Federico (F.) Leefhelm

ISO – Senior Consultant Qualität & Informationssicherheit

Düsseldorf, Deutschland

Erfahrungen

Okt. 2023 - Juni 2024
9 Monaten
Deutschland

ISO – Senior Consultant Qualität & Informationssicherheit

Gemeinsame Klassenlotterie der Länder, Freiberufler

Die Gemeinsame Klassenlotterie der Länder (GKL) ist eine Anstalt öffentlichen Rechts. Träger sind die 16 deutschen Bundesländer. Die Aufgabe der GKL ist die Veranstaltung von staatlichen Klassenlotterien und Spielergänzungen sowie Jugendschutz und Spielsuchtprävention sicherzustellen. Die GKL führt zurzeit dem Einsatz von einen Qualitäts- und Informationssicherheitsmanagementsystem (QMS & ISMS) gemäß der ISO-Normen (9001 & 27001). Verantwortlich für die Einführung der QMS & ISMS im Auftrag des Partnerunternehmens ModernX GmbH & Co. KG.

  • Verantwortlich für den Benchmark und die künftige Einführung eines ISO-Tools mit dem Ziel, alle Management Systeme zentral zu verwalten
  • Verantwortlich für den Einsatz eines Qualitätsmanagementsystems (QMS) gemäß ISO 9001:2015
  • Verantwortlich für den Einsatz eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO 27001:2022
  • Vorbereitung und Erstellung der entsprechenden Maßnahmen (Scope, SoA, Richtlinien, Sicherheitskonzepte, Verfahrensanweisungen, SOP, etc.), um ein QMS und ISMS gemäß ISO 9001 & ISO 27001 aufzubauen und einzusetzen
  • Im Risikomanagement Erkennung, Bewertung und Bearbeitung kritischer und potenzieller Angriffsszenarien der Institution
  • Risikomanagement, Risikoanalyse, Risikobehandlung, Schutzbedarfsfeststellung und Schwachstellenanalyse der IT-Infrastruktur der Institution
Juli 2023 - Apr. 2024
10 Monaten
Hamburg, Deutschland

ISO – Senior Consultant Cyber- & Informationssicherheit

Northland Power Europa GmbH, Freiberufler

Northland Power hat seinen Hauptsitz in Toronto, Kanada, und verfügt über weltweite Niederlassungen in acht Ländern. Entwickler, Betreiber und Eigentümer sauberer und umweltfreundlicher (Wind) Energieanlagen seit 1987. Mit über 12 Milliarden US-Dollar an hochwertigen Stromerzeugungsanlagen in Betrieb. Northland Power Europa GmbH (NPEG) ist bestrebt, starke Ergebnisse und eine nachhaltigere Zukunft zu liefern. Als Betreiber und Dienstleister für kritische Infrastrukturen (kDL & KRITIS gemäß BNetzA, EnWG und BSI) muss NPEG mit der IT-SiG 2.0 Compliant sein und einem nach ISO 27001:2022 ISMS betreiben. Der ISMS-Scope umfasst den gesamten Betrieb der Windenergieanlagen (Strategischer, Operativer und Security IT / OT).

  • Mitglied des Security-Teams und somit mitverantwortlich für die Cyber- & Informationssicherheit der Windenergieanlagen des Unternehmens
  • Verantwortlicher für die Erstellung aller Unterlagen und Maßnahmen (Richtlinien, Sicherheitskonzepte, Verfahrensanweisungen, Kryptografie und Key-Management, etc.), um SzA einzusetzen gemäß BSI IT-SiG 2.0 und EnWG
  • Vorbereitung und Erstellung der entsprechenden Maßnahmen (Richtlinien, Sicherheitskonzepte, Verfahrensanweisungen, SOP, etc.), um ein ISMS gemäß ISO 27001:2022 aufzubauen und einzusetzen (ISMS-Handbuch, BCM, IT-Notfallkonzepten, IAM, Backup & Recovery, MDM, Lieferanten-, Password-, Patch-, Asset & Configuration-, Netzwerk-Management, Kryptografie-Konzepte u.v.m.)
  • Im Risikomanagement Erkennung, Bewertung und Bearbeitung kritischer und potenzieller Angriffsszenarien der Windenergieanlagen
  • Risikomanagement, Risikoanalyse, Risikobehandlung, Schutzbedarfsfeststellung und Schwachstellenanalyse der IT/OT-Infrastruktur der Windenergieanlagen
  • Erstellung IT/OT-Notfallkonzepte, Incident Response Prozessen & Wiederaufbau von IT/OT-Systemen i.R.d. BCM (BIA, RIA & DRP)

Das Projekt wurde von Northland Power Europa GmbH frühzeitig abgebrochen, weil die Windkraftanlagen verkauft werden und das Unternehmen in Deutschland geschlossen wird.

Feb. 2023 - Aug. 2023
7 Monaten
Velbert, Deutschland

CISO ad Interim & Senior Management Consultant ISMS, BCM & IAM

Huf Hülsbeck & Fürst GmbH & Co. KG, Freiberufler

Als Spezialist für sichere Fahrzeugzugangs- und Autorisierungssysteme ist Huf seit über 100 Jahren die erste Anlaufstelle für alle Automobilhersteller. Huf mit Hauptquartier in Velbert, NRW und Präsenz in mehr als 17 Standorten in 3 Kontinenten ist bereits TISAX, ISO 9001 (QMS) und ISO 27001 (ISMS) zertifiziert. Huf ist heute dabei u.a. ein BCMS einzuführen.

