Federico (F.) Leefhelm

ISO – Senior Consultant Quality & Information Security

Düsseldorf, Deutschland

Erfahrungen

Okt. 2023 - Juni 2024
9 Monaten
Deutschland

ISO – Senior Consultant Quality & Information Security

Gemeinsame Klassenlotterie der Länder, Freiberufler

Die Gemeinsame Klassenlotterie der Länder (GKL) ist eine Anstalt öffentlichen Rechts. Träger sind die 16 deutschen Bundesländer. Die Aufgabe der GKL ist die Veranstaltung von staatlichen Klassenlotterien und Spielergänzungen sowie Jugendschutz und Spielsuchtprävention sicherzustellen. Die GKL führt zurzeit dem Einsatz von einen Qualitäts- und Informationssicherheitsmanagementsystem (QMS & ISMS) gemäß der ISO-Normen (9001 & 27001). Verantwortlich für die Einführung der QMS & ISMS im Auftrag des Partnerunternehmens ModernX GmbH & Co. KG.

  • Verantwortlich für den Benchmark und die künftige Einführung eines ISO-Tools mit dem Ziel, alle Management Systeme zentral zu verwalten
  • Verantwortlich für den Einsatz eines Quality Management System (QMS) gemäß ISO 9001:2015
  • Verantwortlich für den Einsatz eines Information Security Management System (ISMS) gemäß ISO 27001:2022
  • Vorbereitung und Erstellung der entsprechenden Maßnahmen (Scope, SoA, Richtlinien, Sicherheitskonzepte, Verfahrensanweisungen, SOP, etc.), um ein QMS und ISMS gemäß ISO 9001 & ISO 27001 aufzubauen und einzusetzen
  • Im Risikomanagement Erkennung, Bewertung und Bearbeitung kritischer und potenzieller Angriffsszenarien der Institution
  • Risikomanagement, Risikoanalyse, Risikobehandlung, Schutzbedarfsfeststellung und Schwachstellenanalyse der IT-Infrastruktur der Institution
Juli 2023 - Apr. 2024
10 Monaten
Hamburg, Deutschland

ISO – Senior Consultant Cyber- & Information Security

Northland Power Europa GmbH, Freiberufler

Northland Power hat seinen Hauptsitz in Toronto, Kanada, und verfügt über weltweite Niederlassungen in acht Ländern. Entwickler, Betreiber und Eigentümer sauberer und umweltfreundlicher (Wind) Energieanlagen seit 1987. Mit über 12 Milliarden US-Dollar an hochwertigen Stromerzeugungsanlagen in Betrieb. Northland Power Europa GmbH (NPEG) ist bestrebt, starke Ergebnisse und eine nachhaltigere Zukunft zu liefern. Als Betreiber und Dienstleister für kritische Infrastrukturen (kDL & KRITIS gemäß BNetzA, EnWG und BSI) muss NPEG mit der IT-SiG 2.0 Compliant sein und einem nach ISO 27001:2022 ISMS betreiben. Der ISMS-Scope umfasst den gesamten Betrieb der Windenergieanlagen (Strategischer, Operativer und Security IT / OT).

  • Mitglied des Security-Teams und somit mitverantwortlich für die Cyber- & Information Security der Windenergieanlagen des Unternehmens
  • Verantwortlicher für die Erstellung aller Unterlagen und Maßnahmen (Richtlinien, Sicherheitskonzepte, Verfahrensanweisungen, Kryptografie und Key-Management, etc.), um SzA einzusetzen gemäß BSI IT-SiG 2.0 und EnWG
  • Vorbereitung und Erstellung der entsprechenden Maßnahmen (Richtlinien, Sicherheitskonzepte, Verfahrensanweisungen, SOP, etc.), um ein ISMS gemäß ISO 27001:2022 aufzubauen und einzusetzen (ISMS-Handbuch, BCM, IT-Notfallkonzepten, IAM, Backup & Recovery, MDM, Lieferanten-, Password-, Patch-, Asset & Configuration-, Netzwerk-Management, Kryptografie-Konzepte u.v.m.)
  • Im Risikomanagement Erkennung, Bewertung und Bearbeitung kritischer und potenzieller Angriffs-szenarien der Windenergieanlagen
  • Risikomanagement, Risikoanalyse, Risikobehandlung, Schutzbedarfsfeststellung und Schwachstellenanalyse der IT/OT-Infrastruktur der Windenergieanlagen
  • Erstellung IT/OT-Notfallkonzepte, Incident Response Prozessen & Wiederaufbau von IT/OT-Systemen i.R.d. BCM (BIA, RIA & DRP)

Das Projekt wurde von Northland Power Europa GmbH frühzeitig abgebrochen, weil die Windkraftanlagen verkauft werden und das Unternehmen in Deutschland geschlossen wird.

Feb. 2023 - Aug. 2023
7 Monaten
Velbert, Deutschland

CISO ad Interim & Senior Management Consultant ISMS, BCM & IAM

Huf Hülsbeck & Fürst GmbH & Co. KG, Freiberufler

Als Spezialist für sichere Fahrzeugzugangs- und Autorisierungssysteme ist Huf seit über 100 Jahren die erste Anlaufstelle für alle Automobilhersteller. Huf mit Hauptquartier in Velbert, NRW und Präsenz in mehr als 17 Standorten in 3 Kontinenten ist bereits TISAX, ISO 9001 (QMS) und ISO 27001 (ISMS) zertifiziert. Huf ist heute dabei u.a. ein BCMS einzuführen.

