Profilbild von Mikhail Tisov Cybersicherheit Architekt/Berater aus InwilbeiBaar

Mikhail Tisov

verfügbar

Letztes Update: 30.11.2018

Cybersicherheit Architekt/Berater

Abschluss: Master of Engineering
Stunden-/Tagessatz: anzeigen
Sprachkenntnisse: Deutsch (gut) | Englisch (verhandlungssicher) | Russisch (Muttersprache)

Dateianlagen

cissp-08092017.pdf
stanford-acsc.pdf
aws-certified-cloud-practitioner-certificate.pdf

Skills

  • Mehr als 10 Jahre Erfahrung in der Informations- und Cybersicherheit im Rahmen von Sicherheitsstrategien und Konzepten, Umsetzung von Massnahmen und Methoden, Sicherheits-Reviews durch professionelle Zertifizierungen (CISSP, CCSP und Stanford Advanced Computer Security Certificate).
  • 6 Jahre Erfahrung als innerer Sicherheitskonsultant für verschiedene Unternehmen der internationalen Gruppe.
  • Fundierte Kenntnisse und Umsetzungserfahrung in den Bereichen Sicherheitsarchitekturen, ISO 2700x, IAM, Kommunikations- und Netzwerksicherheit, Security Engineering, Vulnerability Assessment und Penetration Testing.
  • Erfolgsgeschichte von mehr als 20 Cybersicherheit- und IT-Projekten in geografisch verteilten Umgebungen.
  • Nachgewiesene Fähigkeit, multidisziplinäre IT-Teams multinationaler Organisationen zu leiten.
  • Ausgeprägte Kommunikationsfähigkeiten, um eine Lücke zwischen Business und Technologie zu schließen.

Projekthistorie

Projekthistorie

SWIFT Security Project (2015-2017)
Situation: Das Treasury der EVRAZ-Gruppe fungiert als eine interne Finanzzentrale, die täglich erhebliche Beträge auf die Konten der mehr als 15 Banken weltweit überweist. Wenn alle Zahlungen im Backoffice-System durch einen hoch entwickelten Genehmigungsprozess genehmigt wurden, wurden die Transaktionen von einem verantwortlichen Mitarbeiter manuell mittels der Vielzahl der E-Banking-Anwendungen durchgeführt. Um die Zahlungsmethode im Jahr 2015 zu rationalisieren und sicherzustellen, habe ich SWIFT Finance Messaging für Firmenkunden eingeführt ("Alliance Lite 2" - SaaS-ähnliche Lösung). Dies erhöhte die Sicherheitsverfahren durch die Einführung des Vier-Augen-Prinzips, jedoch war die manuelle Transaktionseingabe immer noch eine Quelle des Risikos von Finanzbetrug oder menschlich verursachten Fehlern.
Task: Ausschluss manueller Tätigkeiten durch Integration von SWIFT Alliance Lite 2 und dem Backoffice-System (eine Art russischem ERP) mit On-Prem-Integrationsservice (SWIFT AutoClient). Fristablauf ist März 2017.
Action: Ich habe eine sichere Infrastrukturarchitektur entworfen und den SWIFT-Integrationsservice implementiert. Dann initiierte ich ein Sicherheitsprojekt zur Integration des SWIFTs ins Backoffice-System.
Mit der Absicht zum Aufbau der ausgeglichenen Abläufe habe ich die folgenden Tätigkeiten durchgeführt:
  1. Ich habe  am SWIFT Security Bootcamp Training teilgenommen, um das Thema im Detail zu erlernen.
  2. Ich habe die Architektur  der Integrationslösung entwickelt, die die Daten Transitsicherheit zwischen den geografisch getrennten IT-Standorten des Unternehmens gewährleistet. (Das Unternehmen hat zwei Standorte: in Russland und in der Schweiz, die durch WAN MPLS miteinander verbunden sind).
  3. Ich habe ein multinationales, multidisziplinäres IT-Projektteam aufgebaut, entwickelt und im Laufe des Projekts geleitet.
  4. Die Backoffice-Systementwickler wunden unter meiner Leitung für die Themen Sicherheitsgrundlagen und Sicherheitstechnologien (TLS, SSH, SFTP)  geschult. Der entscheidende Teil meiner Aufgabe war dabei das Verständnis der Mitarbeiter zu gewinnen, dass die Datenübermittlung aller SWIFT-messages im Form von Klartext durch die Unternehmensnetze in Zukunft nicht genug sicher ist.
  5. Ich beriet Entwickler über das Thema Sicherheitscodierung und zwar: Code-Beispiele für HMAC-SHA-256 Hash-Algorithmen.
  6. Als Nächstes haben die Massnahmen zur praktischen Sicherheitshärtung von SWIFT-Infrastrukturkomponenten (Server, Netzwerke etc.) ergriffen und sie schlossen unten genannte Punkte  ein:
  7. Die praktische Entwicklung von PowerShell-Skripten zur Automatisierung von Integrationsaufgaben auf SWIFT-Seite.
  8. Die praktisches Testen der Integration von SWIFT-Seite: Ich habe die Ergebnisse der von den Entwicklern gesendeten Transaktionsmeldungen überprüft und die angetroffenen Probleme und Inkonsistenzen mit der engen  Zusammenarbeit  mit den SWIFT- Team Entwicklern  festgestellt und gelöst .
  9. Ich übernahm  die Rolle des SWIFT Security Officers und legte die relevanten Sicherheitsverfahren fest (z. B. Security Key Management).
  10. Ich habe  die Konformitätsbewertung des SWIFT Customer Security Programms (CSP) (90+ Kontrollen) durchgeführt und die fehlenden Kontrollen (z. B. Überprüfung eines Berichts nach ungewöhnlichen Tagen/Uhrzeiten der Transaktionen) umgesetzt.
Result: Die sichere Integrationslösung wurde in der Produktion innerhalb definierter Fristen und Budgets in Betrieb genommen. Der Zahlungsprozess wurde vollständig automatisiert, das Risiko von betrügerischen Transaktionen oder menschlichen Fehlern wurde minimiert. Später wurde die Lösung von SWIFT als CSP-konform bescheinigt.

Reisebereitschaft

Verfügbar in den Ländern Schweiz
Profilbild von Mikhail Tisov Cybersicherheit Architekt/Berater aus InwilbeiBaar Cybersicherheit Architekt/Berater
Registrieren