Zusammenarbeit

Die Universitätsleitung (UL) erhält regelmässige Updates über die Themen des CISO.
Dies beinhaltet die aktuelle Bedrohungslage und den Umsetzungsstatus bezüglich Compliance und Strategie, sowie empfohlene Massnahmen.

Die Zusammenarbeit mit den Dekanaten der sieben Fakultäten wurde initiiert. Sobald deutlicher ist, wie der CISO die Fakultäten unterstützen kann, werden diese Kontakte intensiviert.

Eine enge Zusammenarbeit mit allen Instituten ist in der heutigen Besetzung leider nicht möglich. Die Zusammenarbeit beschränkt sich darum auf Vertreter der Institute in der IT-Verantwortlichen Sitzung und den beiden Gilden (Awareness und Software).

Das General Council ist ein sehr wichtiger Partner für rechtliche und datenschutzbezogene Aufgaben. Es findet ein regelmässiger Austausch statt.

Recht und Datenschutz ist bei der UZH im General Council organisiert. Zwischen Datenschutz und Informationssicherheit gibt es grosse thematische Überlappungen.

Eine enge Zusammenarbeit ist daher wichtig.

Ein Teil der Informationssicherheit befasst sich mit den physischen Informationen. Zudem ist IT-Sicherheit ohne physischen Schutz kaum umsetzbar.
Eine organisierte und wirkungsvolle physische Sicherheit ist darum eine Grundvoraussetzung. Und es ergeben sich aus der Informationssicherheit zusätzliche Argumente für eine lückenlos umgesetzte physische Sicherheit.

Zudem hat die IT-Sicherheit der ZI ihr Notfallmanagmeent für Krisenerkalationen mit dem Krisenmanagement von Sicherheit und Umwelt organisiert.

Die Zusammenarbeit mit der ZI besteht mit diversen Abteilungen, wie der IT-Sicherheit, dem  Multimedia-Team, dem Strategisches IT Management, IT-Infrastruktur, Science IT, Workplace Services, IT-Training und durch Einbeziehung des CIO in Workshops.

Eine der wichtigsten Zusammenarbeiten besteht mit der IT-Security, speziell mit dem SOC und CSIRT. Einerseits unterstützt der CISO durch die Erarbeitung von Vorgaben, nimmt diverse Beratungsthemen ab und andererseits wird zum Thema Erhöhung der Cyberresilienz eng zusammengearbeitet.
Obschon die IT-Sicherheit den Fokus grundlegend auf der ZI hat und nicht den dezentralen IT-Landschaften, ist das SOC und das CSIRT für die ganze UZH verfügbar, genauso wie der CISO für die ganze UZH zuständig ist.

Die Interne Revision (IR) hat üblicherweise die Aufgabe, die Umsetzung von finanzrelevanten Prozessen - und dazu gehören sicher auch Teile der IT - nach ihrer Compliance betreffend gesetzlicher, interner und prozessualer Vorgaben zu prüfen.
Die IR wird oft - wie auch die IT-Sicherheit - als Polizei wahrgenommen und ist aber eher als Hilfestellung zu sehen. Oft sind zu viele Themen auf den Tischen der Verantwortlichen. Risikobasierte Betrachtungen, wie dies auch die IR tut, können helfen, die Themen richtig zu priorisieren.

Die HR- oder Personalabteilung hat mehr Verantowrtung betreffend Cybersicherheit als zuerst angenommen wird. Die Ein- und Austritts-, sowie Übertrittsprozesse von Mitarbeitenden sind HR-Prozesse und dabei besteht die Verantwortung für die korrekte Implementierung und Durchführung dieser Aufgaben nicht bei der IT, sondern bei HR.
Zudem kann HR bei der Anstellung von Mitarbeitenden in gewissen Positionen bereits gewisse Aspekte der Cybersecurity beeinflussen. Gehören der Umgang mit IT-Systemen zu den Kernaufgaben einer Rolle, so sind das Verständnis und das Wissen über Sicherheit eine Grundvoraussetzung.

Das IKS ist ein wichtiges Mittel, um die Risiken mit grosser Eintrittswahrscheinlichkeit zu mitigieren. Durch die Einführung von Massnahmen und der Kontroll deren umsetzung, wird die Eintrittswahrscheinlichkeit verkleinert.
Das IKS wird daher beim Risiomanagement als wichtiger Schritt eingearbeitet.

Digitale Innovationen ohne Informationssicherheit und die Betrachtung der Cyberrisiken hat kaum eine Chance auf Erfolg.

Ein vielversprechender Ansatz ist ist die Vereinigung von Cbersecurity mit der Forschung. Gerade im Bereich Awareness sind noch viele Bereiche unerforscht und Forschungsresultate sind bestimmt ein gutes Argument, um Cybersicherheit ernst zu nehmen.

Das Cyber Resilienz Network des Kantons Zürich bietet verschiedene Möglichkeiten. Diese wollen genutzt werden.

Die Ausbildung der Führungskräfte in Belangen der Informationsischerheit ist grundlegend. Darum wurde die Zusammenarbeit mit der Leadership Academy bereits gestartet.

Die CISOs der vier Universitätsspitäler (UniversitätsSpital Zürich, Universitäts-Kinderspital Zürich, Universitätsklinik Balgrist und die Psychiatrische Universitätsklinik) sowie Vertreter der IT-Sicherheit treffen sich mehrmals jährlich und besprechen diverse Themen und Zusammenarbeiten.

Die enge Zusammenarbeit mit dem CISO der ETH Zürich wird zusätzlich unterstützt mit dem Austausch unter allen Schweizer Universitäten auf der SWITCH Plattform und in unabhängigen Erfahrungsaustausch-Gruppen, wie der Cyber Security Competence Group Switzerland (CSCG).

Die Zusmamenarbeit mi der Kommunikation ist nicht nur für Bekanntmachung der Awareness-Massnahmen und der Webseite relevant, sondern auch wichtig bei Cybersecurity-Notfällen.
Die Kommunikation stellt daher eine Vertretung in der Awareness-Gilde.

Der CISO unterstützt diverse Projekte und Arbeitsgruppen. Dies ist eine wichtige AUfgabe der Informationssicherheit.