  • Leitung und Management des Projektes für die Einführung eines Business Continuity Management (BCM) gemäß ISO 22301
  • Zielsetzung eines BCMS ist zu gewährleisten, dass der weltweite Huf-Geschäftsbetrieb bei massiven Schadensereignissen nicht unterbrochen wird. Wenn einem unvermeidbaren Ausfall aufgetreten ist, dann in angemessener Zeit wieder aufgenommen werden kann
  • Definition des Scopes des Projektes, Erstellung eine Business Continuity Management (BCM) Richtlinie, Business Impact Analyse (BIA), Risk Impact Analyse (RIA) und entsprechendes DRP (Disaster Recovery Plan), IT-Notfallkonzepten, Schwachstellenanalyse, Incident Response Prozessen & Wiederaufbau von IT-Systemen, um BCM gemäß ISO 22301 Zertifizierung zu erlangen
  • Ich habe die erste Prüfung des Corporate Identity and Access Management-Prozesses (IAM) durchgeführt und eine große Anzahl unregelmäßiger Prozesse festgestellt, die zu vielen dringenden Maßnahmenempfehlungen zur Verbesserung geführt haben.
  • Mitarbeit für die Kontinuierliche Verbesserungsprozess der TISAX- und des ISMS-Zertifizierung gemäß ISO 27001

Das BCM-Projekt wurde aufgrund von Budgetplanung nicht abgeschlossen.

Dez. 2022 - Juli 2024
1 Jahr 8 Monaten
Düsseldorf, Deutschland

ISO, Sr. Management Consultant und Sr. PMO für die IT-Dezernatsleitung

Universitätsklinikum Düsseldorf (UKD), Freiberufler

Das UKD ist das größte Krankenhaus in der Landeshauptstadt und eines der wichtigsten medizinischen Zentren in der Bundesland Nordrhein-Westfalen und übernimmt gemeinsam mit der Medizinischen Fakultät der Heinrich-Heine-Universität eine besondere Funktion in unserem Gesundheitswesen, Forschung und Lehre. Im Jahr 2017 feierte das Universitätsklinikum Düsseldorf (UKD) seinen 110. Geburtstag. Das UKD, als Betreiber Kritischer Infrastrukturen (KRITIS gemäß §8a BSIG) betreibt einem nach ISO 27001:2022 zertifiziertes ISMS. Der ISMS-Scope umfasst das gesamte Dezernat der IT (Strategischer, Operativer und Security).

  • Arbeitet direkt und ist persönliche Senior Management Consultant des Dezernenten des IKMT „Informations-/Kommunikations-technologie und Medizintechnik“ (also CIO) und Leader der Innovationsprojekten
  • Als ISO, verantwortlich für das gesamte IT-Dezernat in der Information Security
  • Erstellung, Aufrechterhaltung und Verbesserung von ISMS-Richtlinien und SOPs
  • Schulungen und Awareness der IT-Mitarbeiter im Bereich der IT Security, Incident Response Prozessen und Wiederaufbau von IT-Systemen
  • Erstellung und Hauptansprechpartner für die neue IT-Strategie des UKD plus eines BIA und DRP für den Wiederaufbau von IT-Systemen
  • Als ISO, Vorbereitungen für die nächste Einführung von Business Continuity Management gemäß ISO 22301 für das Dezernat IKMT und UKD
  • Erstellung einer IT-Cyber-Security-Strategie und Roadmap für die Implementierung zusätzliche Tools und Lösungen für die Cyber-Security der UKD
  • Erstellung einer IT-Notfallkonzept (i.R.d. DRP), IT-Sicherheitskonzept, Incident Response und dazugehörige Begleitkonzepte (Datenschutz, Antivirus, Kryptografie, Konfigurations- und Härtungsmaßnahmen, Asset & Configuration-, Patch-Management, Rollen u. Rechte (IAM), IT-Notfallvorsorge, usw.) für die IT der UKD
  • Mitarbeit bei der Erstellung der Maßnahmen, um SzA (Systeme zur Angriffserkennung) gemäß BSI IT-SiG 2.0 Compliant zu werden (Richtlinien, Kryptographie & Key Management Sicherheitskonzepte, Verfahrensanweisungen, etc.)
  • Als PMO, Entwicklung eines Sicherheitskonzept, Durchführung eines Proof of Concept (PoC), Bewertung und Auswertung bis hin zu Einkauf und Implementierung einer Lösung, um die Einführung eines Medizingerätemonitoring-Sicherheitssystems, um wissen zu können welche, wie viele und in welcher (Security) Stand Medizingeräte am Campus-Netzt angeschlossen sind, um zu vermeiden evtl. Bedrohungen oder Angriffe über das Netzt zu bekommen
  • Aufbau eines Security Operations Center (SOC) mit Arbeitskonzept und -Definitionen, um Präventivmaßnahmen, schnelleren Erkennung von Bedrohungen und einer schnelleren, wirksameren Reaktion auf evtl. Sicherheitsbedrohungen (Incident Response Prozessen und Wiederaufbau von IT-Systemen)
  • Aufbau eines Security Information Event Management (SIEM) mit Splunk, um eine Sichere Netzwerk Kommunikationsüberwachungssystem zu ermöglichen
  • Ab Februar 2023 die Aufgabe „Senior PMO“ der Dezernatsleitung übernommen
  • Als PMO, verantwortlich für die Kontrolle alle IT-Bezogene Projekte der UKD (>2K Projekte)
  • Erstellung & Management von Gantt-Charts für alle IT-Bezogene Projekte (IT & Medizin, IT-Security (Firewall und Netzwerke), SAP, usw.)
  • Erstellung ein Patch-Management-Sicherheitskonzept & Prozesse und zusammen mit dem System Engineers die Standard Operational Procedures (SOP)
  • Mitarbeit an der Kontinuierlichen Verbesserungsprozess (KVP) des zertifiziertes Information Security Management System (ISMS), als Vorbereitung für des ersten Überwachungsaudits
  • Regelmäßige Report der Projekten Vorschritt zur Dezernatsleitung und Vorstand
Mai 2022 - Dez. 2022
8 Monaten
München, Deutschland