  • Leitung und Management des Projektes für die Einführung eines Business Continuity Management (BCM) gemäß ISO 22301
  • Zielsetzung eines BCMS ist zu gewährleisten, dass der weltweite Huf-Geschäftsbetrieb bei massiven Schadensereignissen nicht unterbrochen wird. Wenn einem unvermeidbaren Ausfall aufgetreten ist, dann in angemessener Zeit wieder aufgenommen werden kann
  • Definition des Scopes des Projektes, Erstellung eine Business Continuity Management (BCM) Richtlinie, Business Impact Analyse (BIA), Risk Impact Analyse (RIA) und entsprechendes DRP (Disaster Recovery Plan), IT-Notfallkonzepten, Schwachstellenanalyse, Incident Response Prozessen & Wiederaufbau von IT-Systemen, um BCM gemäß ISO 22301 Zertifizierung zu erlangen
  • Ich habe die erste Prüfung des Corporate Identity and Access Management-Prozesses (IAM) durchgeführt und eine große Anzahl unregelmäßiger Prozesse festgestellt, die zu vielen dringenden Maßnahmenempfehlungen zur Verbesserung geführt haben.
  • Mitarbeit für die Kontinuierliche Verbesserungsprozess der TISAX- und des ISMS-Zertifizierung gemäß ISO 27001

Das BCM-Projekt wurde aufgrund von Budgetplanung nicht abgeschlossen.

Dez. 2022 - Juli 2024
1 Jahr 8 Monaten
Düsseldorf, Deutschland

ISO, Senior Management Consultant und Senior PMO für die IT-Dezernatsleitung

Universitätsklinikum Düsseldorf (UKD), Freiberufler

Das UKD ist das größte Krankenhaus in der Landeshauptstadt und eines der wichtigsten medizinischen Zentren in der Bundesland Nordrhein-Westfalen und übernimmt gemeinsam mit der Medizinischen Fakultät der Heinrich-Heine-Universität eine besondere Funktion in unserem Gesundheitswesen, Forschung und Lehre. Im Jahr 2017 feierte das Universitätsklinikum Düsseldorf (UKD) seinen 110. Geburtstag. Das UKD, als Betreiber Kritischer Infrastrukturen (KRITIS gemäß §8a BSIG) betreibt einem nach ISO 27001:2022 zertifiziertes ISMS. Der ISMS-Scope umfasst das gesamte Dezernat der IT (Strategischer, Operativer und Security).

  • Arbeitet direkt und ist persönliche Senior Management Consultant des Dezernenten des IKMT „Informations/Kommunikationstechnologie und Medizintechnik“ (also CIO) und Leader der Innovationsprojekten
  • Als ISO, verantwortlich für das gesamte IT-Dezernat in der Informationssicherheit
  • Erstellung, Aufrechterhaltung und Verbesserung von ISMS-Richtlinien und SOPs
  • Schulungen und Awareness der IT-Mitarbeiter im Bereich der IT Security, Incident Response Prozessen und Wiederaufbau von IT-Systemen
  • Erstellung und Hauptansprechpartner für die neue IT-Strategie des UKD plus eines BIA und DRP für den Wiederaufbau von IT-Systemen
  • Als ISO, Vorbereitungen für die nächste Einführung von Business Continuity Management gemäß ISO 22301 für das Dezernat IKMT und UKD
  • Erstellung einer IT-Cybersecurity-Strategie und Roadmap für die Implementierung zusätzlicher Tools und Lösungen für die Cybersecurity des UKD
  • Erstellung eines IT-Notfallkonzepts (i.R.d. DRP), IT-Sicherheitskonzepts, Incident Response und dazugehörige Begleitkonzepte (Datenschutz, Antivirus, Kryptografie, Konfigurations- und Härtungsmaßnahmen, Asset & Configuration-, Patch-Management, Rollen u. Rechte (IAM), IT-Notfallvorsorge, usw.) für die IT des UKD
  • Mitarbeit bei der Erstellung der Maßnahmen, um SzA (Systeme zur Angriffserkennung) gemäß BSI IT-SiG 2.0 Compliant zu werden (Richtlinien, Kryptographie & Key Management Sicherheitskonzepte, Verfahrensanweisungen, etc.)
  • Als PMO, Entwicklung eines Sicherheitskonzepts, Durchführung eines Proof of Concept (PoC), Bewertung und Auswertung bis hin zu Einkauf und Implementierung einer Lösung, um die Einführung eines Medizingerätemonitoring-Sicherheitssystems, um wissen zu können welche, wie viele und in welcher (Security) Stand Medizingeräte am Campus-Netz angeschlossen sind, um zu vermeiden evtl. Bedrohungen oder Angriffe über das Netz zu bekommen
  • Aufbau eines Security Operations Center (SOC) mit Arbeitskonzept und ‑Definitionen, um Präventivmaßnahmen, schnelleren Erkennung von Bedrohungen und einer schnelleren, wirksameren Reaktion auf evtl. Sicherheitsbedrohungen (Incident Response Prozessen und Wiederaufbau von IT-Systemen)
  • Aufbau eines Security Information Event Management (SIEM) mit Splunk, um eine sichere Netzwerkkommunikationsüberwachungssystem zu ermöglichen
  • Ab Februar 2023 die Aufgabe „Senior PMO“ der Dezernatsleitung übernommen
  • Als PMO, verantwortlich für die Kontrolle aller IT-bezogenen Projekte des UKD (>2K Projekte)
  • Erstellung & Management von Gantt-Charts für alle IT-bezogenen Projekte (IT & Medizin, IT Security (Firewall und Netzwerke), SAP, usw.)
  • Erstellung eines Patch-Management-Sicherheitskonzepts & Prozesse und zusammen mit den System Engineers die Standard Operational Procedures (SOP)
  • Mitarbeit an der Kontinuierlichen Verbesserungsprozess (KVP) des zertifizierten Information Security Management Systems (ISMS), als Vorbereitung für des ersten Überwachungsaudits
  • Regelmäßige Reports des Projektfortschritts zur Dezernatsleitung und Vorstand
Mai 2022 - Dez. 2022
8 Monaten
München, Deutschland

