Hallo zusammen,
Ich habe ein Stellenangebot als Information Security Officer / IT Compliance Manager.
Wie seht ihr dieses Berufsbild, hinsichtlich mittel und langfristigen Entwicklungsmöglichkeiten (gehaltsmässig, inhaltlich).
Manövriert man sich mit diesem Job in eine absolute Spezialistenrolle aus der man nicht mehr rauskommt?
Kann jemand aus persönlicher Erfahrung sprechen?
Eigene Erfahrung als Info Sec Officer: rund 80k (circa 8k Bonus) nach 5 Jahren Berufserfahrung aus externer IT-Revision, BWL Hochschulabschluss mit relevanten Zertifizierungen (CISSP, CISA). Entsprechend liegt mein Schwerpunkt auf IT regulatorischen Fragestellungen.
Entwicklungsmöglichkeiten zugegebenermassen etwas eingeschränkt. Möglich wären Chief Security Officer. Solche Stellen sind jedoch relativ rar.
antwortenInformation Security ist notwendig, erzeugt aber keinen Mehrwert, steigert nicht den Wert des Unternehmens. Selbst die Putzfrau trägt dazu mehr bei, indem sie dafür sorgt, dass das Gebäude nicht dadurch kaputt geht, dass es schmutzig ist und die Kunden sich wohl fühlen.
Nichts desto trotz werden dafür Spezialisten gesucht, die nicht auf den Kopf gefallen sein dürfen und vielfach gut bezahlt sind, wenn sie den entsprechende Qualifikationen mitbringen.
Was ist das denn für eine 'durchdachte' Aussage? Die Putzfrau trägt mehr bei als eine Position, die sich um die ganzheitliche Absicherung eines Unternehmens, Informationssicherheits-Prozesse, Business Continuity und Standards kümmert, welche dafür sorgen, dass das Unternehmen weder totgeklagt noch Systemausfälle zu beklagen hat? Wow...
antwortenDer Putzfrau vergleich ist nicht so falsche. Info Sec ist für das Unternehmen primär mit Kosten verbunden, steigert aber nicht den Unternehmenswert.
antwortenAls jemand der Info-Sec nah arbeitet, habe ich immer eine kalte Wut um Bauch wenn so ein Argument gebracht wird ;). Liegt meistens in der selben Liga wie die Aussage "Was will ich denn mit IT, das soll funktionieren, wenn ich auf den Knopf drücke".
Um es mal objektiv zu formulieren. Der Wert einer Einheit oder Stelle für das Unternehmen ist je nach Branche, Struktur, etc. stark unterschiedlich. Z.B. würde in der selben Logik eine Rechtsabteilung primär Kosten verursachen und nicht den Unternehmenswert steigern (es sei denn man ist eine Kanzlei). Auf der anderen Seite sind Reinigungsfachkräfte für z.B. Branchen in denen hochreine Fertigungsmethoden angewendet werden evtl. ein sehr wichtiger Assets für ein Unternehmen.
Was ein durchaus berechtigter Einwurf ist, ist dass IT-Sec in den meisten Unternehmen ein Unterstützungsprozess ist (wie auch die Rechtsabteilung, IT, etc.). Die Werthaltigkeit eines solchen Prozesses für das Gesamtunternehmen zu ermitteln ist häufig komplex.
Ich würde z.B. sagen, das ich durch meine Tätigkeiten gewisse Prozesse gesichert habe die einem Umsatz von Milliarden Euro generieren. Ohne mich hätte die Firma also einen immensen Verlust. Also ist der Wert meiner Stelle = Milliarden Euro?
Umgekehrt könnte man auch sagen, es ist ja nichts passiert, also war mein Wert = 0, bzw. sogar negativ, weil ich ja auch noch Geld koste.
Und genau an dieser Stelle sollte jedes Unternehmen ein anständiges Risikomanagement betreiben. Aussagen wie "kostet ja nur und bringt nichts" deuten in meinen Augen meistens auf nicht erkannte Risiken oder (fast noch schlimmer) nicht verstandene Risiken hin. Akzeptiert hätte ich ein "in unserem Unternehmen sehen wir IT-Sicherheit als kein notwendigen Faktor für das Risikomitigation an, weil ... (Risiken a-z Kosten nicht rechtfertigen)". Erst danach lässt sich der Wert einer solchen Stelle ermitteln. Ich für meine Teile kann sagen, dass mein aktuelles Unternehmen in der Finanz Branche IT-Sicherheit als relativ wichtig für den Unternehmenserfolg hält. Das spiegelt sich sowohl in der Größe des Teams, als auch in der Bezahlung wieder.
Ich weiß aber genau so, das es Unternehmen gibt die diese Aufgaben deutlich höher und auch deutlich niedriger gewichten.