Senior Management Consultant BCM, Compliance & Information Security

Bitmarck Beratung GmbH, Freiberufler

Bitmarck Beratung ist einen Managed Service Provider im IT-Markt der gesetzlichen Krankenversicherung und betreibt die Digitalisierung in der Branche voran. Bitmarck ist bereits ISO 9001 (QMS) und ISO 27001 (ISMS) zertifiziert.

  • Leitung und Management des Projektes für die Einführung eines Business Continuity Management (BCM) gemäß ISO 22301 und BSI IT-GS Standard 200-4
  • Zielstellung des BCM-Projektes ist es, dass der Bitmarck Geschäftsbetrieb selbst bei massiven Schadensereignissen nicht unterbrochen wird oder nach einem unvermeidbaren Ausfall in angemessener Zeit wieder aufgenommen werden kann
  • Definition des Scopes des Projektes, Erstellung eine Business Continuity Management Richtlinie für das Unternehmen, Durchführung eines Business Impact Analyse (BIA), eine Risk Impact Analyse (RIA) und einen entsprechendes IT-Notfallkonzepten i.R.d. DRP (Disaster Recovery Plan), sowie Durchführung des Risiko Management
  • Erstellung von IT-Notfallkonzepten, Schwachstellenanalyse, Incident Response Prozessen, Wiederaufbau von IT-Systemen (DRP) für ein BCM gemäß ISO 22301
  • Erstellung eine Gantt-Chart des Projektes und Vorbereitung aller notwendigen Unterlagen, um das Ziel zu erreichen, BCM gemäß ISO 22301 zertifiziert zu sein

Das BCM-Projekt wurde aufgrund von Budgetplanung nicht abgeschlossen.

Mai 2022 - Juli 2022
3 Monaten
Deutschland

CISO as a Service – Chief Information Security Officer

EUROVIA Services GmbH, Freiberufler über Mazars GmbH

Die EUROVIA Services GmbH, Teil der EUROVIA GmbH mit Sitz in Berlin ist eine VINCI Construction Tochterunternehmen in Deutschland. EUROVIA ist ein Unternehmen des Tief- und Verkehrswegebaus. Die in 16 Ländern tätige EUROVIA-Gruppe gehört zum französischen VINCI-Konzern (VINCI S.A.), die IT-Abteilung als Teil des DSI (Direction des Systems d’Information, EUROVIA Frankreich) ist für den IT-Betrieb, Netzwerk, Projekten und für die Einhaltung der Informationssicherheit zuständig.

  • Vorbereitung und Durchführung von Awareness-Training für das Unternehmen und seine Tochtergesellschaften
  • Überprüfung der Ergebnisse von Penetrationstest (PenTest) und Erstellung eines Maßnahmenkatalogs zur Behebung der identifizierten Schwachstellen
  • Optimierung von IT-Prozessen, um die Geschäftsprozesse optimal zu unterstützen
  • Mitarbeit an Sicherstellung der Verfügbarkeit der IT-Services, um jedem Mitarbeiter die Informationen die er benötigt zur Verfügung zu stellen
  • Überprüfung der vorhandenen ISMS-Dateien für die Erstellung eine IST-Aufnahme und GAP-Analyse für die Umsetzung eines ISMS gemäß ISO 27001, um die Vertraulichkeit, Verfügbarkeit und Integrität von Informationen sicherzustellen
März 2021 - Juni 2023
2 Jahren 4 Monaten
Wilhelmshaven, Deutschland

Security Ingenieur, ISO, Senior Management Consultant Cyber- & Information Security

Thales Deutschland GmbH Naval, Freiberufler

Thales Naval, langjähriger Partner der Bundeswehr, der NATO und ihrer Verbündeten. Als anerkannter Teil der deutschen Hightech-Industrie bietet Thales Deutschland den Kunden innovative, robuste, hochverfügbare und vor allem hochsichere Kommunikations-, Informations- und Steuerungssysteme, Satellitenkomponenten für nationale Programme und für den Weltmarkt sowie Services für einen sicheren Land-, Luft- und Seeverkehr, für zivile und militärische Sicherheits- und Schutz-anforderungen als auch im Bereich der Digitalen Identität und der Cybersicherheit. F126-Schiffen: Damen Shipyards Group, Thales und Blohm & Voss sind die Unternehmen, die mit dem Bau von vier neuen Fregatten der Klasse 126 (mit rund 5,27 Milliarden Euro Budget) für die deutsche Marine beauftragt wurden. Ein Schiff kann heute als schwimmendes Rechenzentrum bezeichnet werden und ist daher Cyberangriffen ausgesetzt. Im Bewusstsein seiner Verantwortung und um die Sicherheit und Integrität der Fregatten der Klasse 126 zu gewährleisten, hat Thales Naval in Kiel und Wilhelmshaven ein Expertenteam der Cyber- und Information Security zusammengestellt, um gemeinsam für die Sicherheit des F126 zu arbeiten:

  • Mitglied des F126-Teams (Kiel & Wilhelmshaven) und somit mitverantwortlich für die Cyber- & Information Security der neue Schiffe F126 für die Deutsche Bundesmarine gemäß Deutschen militärische Security Accreditation Authority
  • Federführende Umsetzung des größten Thales-Innovationsprojekten im Bereich Information Security für die deutsche Bundesmarine
  • Erkennung, Bewertung und Bearbeitung kritischer und potenzieller Angriffs-szenarien der neue Schiffe F126
  • Risikomanagement, Risikoanalyse, Risikobehandlung, Schutzbedarfsfeststellung, IT-Notfallkonzepten, Schwachstellenanalyse, Incident Response Prozessen & Wiederaufbau von IT-Systemen der IT-Infrastruktur der neue Schiffe F126
  • Erstellung, Anpassungen und Verbesserung von Richtlinien, Härtungs- und Sicherheitskonzepte und SOPs für die IT-Infrastruktur der neue Schiffe F126
  • Erstellung, Betreuung und Dokumentation von Informationssicherheits- & Notfallkonzepten unter Berücksichtigung von ISO 27001, BSI-Grundschutz & -Kompendium und Dienstvorschriften der Deutsche militärische Security Accreditation Authority (ZDV A-960/1, usw.), für die Cyber-Security der F126 (u.a. IAM, Kryptographie & Key Management, Rollen & Rechtenkonzept, Backup & Recovery, Password-, Patch-, Asset & Configuration-Management, Virenkonzept, Datenschutz, u.v.m.)
  • Mitarbeit an der Informationssicherheit der Systeme Digitales Kommunikations-Network (DKN), Ship Entry Point (SEP) und Satelliten Kommunikation (SATCOM)
  • Beratung und Mitarbeit mit den Fachabteilungen bei Konflikten zwischen technischer Realisierung und Informationssicherheitsvorgaben
  • Anwendung der Norm ISO/IEC 27001 nach BSI Grundschutz & -Kompendium und IT-Grundschutz Bundeswehr für ISMS in den Projekten für die deutsche Marine
  • Teilnahme an Workshops mit dem Kunden (deutschen Marine) und weiteren Auftragsnehmer (Thales Deutschland & Niederland; auf Deutsch und Englisch)
  • Zusammenarbeit mit Information Security Teams aus Frankreich und Niederland
Juni 2019 - März 2020
10 Monaten
Wiesbaden, Deutschland

ISO & Senior Management Consultant Compliance & Information Security

Bundeskriminalamt (BKA), Freiberufler

  • „ISO“ – Information Security Officer; Verantwortlich für die Zertifizierung (Testat) der neuen Cloud-Services der Polizeiliches Service Plattform (PSP) auf den internationalen C5 Standard (Cloud Computing Compliance Control Catalogue)
  • GAP-Analyse und Mitarbeit für den Aufbau und Verbesserung eines ISMS (Information Security Management System) gemäß ISO 27001, IT-Grundschutz und neue Kompendium der BSI
  • Erstellung, Anpassungen und Verbesserung von Richtlinien und SOPs für das gesamte Bundesamt, i.R. des C5, ISMS & IT-Grundschutz-Aufbaus (Business Continuity (BIA/RIA/DRP), IT-Notfallkonzepten i.R.d. Disaster Recovery Plan, Compliance Management, Software Entwicklung, etc.)
  • Erstellung, Anpassung und Verbesserung von Informationssicherheits- (SiKo) und IT-Notfallkonzepte für den IT-Betrieb und für die neuen Cloud-Services (u.a. Identity- und Access Management (IAM), Backup & Recovery, Patch-Management, Krypto & Key Management, Asset & Configuration-Management, Konfigurations- u. Härtungsmaßnahmen, u.v.m.), um Compliant mit dem BSI-IT-Grundschutz zu sein
  • Zusammenarbeit mit dem SOC-Kollegen (Secure Operation Center), um die ständig wachsende Bedrohungslandschaft mit neuen Plattformen zu aktualisieren
  • Verantwortlich für die Vorbereitung und Durchführung interne Lehrveranstaltungen, (Workshops & Awareness) um die Informationssicherheitskonzepte bekannt-zugeben
  • BKA-Sicherheitsüberprüfung-SÜ2 (Deutsche Bundesamt für Verfassungsschutz)
  • Das Zertifizierungsprojekt wurde vom Bund aufgrund der Covid-19-Pandemie kurzfristig und frühzeitig abgebrochen
Feb. 2019 - Juli 2019
6 Monaten
Düsseldorf, Deutschland

CISO & Senior Management Consultant Compliance & Information Security

Dr. Glinz COViS GmbH, Freiberufler

  • „CISO“ – Chief Information Security Officer; Erstellung von Sicherheitskonzepten (SiKo) für das gesamte Unternehmen und die verschiedenen Software-Produkte
  • Durchführung eines Vor-Audits bzgl. EU-DSGVO mit dem ich festgestellt habe, dass COViS über 90% EU-DSGVO Compliant war
  • Neue Vorschläge implementiert für die Strategische Weiterentwicklung der IT Security, KVP und Aufrechterhaltung des bestehendes ISMS gemäß ISO 27001
  • Einführung des Konzeptes und Handling von Events, weil die Prozesse und das SOC & Ticketing-System des Unternehmens immer mit Incidents gestartet hatten
  • Verbesserung des (sog. informalen) Secure Operation Centers (autom. Monitoring, manuelles Operators-Überwachung & -Analysen plus Ticketing-System)
  • Durchführung von Security Assessments (PenTest & Vulnerability Scans), um Schwachstellen zu entdecken, zu behandeln und dementsprechend zu beseitigen
  • Entwicklung neue Compliance Services für Kunden der COViS. Durchführung von Workshops bzgl. „ISMS gemäß ISO 27001 und EU-DSGVO Compliance“
  • Erstellung neue Richtlinien und SiKo i.R. des ISMS KVP. Insbesondere für die Benutzung der Cloud Services als Cloud Service Provider und Client (CSP & CSC)
Mai 2018 - Dez. 2019
8 Monaten
Mannheim, Deutschland