Senior Management Consultant BCM, Compliance & Informationssicherheit

Bitmarck Beratung GmbH, Freiberufler

Bitmarck Beratung ist ein Managed Service Provider im IT-Markt der gesetzlichen Krankenversicherung und betreibt die Digitalisierung in der Branche voran. Bitmarck ist bereits ISO 9001 (QMS) und ISO 27001 (ISMS) zertifiziert.

  • Leitung und Management des Projektes für die Einführung eines Business Continuity Management (BCM) gemäß ISO 22301 und BSI IT-GS Standard 200-4
  • Zielstellung des BCM-Projektes ist es, dass der Bitmarck-Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird oder nach einem unvermeidbaren Ausfall in angemessener Zeit wieder aufgenommen werden kann
  • Definition des Scopes des Projektes, Erstellung einer Business Continuity Management Richtlinie für das Unternehmen, Durchführung einer Business Impact Analyse (BIA), einer Risk Impact Analyse (RIA) und entsprechender IT-Notfallkonzepte i.R.d. DRP (Disaster Recovery Plan), sowie Durchführung des Risikomanagements
  • Erstellung von IT-Notfallkonzepten, Schwachstellenanalyse, Incident Response Prozessen, Wiederaufbau von IT-Systemen (DRP) für ein BCM gemäß ISO 22301
  • Erstellung einer Gantt-Chart des Projektes und Vorbereitung aller notwendigen Unterlagen, um das Ziel zu erreichen, BCM gemäß ISO 22301 zertifiziert zu sein

Das BCM-Projekt wurde aufgrund von Budgetplanung nicht abgeschlossen.

Mai 2022 - Juli 2022
3 Monaten
Deutschland

CISO as a Service – Chief Information Security Officer

EUROVIA Services GmbH, Freiberufler über Mazars GmbH

Die EUROVIA Services GmbH, Teil der EUROVIA GmbH mit Sitz in Berlin ist eine VINCI Construction Tochterunternehmen in Deutschland. EUROVIA ist ein Unternehmen des Tief- und Verkehrswegebaus. Die in 16 Ländern tätige EUROVIA-Gruppe gehört zum französischen VINCI-Konzern (VINCI S.A.), die IT-Abteilung als Teil des DSI (Direction des Systems d’Information, EUROVIA Frankreich) ist für den IT-Betrieb, Netzwerk, Projekten und für die Einhaltung der Informationssicherheit zuständig.

  • Vorbereitung und Durchführung von Awareness-Trainings für das Unternehmen und seine Tochtergesellschaften
  • Überprüfung der Ergebnisse von Penetrationstests (PenTest) und Erstellung eines Maßnahmenkatalogs zur Behebung der identifizierten Schwachstellen
  • Optimierung von IT-Prozessen, um die Geschäftsprozesse optimal zu unterstützen
  • Mitarbeit an Sicherstellung der Verfügbarkeit der IT-Services, um jedem Mitarbeiter die Informationen, die er benötigt, zur Verfügung zu stellen
  • Überprüfung der vorhandenen ISMS-Dateien für die Erstellung einer IST-Aufnahme und GAP-Analyse für die Umsetzung eines ISMS gemäß ISO 27001, um die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sicherzustellen
März 2021 - Juni 2023
2 Jahren 4 Monaten
Wilhelmshaven, Deutschland

Sicherheitsingenieur, ISO, Senior Management Consultant Cyber- & Informationssicherheit

Thales Deutschland GmbH Naval, Freiberufler

Thales Naval, langjähriger Partner der Bundeswehr, der NATO und ihrer Verbündeten. Als anerkannter Teil der deutschen Hightech-Industrie bietet Thales Deutschland den Kunden innovative, robuste, hochverfügbare und vor allem hochsichere Kommunikations-, Informations- und Steuerungssysteme, Satellitenkomponenten für nationale Programme und für den Weltmarkt sowie Services für einen sicheren Land-, Luft- und Seeverkehr, für zivile und militärische Sicherheits- und Schutzanforderungen als auch im Bereich der Digitalen Identität und der Cybersicherheit. F126-Schiffen: Damen Shipyards Group, Thales und Blohm & Voss sind die Unternehmen, die mit dem Bau von vier neuen Fregatten der Klasse 126 (mit rund 5,27 Milliarden Euro Budget) für die deutsche Marine beauftragt wurden. Ein Schiff kann heute als schwimmendes Rechenzentrum bezeichnet werden und ist daher Cyberangriffen ausgesetzt. Im Bewusstsein seiner Verantwortung und um die Sicherheit und Integrität der Fregatten der Klasse 126 zu gewährleisten, hat Thales Naval in Kiel und Wilhelmshaven ein Expertenteam der Cyber- und Informationssicherheit zusammengestellt, um gemeinsam für die Sicherheit des F126 zu arbeiten:

