Erstellung einer Konformitätslandschaft der Einhaltung regulatorischer Informationssicherheits-Vorgaben für eine Bank unter besonderer Berücksichtigung des Digital Operational Resilience Act (DORA)

• Prüfung der existierenden Standards, Policies und Handlungsanweisungen auf Konformität mit den Vorgaben von DORA, der EBA Guidelines sowie der neuen MaRisk und BAIT
• Anwendung der Erkenntnisse auf die Planungen des Instituts bezüglich des Umzuges von Prozessen in eine interne Cloud
• Präsentation und Erläuterung der Vorgaben für verantwortliche Führungspersonen

• Prüfung der existierenden Standards, Policies und Handlungsanweisungen auf Konformität mit den Vorgaben der EBA sowie der neuen MaRisk und BAIT sowie auf Richtigkeit der Soll-Matrix
• Dokumentation der technischen Umsetzung des Überwachungs-konzeptes für die Regelkonforme Nutzung von NPA in Tools wie CyberArk und Qradar
• Präsentation und Erläuterung der Vorgaben für verantwortliche Führungspersonen
• Anpassung von Policies sowie Erstellung neuer Vorgaben (wo nötig)

• Prüfung der in UK praktizierten Prozesse auf Übertragbarkeit, Lücken und Risiken
• Bewertung der Lücken zu den neuen Guidelines der EBA und des BaFin zu Outsourcing und ICT Risikomanagement
• Delta Analyse der Konformität mit EBA Guidelines, MaRisk und BAIT, DSGVO und ISO 27k Extension 27701
• Vorbereitung der Einführung eines gem. BaFin geforderten Informationssicherheits- und Datenschutz Management-Systems
• Erstellung fast aller auf erster Ebene benötigen Minimum Standards sowie der benötigten Prozesse und Werkzeuge
• Erstellung der Dokumentation und Präsentation vor dem Management des Auftraggebers in Tokyo (virtuell, Corona)
• Vorbereitung aller nötigen Informationen sowie eines Konzeptes zur Arbeitsaufnahme des neuen Stelleninhabers
• Begleitung des neuen Stelleninhabers zur Erleichterung seines Einstiegs
• Erstellung der Planung der Einführung eines Datenschutz- und Informationssicherheits-Managementsystems
• Steuerung der ersten Einführungsschritte

Beratung und Erstellung einer Data Lake Richtlinie unter Berücksichtigung von Informationssicherheits- und Datenschutzthemen. U.A. wurde eine Architektur Richtlinie, ergänzende Dokumente/Policies sowie die Dokumentation des IST-Zustandes zum Nachweis der Regel-Konformität in der Umsetzung der bestehenden Konzern-Richtlinien und der regulatorischen Anforderungen erstellt

• Aufsatzpunkt waren die bestehenden Ansätze und eine Delta Analyse
•  Proaktiver Dialog zu bestehenden und / oder wünschenswerten Inhalten mit dem Fachbereich und interessierten internen Stakeholdern
• Erstellung der Architektur Richtlinie, ergänzender Dokumente und Policies
•  Kombination von NIST Controls in ein Regelwerk, das sich an ISO 27001 orientiert
• Schließung von bestehenden Darstellungslücken
•  Integration in das bestehende Regelwerk des Instituts
• Abstimmrunden an den Schnittstellen zu internen ?Kunden?
• Vorbereitung der Vorstandsvorlage

• Projektleitung für die Einführung des Identity Access Management Systems
• Prüfung der Verbindlichkeit von VAIT und KRITIS für den Kunden
• Bewertung der Verschlüsselungsszenarien
• Analyse der Konformität angebotener Cloud Services mit VAIT, KRITIS, DSGVO, und ISO 27k
• Vorbereitung der weiteren, gem. VAIT benötigten Prozesse und Werkzeuge
• Erstellung der Dokumentation und Präsentation vor dem Management des Auftraggebers sowie des Anbieters der Lösung

• Projektleitung für Black Box und White Box Penetration Testing
• Zeitliche Koordination von Angriffen zur Vermeidung von Risiken für das Kerngeschäft
• Dokumentation der Durchführung und der Ergebnisse
• Bewertung der Ergebnisse und finaler Bericht
• Bewertung der Verschlüsselungsszenarien
• Analyse der Konformität genutzter Cloud Services mit VAIT, KRITIS, DSGVO, und ISO 27k
• Koordination mit dem Fachbereich Informationssicherheit der Universität Twente
• Erstellung der Dokumentation und Präsentation vor dem Management des Auftraggebers sowie des Anbieters der Lösung

• Ausarbeitung der Erkenntnisse zum Stand der Informationssicherheit aus dem Vorprojekt
• Analyse von Schwachstellen und Abwägung neuer Risiken im Falle eines Paradigmenwechsels im WAN
• Business Impact Analysen
• Ausarbeitung von Optimierungsvorschlägen
• Bewertung der Handlungsalternativen
• Präsentation der Ergebnisse beim CFO

