Die Tageszeitungen sind voller Artikel über Sicherheit, einzelne Beiträge schaffen es sogar in die Tagesschau. Man sollte da eigentlich annehmen dürfen, dass die Botschaft auch bei den Unternehmen angekommen ist – doch fehlt es dort nach wie vor an fachlich ausreichend qualifizierten Mitarbeitern, die sich wirklich um die IT- resp. Informationssicherheit kümmern können.
Sicherheit ist ein vielschichtiges und oft sehr komplexes Thema, bei dem unterschiedlichste Belange gleichzeitig berücksichtigt werden müssten. Diese reichen von Incident Management (siehe Artikel von Andres Maurer) mit teils extrem technischen Komponenten bis zu den «weichen» Faktoren wie Arbeitsplatz-Zufriedenheit, Stress oder dem individuellen Verständnis für ethisch korrektes Verhalten.
Es sollte eigentlich offensichtlich sein, dass Unternehmen sich mit diesem Thema entsprechend professionell auseinandersetzen müssen – was aber auch entsprechend kompetente Mitarbeiter und die passende Aufbau- und Ablauforganisation bedingt. Leider sparen hier viele Unternehmen am falschen Ort und verlassen sich (zu oft) auf externe Fachkräfte, statt ihre eigenen Mitarbeiter an einer der verschiedenen Fachhochschulen und Universitäten ausbilden zu lassen.
Die Lehranstalten mit ihren individuellen Lehrplänen und damit auch die entsprechenden Abschlüsse (typischerweise CAS oder MAS) sind leider nur bedingt vergleichbar. International «normiert» ist hingegen das Berufsbild des «Certified Information Security Manager (CISM)», das einen ausgezeichneten Ruf geniesst und auf 2012 erneut an die aktuellen Bedürfnisse angepasst wurde. Praktisch in der ganzen Welt finden entsprechende (kurze) Vorbereitungstrainings auf die Prüfung statt, so dass an den zwei Mal jährlich durchgeführten Prüfungen jeweils rund 70% die Prüfung bestehen.
Das ISACA Switzerland Chapter führt zwei Mal pro Jahr eine berufsbegleitende Aus- und Weiterbildung für Informationssicherheit durch (13 Kurstage verteilt über 4–5 Monate). Der CISM-Kurs richtet sich an alle Personen, die z.B. dafür verantwortlich sind,
-dass die InformationssicherheitsStrategie ausgerichtet ist auf die Unternehmensziele und übereinstimmt mit den anwendbaren Gesetzen und Richtlinien,
-dass Informations-Risiken identifiziert und gemanagt werden,
-dass ein Informationssicherheitsprogramm definiert und implementiert ist, und
-dass Auswirkungen von Unterbrüchen auf die Geschäftstätigkeit gemäss den Anforderungen minimiert werden.
Der CISM-Kurs richtet sich vor allem an Personen, welche eine Funktion in der Sicherheitsorganisation eines Unternehmens haben und sich vorwiegend mit unterschiedlichsten Risikomanagementfragen und -Frameworks oder mit dem Design, der Implementation, der Überwachung und Wartung von Sicherheitsmassnahmen und anderen Kontrollen beschäftigen: Angesprochen sind also Risikomanager und Sicherheitsbeauftragte innerhalb und ausserhalb der IT, Compliance-Officer, IKS-Verantwortliche, erfahrene Informatikrevisoren, Verantwortliche für IT-Anwendungsentwicklung oder Projektcontroller. Die Informatik ist zwar für die Informationssicherheit von Bedeutung, doch für einen CISM ein Faktor von vielen.
Der CISM-Kurs vermittelt und vertieft theoretisches wie praktisches Fachwissen im breiten Feld von Risikomanagement und Governance der Informationssicherheit, bereitet aber auch intensiv auf die von ISACA organisierte internationale CISM-Prüfung vor.