  • Mitglied des F126-Teams (Kiel & Wilhelmshaven) und somit mitverantwortlich für die Cyber- & Informationssicherheit der neuen Schiffe F126 für die Deutsche Bundesmarine gemäß Deutscher militärischer Security Accreditation Authority
  • Federführende Umsetzung des größten Thales-Innovationsprojekts im Bereich Informationssicherheit für die deutsche Bundesmarine
  • Erkennung, Bewertung und Bearbeitung kritischer und potenzieller Angriffsszenarien der neuen Schiffe F126
  • Risikomanagement, Risikoanalyse, Risikobehandlung, Schutzbedarfsfeststellung, IT-Notfallkonzepte, Schwachstellenanalyse, Incident Response Prozessen & Wiederaufbau von IT-Systemen der IT-Infrastruktur der neuen Schiffe F126
  • Erstellung, Anpassungen und Verbesserung von Richtlinien, Härtungs- und Sicherheitskonzepten und SOPs für die IT-Infrastruktur der neuen Schiffe F126
  • Erstellung, Betreuung und Dokumentation von Informationssicherheits- & Notfallkonzepten unter Berücksichtigung von ISO 27001, BSI-Grundschutz & -Kompendium und Dienstvorschriften der Deutschen militärischen Security Accreditation Authority (ZDV A-960/1, usw.), für die Cybersecurity der F126 (u.a. IAM, Kryptografie & Key Management, Rollen- & Rechtenkonzept, Backup & Recovery, Password-, Patch-, Asset & Configuration-Management, Virenkonzept, Datenschutz, u.v.m.)
  • Mitarbeit an der Informationssicherheit der Systeme Digitales Kommunikations-Network (DKN), Ship Entry Point (SEP) und Satellitenkommunikation (SATCOM)
  • Beratung und Mitarbeit mit den Fachabteilungen bei Konflikten zwischen technischer Realisierung und Informationssicherheitsvorgaben
  • Anwendung der Norm ISO/IEC 27001 nach BSI Grundschutz & -Kompendium und IT-Grundschutz Bundeswehr für ISMS in den Projekten für die deutsche Marine
  • Teilnahme an Workshops mit dem Kunden (deutsche Marine) und weiteren Auftragnehmern (Thales Deutschland & Niederlande; auf Deutsch und Englisch)
  • Zusammenarbeit mit Information Security Teams aus Frankreich und den Niederlanden
Juni 2019 - März 2020
10 Monaten
Wiesbaden, Deutschland

ISO & Senior Management Consultant Compliance & Informationssicherheit

Bundeskriminalamt (BKA), Freiberufler

  • „ISO“ – Information Security Officer; Verantwortlich für die Zertifizierung (Testat) der neuen Cloud-Services der Polizeilichen Service Plattform (PSP) auf den internationalen C5 Standard (Cloud Computing Compliance Control Catalogue)
  • GAP-Analyse und Mitarbeit für den Aufbau und Verbesserung eines ISMS (Information Security Management System) gemäß ISO 27001, IT-Grundschutz und neuen Kompendium des BSI
  • Erstellung, Anpassungen und Verbesserung von Richtlinien und SOPs für das gesamte Bundesamt, i.R. des C5, ISMS & IT-Grundschutz-Aufbaus (Business Continuity (BIA/RIA/DRP), IT-Notfallkonzepte i.R.d. Disaster Recovery Plan, Compliance Management, Softwareentwicklung, etc.)
  • Erstellung, Anpassung und Verbesserung von Informationssicherheits- (SiKo) und IT-Notfallkonzepten für den IT-Betrieb und für die neuen Cloud-Services (u.a. Identity- und Access Management (IAM), Backup & Recovery, Patch-Management, Krypto & Key Management, Asset & Configuration-Management, Konfigurations- u. Härtungsmaßnahmen, u.v.m.), um compliant mit dem BSI IT-Grundschutz zu sein
  • Zusammenarbeit mit dem SOC-Kollegen (Secure Operation Center), um die ständig wachsende Bedrohungslandschaft mit neuen Plattformen zu aktualisieren
  • Verantwortlich für die Vorbereitung und Durchführung interner Lehrveranstaltungen (Workshops & Awareness), um die Informationssicherheitskonzepte bekannt zu geben
  • BKA-Sicherheitsüberprüfung SÜ2 (Deutsches Bundesamt für Verfassungsschutz)
  • Das Zertifizierungsprojekt wurde vom Bund aufgrund der Covid-19-Pandemie kurzfristig und frühzeitig abgebrochen
Feb. 2019 - Juli 2019
6 Monaten
Düsseldorf, Deutschland

CISO & Senior Management Consultant Compliance & Informationssicherheit

Dr. Glinz COViS GmbH, Freiberufler

  • „CISO“ – Chief Information Security Officer; Erstellung von Sicherheitskonzepten (SiKo) für das gesamte Unternehmen und die verschiedenen Software-Produkte
  • Durchführung eines Vor-Audits bzgl. EU-DSGVO mit dem ich festgestellt habe, dass COViS über 90 % EU-DSGVO-compliant war
  • Neue Vorschläge implementiert für die strategische Weiterentwicklung der IT-Security, KVP und Aufrechterhaltung des bestehenden ISMS gemäß ISO 27001
  • Einführung des Konzepts und Handling von Events, weil die Prozesse und das SOC & Ticketing-System des Unternehmens immer mit Incidents gestartet hatten
  • Verbesserung des (sog. informalen) Secure Operation Centers (autom. Monitoring, manuelles Operator-Überwachung & Analysen plus Ticketing-System)
  • Durchführung von Security Assessments (PenTest & Vulnerability Scans), um Schwachstellen zu entdecken, zu behandeln und dementsprechend zu beseitigen
  • Entwicklung neuer Compliance Services für Kunden der COViS. Durchführung von Workshops bzgl. „ISMS gemäß ISO 27001 und EU-DSGVO Compliance“
  • Erstellung neuer Richtlinien und SiKo i.R. des ISMS-KVP. Insbesondere für die Benutzung der Cloud-Services als Cloud Service Provider und Client (CSP & CSC)
Mai 2018 - Dez. 2019
8 Monaten
Mannheim, Deutschland

