IT-Security Awareness Manager

Die technologischen Möglichkeiten bei der Erkennung und Abwehr von Sicherheitsbedrohungen für das Unternehmen reifen stetig. Die Fehlerquelle im Sicherheitsbereich liegt deswegen häufig an anderer Stelle – der Sicherheitsfaktor Mensch bekommt deswegen zunehmende Aufmerksamkeit im IT-Bereich.

Somit braucht es Rollen, die sich dafür verantwortlich fühlen, die Mitarbeitenden einer Organisation für Gefahren und Bedrohungen im IT-Bereich zu sensibilisieren. Dies passiert meist im Rahmen von Schulungen und Weiterbildungen, in denen Mitarbeitenden lernen Bedrohungen zu erkennen und angemessen zu reagieren. Zu den alltäglichen Aufgaben dieser Rolle gehört die Identifizierung und Auswahl des Schulungsmaterials inklusive Konzeption zur Durchführung. Darüber hinaus ist auch die Auswahl zur Unternehmenskultur passender Bewertungsmöglichkeiten wichtig. Auch müssen Möglichkeiten für Menschen in der Organisation geschaffen werden, Risiken leicht und schnell zu melden.

Personen, die diese Rolle besetzen, sollten ein großes Wissen von Cyber Bedrohungen haben und vor allem die Compliance Ziele des Unternehmens verstehen. Manager müssen sowohl technisch versiert sein als auch eine hohe Empathie zu den Mitarbeitenden besitzen und Affinität zum Bereich Lernen und Veränderung haben.

Cyber-Security Manager

Mit einer Rolle im Bereich der Cyber-Security geht das Verantwortungsgebiet über die interne IT hinaus und fokussiert sich vor allem auf die technischen Aspekte der Gefahrenerkennung und Beseitigung von Bedrohungen im Onlinebereich. Hier wird viel geleistet, um Unternehmen vor allem präventiv im Internet abzusichern und vor externen Angriffen zu schützen.

In diesem Prozess übernimmt diese Position die Implementation der technologischen Maßnahmen zur Prävention und Gefahrenbekämpfung. Zu den Aufgaben gehören somit mitunter Zugriffskontrollen, Kryptographie, Rechtemanagement, Firewalls, Proxies, Virenscanner, Schwachstellenmanagement und vieles mehr. Dazu sollte konkretes Wissen über die Bekämpfung von Malware und direkten Angriffen vorhanden sein. Daher ist häufig ein Studium der Informatik eine Grundvoraussetzung.

Der Trend geht dahin, dass unternehmensinterne IT-Systeme immer häufiger mit dem Internet gekoppelt sind, deswegen werden die Bereiche IT-Security und Cyber-Security in Zukunft immer stärker verschmelzen. Nichtsdestoweniger und vielleicht gerade deswegen bleibt der Bereich der Cyber-Security eine bedeutende Rolle, die vor allem technische Aufgaben übernimmt und mit anderen Rollen der IT-Security zusammen für Informationssicherheit sorgt.

IT-Security Governance Manager

Heutzutage muss Datensicherheit ganzheitlich auch in der Steuerung und im Management des Unternehmens verankert sein, um auf allen relevanten Handlungsebenen die IT auf das Unternehmen abzustimmen. Damit dies geschehen und auch so umgesetzt werden kann, gibt es die Position des IT-Security Governance Mangers. Im Bereich Governance ist die zentrale Aufgabe alle wichtigen operativen und strategischen IT-Prozesse mitzuleiten und zu managen, einschließlich der Definition von Standards, Entwicklung von Konzepten und Konsultation mit allen wichtigen internen Interessengruppen. Dabei soll vor allem das Management unterstützt werden, sodass IT-Systeme auf die Menschen im Unternehmen ausgerichtet werden können.

IT-Security Risk & Compliance Manager

Die Aufgabe des IT-Security Risk & Compliance Managers besteht im Organisieren und Verwalten der Prozesse zur Überprüfung der Einhaltung der Informationssicherheit. Dazu gehören die Pflege des Risikoregisters für die Informationssicherheit, Integration von Überwachung, Aggregation und Berichterstattung von Risiken, sowie die Berichterstattung und Nachverfolgung von Ausnahmen, Verbesserungen, Empfehlungen, Nichtkonformitäten und validierte Abhilfemaßnahmen im Bereich Risikomanagement. Und die Einhaltung und Umsetzung der gesetzlichen und firmeninternen Compliance Zielen, die aus Verträgen, Handelsbräuchen, oder einem Code of Conduct hervorgehen. Dabei arbeiten Risk & Compliance Manager immer mit einem ganzheitlichen Blick auf Datenschutz und Informationssicherheit.

Chief Information Security Officer

Immer mehr Unternehmen setzen aufgrund der an Bedeutung gewinnenden IT-Systeme im Unternehmen mittlerweile auf eine CISO Position. Der Chief Information Security Officer ist somit im gesamten Unternehmen für die Einhaltung und Umsetzung der IT-Sicherheit verantwortlich. Dadurch kann Informationssicherheit nicht nur zusammen mit dem Management, sondern vom Management selbst erarbeitet werden. Die Bedeutung von Informationen und Daten wird in der Gesellschaft für die nächsten Jahrzehnte weiterhin steigen und somit auch die Relevanz von IT-Security im Top-Management.

ISMS Lead Auditor

In den letzten Jahren wurde die IT-Infrastruktur zu einem zentralen Element von Organisationen und Unternehmen. Ein Informationssicherheits-Managementsystem (ISMS) hilft dabei die Informationssicherheit im eigenen Unternehmen mit entsprechenden Security-Maßnahmen zu regeln und für externe Verbindungen „fit zu halten“. Für ein zertifiziertes ISMS braucht es einen IT-Auditor, der das eigene Systeme für ein ISO-27001 Zertifikat vorbereiten und alle Anforderungen umsetzen kann.  Zu den wichtigsten Aufgaben eines Lead-Auditors gehören dabei die Planung und Durchführung von Management, Finance und Compliance Audits. Ziel dabei: bestehende Sicherheitsvorkehrungen zu prüfen und Verbesserungspotenzial zu erkennen. Ein ebenso wichtiger Teil ist es anschließend aussagekräftige Berichte zum Audit zu erstellen und festzulegen, wann das ISMS bereit ist für die externe Zertifizierung.