-
Reduktion von Information Security Risiken eines Gesundheitskonzerns
Als Projektmanager stellte ich den Betrieb des Information Security Risk Management sicher, erfasste und bewertete Risiken mit Verantwortlichen, definierte angemessene und effektive Maßnahmen zur Risikoreduktion, pflegte das Risikoregister, stimmte Risiken mit dem Enterprise Risk Management ab und schulte neue Mitarbeiter.
Im Konzern wurde Awareness bei Verantwortlichen geschaffen, das Risk Management wurde im Rahmen eines ISO/IEC 27001-Audits ohne Feststellungen abgenommen und es fand eine erfolgreiche Übergabe an die Organisation für den weiteren Betrieb mit einem dedizierten Team zur Reduzierung von Risiken statt.
-
Identifikation von Information Security Risiken eines Gesundheitskonzerns
Als Projektmanager definierte ich einheitliche Prozesse zum Information Security Risk Management, erstellte ein Risikoregister und entwarf ein Dashboard zur Anzeige des Status von Risiken.
Das Management konnte fundierte Entscheidungen zur Behandlung von Information Security Risiken treffen.
-
Begleitung der erfolgreichen ISO/IEC 27001 Erst-Zertifizierung eines Getränkeherstellers
Als Projektmanager führte ich Workshops zum Anwendungsbereich und zur Risikobewertung von Prozessen sowie verbundener IT-Assets durch, entwarf die Information Security-Organisation und führte interne, sowie Friendly Audits durch und coachte Verantwortliche als Vorbereitung auf anstehende Audits.
Das Unternehmen wurde erfolgreich zertifiziert und erfüllte damit regulatorische Anforderungen, reduzierte die Kosten für eine Cybersecurity-Versicherung und konnte das Unternehmen besser vor Information Security Bedrohungen schützen.
-
Begleitung der erfolgreichen ISO/IEC 27001 Re-Zertifizierung eines Gesundheitskonzerns
Als Projektmanager erstellte und überarbeitete ich Richtlinien und Prozesse des ISMS, führte Friendly Audits zur Ermittlung der Wirksamkeit von Kontrollen durch und coachte Verantwortliche als Vorbereitung auf anstehende Audits.
Das Unternehmen wurde erfolgreich re-zertifiziert und im Rahmen der Vorbereitung wurden Verantwortliche zum Thema Information Security geschult und sensibilisiert.
-
Planung der Aktivitäten zur Erreichung von Information Security Zielen für einen Getränkehersteller
Als Projektmanager analysierte ich die Ergebnisse verschiedener Security Audits, definierte Maßnahmen zur Reduzierung von Risiken und führte Workshops zur Definition von Information Security Zielen durch. Ich erstellte eine detaillierte Roadmap zur gesteuerten Erreichung der Ziele.
Die Geschäftsführung übernahm die Roadmap, setzte diese um, erfüllte damit regulatorische Vorgaben und erreichte eine Zertifizierung nach ISO/IEC 27001.
-
Aufbau eines Compliance Management Systems zur konzernweiten Prüfung der Einhaltung von Information Security Vorgaben für einen Automobilkonzern
Als Teammitglied analysierte ich interne Vorgaben zur Information Security und unterstützte bei der Definition eines Tool-gestützten Vorgehens zur Ermittlung der Einhaltung. Ich adaptierte die Vorgaben zur Sicherstellung der Prüfbarkeit, ordnete Vorgaben eindeutig den im Konzern bestehenden Rollen zu und kommentierte diese zum besseren Verständnis mit assoziierten Risiken.
Die für die konzernweite Information Security zuständige Abteilung erhielt die Möglichkeit, gezielte Compliance-Abfragen im Konzern durchführen und die Ergebnisse im zeitlichen Verlauf zu vergleichen, welches das Management dabei unterstützte gezielte Maßnahmen umzusetzen und eine Erfolgskontrolle durchzuführen.
-
Quantifizierung von Information Security Risiken für einen Sportartikelhersteller
Als Teammitglied identifizierte ich Information Security Risiken durch Interviews und Dokumentenanalyse, quantifizierte wesentliche Risiken und definierte ein Risikoregister mit Aggregationsfunktion.
Die Verantwortlichen konnten Risiken vergleichen und priorisieren und mitigierende Maßnahmen mit dem besten Kosten- / Nutzen-Verhältnis auswählen.