Lead Auditor & Sr. Management Consultant Compliance & Information Security

TÜV SÜD, Freiberufler

  • Durchführung von Audits gemäß ISO 27001 für verschiedene Kunden
  • EU-DSGVO Workshops & Vor-Audit für den TÜV SÜD München und Kunden
Apr. 2018 - Jan. 2019
10 Monaten
Walldorf, Deutschland

Lead Auditor & Sr. Management Consultant Compliance & Information Security

SAP AG, Freiberufler

  • Internationaler Lead Audit Manager im Bereich der Quality Management und Information Security gemäß ISO 9001, ISO 27001, ISO 22301, SOC, SOX, C5, PCI-DSS & SIEM im Cloud Network Delivery Bereich (CND)
  • Zusammenarbeit mit dem Enterprise Compliance & Audits Teams als auch mit dem SOC-Team (Secure Operation Center mit SAP Solution Manager und SAP Enterprise Threat Detection (ETD)) für dem Threat Lifecycle Management (TLM), hauptsächlich der SAP-Cloud-Services, alles weltweit
  • Überprüfung und Verbesserung alle (CND) Informationssicherheitskonzeptes der SAP Cloud Services
  • Mitarbeit an der Entwicklung von Innovationsprojekten im Bereich Information Security von SAP-Lösungen
  • SPOC zwischen Cloud Network Delivery Bereich (CND), Anwendern und allen Compliance-Teams weltweit
  • Compliance Projekt Manager für CND (Cisco Switches, aller Data Center weltweit)
Okt. 2017 - Juni 2018
9 Monaten
Karlsruhe, Deutschland

Division Manager Compliance Services & Solutions

Makro Factory GmbH & Co. KG, Festanstellung

  • Planung, Ausbau und Aufbau des neuen Services Bereiches Compliance Services & Solutions, um Kunden und Geschäftspartnern der Makro Factory verschiedene Services anzubieten, insbesondere Beratung für die Einführung eines Informationssicherheitsmanagementsystems (ISMS), eines Business Continuity Management (BCM), IAM, Kryptographie & Key Management, technische & organisatorische Maßnahmen um EU-DSGVO (GDPR) Compliant zu werden, IT-Sicherheit, IT-Compliance, IT-Governance, IT-Grundschutz, BaFin & MaRisk, usw.
  • Beratung für die Einführung eines ISMS gemäß ISO 27001 und IT-Grundschutz des BSI, um mit der europäischen Datenschutzgrundverordnung „EU-DSGVO“ Compliant zu werden für Kunden der Makro Factory
  • Beratung für die Einführung eines BCM gemäß ISO 22301 für Kunden der MF
  • Durchführung von Seminaren, Schulungen und Workshops bzgl. „Einsatz eines ISMS gemäß ISO 27001, um EU-DSGVO Compliant zu werden“
  • Audits im Bereich der Informationssicherheit und des ISMS, gemäß ISO 27001, ISO 27006 und ISO 19011
Feb. 2016 - Juni 2018
2 Jahren 5 Monaten
Karlsruhe, Deutschland

CISO & Senior Management Consultant Compliance Services & Solutions

Makro Factory GmbH & Co. KG, Festanstellung

  • Erfolgreiche Implementierung und Zertifizierung eines Information Security Management Systems (ISMS) gemäß ISO 27001 und eines Business Continuity Management (BCM) gemäß ISO 22301 als Kombizertifizierung zzgl. eine ISO 27017 / ISO 27018 Zertifizierung zum Schutz der personenbezogenen Daten (EU-DSGVO / GDPR) als Cloud Service Provider (CSP)
  • Erstellung von IT-Notfallkonzept i.R.d. Disaster Recovery Plan (gem. ISO 22301)
  • Durchführung von IT Security Assessments (PenTest &, Vulnerability Scans), um Schwachstellen zu entdecken, zu behandeln und dementsprechend zu beseitigen
  • Implementierung & Zertifizierung des ISMS & BCM Projektes: 14 Monaten
  • Workshops bzgl. EU-DSGVO & ISMS für Kunden der Makro Factory (MF)
  • ISO 27001 & ISO 22301 Beratungen/Implementierung für Kunden der MF
Nov. 2015 - Jan. 2016
3 Monaten
Düsseldorf, Deutschland

Senior Management Consultant Compliance & Information Security für die Stadtsparkasse Düsseldorf

