ISO27001 Foundation – Der zwingende Fachausweis für IT-Mitarbeiter

Ohne Ausbildung in Cybersecurity sollten es in Zukunft keine Zugriff auf IT-Systeme mehr erlaubt werden. Das grösste Cybersecurity-Risiko für Unternehmen sind ihre eigenen ungeschulten und auf die Gefahren unvorbereiteten Mitarbeitenden. Darum sollen auch möglichst alle Mitarbeitenden und insbesondere die oberste Geschäftsführung in ein Security-Awareness-Programm eingebunden werden. Sicherheit muss zur Chefsache erklärt werden. Cybersecurity-Schulungen wie beispielsweise eine ISO27001 Foundation, sind, ganz ohne Zweifel, für den Erfolg eines jeden modernen Arbeitsplatzes unerlässlich.

Oftmals schliessen jedoch die IT-Mitarbeitenden selbst diese Art von Ausbildung für sich aus, weil so ein Training für einen IT-Fachspezialisten in der IT dann doch als zu trivial betrachtet wird. Eine vertiefte Ausbildung in welcher die notwendigen Massnahmen zum Schutz von Daten und Systemen vermittelt wird, bleibt den Security-Officers vorbehalten. Es genügt aber nicht, wenn der CISO der einzige ausgebildete Security-Fachspezialist in der IT-Organisation ist. Heute ist es unerlässlich, dass alle IT-Mitarbeitenden, welche in der Planung, Entwicklung, Umsetzung und Betrieb von IT-Systemen und Cloud-Services beteiligt sind, eine fundierte Informations-Sicherheits-Ausbildung durchlaufen. Wie beim Autofahren eine Fahrprüfung und ein Nothelferkurs vorausgesetzt wird, müssten heute alle Mitarbeitenden eine solche Grundausbildung vorweisen, bevor ihnen der Zugriff auf Konfigurationen von Infrastrukturen und Applikationen gewährt werden dürfte.

Lies dazu unseren Fachbeitrag in der Netzwoche «Ohne Ausbildung in Cybersecurity kein Zugriff auf IT-Systeme»

Zu diesen Grundausbildungen für IT-Mitarbeiter gehört heute ein ganzheitliches Verständnis, wie Informationssicherheit ganzheitlich gewährleistet werden soll. Dies wird am besten im Rahmen eines ISO27001-Foundation Trainings vermittelt. Umfasst dieses doch auch eine umfassende Übersicht aller Kontrollen wie:

• Warum eine Informationssicherheitsrichtlinie und Datenklassifizierung, und was wird damit zum Ausdruck gebracht?
• Wie sieht die Organisation der Informationssicherheit im Unternehmen aus und wo ist der CISO positioniert?
• Wie stellt man bereits im HR die Weichen zur Erhöhung der Personalsicherheit?
• Wieso ist es wichtig, die Assets des Unternehmen zu kennen und deren Risiken bei Schaden zu identifizieren?
• Wie wird professionell der die Identitäten und Autorisierungen der Benutzer und deren Zugriffe auf Daten und Systeme gewährleistet?
• Wie wird der Schutz der Webseiten, Kommunikation und Daten durch Kryptographie und Zertifikaten gewährleistet?
• Was ist bei der physischen und umgebungsbezogene Sicherheit zu berücksichtigen?
• Wie gewährleiste ich die Betriebssicherheit, auch in einem dynamischen Umfeld?
• Was ist bei der Kommunikationssicherheit zu beachten und wie stelle ich sicher, dass nur berechtigte Daten und Informationen transformiert werden?
• Wie erstelle ich sichere Services und Produkte im Lifecycle von Anschaffung, Entwicklung und Instandhalten?
• Wie gestalte ich die sicheren Lieferantenbeziehungen und gewährleiste eine klare Verantwortlichkeit über den gesamten Supply-Chain?
• Wie handhaben wir Informationssicherheitsvorfälle und stellen sicher, dass die notwendigen Lehren daraus gezogen werden?
• Welche Informationssicherheitsaspekte sind beim Business Continuity Management zusätzlich zu berücksichtigen?
• Wie stellen wir die Compliance und damit die Einhaltung von rechtlichen und vertraglichen Verpflichtungen sicher?

