Verantwortung in der Informationssicherheit

Leitfrage: Wer trägt die Gesamtverantwortung für IT- und Informationssicherheit in Ihrem Unternehmen?

Es stellt sich im Unternehmensalltag oft die Frage nach einer Verantwortlichkeit für die IT-Systeme und für die Informationssicherheit. Es stellt sich die Frage, wer ist verantwortlich für die Informationssicherheit. Hier ist eine klare Verantwortung wichtig, denn sollte es keine klare Zuordnung der Verantwortung geben, so wird die lästige Aufgabe der Informationssicherheit oft an andere Mitarbeiter delegiert und sie findet, somit nicht die nötige Wichtigkeit.

Außerdem ist es beispielsweise im Falle eines erfolgreichen Ransomwareangriffes, wichtig klare Verantwortungsstrukturen zu haben. Die Frage wer entscheidet was ist hierbei sehr wichtig zu klären. Im Falle eines Sicherheitsvorfalles ist Zeit oft ein limitierender Faktor. Jede Minute, in der die Produktion eines Unternehmens stillsteht, kostet dem Unternehmen Geld und führt zu hohen Verlusten. Abgesehen von einem Imageschaden, den ein erfolgreicher Ransomwareangriff nach sich zieht.

  • Höhere Bewusstheit bei der Geschäftsleitung über sicherheitsrelevante Aspekte
  • klare Zuständigkeiten in Bezug auf Informations- und Datensicherheit

How To

Bei der Verantwortung über die IT-Systeme und über die Informationssysteme sind sich mehrere Fragen zu stellen:

Die Gesamtverantwortung für die Informationssicherheit sollte immer bei der Geschäftsführung liegen. Sollte es einen Sicherheitsvorfall geben, entscheidet diese, wie weiter verfahren werden soll.

In bestimmten größeren Unternehmen gibt es ebenfalls die Rolle des CISOs. Ein CISO ist der Chief Information Security Officer, dieser ist für die Daten- und Informationssicherheit im Unternehmen zuständig.

Er unterrichtet die Geschäftsführung über mögliche Sicherheitsrisiken und über aktuelle Bedrohungen. Dies sollte in regelmäßigen Abständen erfolgen, damit die Geschäftsführung immer auf dem neusten Stand ist und das Thema Sicherheit regelmäßig bei der Geschäftsleitung Anklang findet. Des Weiteren sollte er in alle sicherheitsrelevanten Entscheidungen eingebunden werden.

In kleineren Unternehmen, in denen es keine CISO gibt, muss die Geschäftsführung die volle Verantwortung für die IT-Systeme übernehmen.

Natürlich muss der CISO oder die Geschäftsführung kein tiefgreifendes Verständnis für die IT-Systeme haben.

Es sollten die Risiken und Bedrohungen für das Unternehmen und die IT-Systeme erkannt werden und entsprechende Gegen- und Schutzmaßnahmen getroffen werden. Hierbei steht der CISO oder die Geschäftsführung im engen Austausch mit der IT-Abteilung und der IT-Security Abteilung, da diese das nötige technische Know-how besitzen, um Sicherheitsmaßnahmen umzusetzen.

Die Geschäftsführung oder der CISO ist damit beauftragt, das ISMS zu pflegen und zu managen. Dieses System dient dazu, die Informations- und Datensicherheit in einem Unternehmen zu gewährleisten.

 

Quellen

Marktplatz IT-Sicherheit Skip to content