• Global agierendes Markenbekleidungsunternehmen
• Beurteilung des technischen IST-Zustandes im globalen WAN
• Analyse Stand der IT-Sicherheit
• Ausarbeitung von Optimierungsvorschlägen zur bestehenden Architektur
• Entwicklung von Architektur-Alternativen und Beachtung fachlicher, technischer, wirtschaftlicher Aspekte
• Betrachtung bestehender Risiken und Abwägung neuer Risiken im Falle eines Paradigmenwechsels
• Ausarbeitung von IST, SOLL und Alternativen mit dem Netzwerkbereich
• Präsentation der Ergebnisse beim CIO
• Präsentation der finalen Version mit dem CIO beim Finanzvorstand

Outsourcing, Vertragsgestaltung im Zuge von Vertragsverhandlungen mit asiatischen Dienstleistern sowie Informationssicherheits-, Datenschutz- und Arbeitsvertragsthemen bei der Lokalisierung der globalen Verträge

• Beratung der Bereichsleitung sowie des Programm Managements bei der Ausgestaltung der Lokalisierung globaler Abkommen
• Sparringspartner für Legal und Procurement des Kunden zur Sicherung einer holistischen Sicht auf die Verträge
• Beurteilung des global vereinbarten Sicherheitsniveaus i.V. mit EU GDPR und DSGVO
• Begleitung von Verhandlungen zur Anpassung des globalen Rahmens an deutsche Vorgaben zu Informationssicherheit, Datenschutz sowie zu Zeitarbeit und Arbeitnehmerüberlassung in Deutschland
• Fachliche Beratung zu Optimierungs-Maßnahmen
• Ansprechpartner der Gruppenleiter während der Transition Phase von den ehemaligen auf die neuen Dienstleister
• Begleitung der ersten Beauftragungen an die neuen Dienstleister
• Unterstützung des mittleren Managements bei der Abstimmung mit dem Headquarter und dem Konzern-Einkauf
• Unterstützung des Managements bei den Vertragsverhandlungen, fachlich sowie bei der Bewertung Interpretation englisch-sprachiger Dokumente

• Lösungsorientierte, effiziente Beratung und Unterstützung der Bereichsleitung, des Managements und der Mitarbeiter in Fragen der Revision, des Datenschutzes und der IT-Security
• Koordination und Planung der Aufgaben in den Bereichen der Revision, des Datenschutzes und der IT-Security
• Nachweis der Compliance: ?Test of Design? und ?Test of Evidence?
• Dokumentation des existierenden Sicherheitsniveaus
• Dokumentation des existierenden Datenschutzniveaus
• Fachliche Beratung zu Optimierungs-Maßnahmen
• Ansprechpartner der Gruppenleiter während der Projektphase
• Konstruktive Begleitung von Teilprojekten
• Unterstützung des mittleren Managements bei der Kommunikation mit dem Headquarter und dem internen Audit- Team

• Eine Region des Medizinischen Dienstes der Krankenkassen
• Projektleitung für Black Box und White Box Penetration Testing
• Koordination und Auswahl der Angriffsziele
• Wo nötig und gewünscht, Beschaffung der Dokumentationen von Systemen zur Vermeidung von Reverse Engineering Aufwänden
• Zeitliche Koordination von Angriffen zur Vermeidung von Risiken für das Kerngeschäft
• Abstimmung geeigneter Erkennungsmerkmale wie IP Adressen, zur Vermeidung von überflüssigen Alarmen für das Kerngeschäft
• Dokumentation der Durchführung und der Ergebnisse
• Bewertung der Ergebnisse und finaler Bericht

• Beurteilung der geplanten Datenverwendung unter Berücksichtigung von GDPR und DSGVO
• Unterstützung und Begleitung der Verhandlung mit Cloud Anbietern, Google, MS Cloud, IBM und AWS
• Nachweis der Compliance: ?Test of Design? und ?Test of Evidence?
• Dokumentation des existierenden Sicherheitsniveaus
• Dokumentation des existierenden Datenschutzniveaus
• Delta Analyse sowie Strategie zur Erreichung von Compliance
• Vorbereitung und Planung einer ISO/IEC 27k Zertifizierung sowie Nachweis der Einhaltung der vom Datenschutz geforderten technisch-organisatorischen Maßnahmen (TOM)
• Kalkulation von internen und externen Aufwänden zur Zielerreichung

• Projektleitung für Black Box und White Box Penetration Testing
• Koordination und Auswahl der Angriffsziele
• Wo nötig und gewünscht, Beschaffung der Dokumentationen von Systemen zur Vermeidung von Reverse Engineering Aufwänden
• Zeitliche Koordination von Angriffen zur Vermeidung von Risiken für das Kerngeschäft
• Abstimmung geeigneter Erkennungsmerkmale wie IP Adressen, zur Vermeidung von überflüssigen Alarmen für das Kerngeschäft
• Dokumentation der Durchführung und der Ergebnisse
• Bewertung der Ergebnisse und finaler Bericht

• Schulung zu Informationssicherheit im Internet und E-Mail Verkehr
• Projektleitung Social Pentest
• Dokumentation der Ergebnisse für die Geschäftsleitung
• Vorbereitung und Durchführung von Schulungs-Maßnahmen