AB
nicht verfügbar bis 01.07.2024

Letztes Update: 02.02.2024

Senior Berater Informationssicherheit

Firma: sec³ Beratung GmbH & Co. KG
Abschluss: Diplom Informatiker (FH)
Stunden-/Tagessatz: anzeigen
Sprachkenntnisse: deutsch (Muttersprache) | englisch (verhandlungssicher)

Dateianlagen

20230410-CV-Alexander-Behnke_280723.pdf

Skills

  • Mehr als 20 Jahre Berufserfahrung als Berater im Bereich Informationssicherheit/Cybersecurity.
  • Technische und Organisatorische Kenntnisse im Bereich Informationssicherheit/Cybersecurity.


Methodische Fähigkeiten:
  • Sicherheitsmanagement
    Durchführung verschiedener Projekte mit Übernahme der Aufgaben eines Sicherheitsverantwortlichen (CISO).
    Entwicklung von an die Anforderung angepassten, insbesondere effizienten Sicherheitslösungen (technisch/organisatorisch).
    Berücksichtigung verschiedener Anforderungskataloge (z.B. PCI-DSS, BSI-GSHB, ISO 2700x, DSGVO)
  • Standards:
    ISO 27001 / BSI Grundschutz / ISAE 3402 / BAIT / PCI-DSS
    • Beratung, Einführung, Auditierung, Zertifizierungsvorbereitung von ISMS nach ISO 27001. Richtlinienerstellung.
    • Beratung Risikomanagement: Beratung von Kunden zur Einführung von Risikomanagementsystemen (entsprechend ISO 27005).
    • Erstellung von Sicherheitskonzepten, Durchführung von Risikoanalysen.
    • Entwicklung von normengerechten Dokumentationsprozessen.
    • Audits im Bereich ISO 27001.
    • Entwicklung von Controls für ISAE3402 Zertifizierungen.
    • Gap-Analyse, Beratung und Umsetzung der Anforderungen der MaRisk und BAIT der BaFin
    • Gap-Analyse, Beratung und Umsetzung der Anforderungen des PCI-DSS
  • ISAE 3402 Control Frameworks
    Entwicklung, Abstimmung, Durchführung
  • Projekt Management
    Fähigkeit, große, komplexe Projekte unter herausfordernden Rahmenbedingungen, in der vorgegebenen Zeit und im vorgegebenen Budget abzuschließen.
    Strukturierte Arbeitstechnik, tiefe fachlich, technische Einarbeitung bzw. Erfahrung, intensive Analyse und klare Kommunikation und Delegation von Aufgaben.
  • Präsentationsfähigkeiten
    Auf allen Unternehmensebenen bis Managementebene Entscheidungen Vor- und Aufbereitung.
    Durchführung von Schulungen. U.A. zur Sensibilisierung von Sicherheitsthemen, Sicherheitsmanagement.
  • Betriebsprozesse
    Erstellung von Ausschreibungen für IT Services.
    ITIL.
    Reifegradmodelle.
  • Gremienarbeit           .