Lead Auditor & Senior Management Consultant Compliance & Informationssicherheit

TÜV SÜD, Freiberufler

  • Durchführung von Audits gemäß ISO 27001 für verschiedene Kunden
  • EU-DSGVO Workshops & Vor-Audit für den TÜV SÜD München und Kunden
Apr. 2018 - Jan. 2019
10 Monaten
Walldorf, Deutschland

Lead Auditor & Senior Management Consultant Compliance & Informationssicherheit

SAP AG, Freiberufler

  • Internationaler Lead Audit Manager im Bereich Qualitätsmanagement und Informationssicherheit gemäß ISO 9001, ISO 27001, ISO 22301, SOC, SOX, C5, PCI-DSS & SIEM im Cloud Network Delivery Bereich (CND)
  • Zusammenarbeit mit dem Enterprise Compliance & Audits-Team als auch mit dem SOC-Team (Secure Operation Center mit SAP Solution Manager und SAP Enterprise Threat Detection (ETD)) für das Threat Lifecycle Management (TLM), hauptsächlich der SAP-Cloud-Services, alles weltweit
  • Überprüfung und Verbesserung aller (CND) Informationssicherheitskonzepte der SAP-Cloud-Services
  • Mitarbeit an der Entwicklung von Innovationsprojekten im Bereich Informationssicherheit von SAP-Lösungen
  • SPOC zwischen Cloud Network Delivery Bereich (CND), Anwendern und allen Compliance-Teams weltweit
  • Compliance Projektmanager für CND (Cisco Switches, aller Data Center weltweit)
Okt. 2017 - Juni 2018
9 Monaten
Karlsruhe, Deutschland

Bereichsleiter Compliance Services & Solutions

Makro Factory GmbH & Co. KG, Festanstellung

  • Planung, Ausbau und Aufbau des neuen Servicebereiches Compliance Services & Solutions, um Kunden und Geschäftspartnern der Makro Factory verschiedene Services anzubieten, insbesondere Beratung für die Einführung eines Informationssicherheitsmanagementsystems (ISMS), eines Business Continuity Management (BCM), IAM, Kryptografie & Key Management, technische & organisatorische Maßnahmen um EU-DSGVO (GDPR) compliant zu werden, IT-Sicherheit, IT-Compliance, IT-Governance, IT-Grundschutz, BaFin & MaRisk, usw.
  • Beratung für die Einführung eines ISMS gemäß ISO 27001 und IT-Grundschutz des BSI, um mit der europäischen Datenschutzgrundverordnung „EU-DSGVO“ compliant zu werden für Kunden der Makro Factory
  • Beratung für die Einführung eines BCM gemäß ISO 22301 für Kunden der MF
  • Durchführung von Seminaren, Schulungen und Workshops bzgl. „Einsatz eines ISMS gemäß ISO 27001, um EU-DSGVO compliant zu werden“
  • Audits im Bereich der Informationssicherheit und des ISMS, gemäß ISO 27001, ISO 27006 und ISO 19011
Feb. 2016 - Juni 2018
2 Jahren 5 Monaten
Karlsruhe, Deutschland

CISO & Senior Management Consultant Compliance Services & Solutions

Makro Factory GmbH & Co. KG, Festanstellung

  • Erfolgreiche Implementierung und Zertifizierung eines Information Security Management Systems (ISMS) gemäß ISO 27001 und eines Business Continuity Management (BCM) gemäß ISO 22301 als Kombizertifizierung zzgl. einer ISO 27017 / ISO 27018 Zertifizierung zum Schutz der personenbezogenen Daten (EU-DSGVO / GDPR) als Cloud Service Provider (CSP)
  • Erstellung von IT-Notfallkonzept i.R.d. Disaster Recovery Plan (gem. ISO 22301)
  • Durchführung von IT Security Assessments (PenTest & Vulnerability Scans), um Schwachstellen zu entdecken, zu behandeln und dementsprechend zu beseitigen
  • Implementierung & Zertifizierung des ISMS & BCM Projektes: 14 Monaten
  • Workshops bzgl. EU-DSGVO & ISMS für Kunden der Makro Factory (MF)
  • ISO 27001 & ISO 22301 Beratungen/Implementierung für Kunden der MF
Nov. 2015 - Jan. 2016
3 Monaten
Düsseldorf, Deutschland

Senior Management Consultant Compliance & Informationssicherheit für die Stadtsparkasse Düsseldorf

