Neuer CISO an der ETH Zürich
Dr. Domenico Salvati ist der neue CISO der ETH Zürich.
Domenico Salvati ist seit Anfang April 2019 in der Rolle des CISOs (Chief Information Security Officer) bei der ETH Zürich angestellt. Die Rolle des CISOs existiert an der ETH schon seit geraumer Zeit und wurde bisher vom jeweiligen Leiter Informatikdienste bzw. von Dr. Rui Brandao wahrgenommen. Mit dem Inkrafttreten der Weisung «Informationssicherheit an der ETH Zürich» (ca. April 2018) wurde klar, dass die darin spezifizierten Aufgaben, Rechte und Pflichten des CISOs das Zeitbudget des Leiters Informatikdienste sprengen würden.
Berufsweg Domenico Salvati
Bei Domenico Salvati hat die Informationssicherheit schon immer eine zentrale Rolle gespielt. Sein Interesse für Informationssicherheit begann gegen Ende seines Studiums der Wirtschaftsinformatik an der Uni Zürich, wo er die Diplomarbeit «Organisatorische Aspekte der Informationssicherheit» verfasste. Die Abschlussarbeit öffnete ihm den Weg zu seiner ersten Anstellung bei einer grossen Revisionsgesellschaft, wo er erste Erfahrungen in der Gruppe «Computer Risk Management» sammelte. Über eine mittelgrosse Schweizer Bank, wo er im Stab des CIOs weitere Erfahrungen sammelte, folgte die Anstellung bei einer Schweizer Grossbank, wo er verschiedene Rollen im Bereich der Informationssicherheit wahrgenommen hat. Die Bank bot ihm später die Gelegenheit, mit ihrer Unterstützung nebenberuflich eine Dissertation mit dem Titel «Management of Information System Risks» zu verfassen. Auf die Bankenwelt folgte dann eine Anstellung bei einem grossen Schweizer Krankenversicherer, wo Domenico Salvati die Rolle des unternehmensweiten Risiko Managers innehatte.
Was ist Informationssicherheit und was macht ein CISO?
Die Informationssicherheit «will» sicherstellen, dass vertrauliche Informationen auch vertraulich bleiben, dass Informationen nicht unbeabsichtigt und fälschlicherweise verändert werden (Integrität der Informationen) und das Informationen verfügbar sind, wenn diese auch gebraucht werden. Vielfach wird zu den vorgenannten Anforderungen zum Schutz von Informationen auch die Nachweis- bzw. die Nachvollziehbarkeit erwähnt, was besonders wichtig ist, wenn man z.B. eine Zahlung über das eBanking abwickeln will und im Nachhinein auch beweisen möchte, dass die Zahlung auch tatsächlich ausgelöst wurde. Mit «Informationen» im Begriff «Informationssicherheit» soll zudem angezeigt werden, dass sich dieser Schutz nicht nur auf die Informatik-Mittel der ETH Zürich beschränken soll, sondern Anwendung z.B. auch auf Informationen, die auf einem Blatt Papier aufgeschrieben sind sowie auf das «gesprochene» Wort findet.
Der CISO der ETH Zürich setzt nun im Wesentlichen die weiter oben erwähnte Weisung «Informationssicherheit an der ETH Zürich» um und ist ETH-weit für alle Einheiten (Zentrale Organe, Departemente und deren Institute sowie Lehr- und Forschungseinrichtungen ausserhalb der Departemente) die zentrale Anlaufstelle für alle Belange der Informationssicherheit. Wichtig in diesem Zusammenhang ist auch die Einhaltung der Verhaltensregeln, die in der «Benutzungsordnung für Informations- und Kommunikationstechnologie an der ETH Zürich (BOT)» spezifiziert sind. Angesichts der Grösse und Komplexität der ETH Zürich sowie der grossen Aufgabenvielfalt, welche die Rolle des CISOs mit sich bringt (siehe Art. 5 der Weisung «Informationssicherheit»), sind pro Departement und für die zentralen Organe und Stäbe sogenannte Information Security Officer (ISO) ernannt worden, die als erster Ansprechpartner «an der Front» fungieren.
URL Weisung «Informationssicherheit
Organisatorische Angliederung
Der CISO ist aufgrund des ETH-weiten Aufgabenbereichs bei der Generalsekretärin im Bereich des ETH-Präsidenten angesiedelt. Von der organisatorischen Aufhängung im Generalsekretariat, soll die ETH-weite Akzeptanz des CISOs bei Ansprechpartnern ausserhalb der ID untermauert werden.
Die Informatikdienste sind insbesondere für die Umsetzung technischer Massnahmen für die Informationssicherheit ein wichtiger Ansprechpartner. Die zentrale Rolle der Informatikdienste für die Belange der Informationssicherheit, widerspiegelt sich auch in der Tatsache, dass der CISO den Informatikdiensten organisatorisch zwar nicht angehört aber dennoch einen Arbeitsplatz bei den Informatikdiensten hat.
Welches sind die nächsten Projekte?
Für die nächsten paar Monate wird Domenico Salvati beschäftigt sein, die ETH Zürich kennenzulernen und die nächsten Schritte zu planen. Bisher wurden im Bereich Informationssicherheit viele Anstrengungen unternommen, sensitive Informationen (auch Datenbestände) zu erfassen und deren Schutzbedarf zu bestimmen. Die erarbeiteten Resultate werden nun vertieft, um eine ETH-weite Abdeckung zu erreichen.
Als folgender Schritt dürften die Erhebung und Neu-Beurteilung des aktuellen Zustandes der Informationssicherheit von Interesse sein. Zudem wurde Domenico Salvati gegenüber der Wunsch geäussert, den ISOs «an der Front» für die Erledigung ihrer Aufgaben im Bereich Informationssicherheit geeignete Instrumente und Hilfestellungen an die Hand zu geben.
1 comment on «Neuer CISO an der ETH Zürich»