Exakt. Wenn man die Kosten und Reputationsschäden betrachtet, die im Zusammenhang mit IT-Sicherheitsheitsvorfällen entstehen können und die mit einer vernünftigen IT-Sicherheitsstrategie, -organisation und -integration häufig vermeidbar sind, dann wird man schnell feststellen, dass IT-Security zwar kostet, aber keine oder unzureichende IT-Security zu haben ist eben oft nochmal deutlich teurer.
Beispiele für solche Vorfälle wären:
*Unbefugter Download von Kundendaten, Passwörtern und gespeicherten Zahlungsinformationen
*Unberechtigter Download tw. noch unveröffentlicher Filme und Serien bei einem großen Produktionsstudio
*Gezielte Angriffe durch Schadsoftware auf IT-Infrastruktur beim Kraftwerksbetreiber
*Negative Publicity für einen PKW-Hersteller, weil sich dessen Fahrzeuge aufgrund unsicherer Daten-Kommunikation mit den eigenen Servern einfach durch Unbefugte öffnen lassen
*Kompletter Ausfall einer ganzen TV-Sendergruppe aufgrund eines Hackingangriffs einer islamistischen Organisation
(Ähnlichkeiten mit Vorfällen aus der jüngeren Vergangenheit sind beabsichtigt)
Und jetzt soll nochmal einer sagen, dass eine ungeputzte Toilette aufgrund des Fehlens einer adequaten Organisation von Reinigungskräften ähnlich große Schäden verursacht... :-)
Lounge Gast schrieb:
antwortenAls jemand der Info-Sec nah arbeitet, habe ich immer eine
kalte Wut um Bauch wenn so ein Argument gebracht wird ;).
Liegt meistens in der selben Liga wie die Aussage "Was
will ich denn mit IT, das soll funktionieren, wenn ich auf
den Knopf drücke".
Um es mal objektiv zu formulieren. Der Wert einer Einheit
oder Stelle für das Unternehmen ist je nach Branche,
Struktur, etc. stark unterschiedlich. Z.B. würde in der
selben Logik eine Rechtsabteilung primär Kosten verursachen
und nicht den Unternehmenswert steigern (es sei denn man ist
eine Kanzlei). Auf der anderen Seite sind
Reinigungsfachkräfte für z.B. Branchen in denen hochreine
Fertigungsmethoden angewendet werden evtl. ein sehr wichtiger
Assets für ein Unternehmen.
Was ein durchaus berechtigter Einwurf ist, ist dass IT-Sec in
den meisten Unternehmen ein Unterstützungsprozess ist (wie
auch die Rechtsabteilung, IT, etc.). Die Werthaltigkeit eines
solchen Prozesses für das Gesamtunternehmen zu ermitteln ist
häufig komplex.
Ich würde z.B. sagen, das ich durch meine Tätigkeiten gewisse
Prozesse gesichert habe die einem Umsatz von Milliarden Euro
generieren. Ohne mich hätte die Firma also einen immensen
Verlust. Also ist der Wert meiner Stelle = Milliarden Euro?
Umgekehrt könnte man auch sagen, es ist ja nichts passiert,
also war mein Wert = 0, bzw. sogar negativ, weil ich ja auch
noch Geld koste.
Und genau an dieser Stelle sollte jedes Unternehmen ein
anständiges Risikomanagement betreiben. Aussagen wie
"kostet ja nur und bringt nichts" deuten in meinen
Augen meistens auf nicht erkannte Risiken oder (fast noch
schlimmer) nicht verstandene Risiken hin. Akzeptiert hätte
ich ein "in unserem Unternehmen sehen wir IT-Sicherheit
als kein notwendigen Faktor für das Risikomitigation an, weil
... (Risiken a-z Kosten nicht rechtfertigen)". Erst
danach lässt sich der Wert einer solchen Stelle ermitteln.
Ich für meine Teile kann sagen, dass mein aktuelles
Unternehmen in der Finanz Branche IT-Sicherheit als relativ
wichtig für den Unternehmenserfolg hält. Das spiegelt sich
sowohl in der Größe des Teams, als auch in der Bezahlung
wieder.
Ich weiß aber genau so, das es Unternehmen gibt die diese
Aufgaben deutlich höher und auch deutlich niedriger gewichten.
Das kostenose Virenschutz-Programm von Microsoft für das Betriebssystem Windows erkennt und entfernt bekannte Schadsoftware und Spyware vom Computer. Im aktuellen Privatanwender-Test 2018 der besten Antivirus Programme für das Betriebssystem Windows holt der "Windows-Defender" von Microsoft gegenüber den kostenpflichtigen Virenschutz-Programmen stark auf. Beim Schutz vor Schadsoftware erreichte der kostenose "Windows-Defender" im letzten Test-Monat April 2018 eine Erkennungsrate von 100 Prozent.