Darum ist ISO27001 heute der international am stärksten anerkannte Standard und für die meisten Unternehmen eine zwingende Voraussetzung, um mit Partnern und Kunden vertrauensvoll Geschäftsbeziehungen aufzubauen. Gerade IT-Mitarbeiter, welche an der Gestaltung und dem Betrieb von Informations-Technologien involviert sind, ist eine ganzheitliche Betrachtung, wie dies mit ISO27001 Foundation ermöglicht wird, eine wichtige Grundlage für einen vertrauensvollen Umgang mit den Informationstechnologien.

ISO27001 Foundation ist für alle IT Mitarbeiter, jedoch nicht zwingend für alle anderen Personen im Unternehmen. Für diese ist ein Cybersecurity Awareness Programm oder idealerweise eine augenöffnende Simulation wie beispielsweise die «Cyber Resilience Simulation: Ocean’s 99» ideal. Bei Ocean’s99 will der Besitzer der Bank of Tokyo eine Ausstellung der drei weltweit bekanntesten Kunstobjekte durchführen: Der “Star von Afrika” – ein riesiger Diamant, das Gemälde “Jewish Bride” – von Rembrandt, sowie einen “Bugatti 59”. Jedes dieser Objekte muss aus der bestehenden Location in das Tokyo Museum transportiert und für vier Monate ausgestellt werden.

Die Herausforderung liegt darin, die Objekte nach Tokyo zu bringen: Pünktlich und sicher, damit die Ausstellung gemäss Planung stattfinden kann. Jeder Tag, der zu spät ausgeliefert wird, kostet viel Geld und schadet dem Image der Bank und des Museums.

Natürlich braucht es auch weitere vertiefte Kenntnisse für Spezialisten, welche sich um das Thema Cybersecurity im Detail kümmern müssen. Folgende Trainings sind gezielt für den Aufbau der notwendigen Skills von Security Fachexperten zu empfehlen:

• CSX Cybersecurity Fundamentals: Grundlagenkurs, der die Grundzüge einer Cybersecurity Architektur erläutert und wie sie im Unternehmen eingesetzt wird.
• ISO/IEC 27001 Practitioner – Information Security Officer: Dieses Training vermittelt ein tiefgehendes Verständnis von Planung, Aufbau, Aufrechterhaltung und Verbesserung eines ISMS auf Basis der ISO/IEC-27000-Reihe und führt zum anerkannten Nachweis als «ISO/IEC 27001 Information Security Officer».
• ISO/IEC 27001 Auditor (intern oder extern): Dieser Lehrgang führt Dich in das effektive Auditing eines Informationssicherheitsmanagementsystems ein.
• Cybersecurity Audit Zertifizierung (ISACA): Dieses Seminar vermittelt das entscheidende Know-how, um Cybersicherheit im Auditplan aufzunehmen, Cyberrisiken zu reduzieren und mildernde Kontrollen einzuführen.
• Implementierung des NIST Cybersecurity Framework mit COBIT® 2019: Unterstützendes Seminar zur Umsetzung des Cybersecurity Frameworks NIST in der Praxis auf Basis von COBIT 2019-Prinzipien und –Prozessen.
• GDPR – Privacy & Data Protection Foundation: Eine vertiefte Übersicht über die neuen EU-Datenschutzbeststimmungen GDPR – General Data Privacy Regulation sowie die Unterschiede zum neuen Schweizer Datenschutzgesetz.
• GDPR – Data Protection Officer: Vertiefte Ausbildung auf Basis des GDPR Foundation Das Data Protection Officer Package deckt alle notwendigen Ausbildungen zum Datenschutzbeauftragten, und zum Data Protection Officer Zertifikat ab.

Unternehmen können es sich heute schlicht nicht mehr leisten, ohne Professionalität in Bezug auf Informations- und Datensicherheit mit den Daten, Informationen und Systemen zu arbeiten. Sprich uns an, wenn Du ein für Dich oder Dein Team gezieltes Ausbildungsprogramm skizzieren möchtest.