Makro Factory, Freiberufler

  • Durchführung eine Banking-Sicherheitsberatung bzgl. BaFin und MaRisk AT 8.2 Compliance und Anforderungen an die IT und Maßnahmen der „Sicheren IT-Betrieb“ (SITB) der Stadtsparkasse-Düsseldorf (mehr als 2.000 Mitarbeiter)
  • Beratung für das Outsourcing von Dienstleistungen im Bereich Netzwerk unter Aussicht d. Kreditwesengesetz (KWG 25a/b Risiko/Outsourcing). Das Incident-Management musste für den Wechsel des Netzwerk Providers von T-Systems zur „Finanz Informatik“ (FI) angepasst werden (MaRisk AT 9 Outsourcing). Business Analyse, Modellierung und Anpassung für die Auslagerungsprozesse
März 2013 - Juni 2015
2 Jahren 4 Monaten
Santiago, Chile

Strategische ITSCM, CISO, Business & eGRC Senior Management Consultant

Selbstständiger Unternehmer

  • Senior Project Manager & Business Analyst, Senior PMO & Senior IT Security als Interimsmanager für Banken, Versicherungen, Retail, und Industriebereiche
  • Technischen Roll Out und Schulung dem Mitarbeiter neuer ERP-Systeme & Change Management für ein internationales Bergbauunternehmen
  • Strategische Weiterentwicklung der ITSCM, IT-Services und IT-Security für Banken, Versicherungen, Retail, und anderer Industriebereiche (CISO ad Interim)
  • Implementierung von ISMS gemäß ISO 27001 für verschiedene Unternehmen in Chile, Argentinien und Brasilien, immer als CISO ad Interim
  • Implementierung Business Continuity Management (BCM) gemäß ISO 22301 für verschiedene Untern. in Chile, Argentinien und Brasilien, immer als CISO a. Interim
  • Strategische ITSCM, IT-Service Management & Business Development Manager ad Interim für verschiedene IT-Gesellschaften
  • Business Analyst, Übersetzer und Dolmetscher für IT- und geschäftsbezogene Projekte (Spanisch/Deutsch/Englisch)
Nov. 2010 - Feb. 2013
2 Jahren 4 Monaten
Santiago, Chile

Regional eRCP-Manager für ganz Lateinamerika

Zürich Shared Services – Versicherungsgesell., Freelancer

  • eRCP steht für Enterprise Release, Configuration & Promotion (Deployment)
  • GMP – Growing Market Platform: Globales Projekt für den Roll Out eines neuen Kernversicherungssystems für alle lateinamerikanischen Geschäftseinheiten (Business Units bzw. Länder) der Zürich Versicherung
  • Aufbau eines eRCP-Teams in Chile, Brasilien und Indien: Schulung, Führung und kontinuierliche Verbesserung des gesamten Teams weltweit
  • Regional eRCP-Manager, Problem & Incident, Change & Release, SLA- und Krisenmanagement über den gesamten Lebenszyklus aller Anwendungen für jede lateinamerikanische Geschäftseinheit von Zürich Versicherung (Business Unit)
  • Single Point of Contact für die LA-Anwender, um neue SW-Releases vorzubereiten
  • Zusammenarbeit mit den Anwendern bei der Entwicklung der Testfälle zum Testen & zur QA-Freigabe von neuen Software-Releases
  • Zusammenarbeit mit den regionalen CAB für das Change-Management und, um neue Software-Releases Freizugeben und zu implementieren
  • Überprüfung & Anpassung der Verträge für die externen Dienstleister (Accenture, CSC, Everis, Wipro, usw.) in Zusammenarbeit mit der Rechtsanwaltskanzlei
  • Weltweite Personalverantwortung für mehr als 80 Mitarbeiter, mit Teams in Chile (Santiago), Brasilien (Sao Paulo), Spanien (Barcelona) und Indien (Pune)
Juli 2010 - Okt. 2010
4 Monaten
Santiago, Chile

Senior PMO für ganz Lateinamerika

Zürich Shared Services – Versicherungsgesell., Freelancer

  • Senior PMO bei der Zürich-Versicherung für jede lateinamerikanische Geschäftseinheit und alle „Non Core“ Anwendungen (Legacy Systems) im Rahmen des Projektes Growing Market Plattform (GMP)
Juli 2008 - Juli 2010
2 Jahren 1 Monate
Santiago, Chile

CISO ad Interim & Interimsmanager der IT- & IT-Security-Bereiche

INE, Chilenische Statistikamt, Freelancer

Das Statistische Bundesamt Chile (INE) führte Forschung und Lehrtätigkeiten mit und an internen und externen Mitarbeitern, um sie für die Erhebung statistischer Bevölkerungsdaten (Zensus) auf herkömmliche und auch digitale Methode zu erheben und um die später als nationale Statistik zu bearbeiten.

  • Verantwortlich für die Vorbereitung, Programmierung (durch mein IT-Team) und Sicherheit der Kabellosen Lösungen für die digitale Datenerhebung in Bezug auf die Volkszählung 2011-2012
  • Verantwortlich für die Vorbereitung und Durchführung der Lehrtätigkeiten für externe Mitarbeiter zwecks digitaler Datenerhebung unter Verwendung der Kabellosen Geräte
  • Verantwortlich für die gesamte Information Security, IT- und Technologieprojekte für die traditionelle sowie auch digitale Volkszählung 2011-2012 und die entsprechende Pilot-Projekte, um die Technologie zu Testen und zu Prüfen
  • Entwicklung und Durchführung einer Umstrukturierung des IT-Bereiches. Verhandlungen mit der Geschäftsführung und Betriebsrat für die Durchsetzung
  • Als CISO a. I. Einführung von Richtlinien unter Einhaltung internationaler Normen und Standards (ISO 27001, ISO 22301, ITIL, COBIT, UML, BPMN und OECD)
  • Als CISO ad Interim verantwortlich für die Strategische Weiterentwicklung der ITSCM, IT-Services und IT-Security sowie sämtlicher Innovationsprojekte
  • Aufbau und Einführung des erstens SOCs (Secure Operation Center) mit einem SIEM-Plattform (Security Information & Event Management), um i.R. der Threat Lifecycle Management (TLM) eine automatisierte Lösung einzuführen
  • Einführung von PMO, Entwicklungs- (PMI & CMMI), sowie Projektmethoden, CMMN für den SW-Entwicklungsbereich
  • Erzeugung der technologischen Grundlagen, RFP und Leitung der Einführung einer institutionellen und länderübergreifenden Verbesserung des Telekommunikationsnetzes
  • Personalverantwortung ad Interim für mehr als 50 Mitarbeiter
März 2002 - Juni 2008
6 Jahren 4 Monaten
Santiago, Chile

