Mehrwert für alle Nutzen von Berufs-Zertifikaten für Mitarbeiter und Unternehmen

Ordnungsmerkmale

erschienen in: <kes> 2006#3, Seite 30

Rubrik: Management und Wissen

Schlagwort: ISi-Aus- und -Weiterbildung

Schlagwort-2: Berufszertifikate

Zusammenfassung: Zertifizierte Mitarbeiter bringen mehr in Sachen Informationssicherheit, und zwar allen. Unsere Autorin, selbst mehrfach zertifiziert, liefert ein deutliches Plädoyer für Berufszertifikate und empfiehlt Unternehmen solche Qualifikationsnachweise zu fordern und zu unterstützen.

Autor: Von Caroline Neufert, Berlin

Der Erwerb eines Berufszertifikats in der Informationssicherheit fördert nicht nur die individuelle Karriere, sondern hat auch handfeste Vorteile für das Unternehmen des Zertifizierten. Denn bei der erfolgreichen Implementierung einer Sicherheitsstrategie kommt es nicht zuletzt darauf an, das Thema Sicherheit glaubwürdig und nachhaltig nach innen und außen zu vertreten – ein international anerkanntes Zertifikat kann das erleichtern.

Obwohl heute kaum jemand ernstlich bestreitet, dass Informations- und IT-Sicherheit einen Erfolgsfaktor für Unternehmen darstellt, wird in vielen Unternehmen Sicherheit noch so betrieben, als ob es sich dabei um ein rein technisches Problem handelt: eine Company-ID-Card als Lösung für die Zutrittskontrolle, Zeiterfassung und Bezahlvorgänge hier, eine Infrastruktur für Single-Sign-on bei ERP-Systemen oder Web-Portalen dort. Das sind zwar notwendige Voraussetzungen für ein Mehr an Sicherheit im Unternehmen. Doch wer kann bei rein technischer Betrachtung sagen, ob sich damit zum Beispiel ein "Return on Security Investment" einstellt, ob die Lösung zur Geschäftsstrategie des Unternehmens passt und welche Risiken für die Geschäftsprozesse mit der Implementierung dieser Technik verbunden sind?

Früher hieß es über den Beruf des IT-Sicherheitsbeauftragten: Wer gut ist, fällt nicht auf. Erst wenn etwas schief läuft, steht man im Rampenlicht. Aber das hat sich geändert! Das Bewusstsein für Sicherheit in den Unternehmen und besonders in den Chefetagen ist gestiegen. Das zeigt die tägliche Praxis in den Unternehmen und das zeigen auch aktuelle Studien. Das Problem dabei ist nur, dass es an der Umsetzung noch erheblich hapert. Denn auch wenn das Verständnis für die Wichtigkeit von Informationssicherheit bei der Unternehmensführung vorhanden ist – die notwendigen Budgets dafür sind es oft nicht. Das liegt bisweilen auch daran, dass den für Sicherheit Verantwortlichen der strategische Überblick fehlt und sie deshalb nicht angemessen für die Budgets kämpfen können oder schlicht nicht bis zur Chefetage vordringen.

Um diese Lücke zwischen operativer Umsetzung und strategischer Begründung zu überbrücken, braucht es auf Seiten der IT-Sicherheitsbeauftragten mehr als nur technische Kenntnisse und Erfahrungen. Es kommt auch auf betriebswirtschaftliches Denken und das richtige "Standing" an. Erst wenn Informationssicherheit angemessen auf der Ebene der Geschäftsführung oder des Vorstands präsentiert wird, besteht die Möglichkeit, sie strategisch zu begreifen und entsprechend umzusetzen. Dabei kann dem Sicherheitsbeauftragten ein Berufszertifikat helfen, sich die Basis für Themen wie Governance und Compliance sowie eine gewisse strategische Kompetenz zu verschaffen und damit beim Management mehr Gehör zu finden.

Nach einer Umfrage des International Information Systems Security Certification Consortium (ISC)² gehen 86 % der zertifizierten Befragten davon aus, dass ihr Zertifikat ein wichtiger Pluspunkt in ihrer Karriereentwicklung war. Auch die Arbeitgeber sehen diese Vorteile und fangen an, eine Zertifizierung von ihren Mitarbeitern zu fordern – eine entsprechende Förderung sollte naturgemäß damit einhergehen. Wichtige Vorteile aus Sicht der Industrie sind im Folgenden aufgeführt.

Wissen

Wer einen zertifizierten Security-Professional einstellt, kann sicher sein, dass das notwendige Wissen vorhanden ist und laufend aufgefrischt wird. Denn wer sich nicht kontinuierlich weiterbildet, verliert bei den international anerkannten Zertifizierungsorganisationen die Berechtigung, das Zertifikat zu tragen.

