0x41414141 Geschrieben 14. August 2018 Geschrieben 14. August 2018 Hallo, arbeit jemand von euch in einer im Titel genannten Position? Ist dieser Job fürgewöhnlich eher weniger technisch? In vielen Stellenausschreibungen wird ein Wirtschaftinformatik Studium erwünscht. Mich interessieren Themen wie Audits/Penetration Test, Incident Response, Incident Analyse, Reverse Engineering (Analyse neuer Malware), der operative Betrieb eines ISMS/SIEM/IPS/IDS/FW. Möchte also eher eine technsiche Tätigkeit....die genannten Jobs scheinen sehr betriebswirtschaftlich zu sein (Risikoanalysen, Planung, Beratung) Danke im Vorraus für euer Input ;) Zitieren
TooMuchCoffeeMan Geschrieben 15. August 2018 Geschrieben 15. August 2018 Ich habe einige Jahre im Cyber Security Consulting gearbeitet. Eines meiner Spezialgebiete war die Prüfung und Zertifizierung nach ISO/IEC 27001. Das heißt ich habe als Lead Auditor die Prüfungen geplant, durchgeführt und meine Empfehlung entsprechend an die Deutsche Akkreditierungsstelle weitergegeben. Das ist zwar nicht das gleiche wie "IT-Security Consultant ISMS" aber ich denke ich kann trotzdem einen gewissen Überblick geben. Das Themengebiet ISMS (ISO 27000) ist in der Regel eher wenig technisch. Der ISO Standard ist aufgeteilt in 10 Management Kapitel und einen Annex A genannten Anhang, welcher auch technische Kontrollen vorgibt. Die Implementierung dieser Kontrollen wiederum wirkt sich direkt und indirekt auf das Risikomanagement des ISMS aus. Kontrollen können z.B. die Einführung von Antiviruslösungen oder das Implementieren von Verschlüsselung auf allen mobilen Geräten sein. Die Vorgaben des Standards bleiben hier allerdings immer sehr schwammig und gehen kaum in technische Details. Als ISMS Berater wirst du vermutlich Unternehmen auf ihrem Weg zur Zertifizierungsreife begleiten. Deine Aufgabe wird sein die Implementierung des ISMS zu bewerten und Lücken zu schließen, die einer Zertifizierung entgegenstehen. Dabei kann sicherlich auch mal ein technisches Thema anfallen, aber meiner Erfahrung nach wird das dann auf einer sehr hohen Flughöhe bearbeitet. Von Penetration Testing / Vulnerability Management in der Praxis bist du da schon relativ weit entfernt. SIEM / FW / IPS etc. wirst du zwar oberflächlich behandeln aber wenn dich das operationelle Doing interessiert, ist der ISMS Berater vielleicht eher nicht das richtige für dich. Ich finde generell, dass die Spezialisierung auf reine ISMS Beratung nicht sehr zukunftssicher ist. Nach dem neuen Informationssicherheitsgesetzt (KRITIS) müssen sich zwar diverse Unternehmen zwangsläufig zertifizieren lassen, aber auch diese Welle ebbt irgendwann mal ab. Meiner Meinung nach würde es mehr Sinn machen sich etwas breiter aufzustellen. Wenn es unbedingt Beratung sein soll, dann würde ich eine Stelle im IT Security Consulting (ohne vorher festgelegte Spezialisierung) empfehlen. Bei mir im Cyber Security hatten wir jede Menge Kollegen die auch Penetration Tests durchgeführt haben und eher technisch unterwegs waren. Neben meiner Tätigkeit als ISO 27001 Lead Auditor habe ich auch Beratungsprojekte gehabt bei denen ich Vulnerability Management implementiert habe oder SIEM Systeme aufgebaut habe. Das war dann auch einigermaßen technisch. Welche Ausbildung hast du denn gemacht? FISI? FIAE? Studium? OldenByte reagierte darauf 1 Zitieren
0x41414141 Geschrieben 15. August 2018 Autor Geschrieben 15. August 2018 Danke für diesen Überblick. So ähnlich habe ich mir das schon gedacht. Vielleicht sollte ich eher Suchbegriffe wie Penetration Tester / Analyst suchen, unter it-security finden sich zur zeit sehr viele stellen mit ISMS im Namen. Liegt sicher am relativ neuen IT-Sicehrheitsgesetz. Habe eine ITSE Ausbildung und ein fast fertiges Studium der technischen Informatik. Dann geht es entweder mit dem Master in IT-Sec oder diversen Zertifikaten weiter. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.