Der ISO (Information Security Officer) fungiert im Grunde als eine Art interner Berater eines Unternehmens. Er soll die Geschäftsführung in allen Fragen der Informations- und Cybersicherheit unterstützen. Zudem verantwortet er die Implementierung der prozessualen und technischen Komponenten des sogenannten ISMS.
Er berichtet regelmäßig über entsprechende Risiken und Sicherheitsvorfälle. Im Falle konkreter Vorkommnisse – im Jargon Incidents genannt – agiert er als Kommunikator zwischen dem operativen Incident Management und den Entscheidungsgremien- und -personen und unterbreitet Vorschläge zum weiteren Vorgehen.
Der Themenkreis Informationssicherheit umfasst neben der Cyber Security auch die Sicherheit klassischer Informationen. Daher obliegt dem ISO auch die Begleitung potenziell risikobehafteter Themen wie der Regelung des Zugangs zu Geschäftsräumen, dem Verhalten bei Remote-Arbeit oder der Lagerung und Vernichtung von (elektronischen wie eben auch klassischen) Datenträgern. Er trägt Sorge für die Aktualität und die Umsetzung entsprechender interner Regelungen.
Im Kontext der Finanzindustrie sind Cyber- und Informationsrisiken ein Teil der operationellen Risiken. Daher macht es Sinn, diese Themen organisatorisch zu bündeln. Offensichtlich sollte es darüber hinaus je nach Setup enge Beziehungen beispielsweise zum Auslagerungsmanagement, zum IT-Bereich, zum COO-Office etc. geben. Ziel muss immer eine einheitliche und umfassende Risikosicht in Verbindung mit einem überdachten und effizienten internen Kontrollsystem sein, welche Redundanzen vermeidet und Aussagen auf den Punkt bringt.
Die konkreten Aufgaben des ISO sind also vielfältig, und das übliche Berichtswesen ist nur Anfang und formaler Ankerpunkt, genau wie die gängigen Leitlinien und Arbeitsanweisungen. Die Umsetzung externer Vorschriften wie KAIT und DORA erfordert häufig umfangreiche Anpassungs-, Aufbau- und Umsetzungsprojekte.
Weitere Aufgaben sind die Gestaltung von Incident Response Prozessen und aktive Einbindung, die Begleitung von Penetration Tests, die Konzeption und Durchführung von Schulungen und Awareness-Maßnahmen und wie immer die Begleitung von internen und externen Audits. Dazu kommt die kritische Würdigung von Szenarien zum Einsatz von Cyber Insurance.