Technische Kenntnisse
  • Cloud Computing
    Analyse, Bewertung und Beratung bezüglich technischen Cloud Architekturen bezüglich Sicherheit der verarbeiteten Informationen.
    Entwicklung von Verbesserungsvorschlägen zur Optimierung der Infrastruktur.
    Kenntnisse der Möglichkeiten der Amazon Cloud (AWS).
  • Industrie 4.0
    Erfahrungen im Bereich der Vernetzung von Produktionsanlagen und Haussteuerungen (IoT). Kenntnis der Architektur von Backend Systemen zur Auswertung von IoT Meldungen (Big Data) auch in der Cloud.
  • Anwendungsarchitektur
    Technische Beratung und Bewertung von Anwendungsarchitekturen bezüglich Sicherheit und Betreibbarkeit in verschiedenen Branchen.
    Analyse, Audit von Sicherheitsvorfällen auf technischer und organisatorischer Ebene.
  • Netzwerkarchitektur
    Sehr breite Erfahrung bezüglich Netzwerkarchitektur und Netzwerkdesign in großen und sehr großen Netzen, Netzwerkzonierung.
    Langjährige Erfahrung bezüglich Sicherheitsmaßnahmen in Netzwerken: Firewalls, IPS, Verschlüsselung, Authentisierung, etc.
    Entwicklung von Zonierungskonzepten.
    Bewertung von Netzwerkarchitekturen (Audit und Risikobewertung).
    Bewertung von Cloud Netzwerk-Architekturen.
    Produktkenntnisse vieler Produkte der führenden Hersteller, z.B. Cisco, Check Point, Juniper
  • Storage, Storage Area Networks (SAN), Storage Architekturen
    Analyse von Storage-Systemen und Storage Area Networks bezüglich Ausfallsicherheit, Risikobewertung, Fehleranalyse.
  • VPN/Remote Access/Mobile Computing
    Expertenwissen VPN/Remote Access Techniken: IPsec, SSL VPN.
    Expertenwissen bezüglich Mobile Computing Lösungen.Produktkenntnisse vieler Produkte der führenden Hersteller: z.B. Cisco, Check Point, Juniper
  • Netzwerkprotokolle
    Sehr tiefes Wissen bezüglich der TCP/IP Protokollfamilie.
    Entwicklung von Konzepten, Auditierung, Implementierung, Fehlersuche
    LAN/WAN
  • Authentisierung 
    Detailwissen bezüglich PKI Infrastrukturen, X.509 und Authentisierungssystemen wie Radius, Kerberos, etc.
    Produktkenntnise: Microsoft Active Directory, Microsoft NPS, Microsoft Certificate Services, RSA SecureID.
  • Security Incident Event Monitoring (SIEM)
    Expertenwissen bezüglich der Techniken, Prozesse, Methoden.
  • Content Security
    Expertenwissen bezüglich Design und Betrieb von großen bis sehr großen Content Security Systemen.
  • Car IT Security
    Entwicklung von ganzheitlichen Standards für die Automobilindustrie zur Sicherung der IT in Fahrzeugen und an den Schnittstellen zu Fahrzeugen.
    Kenntnisse der wesentlichen Kommunikationsschnittstellen, Kommunikationsprotokolle und technischen Anforderungen im Fahrzeug.
  • Betriebssysteme
    Detaillierte Kenntnis der Microsoft Windows Betriebssysteme und zugehörigen Services (Windows 7/10, Windows Server 2012/2016, Active Directory).
    Detaillierte Kenntnis von Linux Betriebssystemen

Projekthistorie

10/2022 - bis jetzt
Aufbau/Optimierung ISMS nach BSI IT-Grundschutz und ISO/IEC 27001, Unterstützung CISO/Sicherheitsorganisation
Bundeseigene GmbH (Öffentlicher Dienst, >10.000 Mitarbeiter)

Im Rahmen eines mehrjährigen Projektes zur Erreichung der Zertifizierungsreife (BSI IT-Grundschutz und  ISO/IEC 27001) wurde das gesamte Unternehmen untersucht, Maßnahmen aufgezeigt und Grundlegende Strukturen zur Herstellung der Zertifizierbarkeit geschaffen, insbesondere:
  • Entwicklung von Informationssicherheitsrichtlinien
  • Entwicklung des Risikomanagementsystems
  • Netzwerkanalyse Unterstützung des Bereichs Netzwerk bei der Entwicklung von sicheren Architekturen, Dokumentation
  • Umsetzung der Anforderungen der Informationssicherheit für den Personalbereich
  • Umsetzung der Sicherheitsanforderungen im Bereich Einkauf
    Durchführung von Audits (z.B. Grundschutz-Checks).
Rolle: Teilprojektleiter

01/2021 - 09/2021
Überarbeitung der Sicherheitsrichtlinien, Unterstützung bei der Umsetzung von BSI IT-Grundschutz, Unterstützung CISO/Sicherheitsorganisation
Förderbank eines Bundeslandes (Banken und Finanzdienstleistungen, 1000-5000 Mitarbeiter)

  • Überarbeitung der Sicherheitsleitlinie und der Sicherheitsrichtlinien der Bank zur Vervollständigung der Compliance mit der neuen BAIT.
  • Beratung bezüglich Optimierung der Sicherheitsorganisation.
  • Unterstützung bei der Umsetzung der des BSI IT-Grundschutzes: Kontrolle Maßnahmenumsetzung, Erstellung von Informationssicherheitskonzepten.
  • Bewertung der Umsetzung von BSI IT-Grundschutzbausteinen.
  • Durchführung von Risikoanalysen.
  • Unterstützung beim Prozessdesign für Sicherheitsprozesse.

03/2020 - 11/2020
Unterstützung bei der Zertifizierungsvorbereitung ISO 27001 und BSI IT-Grundschutz
IT Service Provider (Internet und Informationstechnologie, 1000-5000 Mitarbeiter)

Im Rahmen des Projektes zur Rezertifizierung nach ISO 27001 und „ISO 27001 auf der Basis von IT-Grundschutz“ wurde bei der Definition des Scopes, der Modellierung und Anpassung/Umsetzung von Sicherheitsrichtlinien und Maßnahmen das interne Projektteam unterstützt.

