Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

Was sind die Kompetenzen eines Informationssicherheitsbeauftragten? Die Aufgaben des Informationssicherheitsbeauftragten sind sehr unterschiedlich. Sie liegen im Bereich der Verzahnung von IT-Strategie, IT- Governance und des Informationssicherheits- und Informationsrisikomanagement. Das Wichtige dabei ist, dass die Aufgabenfelder möglichst genau und in Rücksprache mit der Unternehmensleitung auf deren Interessen und Ziele im Bereich der Informationssicherheit ausgerichtet sind.

Mit dem Zertifizierungs-Lehrgang Informationssicherheitsbeauftragter erlangst du die Kenntnisse zur Durchführung folgender Aufgabenbereiche:

#1 Ein Unternehmen und dessen Strukturen aus einer neuen Perspektive betrachten

#2 Empfehlungen zugunsten Informationssicherheit aussprechen

#3 Unterstützung und Beratung von Geschäftsleitung und Mitarbeitern

#4 Minderung des Risikos von Schadensereignissen und Störungen

 

Programm – Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

Tag 1

  • Aufgaben des Informationssicherheits-Beauftragten
  • Risikoanalyse zur Feststellung des IT-Schutzbedarfs
  • Laufende Überwachungspflichten des Informations-Sicherheitsbeauftragten

 

Tag 2

  • Agile Techniken für eine moderne Datenschutz-Compliance
  • IT-Governance: Risikoanalyse zur Feststellung des IT-Schutzbedarfs
  • Pflichten im Datenschutz

 

Tag 3

 

Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

Seminartag 1 – Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

Aufgaben des Informationssicherheits-Beauftragten – Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

  • Aufgabenspektrum im Überblick: Verzahnung von IT-Strategie, IT- Governance, Informationssicherheits- und Informationsrisikomanagement
  • Effiziente Kommunikation und Schnittstellenmanagement mit Auslagerungs-, Datenschutz- und Compliance-Beauftragten
  • Diese „rote Linien“ musst du kennen: Mindestanforderungen aus BAIT, VAIT, DIN EN ISO 2700x und BSI-Grundschutz prüfungsfest umsetzen
  • Einführung der Informationssicherheits-Leitlinie mit Richtlinien und Prozessen zur Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung
  • Aufbau eines prüfungssicheren Management-Reportings

 

Risikoanalyse zur Feststellung des IT-Schutzbedarfs

  • Risikoanalyse im Informationsmanagement
  • Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien:
    •  Einschätzung des Schutzbedarfs mit Blick auf die Ziele Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität
    • Maßstäbe für die Erstellung des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen
    • Steuerungs- und Kontrolltätigkeiten und deren Durchführung

 

Laufende Überwachungspflichten des Informationssicherheits-Beauftragten

  • Neue Vorgaben an das Monitoring, die Kontroll- und Berichtspflichten
  • Fokus auf Agilität stellt hohe Anforderungen an das Benutzer-Berechtigungsmanagement
  • Ad hoc Berichterstattung zu wesentlichen IT-Projekten und IT-Projektrisiken an die Geschäftsführung:
    • Abbildung von wesentlichen Projektrisiken im Risikomanagement
    • Neue Vorgaben an Kontroll- und Berichtspflichten des IT-Dienstleisters und des Auslagerungsbeauftragten
    • Festlegen von angemessenen Prozessen zur IT- Anwendungsentwicklung
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen prüfungssicher abgrenzen
  • Datensicherungskonzept des ISB versus Löschkonzept des DSB

 

Seminartag 2 – Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

Agile Techniken für eine moderne Datenschutz-Compliance – Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

  • Betrieblicher Datenschutzbeauftragter: Aufgaben, Pflichten und Rechte
  • Agile Methoden für Datenschutz Officer
    •  Agiles Auditing
    • Agile Maßnahmenplanung im Datenschutz-Management
    • Agile Ergebniskommunikation
  • Top vorbereitet für
    • Aufsichtsprüfungen der Behörden
    • Home-Office und Beschäftigtendatenschutz
    • sicherer Umgang mit Videokonferenzen
    • Datenschutz im Internet: Einsatz von Tracking-Tools
  • Auslagerung oder Fremdbezug? Richtige Bewertung von Software und IT-Dienstleistungen:
    • IT-Compliance im Überblick: Verzahnung von IT-Strategie, IT- Governance, Informationssicherheits- und Informationsrisikomanagement
    • Prüfungsschwerpunkt IT-Compliance: IT-Strategie, IT-Umfeld und ITOrganisation im Fokus der neuen MaRisk, MaGO, KAMaRisk und BCBS 239

 

