Schlagworte
ISMS Spezialist ISO 27001
Risikoanalyse
DSGVO
KRITIS
kritische Infrastrukturen
Netzwerk Architektur
Routing
Firewall
CISO
ITIL
Betriebsprozesse
BaFin MaRisk
Ausschreibungserstellung
SLA
IT-Security
Datensicherung
Audit
BSI Grundschutz
Informationssicherheit
Architekturberatung
Cloud Security
Projektleitung
Netzwerksicherheit
sicherer Betrieb
Analyse von Sicherheitsvorfällen
CarIT Security
Sicherheitskonzeption
Coaching
Skills
- Mehr als 20 Jahre Berufserfahrung als Berater im Bereich Informationssicherheit/Cybersecurity.
- Technische und Organisatorische Kenntnisse im Bereich Informationssicherheit/Cybersecurity.
Methodische Fähigkeiten:
- Sicherheitsmanagement
Durchführung verschiedener Projekte mit Übernahme der Aufgaben eines Sicherheitsverantwortlichen (CISO).
Entwicklung von an die Anforderung angepassten, insbesondere effizienten Sicherheitslösungen (technisch/organisatorisch).
Berücksichtigung verschiedener Anforderungskataloge (z.B. PCI-DSS, BSI-GSHB, ISO 2700x, DSGVO) - Standards:
ISO 27001 / BSI Grundschutz / ISAE 3402 / BAIT / PCI-DSS- Beratung, Einführung, Auditierung, Zertifizierungsvorbereitung von ISMS nach ISO 27001. Richtlinienerstellung.
- Beratung Risikomanagement: Beratung von Kunden zur Einführung von Risikomanagementsystemen (entsprechend ISO 27005).
- Erstellung von Sicherheitskonzepten, Durchführung von Risikoanalysen.
- Entwicklung von normengerechten Dokumentationsprozessen.
- Audits im Bereich ISO 27001.
- Entwicklung von Controls für ISAE3402 Zertifizierungen.
- Gap-Analyse, Beratung und Umsetzung der Anforderungen der MaRisk und BAIT der BaFin
- Gap-Analyse, Beratung und Umsetzung der Anforderungen des PCI-DSS
- ISAE 3402 Control Frameworks
Entwicklung, Abstimmung, Durchführung - Projekt Management
Fähigkeit, große, komplexe Projekte unter herausfordernden Rahmenbedingungen, in der vorgegebenen Zeit und im vorgegebenen Budget abzuschließen.
Strukturierte Arbeitstechnik, tiefe fachlich, technische Einarbeitung bzw. Erfahrung, intensive Analyse und klare Kommunikation und Delegation von Aufgaben. - Präsentationsfähigkeiten
Auf allen Unternehmensebenen bis Managementebene Entscheidungen Vor- und Aufbereitung.
Durchführung von Schulungen. U.A. zur Sensibilisierung von Sicherheitsthemen, Sicherheitsmanagement. - Betriebsprozesse
Erstellung von Ausschreibungen für IT Services.
ITIL.
Reifegradmodelle. - Gremienarbeit .
Technische Kenntnisse
- Cloud Computing
Analyse, Bewertung und Beratung bezüglich technischen Cloud Architekturen bezüglich Sicherheit der verarbeiteten Informationen.
Entwicklung von Verbesserungsvorschlägen zur Optimierung der Infrastruktur.
Kenntnisse der Möglichkeiten der Amazon Cloud (AWS). - Industrie 4.0
Erfahrungen im Bereich der Vernetzung von Produktionsanlagen und Haussteuerungen (IoT). Kenntnis der Architektur von Backend Systemen zur Auswertung von IoT Meldungen (Big Data) auch in der Cloud. - Anwendungsarchitektur
Technische Beratung und Bewertung von Anwendungsarchitekturen bezüglich Sicherheit und Betreibbarkeit in verschiedenen Branchen.
Analyse, Audit von Sicherheitsvorfällen auf technischer und organisatorischer Ebene. - Netzwerkarchitektur
Sehr breite Erfahrung bezüglich Netzwerkarchitektur und Netzwerkdesign in großen und sehr großen Netzen, Netzwerkzonierung.
Langjährige Erfahrung bezüglich Sicherheitsmaßnahmen in Netzwerken: Firewalls, IPS, Verschlüsselung, Authentisierung, etc.
Entwicklung von Zonierungskonzepten.
Bewertung von Netzwerkarchitekturen (Audit und Risikobewertung).
Bewertung von Cloud Netzwerk-Architekturen.
Produktkenntnisse vieler Produkte der führenden Hersteller, z.B. Cisco, Check Point, Juniper - Storage, Storage Area Networks (SAN), Storage Architekturen
Analyse von Storage-Systemen und Storage Area Networks bezüglich Ausfallsicherheit, Risikobewertung, Fehleranalyse. - VPN/Remote Access/Mobile Computing
Expertenwissen VPN/Remote Access Techniken: IPsec, SSL VPN.