Das IT-Sicherheitsunternehmen Avira veröffentlicht seine Antiviren Software in der Version 2018. »Avira Free Antivirus« erkennt die neueste Version Schadsoftware prompt und zuverlässig und schützt Nutzer vor Viren, Würmern, Rootkits, Botnetzen, Identitätsbetrug sowie anderen Bedrohungen aus dem Internet.
Schluss mit Spyware und Trojanern - Spybot ist ein exzellentes Freeware-Tool zum Aufspüren und Löschen von Schadsoftware, Spyware und Rootkits auf dem Computer. Zahlreiche Trojaner werden ebenfalls entfernt. Spybot 2.4 ist voll kompatibel zu Windows 10.
Der eco – Verband der deutschen Internetwirtschaft e. V. hat 280 Experten zur IT-Sicherheit in deutschen Firmen befragt: Datenschutz ist das wichtigste Thema. 59 Prozent der Fachleute gehen von steigenden oder stark steigenden Ausgaben für die IT-Sicherheit aus.
Die im Auftrag des Bundesamts für Sicherheit in der Informationstechnik (BSI) entwickelte Surfumgebung BitBox schützt beim Surfen im Internet als »Browser in the Box« vor Angriffen über den Browser. BitBox ist in der Einzelplatzversion kostenfrei.
Die Digitalisierung beschleunigt zahlreiche Arbeitsprozesse. Zugleich schafft sie jedoch ein Einfallstor für Eindringlinge von außen. Wie angreifbar das eigene System ist, wissen viele Unternehmen gar nicht und wähnen sich in Sicherheit. Ein regelmäßiger Pentest kann Schwachstellen aufdecken.
Was ist Ransomware und wie kann man sich davor schützen? Diese Frage beschäftigt heutzutage nicht nur IT-Experten, sondern jedes Unternehmen, das online tätig ist. Die Bedrohung durch Ransomware nimmt ständig zu und die Folgen eines Ransomware-Angriffs können verheerend sein.
Wer noch das in die Jahre gekommende Betriebssystem Windows XP im Einsatz hat und neben einer reinen Antiviren-Software eine Freeware Firewall sucht, sollte sich die Firewall von Ashampoo mal anschauen.
Die Freeware des tschechischen Antiviren-Herstellers Avast ist für den privaten, nicht kommerziellen Einsatz kostenlos. Mit der neuen Version der Antivirus-Lösung lässt sich ein Rettungsmedium erstellen, um den PC im Notfall mit dem Sanierungs-Modul zu säubern und wiederherzustellen.
Die neueste Version der kostenlosen Sicherheitssoftware AVG Anti-Virus Free 2013 ist auf Deutsch erhältlich und bringt deutliche Geschwindigkeitszuwächse mit. Die neue Benutzeroberfläche im Kachel-Look lässt sich auch auf Touch-Screens intuitiv bedienen und unterstützt aktuelle Hardware- und Betriebssysteme.
Panda Cloud Antivirus Free ist ein Echtzeit-Virenschutz. Im Gegensatz zu anderer Anitvirensoftware beruht Panda Cloud Antivirus auf Cloud Computing, indem Viren und andere Bedrohungen erfasst und analysiert, die von Millionen von Panda-Nutzern weltweit gesammelt wurden.
Der Freeware-Virenscanner »Malwarebytes Anti-Malware« ist eine gute Ergänzung zu anderen Schutzprogrammen. Der Virenscanner durchsucht die Festplatte anhand einer täglich aktualisierten Datenbank und entfernt die Schadsoftware.
Securia Personal Software Inspector überprüft alle installierten Programme auf Aktualität. Falls für eine Software neue Updates zum Schließen von Sicherheitslücken verfügbar sind, wird die Software automatisch aktualisiert.
Microsoft Security Essentials war bisher der Echtzeitschutz für den Heim-PC, der vor Viren, Spyware und anderer bösartiger Software schützt. Jetzt erlaubt Microsoft auch Kleinunternehmen auf bis zu zehn Geräten die Nutzung seiner kostenlos erhältlichen Security Essentials.
Ohne Schutzprogramm auf dem Computer haben Viren und Trojaner auf dem PC freies Spiel. Aber selbst mit Anti-Viren-Software sind Computer nicht rundum sicher. Im Test der Stiftung Warentest mussten die Programme 1800 aktuelle Schädlinge finden und löschen. Kein Programm spürte alle auf, nur vier Programme sind insgesamt „gut“.
7 Beiträge