IT-Governance: Risikoanalyse zur Feststellung des IT-Schutzbedarfs

  • Risikoanalyse im Informationsmanagement
  • Durchführung der qualitativ verschärften IT-Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
  • Einschätzung des Schutzbedarfs mit Blick auf Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität
  • Neue BaFin-Anforderungen an Cloud-Computing: Strategie, Risikoanalyse und Wesentlichkeitsbewertung
  • Informationssicherheits-Management: Erstellung des Sollmaßnahmenkatalogs und Ableiten der risikoreduzierenden Maßnahmen

 

Pflichten im Datenschutz: Schnittstellen zwischen Compliance, Informationssicherheit, Geldwäscheprävention und Datenschutz aktiv steuern

  • Module eines wirksamen Datenschutzsystems: Schnittstellenmanagement zu
    • Verarbeitungsverzeichnis Art. 30 EU-DSGVO
    • Datenschutz-Folgenabschätzung Art. 35 EU-DSGVO
    • Löschkonzept Art. 17 EU-DSGVO und DIN-Norm 66398
  • Sicherer Umgang mit selbst entwickelten IT-Anwendungen, Zugriffsrechten, ITAbnahmen sowie Veränderungen im IT- System
  • Effiziente Kommunikation zu Auslagerungs-, Datenschutz-, Geldwäsche- und Informationssicherheits-Beauftragter
    • Kontrollplan Compliance – Die wichtigsten Überwachungs- und Kontrollhandlungen
    • Compliance-Anforderungen an Kontroll- und Reportingpflichten im IT-Bereich

 

Seminartag 3 – Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

Solide Governance Regelungen als Basis für das Auslagerungsmanagement – Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

  • Verschärfte Anforderungen an die Risikobewertung von Auslagerungsvereinbarungen:
    • Welche Auslagerungen sind zwingend als kritisch/ wesentlich einzustufen?
    •  Operationelle Risiken und Reputationsrisiken
    •  Bewertung des Step-in-Risikos
    •  Unternehmens- und sektorspezifische Konzentrationsrisiken
    •  Kontroll- und/ oder Interessenskonflikte
  • Bewertung von Vertragsgestaltung, Leistungskontrollen und organisatorischer Vorgaben:
    • MaRisk-Protokoll 03/2018: Neue Präzisierung von Zustimmungsvorbehalten und weitreichenden Informationsrechte
    • Neue Vorgaben an Kontroll- und Berichtspflichten bei Dienstleistern und Auslagerungsbeauftragten
    • Optimierung der Kennzahlen zur Risiko- und Performance-Messung (KPIs)
  • Auslagerungscontrolling in der Gruppe: Was ist zu beachten?

 

Schnittstelle Auslagerungsbeauftragter und Informationssicherheitsbeauftragter

  • EBA-Leitfaden Outsourcing: Erweiterte Anforderungen an das Outsourcing
    • Was sind sonstige institutstypische Dienstleistungen?
    • BAIT-Anforderungen an die Individuelle Datenverarbeitung
    • Verschärfte Auflagen bei Auslagerungen in Drittstaaten
  • BAIT Tz 53: Risikobewertung bei IT-Fremdbezug:
    • Ermittlung des IT-Schutzbedarfs und Festlegen eines Sollmaßnahmenkatalogs
    • EBA Leitlinie IKT: 5 Kategorien für schwerwiegende IKT-Risiken
  • Aufsichtliche Anforderungen an die IT Governance:
    • Ist die Auslagerung Datenschutz-compliant?
    • Schnittstellen zwischen Auslagerungsbeauftragten, ISB und DSB prüfungssicher festlegen

 

Pre-Outsourcing Analyse nach MaRisk AT 9 und EBA-Leitlinien

  • Mindestanforderungen an die Due Diligence Prüfung eines künftigen Dienstleisters:
    • Durchführung der qualitativ verschärften Risikoanalyse auf Basis einheitlicher Scoring-Kriterien
    • Wann muss zwingend eine Einstufung als kritische / wesentliche Auslagerung verfolgen?
    • Einschätzung von Risikogehalt und Risikokonzentration bei Auslagerungen mehrerer Aktivitäten an einen Dienstleist
  • IKS-Controlling mit ISB, Datenschutz, BCM und Notfallkonzept:
    • Maßstäbe für Steuerungs- und Kontrolltätigkeiten und deren Durchführung
    • Prüfungssichere Bewertung von Ausstiegsstrategien und Notfallplänen
    • Definition einer maximalen Schlechtleistung eines externen Dienstleisters
    • Überwachung der Leistungserbringung

 

Das könnte dich auch interessieren….