Makro Factory, Freiberufler

  • Durchführung einer Banking-Sicherheitsberatung bzgl. BaFin und MaRisk AT 8.2 Compliance und Anforderungen an die IT und Maßnahmen der „Sicheren IT-Betrieb“ (SITB) der Stadtsparkasse Düsseldorf (mehr als 2.000 Mitarbeiter)
  • Beratung für das Outsourcing von Dienstleistungen im Bereich Netzwerk unter Aussicht des Kreditwesengesetzes (KWG 25a/b Risiko/Outsourcing). Das Incident-Management musste für den Wechsel des Netzwerkproviders von T-Systems zur „Finanz Informatik“ (FI) angepasst werden (MaRisk AT 9 Outsourcing). Business Analyse, Modellierung und Anpassung für die Auslagerungsprozesse
März 2013 - Juni 2015
2 Jahren 4 Monaten
Santiago, Chile

Strategische ITSCM, CISO, Business & eGRC Senior Management Consultant

Selbstständiger Unternehmer

  • Senior Project Manager & Business Analyst, Senior PMO & Senior IT Security als Interimsmanager für Banken, Versicherungen, Retail und Industriebereiche
  • Technischer Rollout und Schulung der Mitarbeiter neuer ERP-Systeme & Change Management für ein internationales Bergbauunternehmen
  • Strategische Weiterentwicklung der ITSCM, IT-Services und IT-Security für Banken, Versicherungen, Retail und andere Industriebereiche (CISO ad Interim)
  • Implementierung von ISMS gemäß ISO 27001 für verschiedene Unternehmen in Chile, Argentinien und Brasilien, immer als CISO ad Interim
  • Implementierung Business Continuity Management (BCM) gemäß ISO 22301 für verschiedene Unternehmen in Chile, Argentinien und Brasilien, immer als CISO ad Interim
  • Strategische ITSCM, IT-Service Management & Business Development Manager ad Interim für verschiedene IT-Gesellschaften
  • Business Analyst, Übersetzer und Dolmetscher für IT- und geschäftsbezogene Projekte (Spanisch/Deutsch/Englisch)
Nov. 2010 - Feb. 2013
2 Jahren 4 Monaten
Santiago, Chile

Regional eRCP-Manager für ganz Lateinamerika

Zürich Shared Services – Versicherungsgesellschaft, Freelancer

  • eRCP steht für Enterprise Release, Configuration & Promotion (Deployment)
  • GMP – Growing Market Platform: Globales Projekt für den Rollout eines neuen Kernversicherungssystems für alle lateinamerikanischen Geschäftseinheiten (Business Units bzw. Länder) der Zürich Versicherung
  • Aufbau eines eRCP-Teams in Chile, Brasilien und Indien: Schulung, Führung und kontinuierliche Verbesserung des gesamten Teams weltweit
  • Regional eRCP-Manager, Problem & Incident, Change & Release, SLA- und Krisenmanagement über den gesamten Lebenszyklus aller Anwendungen für jede lateinamerikanische Geschäftseinheit der Zürich Versicherung (Business Unit)
  • Single Point of Contact für die LA-Anwender, um neue SW-Releases vorzubereiten
  • Zusammenarbeit mit den Anwendern bei der Entwicklung der Testfälle zum Testen & zur QA-Freigabe von neuen Software-Releases
  • Zusammenarbeit mit den regionalen CAB für das Change-Management und um neue Software-Releases freizugeben und zu implementieren
  • Überprüfung & Anpassung der Verträge für die externen Dienstleister (Accenture, CSC, Everis, Wipro, usw.) in Zusammenarbeit mit der Rechtsanwaltskanzlei
  • Weltweite Personalverantwortung für mehr als 80 Mitarbeiter, mit Teams in Chile (Santiago), Brasilien (Sao Paulo), Spanien (Barcelona) und Indien (Pune)
Juli 2010 - Okt. 2010
4 Monaten
Santiago, Chile

Senior PMO für ganz Lateinamerika

Zürich Shared Services – Versicherungsgesellschaft, Freelancer

  • Senior PMO bei der Zürich-Versicherung für jede lateinamerikanische Geschäftseinheit und alle „Non Core“ Anwendungen (Legacy Systems) im Rahmen des Projektes Growing Market Plattform (GMP)
Juli 2008 - Juli 2010
2 Jahren 1 Monate
Santiago, Chile

CISO ad Interim & Interimsmanager der IT- & IT-Security-Bereiche

INE, Chilenisches Statistikamt, Freelancer

Das Statistische Bundesamt Chile (INE) führte Forschung und Lehrtätigkeiten mit und an internen und externen Mitarbeitern, um sie für die Erhebung statistischer Bevölkerungsdaten (Zensus) auf herkömmliche und auch digitale Methoden vorzubereiten und um die später als nationale Statistik zu bearbeiten.

  • Verantwortlich für die Vorbereitung, Programmierung (durch mein IT-Team) und Sicherheit der kabellosen Lösungen für die digitale Datenerhebung in Bezug auf die Volkszählung 2011–2012
  • Verantwortlich für die Vorbereitung und Durchführung der Lehrtätigkeiten für externe Mitarbeiter zwecks digitaler Datenerhebung unter Verwendung der kabellosen Geräte
  • Verantwortlich für die gesamte Informationssicherheit, IT- und Technologieprojekte für die traditionelle sowie digitale Volkszählung 2011–2012 und die entsprechenden Pilotprojekte, um die Technologie zu testen und zu prüfen
  • Entwicklung und Durchführung einer Umstrukturierung des IT-Bereiches. Verhandlungen mit der Geschäftsleitung und Betriebsrat für die Durchsetzung
  • Als CISO ad Interim Einführung von Richtlinien unter Einhaltung internationaler Normen und Standards (ISO 27001, ISO 22301, ITIL, COBIT, UML, BPMN und OECD)
  • Als CISO ad Interim verantwortlich für die strategische Weiterentwicklung der ITSCM, IT-Services und IT-Security sowie sämtlicher Innovationsprojekte
  • Aufbau und Einführung des ersten SOCs (Secure Operation Center) mit einer SIEM-Plattform (Security Information & Event Management), um i.R. des Threat Lifecycle Management (TLM) eine automatisierte Lösung einzuführen
  • Einführung von PMO-, Entwicklungs- (PMI & CMMI) sowie Projektmethoden, CMMN für den SW-Entwicklungsbereich
  • Erzeugung der technologischen Grundlagen, RFP und Leitung der Einführung einer institutionellen und länderübergreifenden Verbesserung des Telekommunikationsnetzes
  • Personalverantwortung ad Interim für mehr als 50 Mitarbeiter
März 2002 - Juni 2008
6 Jahren 4 Monaten
Santiago, Chile

