ChatGPT für CISOs

Eingangsstatement

ChatGPT kann erfahrene ISMS-Berater nicht ersetzen, aber es bietet eine wertvolle Unterstützung bei schnellen Recherchen, der Dokumentenerstellung und konkreten Fragestellungen. So können Berater sich stärker auf strategische Aufgaben und die Qualitätssicherung konzentrieren, während ChatGPT Routinearbeiten übernimmt und in dringenden Fällen eine erste Hilfestellung bietet.

Warum braucht man das?

NIS2 hat die Cybersecurity Welt in Europa verändert.

Drum benötigen wir viele CISOs – ähnlich wie CFOs in Unternehmen.

Da es wenige CISOs gibt muss man die existierenden bestmöglich unterstützen und für aufstrebende CISOs neue Tools nutzen.

Hauptargumente für den Einsatz:

• Skalierbarkeit der limitierten Ressourcen
• Unterstützung und Ergänzung der Expertise
• Kostenreduktion

Einleitung

Ich erspare mir an dieser Stelle die Info zum offensichtlichen:

• Was ist LLM und Chat GPT?
• Was bedeutet haluzinieren?
• Wie berücksichtige ich Datenschutzaspekte?

Wofür kannst du ChatGPT als CISO schon nutzen?

ChatGPT kann im ISMS auf verschiedene Weise unterstützen:

• Sicherheitsrichtlinien: Es hilft bei der Erstellung und Aktualisierung von Richtlinien durch passende Entwürfe.
• Risikoanalysen: Es identifiziert und bewertet Risiken, erstellt Risiko-Matrixen und priorisiert Maßnahmen.
• Schulungsunterlagen: Es erstellt oder aktualisiert Schulungsmaterial und beantwortet Mitarbeitenden Fragen zur Informationssicherheit.
• Dokumentation: Es fasst Daten zusammen und erstellt Berichte für eine effiziente Dokumentation.
• NIS2-Richtlinie: Es unterstützt bei der Umsetzung, indem es Anforderungen erklärt und Anpassungen vorschlägt.

Vorbereitung

Je nachdem mit welchem Standard du arbeitest benötigst du eine Datei, in der alle Kapitel und Unterkapitel sind. Die Datei erstellst du indem du Chat GPT folgendes Fragst:

Ich benötige alle Nummern sowie Überschriften der Kapitel und Unterkapitel inkl. Annex der ISO27001

Nimm den output und speichere ihn in die datei standard.txt. Diese Datei benötigst Du für die Prompts

Nun die Prompts

Beim Prompting musst du ChatGPT immer vorbereiten und ihm sagen was/wer er ist. Außerdem solltest du aus seinem Wissensschatz das Wesentliche Wissen in den Vordergrund holen.

Du bist ein Experte für Informationssicherheit und unterstützt Unternehmen bei der Implementierung und Pflege eines Informationssicherheitsmanagementsystems (ISMS).

* Bevor du auf eine Frage oder einen Text reagierst, lies IMMER zuerst die Datei „standard.txt“ ein und überprüfe die Wortanzahl.
* Erfinde KEINE Tatsacheninformationen und füge nur das ein, was du sicher weißt.
* Antworten immer in einer verständlichen, umgangssprachlichen Form.
* Falls dir Informationen fehlen, frage nach Klarstellungen, anstatt zu raten oder Annahmen zu treffen.

Als nächstes stellst du ChatGPT Kontext zur Verfügung

Unser Unternehmen ist ein mittelständiges Unternehmen im Bereich Metallbearbietung / Behälterbau mit etwa 200 Mitarbeitern. Wir nutzen hauptsächlich Windows Server und Workstations und haben ein großes OT Netzwerk für unseren Maschinenpark.
Wir verwenden E-Mails für die Kommunikation mit dem Kunden und haben eine Website und eine LinkedIn Social Media Präsenz im Marketing.
Für Finanztransaktionen verwenden wir E-Banking mit dem Standard-Webinterface unserer Hausbank.

Ab nun kannst du deine Fragen stellen. Beispiele:

Welche technischen Maßnahmen empfiehlt die NIS2-Richtlinie für mittelständische Unternehmen, um ihre Informationssicherheit effektiv zu gewährleisten?

Kannst du eine Risikoanalyse für die IT-Infrastruktur eines kleinen Finanzunternehmens erstellen, das auf Cloud-Dienste angewiesen ist?

Welche konkreten Maßnahmen empfiehlt die NIS2-Richtlinie, um Risiken in kleinen und mittleren Unternehmen (KMU) effektiv zu minimieren?

Du kannst auch klare Ideen für den Output angeben:

Ich brauche Sicherheitsrichtlinien für folgende Bereiche:
* Zugriffskontrolle
* Datenverschlüsselung
* Notfallmanagement
Kannst du mir für jeden Bereich eine kurze Richtlinie vorschlagen?

Du kannst dich auch auf dein Unternehmen beziehen:

Welche spezifischen Sicherheitsmaßnahmen sollten wir priorisieren?

Beispiele konkreter Prompts im ISMS-Kontext

Hier ein paar konkrete Beispiele, wie du ChatGPT effektiv nutzen kannst:

Beispiel 1: Erstellung von Richtlinien

Prompt:

Ich brauche eine Vorlage für eine IT-Sicherheitsrichtlinie für ein mittelständisches Unternehmen. Die Richtlinie sollte Abschnitte zu Zugangskontrollen, Passwortmanagement und regelmäßigen Sicherheitsüberprüfungen enthalten.

Erwartete Antwort:

ChatGPT liefert eine strukturierte Vorlage mit klaren Abschnitten und praktischen Tipps für jeden Bereich.

Beispiel 2: Risikoanalyse

Kannst du mir eine einfache Risikoanalyse für die IT-Infrastruktur unseres Unternehmens erstellen?

Erwartete Antwort:

ChatGPT gibt eine Übersicht über mögliche Risiken wie Phishing-Angriffe, Datenverlust durch Hacker und bietet Vorschläge zur Risikominimierung.

Beispiel 3: Schulungsunterlagen

Erstelle einen kurzen Schulungsleitfaden zur Sensibilisierung der Mitarbeiter für Cybersecurity-Risiken für die HR Abteilung.

Erwartete Antwort:

ChatGPT erstellt einen leicht verständlichen Leitfaden mit wichtigen Punkten und praktischen Beispielen, die Mitarbeiter durchgehen können.

Beispiel 4: Compliance

Welche Schritte müssen wir unternehmen, um die NIS2-Richtlinie in unserem Unternehmen umzusetzen?

Erwartete Antwort:

ChatGPT listet die notwendigen Schritte auf, wie z.B. die Durchführung einer Bestandsaufnahme, die Implementierung spezifischer Sicherheitsmaßnahmen und regelmäßige Überprüfungen.