CEO & Inhaber; Geschäftsführer, CISO & Senior Consultant

ATNet Lateinamerika Management Consulting GmbH

  • Gründer, Inhaber, Geschäftsführer und Senior Management Consultant des internationalen IT-Management-Beratungsunternehmens
  • Spezialisiert auf IT, Governance, Risk & Compliance, Information Security, Wirtschaft & elektronisches Rechnungsverfahren gem. Landes-Finanzamt
  • Implementierung und Zertifizierung von ISMS gem. ISO 27001 und von BCM gem. ISO 22301 für verschiedene Großunternehmen in Chile, Argentinien und Brasilien, hauptsächlich bei Finanzinstitutionen (Data Center, Banken & Versicherungen)
  • Durchführung von Benchmarking, um Secure Operation Center (SOC) mit SIEM-Plattformen aufzubauen für verschiedene Finanzinstitutionen in Chile
  • Entwicklung, Vertrieb und Einsatz einer elektronischen Rechnungsverfahrens-anwendung mit Asymmetr.-Kryptografie gem. Spezifikationen des Finanzamtes
  • Dozent der Lehrgänge für das Wirtschaftsministerium und für mehr als 20 Lehrgänge der Kommerz- und Handelskammer von Santiago für elektronische Rechnungsverfahren mit Benutzung Asymmetrischer-Kryptografie bezüglich strategischer-, technologischer-, organisatorischer- & verwaltungsseitigen Aspekte
  • Durchführung einer Fachberatung, Business Analyse, Design und Workflow-automatisierung eines Außenhandelsprozesses zwischen Front- und Back-Office für eine brasilianische Bank, um das „Time to Market“ zu verbessern
  • Fachberatung im Vorfeld der Erstellung eines strategischen Plans für den Technologiebereich einer Corporate Bank i.R.d. Open Innovation Frameworks
  • Durchführung einer Konsolidierung der Netze und Serverplattform zur verbesserten Unterstützung der Geschäfts- und Betriebsprozesse und damit zur Reduzierung des TCO für eine große lokale Bank
  • Durchführung einer Fachberatung mit dem Ziel der Einführung von IT–Sicherheitsleitlinie und Corporate-Richtlinien inkl. einer Reorganisation des IT-Bereiches bei dem größten Bergbau, Eisen- und Stahlunternehmen in Chile
  • Personalverantwortung für mehr als120 Mitarbeiter
Mai 2000 - Feb. 2002
1 Jahr 10 Monaten
Santiago, Chile

CIO & COO – IT & Operation Manager

Chipkarten AG (ETISA) Tochtergesellschaft der Banken

  • Einführung einer elektronischen Geldkarte (eWallet) mittels Smart Card
  • Definition, Benchmarking, Auswahl, Beschaffung, Einführung und Management der technologischen Plattform für die Verwaltung der elektronischen Brieftasche (eWallet auf Smart Card) als Open Innovation Projekt der Banken
  • Die Lizenzierung der Geldkarte wurde von den Banken bei „Mondex International“ (heute MasterCard) in London (UK) erworben
  • Einführung und Leitung eines Interbankenkomitees für Betriebs- und Technologie-Themen als gemeinsamer Kommunikationskanal mit den einzelnen Gesellschaften
  • In Zusammenarbeit mit Finanz Komitee, Bankenaufsicht und der LZB wurde das Design des Modells für die Herstellung, den Betrieb und das Abrechnungs-verfahren des „elektronischen Geldes“ unter Berücksichtigung seiner Auswirkung auf den Finanz- und Geldmarkt entwickelt
  • Entwicklung des Finanzmodells bzgl. Investition, Verwaltung und Gewinnverteilung unter Betrachtung der Wechselwirkungen zwischen „echtem“ und „virtuellem“ Geld und unter Einbeziehung der Vorgaben einer dauerhaften Sicherstellung der Stabilität des elektronischen Geldes für die Endkunden sowie der Sicherung der zugehörigen Investitionen in den Kapitalmarkt
  • Business Analyst als Schnittstelle zwischen den Banken und für die Umsetzung des Projektes im Unternehmen
  • Personalverantwortung für mehr als 20 Mitarbeiter zzgl. Externer Dienstleister
Juli 1998 - Mai 2000
1 Jahr 11 Monaten
Santiago, Chile
Remote