CEO & Inhaber; Geschäftsführer, CISO & Senior Consultant

ATNet Lateinamerika Management Consulting GmbH

  • Gründer, Inhaber, Geschäftsführer und Senior Management Consultant des internationalen IT-Management-Beratungsunternehmens
  • Spezialisiert auf IT, Governance, Risk & Compliance, Informationssicherheit, Wirtschaft & elektronisches Rechnungsverfahren gem. Landes-Finanzamt
  • Implementierung und Zertifizierung von ISMS gem. ISO 27001 und von BCM gem. ISO 22301 für verschiedene Großunternehmen in Chile, Argentinien und Brasilien, hauptsächlich bei Finanzinstitutionen (Data Center, Banken & Versicherungen)
  • Durchführung von Benchmarking, um Secure Operation Center (SOC) mit SIEM-Plattformen aufzubauen für verschiedene Finanzinstitutionen in Chile
  • Entwicklung, Vertrieb und Einsatz einer elektronischen Rechnungsverfahrensanwendung mit asymmetrischer Kryptografie gem. Spezifikationen des Finanzamtes
  • Dozent der Lehrgänge für das Wirtschaftsministerium und für mehr als 20 Lehrgänge der Handelskammer Santiago für elektronische Rechnungsverfahren mit Nutzung asymmetrischer Kryptografie bezüglich strategischer, technologischer, organisatorischer & verwaltungsseitiger Aspekte
  • Durchführung einer Fachberatung, Business Analyse, Design und Workflow-Automatisierung eines Außenhandelsprozesses zwischen Front- und Back-Office für eine brasilianische Bank, um das „Time to Market“ zu verbessern
  • Fachberatung im Vorfeld der Erstellung eines strategischen Plans für den Technologiebereich einer Corporate Bank i.R.d. Open Innovation Frameworks
  • Durchführung einer Konsolidierung der Netze und Serverplattform zur verbesserten Unterstützung der Geschäfts- und Betriebsprozesse und damit zur Reduzierung des TCO für eine große lokale Bank
  • Durchführung einer Fachberatung mit dem Ziel der Einführung von IT-Sicherheitsleitlinien und Corporate-Richtlinien inkl. einer Reorganisation des IT-Bereiches bei dem größten Bergbau-, Eisen- und Stahlunternehmen in Chile
  • Personalverantwortung für mehr als 120 Mitarbeiter
Mai 2000 - Feb. 2002
1 Jahr 10 Monaten
Santiago, Chile

CIO & COO – IT & Operations Manager

Chipkarten AG (ETISA) Tochtergesellschaft der Banken

  • Einführung einer elektronischen Geldkarte (eWallet) mittels Smart Card
  • Definition, Benchmarking, Auswahl, Beschaffung, Einführung und Management der technologischen Plattform für die Verwaltung der elektronischen Brieftasche (eWallet auf Smart Card) als Open Innovation Projekt der Banken
  • Die Lizenzierung der Geldkarte wurde von den Banken bei Mondex International (heute MasterCard) in London (UK) erworben
  • Einführung und Leitung eines Interbankenkomitees für Betriebs- und Technologie-Themen als gemeinsamer Kommunikationskanal mit den einzelnen Gesellschaften
  • In Zusammenarbeit mit Finanzkomitee, Bankenaufsicht und der LZB wurde das Design des Modells für die Herstellung, den Betrieb und das Abrechnungsverfahren des „elektronischen Geldes“ unter Berücksichtigung seiner Auswirkungen auf den Finanz- und Geldmarkt entwickelt
  • Entwicklung des Finanzmodells bzgl. Investition, Verwaltung und Gewinnverteilung unter Betrachtung der Wechselwirkungen zwischen „echtem“ und „virtuellem“ Geld und unter Einbeziehung der Vorgaben zur dauerhaften Sicherung der Stabilität des elektronischen Geldes für die Endkunden sowie der Absicherung der zugehörigen Investitionen in den Kapitalmarkt
  • Business Analyst als Schnittstelle zwischen den Banken und für die Umsetzung des Projekts im Unternehmen
  • Personalverantwortung für mehr als 20 Mitarbeiter zzgl. externer Dienstleister
Juli 1998 - Mai 2000
1 Jahr 11 Monaten
Santiago, Chile
Remote

