Die CISO Alliance hat sich als eines der Ziele gesetzt, die Berufsbilder im Umfeld der Informationssicherheit möglichst klar zu definieren. Dadurch sollen bestehende Unsicherheiten und Abgrenzungsprobleme verschiedener Rollen aufgelöst und sowohl für die Arbeitgeber als auch für potentielle Arbeitnehmer eine klarere Erwartungshaltung auf beiden Seiten erzeugt werden.
Das erste von den Mitgliedern unseres Berufsverbandes verabschiedete Berufsbild ist das des Chief Information Security Officers (CISO). Es wurde am 6. März anläßlich der secIT in Hannover vorgestellt und ist hier verfügbar (Download Berufsbild CISO).
FAQ zum Berufsbild CISO
Frage: Was ist ein CISO?
Antwort: Ein CISO (Chief Information Security Officer) ist eine Führungskraft, die für die Leitung und Koordination der Informationssicherheitsstrategie und -maßnahmen innerhalb einer Organisation verantwortlich ist. Der CISO stellt sicher, dass die Informationssicherheit mit den Geschäftszielen in Einklang steht und dass Risiken angemessen gemanagt werden.
Frage: Welche Qualifikationen sind für einen CISO erforderlich?
Antwort: Ein CISO sollte in der Regel über einen Hochschulabschluss oder eine vergleichbare Ausbildung sowie über einschlägige langjährige Berufserfahrung in Informationssicherheit, Geschäftsprozessen und Management verfügen. Fachliche Zertifizierungen wie CISM, CISSP oder ISO 27001 Implementer sind ebenfalls wichtig.
Frage: Welche persönlichen Kompetenzen sind für einen CISO wichtig?
Antwort: Ein CISO sollte ein hohes Sicherheitsbewusstsein haben, zur Zusammenarbeit bereit sein und ausgezeichnete Kommunikationsfähigkeiten besitzen. Analytische Fähigkeiten, Kreativität, strategische Kompetenz, Durchsetzungsvermögen und die Fähigkeit, in stressigen Situationen Ruhe zu bewahren, sind ebenfalls entscheidend.
Frage: Welche fachlichen Kompetenzen sollte ein CISO mitbringen?
Antwort: Ein CISO benötigt tiefgreifendes Wissen und Erfahrung in den Bereichen Informationssicherheit und IT, einschließlich Kenntnisse über Bedrohungen, Gefahren und Sicherheitslösungen. Er sollte in der Lage sein, Sensibilisierungsmaßnahmen zu gestalten und umzusetzen sowie zwischen verschiedenen Organisationseinheiten zu vermitteln.
Frage: Welche Aufgaben hat ein CISO?
Antwort: Zu den Aufgaben eines CISOs gehören die Entwicklung, Umsetzung und Koordination von Awareness-Maßnahmen zur Informationssicherheit, die fachliche Leitung des Informationssicherheitsteams, die Beratung der Organisation zu Sicherheitsthemen, die Bewertung von Drittanbietern und die Sicherstellung der Einhaltung von Datenschutzvorschriften.
Frage: Kann ein CISO auch andere Rollen innerhalb einer Organisation übernehmen?
Antwort: Ja, es ist möglich und teilweise sinnvoll, dass ein CISO auch andere Rollen übernimmt. Beispielsweise als Datenschutzmanager oder Datenschutzkoordinator oder im Aufgabenbereich der Unternehmensstrategie, jedoch sollte eine Prüfung auf mögliche Interessenkonflikte erfolgen.
Frage: Welche ethischen Richtlinien sollte ein CISO befolgen?
Antwort: Ein CISO sollte sich an berufsethische Standards halten, wie sie beispielsweise im ISC2 Code of Ethics vorgeschlagen werden, um Integrität und professionelles Verhalten zu gewährleisten.
Frage: Gibt es gesetzliche Anforderungen, die die Rolle eines CISO betreffen?
Antwort: Ja, die Rolle des CISO ist teilweise eine Pflichtrolle aus gesetzlicher Anforderung, insbesondere im Rahmen des IT-Sicherheitsgesetz 2.0, der DSGVO, weiterer Datenschutzgesetzgebung sowie nach TKG.
Frage: Wie wird die Rolle des CISO in der Organisation verankert?
Antwort: Der CISO ist in der Regel mindestens fachlich direkt der Geschäftsführung oder dem Vorstand unterstellt und arbeitet eng mit verschiedenen Bereichen zusammen, um die Informationssicherheit auf strategischer und operativer Ebene zu gewährleisten.
Frage: Welche Herausforderungen begegnen einem CISO im Berufsalltag?
Antwort: CISOs stehen vor der Herausforderung, die Balance zwischen Sicherheitsanforderungen und Geschäftszielen zu finden, sich ständig ändernden Bedrohungen anzupassen und eine Kultur der Informationssicherheit in der Organisation zu fördern. Sie müssen auch komplexe technische Informationen für Nicht-Experten verständlich machen und die Organisation bei Sicherheitsvorfällen vertreten.