Expertenwissen bezüglich Mobile Computing Lösungen.Produktkenntnisse vieler Produkte der führenden Hersteller: z.B. Cisco, Check Point, Juniper - Netzwerkprotokolle
Sehr tiefes Wissen bezüglich der TCP/IP Protokollfamilie.
Entwicklung von Konzepten, Auditierung, Implementierung, Fehlersuche
LAN/WAN - Authentisierung
Detailwissen bezüglich PKI Infrastrukturen, X.509 und Authentisierungssystemen wie Radius, Kerberos, etc.
Produktkenntnise: Microsoft Active Directory, Microsoft NPS, Microsoft Certificate Services, RSA SecureID. - Security Incident Event Monitoring (SIEM)
Expertenwissen bezüglich der Techniken, Prozesse, Methoden. - Content Security
Expertenwissen bezüglich Design und Betrieb von großen bis sehr großen Content Security Systemen. - Car IT Security
Entwicklung von ganzheitlichen Standards für die Automobilindustrie zur Sicherung der IT in Fahrzeugen und an den Schnittstellen zu Fahrzeugen.
Kenntnisse der wesentlichen Kommunikationsschnittstellen, Kommunikationsprotokolle und technischen Anforderungen im Fahrzeug. - Betriebssysteme
Detaillierte Kenntnis der Microsoft Windows Betriebssysteme und zugehörigen Services (Windows 7/10, Windows Server 2012/2016, Active Directory).
Detaillierte Kenntnis von Linux Betriebssystemen
Projekthistorie
03/2020
-
11/2020
Unterstützung bei der Zertifizierungsvorbereitung ISO 27001 und BSI IT-Grundschutz
IT Service Provider
(1000-5000 Mitarbeiter)
Internet und Informationstechnologie
Im Rahmen des Projektes zur Rezertifizierung nach ISO 27001 und „ISO 27001 auf der Basis von IT-Grundschutz“ wurde bei der Definition des Scopes, der Modellierung und Anpassung/Umsetzung von Sicherheitsrichtlinien und Maßnahmen das interne Projektteam unterstützt.
02/2019
-
08/2020
Aufbau Risikomanagement, Risiko-Assessments/-Analysen, Überarbeitung ISO Framework, Unterstützung CISO
Start-Up Bank
(250-500 Mitarbeiter)
Banken und Finanzdienstleistungen
Im Rahmen eines Outsourcingprojektes wurden die internen Informationssichereitsrichtlinien grundsätzlich überarbeitet und eine BAIT konforme Systemdokumentation inkl. Vorlagen erstellt. Das Security Risk Mangement wurde neu konzipiert. Für das gesamte Unternehmen wurden Risikoanalysen durchgeführt. Das Reporting an den Kunden wurde überarbeitet. Als Interims-Risikomanager erfolgte eine enge Abstimmung mit dem externen Kunden.
Folgende Aufgaben warent die Aufgaben des Teilprojektes
- Entwicklung von Sicherheitsrichtlinien Informationssklassifizierung und Risikomanagement, Abstimmung.
- Durchführung von Risikoanalysen inklusive Erstellung der Systemdokumentation.
- Auswahl, Integration des Toos füt das Risikomanagement. Steuerung des Dienstleisters für die Integration des Tools (Jira)
- Integration des Risikomanagement in das Bank-interne Risikomanagement
05/2020
-
05/2020
Voraudit - ISO 27001 auf Basis von IT-Grundschutz
IT Dienstleister einer Stadt
(50-250 Mitarbeiter)
Öffentlicher Dienst
Audit verschidener Bausteine des BSI IT-Kompendiums zur Vorbereitung auf ein Zertifizierungsaudit nach ISO27001 auf der Basis von IT-Grundschutz. Dokumentation und Maßnahmenempfehlung.
Beratung zur Zertifizierung
Beratung zur Zertifizierung
08/2018
-
01/2019
Prozessentwicklung „Security Patching“
Internationaler Mischkonzern
(>10.000 Mitarbeiter)
Sonstiges
Im Rahmen einer Konzernweiten Initiative zur Weiterentwicklung der Informationssicherheit wurden die Prozesse für das Security Patching der IT Systeme für den gesamten Konzern erfasst und als „Blueprint“ zu SOLL-Prozessen entwickelt, dokumentiert und abgestimmt. Projektmitarbeit im Teilprojekt „Prozesse“
10/2018
-
10/2018
Audit der IT Infrastruktur (Kritische Infrastruktur)
Betreiber von Tanklagern
(50-250 Mitarbeiter)
Energie, Wasser und Umwelt
Audit der IT Infrastruktur bezüglich technischer Sicherheitsmaßnahmen und organisatorischer Betriebsprozesse zur Umsetzung der Anforderungen zum Schutz Kritischer Infrastrukturen (Kritis).
Dokumentation und Maßnahmenempfehlung.
Abstimmung mit dem IT Leiter.
Dokumentation und Maßnahmenempfehlung.
Abstimmung mit dem IT Leiter.
Zeitliche und räumliche Verfügbarkeit
Verfügbar ab 01.10.2021, ganz Deutschland, Österreich, Schweiz
Sonstige Angaben
Kontaktaufnahme über behnke@sec3.de, +49 162 8195205