- Fehlendes Know-how nach Kündigung von CISO
- «Rent-a-CISO»-Modell löst das Problem
- Gesetzliche Rahmenbedingungen im Griff
Die Herausforderung
Security Know-how ist rar auf dem Markt
Im Frühjahr 2016 standen die Elektrizitätswerke des Kantons Zürich (EKZ) vor einem Problem: Der Informationssicherheitsbeauftragte, intern CISO genannt, hatte gekündigt. Mit internen Ressourcen konnten die vielfältigen Tätigkeiten eines CISO nicht abgedeckt werden. Das erforderliche, hoch spezifische Know-how stand nach der Kündigung nicht mehr zur Verfügung und Spezialisten auf dem Gebiet der Informationssicherheit sind schwer zu finden.
Die Sicherheit der Daten, IT-Systeme und der IT-unterstützten Prozesse ist gerade für ein Unternehmen im Energieversorgungssektor von entscheidender Bedeutung – Störungen und Ausfälle aufgrund von IT-Sicherheitsproblemen kann man sich nicht leisten. Dies umso mehr, als der Aufbau, die Überwachung und Instandhaltung der Elektrizitäts-Infrastruktur zunehmend von IT-Systemen abhängt. Der Betrieb von «kritischen Infrastrukturen» erfolgt durch Leitsysteme, die zunehmend mit weniger gut geschützten Umsystemen kommunizieren müssen. Dabei ist fundiertes Sicherheits-Expertenwissen unerlässlich.
Die EKZ mussten also so rasch wie möglich eine Lösung finden, um die Aktivitäten des nicht mehr verfügbaren CISO durch einen externen Spezialisten abzudecken. Das Servicepaket «Rent-a-CISO» von Avectris erfüllte die Anforderungen der EKZ optimal.
Die Lösung
Intermim CISO auf Abruf
In der Person von Michael Plüss, Senior Consultant bei Avectris, steht den EKZ eine auf Informationssicherheit spezialisierte Fachkraft auf Abruf zur Verfügung. Michael Plüss ist einen Tag pro Woche vor Ort, kann die CISO-Aufgaben aber auch zu anderen Zeiten übernehmen, wenn spontane Anfragen oder dringende Probleme vorliegen. Der Spezialist kennt sich zudem mit den Herausforderungen eines Energieversorgers gut aus, besitzt Know-how über die Systemumgebung, kann Bedrohungslage und Schwachstellen einschätzen und ist mit den regulatorischen Rahmenbedingungen vertraut.
Der «gemietete CISO» berät den CIO der EKZ in sämtlichen Belangen der Informationssicherheit. Er unterstützt die Umsetzung von Massnahmen wie etwa die Abwehr von DDoS Attacken und bearbeitet Abweichungen, die aus Audits und Revisionen hervorgehen. Er überprüft die Sicherheitsanforderungen in den energiewirtschaftlichen Betriebsprojekten, erstellt Analysen im Hinblick auf die geltenden Gesetze und fungiert als Schnittstelle zum Rechtsdienst. Michael Plüss klärt beispielsweise die Gesetzeslage bezüglich der geplanten Nutzung von Cloud-Services ab. Er erstellt zudem Risikoeinschätzungen – wie z. B. Umgang mit lokalen Administratorenrechten oder Fernwartungssoftware.
Kundenporträt
EKZ
Die EKZ versorgen rund eine Million Menschen über ein Verteilnetz von fast 15'000 Kilometer Länge mit Strom und gehören damit zu den grössten Energieversorgern der Schweiz. Für das öffentlich-rechtliche Unternehmen, das zu 100 Prozent dem Kanton Zürich gehört, sind rund 1400 Mitarbeitende tätig.
Elektrizitätswerke des Kantons Zürich (EKZ)
Dreikönigstrasse 18
CH-8022 Zürich
Der Ausblick
Mehr Fokus auf das Kerngeschäft
- Spezialisiertes Informationssicherheits-Know-how auf Abruf
- Unabhängigkeit dank neutralem Dienstleister
- Langjährige Branchenerfahrung von Avectris
- Sicht von externem Spezialisten hilft Betriebsblindheit zu vermeiden
- Fachgerechte Umsetzung von Informationssicherheits-Massnahmen
- Regulatorische und gesetzliche Rahmenbedingungen im Griff
- Mehr Freiräume für die Entwicklung des Kerngeschäfts
Case Study | 20.11.2016
Haben Sie Fragen?
Gerne stehen wir Ihnen für ein Gespräch zur Verfügung.
Informiert bleiben?