02/2019 - 08/2020
Aufbau Risikomanagement, Risiko-Assessments/-Analysen, Überarbeitung ISO Framework, Unterstützung CISO
Start-Up Bank (Banken und Finanzdienstleistungen, 250-500 Mitarbeiter)

Im Rahmen eines Outsourcingprojektes wurden die internen Informationssichereitsrichtlinien grundsätzlich überarbeitet und eine BAIT konforme Systemdokumentation inkl. Vorlagen erstellt. Das Security Risk Mangement wurde neu konzipiert. Für das gesamte Unternehmen wurden Risikoanalysen durchgeführt. Das Reporting an den Kunden wurde überarbeitet. Als Interims-Risikomanager erfolgte eine enge Abstimmung mit dem externen Kunden.

Folgende Aufgaben warent die Aufgaben des Teilprojektes

  • Entwicklung von Sicherheitsrichtlinien Informationssklassifizierung und Risikomanagement, Abstimmung.
  • Durchführung von Risikoanalysen inklusive Erstellung der Systemdokumentation.
  • Auswahl, Integration des Toos füt das Risikomanagement. Steuerung des Dienstleisters für die Integration des Tools (Jira)
  • Integration des Risikomanagement in das Bank-interne Risikomanagement
Unterstützung des CISOs bei verschiedenen Tätigkeiten (z.B. Lieferantenmanagement, Vorgaben für den Einkauf, Prozessentwicklung und Dokumentation, ISAE 3402 Audit/Control Definition).

01/2019 - 07/2020
Aufbau Risikomanagement, Erstellung Informationssicherheitsrichtlinien, Unterstützung CISO
Private Bank (StartUp) (Banken und Finanzdienstleistungen, 250-500 Mitarbeiter)

Im Rahmen eines Outsourcingprojektes wurden die internen Informationssichereitsrichtlinien grundsätzlich überarbeitet und eine BAIT konforme Systemdokumentation inkl. Vorlagen erstellt. Das Security Risk Mangement wurde neu konzipiert. Für das gesamte Unternehmen wurden Risikoanalysen durchgeführt. Das Reporting an den Kunden wurde überarbeitet. Als Interims-Risikomanager erfolgte eine enge Abstimmung mit dem externen Kunden.
Folgende Aufgaben warent die Aufgaben des Teilprojektes
  • Entwicklung von Sicherheitsrichtlinien Informationssklassifizierung und Risikomanagement, Abstimmung.
  • Durchführung von Risikoanalysen inklusive Erstellung der Systemdokumentation.
  • Auswahl, Integration des Tools für das Risikomanagement. Steuerung des Dienstleisters für die Integration des Tools (Jira)
  • Integration des IT Risikomanagements in das Bank-interne Risikomanagement
  • Unterstützung des CISOs bei verschiedenen Tätigkeiten (z.B. Lieferantenmanagement, Vorgaben für den Einkauf, Prozessentwicklung und Dokumentation, ISAE 3402 Audit/Control Definition)
Projektsprache: Englisch

05/2020 - 05/2020
Voraudit - ISO 27001 auf Basis von IT-Grundschutz
IT Dienstleister einer Stadt (Öffentlicher Dienst, 50-250 Mitarbeiter)

Audit verschidener Bausteine des  BSI IT-Kompendiums zur Vorbereitung auf ein Zertifizierungsaudit nach ISO27001 auf der Basis von IT-Grundschutz. Dokumentation und Maßnahmenempfehlung.
Beratung zur Zertifizierung

08/2018 - 01/2019
Prozessentwicklung „Security Patching“
Internationaler Mischkonzern (Sonstiges, >10.000 Mitarbeiter)

Im Rahmen einer Konzernweiten Initiative zur Weiterentwicklung der Informationssicherheit wurden die Prozesse für das Security Patching der IT Systeme für den gesamten Konzern erfasst und als „Blueprint“ zu SOLL-Prozessen entwickelt, dokumentiert und abgestimmt. Projektmitarbeit im Teilprojekt „Prozesse“

10/2018 - 10/2018
Audit der IT Infrastruktur (Kritische Infrastruktur)
Betreiber von Tanklagern (Energie, Wasser und Umwelt, 50-250 Mitarbeiter)

Audit der IT Infrastruktur bezüglich technischer Sicherheitsmaßnahmen und organisatorischer Betriebsprozesse zur Umsetzung der Anforderungen zum Schutz Kritischer Infrastrukturen (Kritis).
Dokumentation und Maßnahmenempfehlung.
Abstimmung mit dem IT Leiter.

Reisebereitschaft

Verfügbar in den Ländern Deutschland, Österreich und Schweiz
Verfügbar ab 01.07.2023, ganz Deutschland, Österreich, Schweiz

Sonstige Angaben

Kontaktaufnahme über behnke@sec3.de, +49 162 8195205
Profilbild von Anonymes Profil, Senior Berater Informationssicherheit Senior Berater Informationssicherheit
Registrieren