Im Bundeslagebild Cyber Crime beschreibt das BKA neun Säulen mit den Cyber Crime identifiziert werden kann.

 

#1 Foren und Jabber-Server

Repräsentieren digitale Plätze zum Austausch von Kontakten und Diensteanbietern und fungieren somit als „Gelbe Seiten“ für Cyberkriminelle.

Hierdurch finden Anbieter und Bedarfsträger zusammen. Es handelt sich um das „Eintrittstor“ in die Underground Economy.

 

#2 Bulletproofhosting & Proxyprovider

Auf Täterseite werden zur Tatbegehung oftmals inkriminierte, „robuste“ Infrastrukturen benötigt; die selbst bei missbräuchlicher Nutzung eine längere Zeit online bleiben und nicht direkt durch den Provider abgeschaltet werden können.

Für derartige Dienstleistungen werden spezielle inkriminierte Provider genutzt. Außerdem gehören Proxy- bzw. VPN-Provider zur Basisausstattung und verschleiern die IP-Adressen der kriminellen Nutzer.

 

#3 Marktplätze, Shops und Automated Vending Carts (AVC)

Für viele Cyberstraftaten benötigen Täter kompromittierte Zugangsdaten. Diese erhalten sie über zentralisierte und weitestgehend automatisierte Vertriebsplattformen sog. Marktplätze.

Diese stellen einen großen Anteil strafrechtlich relevanter Inhalte im Darknet dar. Sie sind ähnlich aufgebaut wie kommerzielle E-Commerce Plattformen (Amazon, ebay etc.).

 

#4 Malwareentwicklung & Coding

Die bedarfsorientierte Entwicklung von Schadsoftware richtet sich nach den spezifischen Anforderungen des Bedarfsträgers und dem Entwicklungsaufwand. Zudem spielen auch die Preisvorstellungen des Auftraggebers eine Rolle.

Simple Malware ist bereits für 5.000 Euro erhältlich.

 

#5 Malware Crypting & Obfuscation

Crypting beschreibt den Prozess des Überarbeitens und Verschlüsselns des maliziösen Codes, welcher nicht mehr durch den Entwickler selbst, sondern durch einen sog. „Crypter“, also einen spezialisierten Dienstleister, vorgenommen wird.

Dieses Abhärten bzw. Verbessern einer Malware dient oftmals der Steigerung der Malware-Tarnfähigkeit (sog. Obfuskation).

 

#6 Counter-Antivirus-Services (CAV)

Beschreibt den Service der Malware- Prüfung, um festzustellen, ob diese durch gängige Anti-Viren-Programme erkannt werden könnte.

Der Service kann je nach Bedarf „abonniert“ werden und dem Kunden z. B. täglich Auskunft über die Effektivität der verwendeten Malware und deren Verschleierung geben.

 

#7 Malware Delivery & Infection on Demand & PPI

Das Ausrollen und Installieren der Schadsoftware stellt einen weiteren wichtigen Schritt in der Verwertungskette dar.

Die Kosten der Distribution orientieren sich an der Art der zu verbreitenden Malware sowie der Dauer der in Anspruch genommenen Leistung: Die Streuung der Malware erfolgt z. B. via Malspam, Phishing oder Drive-By-Infection.

 

#8 Drops, Mules & Cashout

Inkriminierte Zahlungen müssen auf Konten geleitet und an Geldautomaten in bar abgehoben werden.

Diese Säule fasst die aus Tätersicht mit Abstand risikoreichsten Aktivitäten zusammen, da hier in aller Regel ein Erscheinen des Täters oder der durch ihn beauftragen Läufer (sog. Runner/Drops) in der realen Welt erforderlich ist.

Die Entgelte orientieren sich i. d. R. prozentual an den Umsätzen / dem Wert der Transaktion.

 

#9 Exchanger Die digitale Geldwäsche

Die „Exchanger“ bestreiten die „letzte Meile“ zum (kriminellen) Kunden und sorgen dafür, dass die beim Cyberkriminellen in einer Währung seiner Wahl eingegangenen Finanzmittel keiner konkreten Straftat mehr zugeordnet werden können.

 

Die Teilnehmer haben neben Zertifizierter Informationssicherheitsbeauftragter (S+P) auch folgende Online Schulungen und E-Learnings gebucht:

Seminar Informationssicherheitsbeauftragter

E-Learning IT-Compliance

E-Learning Informationssicherheit

Online Schulung IT-Compliance Manager

Online Schulung Zertifizierter Datenschutzbeauftragter (S+P)

Seminar-Termine für Online Schulungen

Was sind die Kompetenzen eines Informationssicherheitsbeauftragten?

Kontakt

Newsletter