Informationssicherheit & Cybersecurity: Was ist der Unterschied?

Eine Frage, die von Zeit zu Zeit auftaucht, lautet: "Was ist der Unterschied zwischen Informationssicherheit und Cybersecurity?"

Und sie ist fast so oft wie die Frage "Ist Cybersecurity ein Wort oder zwei?!" (Ich mag es, wenn es nur ein Wort ist – aber es stört mich so oder so nicht allzu sehr!)

Die Frage nach der Informationssicherheit/Cybersecurity ist gut und in den meisten Fällen schwer zu beantworten, da sie oft individuell für Ihr Unternehmen ist.

Mehrere Faktoren müssen berücksichtigt werden:

• Branche, in der Sie arbeiten
• Größe Ihres Unternehmens
• Anzahl der Sicherheitskräfte
• Eingesetzte Technologien
• Governance-Anforderungen

Hier ist meine Meinung dazu.

Im Mittelpunkt der meisten digitalen Sicherheitslösungen steht der Schutz der Vermögenswerte in den Kategorien "Daten" und "Informationen". Und die Informationssicherheit (InfoSec) hat dies als ihre Kernaufgabe.

IT-Sicherheitsspezialisten arbeiten innerhalb des Unternehmens, um die Einhaltung von Gesetzen, Vorschriften und internationalen Standards sicherzustellen, und sind wichtige Akteure bei der Erstellung von Richtlinien.

Dieses Team befasst sich mit den Risiken, die mit Geschäftspraktiken und dem Schutz von Daten/Informationen verbunden sind, sowie mit der Art und Weise, wie die Kontrollen implementiert und gepflegt werden.

Dazu gehören viele Kompetenzbereiche und Kenntnisse. Die Rollen, die im Bereich der Informationssicherheit arbeiten, sind in der Regel:

• Leitender Beauftragter für Informationssicherheit (CISO)
• Datenschutzbeauftragter (DSB)
• Governance-, Risiko- und Compliance-Team (GRC)
• Risikoanalysten
• Auditoren für Informationssicherheit

Aufgrund der Natur von Daten und Informationssystemen spielt Cybersecurity eine Schlüsselrolle in der Informationssicherheit. Bei der Cybersecurity geht es um den Schutz der Menschen und Systeme, die Daten erstellen, speichern, verwenden, übertragen und löschen.

Die Richtlinien, die dies vorantreiben, sind prozedurale Risikokontrollen, die vom Infosec-Team verwaltet werden.

Die technischen Kontrollen, die zur Implementierung der Sicherheit verwendet werden, wie z. B. Abwehrsysteme, Scan- und Überwachungslösungen sowie Alarmierungssysteme für Vorfälle, werden vom Cybersecuritysteam im Auftrag (oder in Verbindung mit) dem CISO- und InfoSec-Team verwaltet.

Das Cyberrisiko ist ein separates Risikoelement für ein Unternehmen, und dies ist ein Bereich, in dem es zu einer Überschneidung zwischen den Elementen InfoSec und Cybersecurity kommen kann.

Cybersecuritysanalysten geben auch Informationen und Informationen an die Risikoanalysten, das GRC-Team und schließlich den CISO weiter, damit diese fundierte Entscheidungen treffen können.

Zu den typischen Jobrollen im Bereich Cybersecurity gehören:

• Cybersecurity Engineer und Cloud Security Engineer (eng mit der Infrastruktur- und IT-Admin-Sicherheit verknüpft)
• Security Operations Center Analyst/Defender & Responder
• Cybersecurity Threat Intelligence und Risk Analysts (eng mit dem GRC-Team abgestimmt)

Cybersecurity ist auf mehrere Schlüsselbereiche des Unternehmens abgestimmt und verschmilzt in vielen Fällen mit diesen Abteilungen.

Zum Beispiel:

• GRC/InfoSec kann einen Cybersecurity Risk Analyst als Teil ihres Teams haben;
• IT-Abteilungen können Cybersecurity Engineering als Teil ihrer Funktion einbeziehen. Sie können auch Defend-and-Response-Lösungen von Drittanbietern verwenden und diese verwalten.

Sowohl die Teams für Informationssicherheit als auch für Cybersecurity stützen sich zudem auf spezialisierte Fachkenntnisse und Fähigkeiten.

Dazu können gehören:

• Datenschutzbeauftragte, die in bestimmten Gesetzen und Verordnungen (DSG, DSGVO, etc.) geschult sind,
• InfoSec-Teams und Auditoren, die bei sektorspezifischen Vorschriften und Standards (ISO27001/2, PCI-DSS, NIS2 usw.) führend sind,
• Penetrationstester,
• Forensische Untersuchungsteams
• Offensive/defensive Teams (rote/blaue/violette Teams)

Und wie oben beschrieben, gibt es innerhalb dieser Teams viele Überschneidungen zwischen Informationssicherheit und Cybersecurity.

Beide Disziplinen haben jedoch die gleichen Grundwerte:

• Zum Schutz des Unternehmens und kritischer Ressourcen.
• Um die Geschäftskontinuität aufrechtzuerhalten.
• Um das Wachstum und die Entwicklung des Unternehmens zu unterstützen.
• Um die Einhaltung gesetzlicher und behördlicher Anforderungen sicherzustellen.

Meiner Meinung nach gibt es eine Abgrenzung zwischen den Rollen und Verantwortlichkeiten von Informationssicherheit und Cybersecurity und den Fähigkeiten, die für die Ausübung jeder Rolle erforderlich sind. In einer idealen Welt können diese leicht verschiedenen Teams zugewiesen werden, und angesichts des Budgets, der Kapazität und der Verwaltungsmöglichkeiten gäbe es einen Unterschied zwischen IT (und IT-Sicherheit), Informationssicherheit und Cybersecurity.

Wir arbeiten jedoch nicht in einer idealen Welt, und die Budgets und der Personalbestand können knapp sein – aus diesem Grund verfolgen viele Unternehmen einen gemischteren Ansatz zur Sicherung ihrer digitalen Assets.

Einige mögen auch argumentieren, dass dieser gemeinsame Ansatz vorteilhafter ist, und ich kann dem nicht widersprechen, da es sich um eine sehr persönliche Sache handelt.

Unabhängig von Ihrem Ansatz ist es wichtig, dass die beteiligten Personen und Teams ordnungsgemäß geschult und qualifiziert sind, um die Anforderungen Ihres Unternehmens zu erfüllen, und selbst wenn Sie ein "Tausendsassa" sind, können Sie mit der richtigen Ausbildung und Erfahrung auch ein Meister in etwas sein!

Eine weitere große Debatte ist: "Solltest du zuerst oder zuletzt Milch hinzufügen, wenn du eine Tasse Tee kochst?" Die Antwort liegt beim Einzelnen und es gibt keinen richtigen oder falschen Weg, dies zu tun – solange das Endergebnis das ist, was Sie brauchen.