Führt eine kurze Schwachstellenanalyse eurer Organisation durch.
Welche potenziellen Angriffsvektoren könntet ihr als Angreifer
ausnutzen?
Simuliert einen Penetrationstest (gedanklich oder praktisch, falls
möglich). Wie würdet ihr vorgehen, um Sicherheitslücken aufzudecken?
Welche Gegenmaßnahmen wären sinnvoll?
50.2 Aufgabe 2: Reifegrad und
Organisationsstrukturen
Analysiert die aktuelle Struktur eurer Organisation basierend auf
dem Reifegradmodell (einfache Struktur bis adaptive Struktur). Welche
Vor- und Nachteile seht ihr in der aktuellen Struktur?
Überlegt, wie die Sicherheitsorganisation in einer Netzwerk- oder
Matrixstruktur optimal gestaltet werden könnte. Welche Herausforderungen
wären zu bewältigen?
50.3 Aufgabe 3: Rolle des
Information Technology Risk Council (ITRC)
Definiert, wie ein ITRC in eurer Organisation aufgebaut sein könnte.
Wer sollte daran beteiligt sein, und welche Aufgaben wären besonders
wichtig?
Überlegt, wie der ITRC Schulungen und Sensibilisierungsmaßnahmen für
IT-Risiken planen könnte. Welche Themen wären am dringlichsten?
50.4 Aufgabe 4: Rolle des CISO
Diskutiert die Anforderungen und Aufgaben eines CISO in einer
mittelständischen Organisation. Was wäre anders im Vergleich zu einem
Großunternehmen?
Überlegt, welche Fähigkeiten und Qualifikationen ein idealer CISO
mitbringen sollte, um die Informationssicherheit in eurer Organisation
nachhaltig zu verbessern.
50.5 Aufgabe 5: Proaktive
Sicherheitsmaßnahmen im Kontext von “Denken wie ein Angreifer”
Entwickelt ein Konzept für regelmäßige Red Team-Übungen in eurer
Organisation. Wie würdet ihr diese organisieren und welche Ziele sollen
sie erreichen?
Überlegt, wie der CISO die Ergebnisse solcher Übungen nutzen könnte,
um Sicherheitsstrategien anzupassen und Management sowie Mitarbeiter zu
überzeugen.