­auf­trag­te in Orga­ni­sa­tio­nen nicht mehr weg­zu­den­ken – zum Glück. All­zu­oft wird die­ser jedoch in Neben­funk­ti­on mit unzu­rei­chen­den Kom­pe­ten­zen wahrgenommen.

Der IT-Sicher­heits­be­auf­trag­te ist der Exper­te für Sicher­heit in der Infor­ma­ti­ons­tech­nik einer Orga­ni­sa­ti­on. Die­ser berät die Organisation(s‑Leitung) in allen Belan­gen zum Schutz der IT-abhän­gi­gen Orga­ni­sa­ti­ons-Pro­zes­se. Eng ver­knüpft mit der IT-Sicher­heit sind immer auch der Daten­schutz und das Risi­ko-Manage­ment (hier in Bezug auf IT).

Aufgaben des IT-Sicherheitsbeauftragten

  • Erstel­len umfas­sen­der, sys­tem­über­grei­fen­der IT-Sicher­heits­kon­zep­te auch für kom­ple­xe Umgebungen,
  • Erar­bei­tung von Risi­ko-Ana­ly­sen für bestehen­de oder zu pla­nen­de Systeme,
  • Bera­tung in allen Belan­gen der IT-Sicherheit,
  • Durch­füh­rung von Sicher­heits-Audits nach vor­ge­ge­be­nen Standards,
  • Unter­stüt­zung beim Auf­bau von IT-Sicher­heits-Pro­zes­sen bzw. IT-Sicherheits-Zertifizierungen,
  • Bera­tung zum Auf­bau von ISMS und DSMS,
  • ggf. Daten­schutz-Beauf­trag­ter nach Arti­kel 39 DSGVO und § 7 BDSG
  • Unter­su­chen des aktu­el­len Stands der IT-Sicher­heit bzw. des Daten­schut­zes einer Organisation.

Die Person hinter dem IT-Sicherheitsbeauftragten

Es kommt auf 2 ent­schei­den­de Din­ge in Bezug auf IT-Sicher­heits­be­auf­trag­te an:

  1. Fach­ex­per­ti­se
  2. Kom­pe­ten­zen

Der IT-Sicher­heits­be­auf­trag­te einer Orga­ni­sa­ti­on braucht Erfah­rung und Metho­den-Kennt­nis­se im Bereich der Infor­ma­ti­ons­si­cher­heit. Berufs­ein­stei­ger sind für die Posi­ti­on unge­eig­net. Eben­so wich­tig ist, dass der IT-Sicher­heits­be­auf­trag­te über die not­wen­di­gen Kom­pe­ten­zen in der Orga­ni­sa­ti­on ver­fügt. Die­ser muss in direk­ter Kom­mu­ni­ka­ti­ons-Linie zur Orga­ni­sa­ti­ons-Lei­tung ste­hen. Im güns­tigs­ten Fall als eige­ne Stabs­stel­le ana­log zum Daten­schutz-Beauf­trag­ten. Ganz beson­ders gehört der IT-Sicher­heits­be­auf­trag­te nicht in die IT-Abtei­lung. Auch kommt es auf die Cha­rak­ter-Eigen­schaf­ten des Rol­len-Inha­bers an. Ana­lys­ti­sche und kom­mu­ni­ka­ti­ve (diplo­ma­ti­sche) Fähig­kei­ten sind ein Muss.

Folgen für die Organisations-Leitung

Immer mehr Pro­zes­se in Orga­ni­sa­tio­nen lau­fen IT-gestützt ab und hän­gen nicht sel­ten voll­stän­dig von IT ab. Unzu­rei­chen­der Schutz in der IT wir­ken sich dadurch direkt auf die unter­stüt­zen Orga­ni­sa­ti­ons-Pro­zes­se und indi­rekt auf den Orga­ni­sa­ti­ons-Erfolg aus.
Für die Orga­ni­sa­ti­ons-Lei­tung bedeu­tet das sich Gedan­ken zum Ein­satz des IT-Sicher­heits­be­auf­trag­ten zu machen.

Was ist mir die Sicher­heit mei­nes Orga­ni­sa­ti­ons-Erfolgs wert?

Ano­t­her post on the topic: Arta­ne

Die Auf­ga­ben-Last für den IT-Sicher­heits­be­auf­trag­ten ist kri­tisch zu prü­fen. Je abhän­gi­ger die Orga­ni­sa­ti­ons-Pro­zes­se von der IT sind und je kom­ple­xer die Orga­ni­sa­ti­ons-IT ist des­to eher ist der IT-Sicher­heits­be­auf­trag­te als Voll­zeit-Stel­le auszuplanen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert