Cyber Security, kein Tag vergeht ohne dass mindestens die ICT-Fachpresse, immer öfter und inzwischen fast wöchentlich auch die Tagespresse über "Cyber Angriffe, Cyber Terroristen, Cyber Security" sprechen. Was ist dieses "Cyber" denn genau und inwiefern unterscheidet sich "Cyber Security" von den bestens bekannten Begriffen "ICT-Security" und "Information Security"? NIST – das amerikanische "National Institute of Standards and Technology" definiert Cyber-Security als Fähigkeit, sich vor Attacken aus dem Cyberspace zu schützen. Cyberspace wiederum wird als Domäne vernetzter Infrastrukturen definiert – inklusiv Internet, Telekommunikationsnetzwerke, Computersysteme und eingebettete Prozessoren und Sensoren.
Etwas generalisiert kann gesagt werden, dass "Cyberspace" gleichbedeutend ist mit "Internet", inklusiv dem sogenannten "Internet of Things – IoT", wo bisher Security leider wenig Beachtung fand. Warum scheint der Begriff "Cyber Security" einen solchen Hype zu erfahren, wo es doch jahrelang kaum möglich war, bei der breiten Bevölkerung – und vor allem beim Management im Unternehmen – das Interesse für Information-Security zu wecken? Ich weiss es auch nicht. Ich habe mich aber inzwischen an den Begriff "Cyber" gewöhnt und ihn als Ersatz für "ICT-Security" akzeptiert. Die Erwähnung von Cyber-Security in den Medien hilft zudem, dass die Leitungsfunktionen in Unternehmen auf Security aufmerksam werden.
ISACA hat den Trend zu «Cyber» früh erkannt und entsprechende Inhalte und inzwischen auch mehrere Zertifizierungen in diesem Bereich entwickelt. Die Inhaltsstruktur orientiert sich dabei stark am NIST "Framework for Improving Critical Infrastructure Cybersecurity", das vereinfacht dargestellt, folgende Kernbereiche ausführt:
Wie man unschwer erkennen kann, sind die detaillierten Ebenen mit bestens bekannten Inhalten aus bestehenden Standards und Frameworks befüllt.
ISACA bietet zu "Cyber Security" unter dem Programm "Cyber Security Nexus", abgekürzt "CSX", unter anderem verschiedene Stufen von CSX-Zertifizierungen an.
Bei der Zertifizierung verfolgt ISACA mit CSX einen neuen Ansatz – statt der bekannten Multiple-Choice-Examen (für die Zertifizierungen als CISA, CISM, CRISC oder CGEIT) sind die CSX-Examen als praktische, computer-basierte Prüfungen ausgelegt – der Fokus liegt bei diesen Prüfungen somit auf der praktischen Anwendung der Cyber Security Skills. Wie bei den bestehenden Zertifizierungen müssen auch die CSX-Zertifikate jährlich mit "Erfahrungspunkten", sogenannten "continuing professional education CPE", nachgewiesen und alle 3 Jahre erneuert werden. Dabei ist, ebenfalls als neues Element, notwendig, die jeweilige computer-basierte Prüfung nach 3 Jahren vollständig zu wiederholen, um zu belegen, dass man über die aktuellsten Fähigkeiten zu Cyber Security verfügt.
Portal mit Links zu Zertifizierungen, Publikationen und Konferenzen:
http://www.isaca.org/cyber/Pages/default.aspxInformation zu den verschiedenen CSX Zertifizierungen:
https://cybersecurity.isaca.org/ Im ISACA Newsletter stellt Ihnen Martin Andenmatten als ISACA Ausbildungspartner die Angebote im Bereich Cyber Security vor.
Für Fragen rund um ISACA Zertifizierungen stehe ich Ihnen gern zur Verfügung:
certifications@isaca.ch