Verhaltenskodex

Informationssicherheit ist auch eine Frage der persönlichen Integrität. Wer zum Beispiel ein Zertifikat der (ISC)² erwirbt, muss einen ethischen Kodex unterschreiben, zu dem er sich bedingungslos bekennt. Auch wenn das keine Garantie für ein Unternehmen ist, an ein "schwarzes Schaf" zu geraten, macht diese Vorbedingung die Frage der persönlichen Integrität zumindest zu einem wichtigen Thema, mit dem sich der Mitarbeiter nachweislich beschäftigt hat.

Globale Standards

Über den eigenen Tellerrand zu schauen, ist eine Voraussetzung für erfolgreiche Sicherheitsstrategien. Wer nicht die gesamten globalen Vernetzungen (und hier ist nicht das technische Netzwerk gemeint) eines Unternehmens überblickt, dessen Sicherheitskonzeption wird Stückwerk bleiben. Deshalb ist es wichtig, dass eine Zertifizierungsorganisation sich nicht nur auf die Kenntnis der in einem Land gültigen gesetzlichen Anforderungen und Standards beruft, sondern auch auf international anerkannte Best Practices.

Verhandlungssicherheit

Bei der Umsetzung einer globalen Sicherheitsstrategie kommt es auf die Auswahl und die Unterstützung von weltweit agierenden Technologieanbietern und Beratungshäusern an. Sicherheitsexperten mit international anerkanntem Zertifikat werden sich aufgrund ihrer Kompetenz leichter tun im Umgang mit spezialisierten Anbietern von Sicherheitslösungen und im Sinne des Unternehmens besser mit ihnen verhandeln sowie sie besser führen können.

Sicherheitskultur

Ein IT-Sicherheitsbeauftragter kann nur erfolgreich arbeiten, wenn er intern sehr gut vernetzt ist. Denn bei der erfolgreichen Implementierung von Sicherheits-Policies und -Richtlinien in einem Unternehmen kommt es darauf an, dass das Thema glaubwürdig und nachhaltig bei allen "Stakeholdern" vertreten wird. In der Tat zeigt eine Studie der (ISC)², dass die Aufgaben des Sicherheitsbeauftragten typischerweise einen der höchsten Verflechtungsgrade innerhalb einer Organisation mit sich bringen. Eine Zertifizierung schafft hier von Anfang an eine hohe Glaubwürdigkeit im Unternehmen, eine stärkere Durchdringung des Themas in der Organisation und damit ein Stück mehr Sicherheitskultur.

Community

Der durch die Zertifizierung ihrer Mitarbeiter mögliche Zugang zu einer internationalen Community von Sicherheitsexperten bietet Unternehmen einen zusätzlichen Wissensvorsprung. Diskussion über Sicherheitstrends in der Zertifizierten-Gemeinschaft und die geforderte kontinuierliche Weiterbildung hilft sicherzustellen, dass immer aktuelles Wissen zu Sicherheitsfragen im Unternehmen vorhanden ist.

Informationssicherheit muss ganz oben in der Unternehmensleitung beginnen: mit einer klaren Definition der Anforderungen im Rahmen der Geschäftsstrategie und der gesetzlichen und regulatorischen Bestimmungen. Vor allem braucht es aber nicht nur eine Person, sondern auch eine Persönlichkeit, die für Sicherheit im gesamten Unternehmen verantwortlich zeichnet. Eine Zertifizierung kann nicht die Qualifikationsmerkmale Berufserfahrung und Persönlichkeit eines Sicherheitsbeauftragten ersetzen, aber sie ist ein guter Anhalt dafür, dass Sicherheitsfragen verantwortlich und nach internationalen Standards behandelt und gelöst werden können.

Im Vergleich zu einem umfassenden Ansatz, der Informationssicherheit in die Geschäftsstrategie integriert und sich an einer Risikominimierung orientiert, sind Unternehmen, die Sicherheit nur als eine technische Notwendigkeit betrachten, deutlich im Nachteil. Deshalb wird die Nachfrage nach qualifizierten Fachleuten mit strategischer Kompetenz und guter Reputation weiter steigen. Unternehmen, die in der Reihe der Sicherheitsexperten mit einem internationalen Berufszertifikat suchen, haben gute Chancen hier geeignete Kandidaten zu finden.

Caroline Neufert leitet das Competence Center Security (CCS) der Unternehmensberatung BearingPoint in Berlin – sie ist zertifiziert als Certified Information Systems Security Professional (CISSP) und Information Systems Security Management Professional (ISSMP) von (ISC)², zertifizerter BS 7799 Lead Auditor und Certified Information Security Manager (CISM) der ISACA.