Manager der Technologischen Remote Kanäle, Marketing

Bank BCI, Banco Crédito Inversiones

  • Betriebsleitung der technologischen Remote Kanäle: Web, Mobile Banking, Telefon-Banking, Geldautomaten, usw.
  • Entwurf und Definition des Projektes zur Entwicklung und Einführung der ersten chilenischen, transaktionsorientierten Banking-Webseite und des mobilen Digital-Banking inkl. Führung und Controlling der externen Dienstleister des Projektes
  • Personalverantwortung für mehr als 40 Mitarbeiter
Okt. 1994 - Juli 1998
3 Jahren 10 Monaten
Santiago, Chile

Senior Consultant Electronic Banking, Corporate Banking

Bank BCI, Banco Crédito Inversiones

  • Entwicklung, Implementierung und Management aller Elektronik Banking Produkte der Bank für den kommerziellen/Corporate Bereich
  • Entwicklung und Einführung des eCommerce Solutions für die Bank
  • Beratung für die sichere Entwicklung von eCommerce und EDIFACT in Chile
Juli 1992 - Sept. 1994
2 Jahren 3 Monaten
Santiago, Chile

Manager I+D, Forschung und Technologische Entwicklung, IT-Bereich

Bank BCI, Banco Crédito Inversiones

  • Einführung von EDIFACT (Electronic Data Interchange) für die Bank
  • Beratung für die Gründung eine EDI–Tochtergesellschaft der Banken
  • Entwicklung und Einführung des ersten Car-Banking Branche (Drive-In Filiale)
  • Personalverantwortung für mehr als 10 Mitarbeiter
Juli 1991 - Juni 1992
1 Jahr
Frankfurt am Main, Deutschland

Senior Consultant & stellvertretender Manager International Banking

Digital Equipment Corporation (DEC)

  • Verantwortlich für COMEX, Financial EDIFACT & eCommerce für die Deutsche und europäische Banken und verantwortlich für die CeBIT (Finanzinstitutionen)
  • Entwicklung und Verbreitung von eCommerce bei den Deutschen Banken
  • Mitglieder der europäischen Interbankenausschüsse (Frankfurt, Paris, London)
  • eCommerce–Projekt zwischen Geschäftsbanken und der LZB in Frankfurt
Juli 1988 - Juni 1991
3 Jahren
Frankfurt, Deutschland

CIO und Prokurist

Société Générale, Französische Bank

Société Générale ist eine der größten europäischen Finanzdienstleistungsgruppen, eine europäische Bank der Spitzenklasse mit mehr als 126.000 Mitarbeitern, die rund 25 Millionen Kunden in 65 Ländern weltweit betreuen.

  • Durchführung eines Benchmarkings, Definition und Beschaffung SWIFT-ST400-System für die Gesamtbank
  • Planung, Einführung, Rollout und Schulung von SWIFT-ST400-System für allen Anwender der Bank in allen deutschen Filialen (bundesweit)
  • Einführung des ersten Wide Area Network (WAN) von Frankfurt aus in alle Filialen der Bank im Bundesgebiet, mit dem Einsatz eines Analoges Multiplexer
  • Definition und Einführung des neuen Data Center in Frankfurt
  • Als CIO, Personalverantwortung für mehr als 40 Mitarbeiter
Juli 1986 - Juni 1988
2 Jahren
Frankfurt, Deutschland

CTO und Handlungsvollmacht A

Société Générale, Französische Bank

Apr. 1984 - Juni 1986
2 Jahren 3 Monaten
Frankfurt, Deutschland

Stellvertretenden CIO und Handlungsvollmacht B

Société Générale, Französische Bank

Nov. 1983 - März 1984
5 Monaten
Frankfurt, Deutschland

Teamleiter Software Engineering

Société Générale, Französische Bank

Juli 1983 - Okt. 1983
4 Monaten
Frankfurt, Deutschland

Business Analyst & Software Engineer

Société Générale, Französische Bank

Zusammenfassung

Meine Erfahrungen als CEO beinhalten die Gründung und Leitung eines eigenen Unternehmens als IT-Dienstleister, in dem ich über einen Zeitraum von 6 Jahren über 120 Ingenieure beschäftigen und große Projekte erfolgreich abschließen konnte.

Im Jahr 2016 begann ich meine Tätigkeit als ISO in einem IT-Dienstleistungsunternehmen. Neben diesen Tätigkeiten habe ich mich in der europäischen Grundverordnung des Datenschutzes (DSGVO) eingearbeitet.

Mein Unternehmergeist führte mich jedoch zurück in die Selbstständigkeit und seit 2018 wurde ich ein freiberuflicher Senior Management Consultant für Information Security und Business Continuity.

Sprachen

Deutsch
Muttersprache
Spanisch
Muttersprache
Englisch
Verhandlungssicher
Französisch
Verhandlungssicher
Italienisch
Fortgeschritten
...und 1 Weitere

Ausbildung

Okt. 1977 - Juni 1982

TU Santiago

Diplom Ingenieur · Wirtschaftsinformatik · Santiago, Chile

Zertifikate & Bescheinigungen

CISA/CISM: Certified Information System & Security Lead Auditor gemäß ISO 27000 TÜV SÜD Series und ISO 19011

TÜV SÜD

CISO: Chief Information Security Officer / Professional gemäß ISO 2700X Series

TÜV SÜD

Zertifizierter ISMS Lead Auditor gemäß IT-Sicherheitskatalog der Bundesnetzagentur BNetzA (KRITIS) Zertifizierung nach § 11, Art. 1a des deutschen Energiewirtschaftsgesetzes EnWG

Bundesnetzagentur BNetzA

Zertifizierter ISMS Lead Implementer gemäß ISO/IEC 2700X Series

TÜV SÜD