-
Ausrichtung eines Information Security Kompetenzzentrums für einen Automobilkonzern
Als Teammitglied begleitete ich Interviews mit dem für die konzernweite IT verantwortlichen Management des Konzerns und unterstützte bei der Festlegung der Innenorganisation, der inhaltlichen Ausrichtung, der Definition des Leistungsportfolios, sowie der Arbeitsweise und Außendarstellung eines Information Security-Kompetenzzentrums. Zur Erreichung der Ziele wurde eine detaillierte Strategie erstellt.
Die Verantwortlichen für das Kompetenzzentrum übernahmen die Strategie und konnten durch die Umsetzung Information Security Know-how im Konzern zur Verfügung stellen.
-
Aktualisierung eines internen Kontrollsystems zu IT-Service Prozessen für einen Automobilkonzern
Als Projektmanager koordinierte ich die Aktualisierung und Harmonisierung bestehender interner Kontrollen unter Berücksichtigung der Risiken aufgrund von Prozessänderungen und dem Einsatz neuer Dienstleister.
Das Management der IT-Abteilung erhielt spezifische Kontrollen, die den Aufwand bei der Kontrolldurchführung sowie Prozessrisiken effektiv reduzierten. Die Abteilung erhielt daraufhin ein ISAE 3402 Zertifikat, welches die Angemessenheit der internen Kontrollen bestätigte.
-
Betrieb von Prozessen zu den Themen Information Security, Audit und Compliance für einen Automobilkonzern
Als Teammitglied unterstützte ich die Überführung zuvor definierter Prozesse in den Regelbetrieb einer Abteilung, welche für den Betrieb von IT-Infrastruktur zuständig ist. Ich arbeitete eng mit den Schnittstellenfunktionen innerhalb der Organisation zusammen, unterstützte den Betrieb der Prozesse, schulte Mitarbeiter bei der Durchführung der Prozesse und arbeitete Empfehlungen zur kontinuierlichen Verbesserung aus.
Das Management der Abteilung überführte die angepassten Prozesse in den Betrieb und konnte Mehraufwände in den Bereichen Audit und Compliance reduzieren sowie das Information Security Niveau steigern.
-
Ermittlung von Stärken und Schwächen der europäischen Information Security Organisation eines Energiekonzerns
Als Projektmanager definierte ich Assessment-Inhalte und leitete ein fünfköpfiges Projektteam bei der europaweiten Durchführung von Interviews mit verantwortlichen Information Security Officer und bei der Prüfung angeforderter Nachweise. Ich koordinierte die Konsolidierung der Ergebnisse, stellte deren Vergleichbarkeit sicher und bereitete sie managementgerecht auf.
Basierend auf den Ergebnissen entschied sich das Management zur Umsetzung empfohlener Maßnahmen zur Steigerung der Effektivität ihrer Information Security Organisation. Die Security Officer erhielten darüber hinaus Informationen über die Kenntnisse und Fähigkeiten Ihrer Kollegen, um sich gegenseitig zu unterstützen.
-
Definition und Betrieb von Prozessen zum Thema Schwachstellenmanagement für einen Automobilkonzern
Als Projektmanager definierte ich den Prozess zur Risikoeinstufung und Priorisierung, Kommunikation an Systemverantwortliche und Erfolgskontrolle der Schließung identifizierter Schwachstellen. Ich automatisierte Prozessschritte durch den Aufbau eines Regelwerks, definierte Management Reports und begleitete die Überführung in den Regelbetrieb.
Das Management der IT-Abteilung konnte die Einhaltung von MaRisk-Anforderungen durch den gesteuerten Prozess und die Management Reports nachweisen. Risiken innerhalb der IT-Infrastruktur wurden kontinuierlich reduziert. Der operative Aufwand wurde durch Automatisierung erheblich reduziert.
-
Einschätzung der Verlässlichkeit eines Dienstleisters bei der Erbringung von IT-Nutzerservices für einen Chemiekonzern
Als Teammitglied selektierte ich Anforderungen an den Dienstleister aus Frameworks und Standards und führte Interviews mit Prozesseignern aus den Bereichen Sourcing & Controlling, HR und Service Prozesse durch. Ich identifizierte und priorisierte Risiken und definierte korrektive Maßnahmen.
Das Management erhielt belastbare Informationen über die Verlässlichkeit des Dienstleisters bei der Erbringung von Leistungen, und konnte spezifische Maßnahmen zur Steuerung des Dienstleisters und zur Reduzierung von Information Security-Risiken umsetzen.
