Hallo zusammen,
wie erwähnt, soll es in diesem Artikel um meine eigentliche Tätigkeit in der Informationssicherheit der VW FS gehen.
Im Zuge meiner Übernahme wurde ich als Systemanalytiker eingestellt, übe jedoch die Tätigkeiten eines Information Security Officers aus. Wie der Name vermuten lässt, kümmere ich mich dabei in meiner täglichen Arbeit mit meinen Kollegen um die Informationssicherheit der VW FS AG. Im Rahmen dieser Tätigkeit sorge ich dabei, neben der Überprüfung der Einhaltung von Informationssicherheitsanforderungen in internen Projekten, für die Pflege des internen Informationssicherheitsmanagementsystems (ISMS) auf Basis der ISO 27001 und der fortlaufenden Zertifizierung dieses Systems.
Innerhalb der VW FS AG werden IT-Systeme und Applikationen als solche zumeist durch Projekte erweitert oder verändert, bzw. ausgetauscht, sollte es zu veränderten Anforderungen oder Neuerungen kommen. Um innerhalb dieser Projekte der Informationssicherheit Rechnung zu tragen, wurden verschiedene grundlegende Anforderungen definiert, welche durch die Projekte im Rahmen ihrer Tätigkeiten umgesetzt werden müssen. Um die Projekte hierbei zu unterstützen, und Informationssicherheit direkt von Anfang an in die Änderungstätigkeiten einfließen zu lassen, stehe ich mit den Kollegen im Kontakt, um Fragen zu beantworten oder Hindernisse aus dem Weg zu räumen. Anpassungen dieser Anforderungen im Hinblick auf das generell dynamische Angriffsumfeld von Finanzdienstleistern, müssen dabei konsequent durchgeführt werden, um die Maßnahmen effektiv zu definieren.
Wie bereits erwähnt gehört es zu meinen Tätigkeiten, bei der Zertifizierung des VW FS AG internen ISMS zu unterstützen. Um einen globalen Ansatz bei der Sicherstellung von Informationssicherheit zu verfolgen, hat die VW FS AG, wie viele andere große Unternehmen, ein Informationssicherheitsmanagementsystem implementiert, welches auf Basis der ISO 27001 gestaltet wurde. Dieses System hilft einem Unternehmen dabei, Informationssicherheit dauerhaft zu steuern, zu implementieren und fortlaufend zu verbessern. Dafür umfasst es Verfahren, Regelungen und Werkzeuge, die der Informationssicherheit dienen. Besonders im Wettbewerb mit anderen Dienstleistern, ist eine Zertifizierung dieses Systems mittlerweile ein wichtiger Baustein, um bei Kunden Vertrauen in die interne Informationssicherheit herzustellen. Um eine solche Zertifizierung zu erreichen, müssen die internen Regelungen und Verfahren im regelmäßigen Rhythmus von externen Prüfgesellschaften überprüft und kontrolliert werden. In dieser Tätigkeit unterstütze ich ebenfalls, wie auch bei der generellen Definition von Richtlinien und Regeln, die sich auf die Informationssicherheit beziehen. Neben weiteren Tätigkeiten in diesem Zusammenhang, stehen meine Kollegen und ich dem Unternehmen mit Rat und Tat zur Seite, sollten in der täglichen Arbeit Fragen in Bezug auf IT-Security oder die Informationssicherheit aufkommen.
Im Hinblick auf die Zusammenarbeit, kann ich von durchgehend positiven Erlebnissen berichten. Bei Fragen versucht jeder Kollege weiterzuhelfen wodurch sich die Mitarbeiter als Teil eines großen Teams fühlen. Dieses Gefühl wird durch das herzliche Miteinander, auch über die Abteilungsgrenzen hinweg, noch verstärkt.
Zwar konnte ich euch damit nur einen sehr kleinen Einblick in meine tägliche Arbeit geben, ich hoffe jedoch ihr könnt nachvollziehen, wie vielseitig die Tätigkeiten eines Information Security Officers sein können. Besonders im Hinblick auf die extreme Dynamik der IT-Sicherheit bzw. der Informationssicherheit als Oberbegriff, macht jeden Tag unterschiedlich. Ihr lernt jeden Tag dazu und erweitert eure Fähigkeiten in einem extrem breiten Spektrum der IT.
Mehr zu meinem persönlichen Fazit und der Eignung der Tätigkeit für Wirtschaftsinformatiker gibt es im nächsten Artikel.