In Konzernen liegen die Kompetenzen für Informationssicherheit sowie die zugehörigen Technologien beim Chief Information Security Officer (CISO), der die verschiedenen Beteiligten aus IT, HR, Rechtsabteilung, Fachabteilungen, ggf. Betriebsrat und Geschäftsführung in Bezug auf Informationssicherheit und Datenschutz verbindet. In kleineren Unternehmen wird das Aufgabengebiet meist vom Chief Information Officer (CIO) wahrgenommen. Oft sind die Aufgaben auf mehrere Abteilungen verteilt und daher organisatorisch unzureichend adressiert, so dass sie nicht die notwendige Aufmerksamkeit erhalten. Darüber hinaus lassen sich nur wenige Mitarbeiter am Arbeitsmarkt finden, die eine derartige Position qualifiziert besetzen können.
„Für mittelständische Unternehmen ist es oft nicht wirtschaftlich, diese Rolle durch einen eigenen Mitarbeiter zu adressieren, so dass sie nach unserer Erfahrung immer wieder einzelne Aufgaben punktuell durch den Zukauf von Dienstleistungen abdecken müssen. Diese Vorgehensweise ist aber nicht kosteneffizient, gleichzeitig fehlt einem externen Berater häufig der notwendige Gesamtüberblick. Mit ‚CISO as a Service‘ schaffen wir hier Abhilfe“, erläutert Johann Troppmann, Geschäftsführer der IS4IT Schweiz AG, das neue Angebot.
Der CISO agiert nach Bedarf und deckt die unternehmensspezifischen Anforderungen rund um das Thema Informationssicherheit punktgenau ab. Er übernimmt die Planung, Einführung, Koordination und Kontrolle aller Themen der Informationssicherheit und steuert interne oder externe Ressourcen. Darüber hinaus ist er das „Sprachrohr“ des Kunden nach extern und sorgt in Zusammenarbeit mit externen Partnern und Lieferanten für die reibungslose Umsetzung der Informationssicherheits-Projekte.
Skalierbar nach Bedarf und Unternehmensgrösse
„CISO as a Service“ bietet fundiertes Know-how nach Bedarf für alle Themenbereiche, adressiert alle relevanten Sicherheitsthemen, der Leistungsumfang ist flexibel und skalierbar. Das Aufgabenspektrum ist breit, der CISO koordiniert sämtliche notwendigen Massnahmen in Abstimmung mit dem Top-Management.
Dazu gehören u.a. Security Assessments, die Gewährleistung der Governance, Risk und Compliance (GRC) mit einer klaren Security-Strategie, Aufbau und Pflege von ISMS oder Datenschutz-Management-System, Konzeption und Realisierung von Business-Continuity- und Disaster-Recovery-Massnahmen, Authentisierungs- & Zugriffsmanagement, Prozess- und Technologie-Audits, Unterstützung beim Betrieb einer effizienten Security-Organisation sowie Reporting und Qualitätssicherung der eigenen Leistungen.
„Damit kein Missverständnis entsteht, der CISO setzt diese Massnahmen nicht vollumfänglich selbst um, er sorgt für deren Umsetzung durch kompetente interne und externe Mitarbeiter. Dank Integration ins Unternehmen kennt er aber die Zusammenhänge, besitzt den notwendigen Überblick und kann es ganzheitlich und damit nachhaltig adressieren“, erläutert Troppmann. „Mit ‚CISO as a Service‘ sichern sich die Unternehmen durch unsere erfahrenen Consultants die professionelle Unterstützung auf strategischer und taktischer Ebene, aber auch für das operative Tagesgeschäft.“
Auch für Unternehmen, die einen eigenen CISO intern aufbauen wollen, stellt der „CISO as a Service“ eine sinnvolle Option dar. Der externe CISO verfügt über die notwendige Erfahrung und Fachkompetenz, um Personalabteilung und Top-Management bei der Suche nach einem geeigneten Kandidaten zu unterstützen.
Weiterführende Informationen zum Leistungsspektrum der IS4IT Schweiz im Bereich GRC und Informationssicherheit findet man unter https://www.is4it.ch/...