-
Durchführung eines ISO/IEC 27001 Trainings für Information Security Koordinatoren eines internationalen Softwarekonzerns
Als Projektmanager bereitete ich Inhalte eines zweitägigen Trainings auf und schulte internationale Teilnehmer in grundlegenden Konzepten von Information Security Management Systems mit besonderer Berücksichtigung der Auditierung.
Die Information Security Koordinatoren erhielten einen Einblick in den Ablauf eines Audits und die Perspektive der Prüfer, welche sie zur Vorbereitung ihrer Audits befähigte.
-
Definition von Prozessen zu den Themen Information Security, Audit und Compliance für einen Automobilkonzern
Als Teammitglied führte ich Interviews mit Verantwortlichen für den Betrieb von IT-Infrastruktur durch. Ich definierte Prozesse zu den Themen Information Security, Audit und Compliance sowie deren Schnittstellen zu externen Bereichen.
Das Management der IT-Abteilung erhielt Prozessbeschreibungen zur Durchführung der Aktivitäten zur Reduzierung von Risiken in den Bereichen Information Security, Audit und Compliance und konnte diese internen und externen Ressourcen zur Umsetzung übergeben.
-
Aufbau eines internen Kontrollsystems zu IT-Service Prozessen für einen Automobilkonzern
Als Teammitglied führte ich Interviews mit Prozesseignern und Dienstleistern zu Ermittlung von Risiken bei der Erbringung von IT-Services durch. Ich erstellte interne Kontrollen zur Mitigierung und stellte die Harmonisierung interner Kontrollen zur Reduktion des Aufwands bei der Kontrolldurchführung sicher.
Das Management der IT-Abteilung erhielt spezifische interne Kontrollen für die Abteilung und für Dienstleister, die den Aufwand bei der Kontrolldurchführung sowie Prozessrisiken effektiv reduzierten. Die Abteilung erhielt darauf ein ISAE 3402 Zertifikat, welches die Angemessenheit der internen Kontrollen bestätigte.
-
Verknüpfung der Anforderungen aus Information Security Richtlinien mit definierten Rollen eines Chemiekonzerns
Als Teammitglied erstellte ich eine Gap-Analyse durch Abgleich der Anforderungen mit Frameworks und Standards und ergänzte fehlende Inhalte und Verantwortlichkeiten zur Umsetzung der individuellen Anforderungen. Ich passte die Struktur der Richtlinien an die Bedürfnisse der jeweiligen Zielgruppe an.
Das Management setzte die Richtlinien in Kraft und der CISO konnte Information Security Risiken durch die Einforderung der Maßnahmenumsetzung von Rolleninhabern im Konzern reduzieren.
-
Assessment des Compliance-Status von Anwendungseignern für einen Energiehändler
Als Teammitglied selektierte ich relevante Compliance-Anforderungen an Anwendungseigner aus IT- und Nicht-IT-Richtlinien, führte Interviews mit Anwendungseignern zur Ermittlung des Compliance-Status durch und konsolidierte Ergebnisse in einem Bericht an den CISO.
Basierend auf den Ergebnissen konnte der CISO Maßnahmen zur Unterstützung der Anwendungseigner ergreifen und das Sicherheitsniveau der geschäftskritischen Anwendungen steigern.
-
Lösungsdesign und Implementierung von MaRisk-Reports für eine Landesbank
Als Teammitglied optimierte ich das Design von Excel-basierten Prototypen zu den Themen operationelle Risiken, Kreditrisiken, Liquiditätsrisiken und Liquiditätsstresstests und überführte diese in eigenständige, selbst aktualisierende Anwendungen auf die berechtigten Anwender zugreifen konnten.
Das Management der Landesbank konnte die Einhaltung der MaRisk-Anforderungen durch die Reports nachweisen und wurde durch aktuelle Reports mit optimierten Datenvisualisierungen in ihrer Entscheidungsfindung unterstützt.
-
Konzeption und Durchführung von mehrtägigen Schulungen zu den Themen Datenanalyse und Aufbau von Reports für eine Landesbank
Als Teammitglied konzipierte ich eine dreitägige Schulung zu den Themen multidimensionale Datenanalyse, Aufbau von interaktiven Reports und Datenvisualisierung unter Anwendung eines Reporting-Tools. Ich führte die Schulungen für mehrere Fachabteilungen der Landesbank durch.
Die Schulungsteilnehmer wurden befähigt entscheidungsrelevante Informationen ihrer Bereiche selbstständig in Reports visuell aufzubereiten, um eine datenbasierte Entscheidungsfindung zu unterstützen.