To Top
Infraforce Logo
Ich möchte einen Information Security Officer ausbilden oder einsetzen

Es wird immer offensichtlicher, dass das Thema „Sicherheit“ zu einem immer stärkeren Kernthema im IT Umfeld avanciert. Aufgrund der immer komplexeren Angriffe, der Tatsache, dass es immer häufiger ganze Hacking-Kampagnen gestreut werden und nicht zuletzt auch deswegen, weil diese Angriffe immer häufiger erfolgreich sind, sind IT Abteilungen, die mit dem Thema „Sicherheit“ betraut werden, immer häufiger überfordert.

Generell bedeutet die Bewältigung von Tagesgeschäft, dass Sicherheit allenfalls ein Annex-Thema ist. Dabei liegt Informationssicherheit in besonderem Interesse der Geschäftsführung, die persönlich für Verfehlungen in diesem Umfeld haftet.

Hat eine Organisation sich erst einmal entschieden, einen Information Security Officer einzusetzen bedeutet das regelmäßig auch, dass umstrukturiert werden muss. Sicherheit wird ab jetzt als ein neuer Layer in alle relevanten Entscheidungen miteinbezogen.

Das bedeutet ein Umdenken und zwangsläufig auch erhebliches Konfliktpotential.

Hinzu kommt noch, dass die Interessen der IT Abteilung generell den Anforderungen eines Information Security Officers widersprechen. Die IT Abteilung möchte möglichst rund um die Uhr Services anbieten und tut daher alles, was in Richtung „Verfügbarkeit“ geht. Der Information Security Officer allerdings ist bestrebt, Services nur dann zur Verfügung zu stellen, wenn sie wirklich sicher sind und schränkt Dienste lieber zugunsten von Sicherheitsanforderungen ein oder lässt sie erst gar nicht zu.

Die Infraforce berät Unternehmen im Hinblick auf diese Prozesse. Generell empfiehlt sich oft, einen Interims-Information Security Officer einzusetzen und als Teil dieses Prozesses die neue Rolle zu definieren und später intern zu besetzen.