Manager der technologischen Remote-Kanäle, Marketing

Bank BCI, Banco Crédito Inversiones

  • Betriebsleitung der technologischen Remote-Kanäle: Web, Mobile Banking, Telefon-Banking, Geldautomaten, usw.
  • Entwurf und Definition des Projekts zur Entwicklung und Einführung der ersten chilenischen, transaktionsorientierten Banking-Webseite und des mobilen Digital-Banking inkl. Führung und Controlling der externen Dienstleister des Projekts
  • Personalverantwortung für mehr als 40 Mitarbeiter
Okt. 1994 - Juli 1998
3 Jahren 10 Monaten
Santiago, Chile

Senior Consultant Electronic Banking, Corporate Banking

Bank BCI, Banco Crédito Inversiones

  • Entwicklung, Implementierung und Management aller Electronic Banking-Produkte der Bank für den kommerziellen/Corporate-Bereich
  • Entwicklung und Einführung der eCommerce-Lösungen für die Bank
  • Beratung für die sichere Entwicklung von eCommerce und EDIFACT in Chile
Juli 1992 - Sept. 1994
2 Jahren 3 Monaten
Santiago, Chile

Manager I+D, Forschung und Technologische Entwicklung, IT-Bereich

Bank BCI, Banco Crédito Inversiones

  • Einführung von EDIFACT (Electronic Data Interchange) für die Bank
  • Beratung für die Gründung einer EDI-Tochtergesellschaft der Banken
  • Entwicklung und Einführung der ersten Car-Banking-Filiale (Drive-In)
  • Personalverantwortung für mehr als 10 Mitarbeiter
Juli 1991 - Juni 1992
1 Jahr
Frankfurt am Main, Deutschland

Senior Consultant & stellvertretender Manager International Banking

Digital Equipment Corporation (DEC)

  • Verantwortlich für COMEX, Financial EDIFACT & eCommerce für die deutsche und europäische Banken und verantwortlich für die CeBIT (Finanzinstitutionen)
  • Entwicklung und Verbreitung von eCommerce bei den deutschen Banken
  • Mitglied der europäischen Interbankenausschüsse (Frankfurt, Paris, London)
  • eCommerce-Projekt zwischen Geschäftsbanken und der LZB in Frankfurt
Juli 1988 - Juni 1991
3 Jahren
Frankfurt, Deutschland

CIO und Prokurist

Société Générale, Französische Bank

Société Générale ist eine der größten europäischen Finanzdienstleistungsgruppen, eine europäische Bank der Spitzenklasse mit mehr als 126.000 Mitarbeitern, die rund 25 Millionen Kunden in 65 Ländern weltweit betreuen.

  • Durchführung eines Benchmarkings, Definition und Beschaffung des SWIFT-ST400-Systems für die Gesamtbank
  • Planung, Einführung, Rollout und Schulung des SWIFT-ST400-Systems für alle Anwender der Bank in allen deutschen Filialen (bundesweit)
  • Einführung des ersten Wide Area Network (WAN) von Frankfurt aus in alle Filialen der Bank im Bundesgebiet, mit Einsatz eines analogen Multiplexers
  • Definition und Einführung des neuen Data Centers in Frankfurt
  • Als CIO Personalverantwortung für mehr als 40 Mitarbeiter
Juli 1986 - Juni 1988
2 Jahren
Frankfurt, Deutschland

CTO und Handlungsvollmacht A

Société Générale, Französische Bank

Apr. 1984 - Juni 1986
2 Jahren 3 Monaten
Frankfurt, Deutschland

Stellvertretender CIO und Handlungsvollmacht B

Société Générale, Französische Bank

Nov. 1983 - März 1984
5 Monaten
Frankfurt, Deutschland

Teamleiter Software Engineering

Société Générale, Französische Bank

Juli 1983 - Okt. 1983
4 Monaten
Frankfurt, Deutschland

Business Analyst & Software Engineer

Société Générale, Französische Bank

Zusammenfassung

Meine Erfahrungen als CEO beinhalten die Gründung und Leitung eines eigenen Unternehmens als IT-Dienstleister, in dem ich über einen Zeitraum von 6 Jahren über 120 Ingenieure beschäftigen und große Projekte erfolgreich abschließen konnte.

Im Jahr 2016 begann ich meine Tätigkeit als ISO in einem IT-Dienstleistungsunternehmen. Neben diesen Tätigkeiten habe ich mich in der europäischen Grundverordnung des Datenschutzes (DSGVO) eingearbeitet.

Mein Unternehmergeist führte mich jedoch zurück in die Selbstständigkeit und seit 2018 wurde ich ein freiberuflicher Senior Management Consultant für Information Security und Business Continuity.

Sprachen

Deutsch
Muttersprache
Spanisch
Muttersprache
Englisch
Verhandlungssicher
Französisch
Verhandlungssicher
Italienisch
Fortgeschritten
...und 1 Weitere

Ausbildung

Okt. 1977 - Juni 1982

TU Santiago

Diplom Ingenieur · Wirtschaftsinformatik · Santiago, Chile

Zertifikate & Bescheinigungen

CISA/CISM: Certified Information System & Security Lead Auditor gemäß ISO 27000 TÜV SÜD Series und ISO 19011

TÜV SÜD

CISO: Chief Information Security Officer / Professional gemäß ISO 2700X Series

TÜV SÜD

Zertifizierter ISMS Lead Auditor gemäß IT-Sicherheitskatalog der Bundesnetzagentur BNetzA (KRITIS) Zertifizierung nach § 11, Art. 1a des deutschen Energiewirtschaftsgesetzes EnWG

Bundesnetzagentur BNetzA

Zertifizierter ISMS Lead Implementer gemäß ISO/IEC 2700X Series

TÜV SÜD