Informationssicherheit gibt es nicht von der Stange, denn Unternehmen sind nicht gleich. Dabei gibt es unterschiedliche Strukturen, Kulturen, Branchen und Schwerpunkte die Unternehmen auch unterschiedlich agieren lassen. Entsprechend unterschiedlich sind auch die Bedürfnisse und Ansprüche an die Informationssicherheit eines Unternehmens. Mit meiner Fachkompetenz berate ich Geschäftsführungen, IT- und Fachverantwortliche, beantworte deren Fragen und identifiziere die Schutzbedarfe und Schwachstellen des Unternehmens. Aus dessen Ergebnissen und den spezifischen Compliance-Anforderungen entstehen Lösungen, die individuell auf das Unternehmen angepasst, das nötige Maß an Informationssicherheit gewährleisten.

Die somit entstehen Lösungen in Form von Maßnahmen, die sich aus dem Beratungsprozess etablieren, können dann von den internen Fachbereichen (insbesondere IT und den Sicherheitsverantwortlichen) umgesetzt werden. Auf Wunsch unterstütze ich selbstverständlich die Mitarbeiter der Fachbereiche. Bei Bedarf auch als externer IT-Sicherheitsmanager über einen längeren Zeitraum hinweg. Da ich Erfahrungen in dieser Position habe und sowohl die Sprache des Managements und der Techniker spreche, werde ich von beiden Seiten verstanden und akzeptiert, weiterhin sind mir die jeweiligen Belange bestens bekannt.

Entsprechend der individuellen Unternehmensstruktur entwickle ich Sicherheitskonzepte in Form von Richtlinien, Prozessen und Prozeduren, die sich in der Praxis bewähren. Garant dafür ist mein fundiertes Wissen über Informationssicherheit und Sicherheitsprozesse einerseits und meine praktische Erfahrung im IT-Sicherheitsmanagement und in der technischen Ebene andererseits. Dabei verliere ich auch die wirtschaftlichen Aspekte nicht aus den Augen.

Ich kann somit einschätzen ob sich ein theoretischer Ansatz auch in der Praxis umsetzen lässt.

Die zu entwickelnden Konzepte profitieren von meiner Erfahrung aus vielen verschiedenen Projekten und Aufgaben in anderen Unternehmen. Die dort gewonnenen Erfahrungen von verschiedenen Ansätzen und Umsetzungen, Prozessvarianten und Vorgehensweisen können in Ihre Konzepte einfließen und Ihnen zu Gute kommen.

Entwickelte Konzepte und insbesondere ein Informationssicherheitsmanagementsystem (ISMS) müssen in die Unternehmensorganisation und -struktur implementiert werden, damit diese in kraft gesetzt und vor allem effizient gelebt werden. Dazu ist es notwendig, dass alle Beteiligten und nötigen fachverantwortliche Stellen in die Sicherheitsprozesse integriert werden und alle Ihre Verantwortlichkeiten verstehen und die speziellen Anforderungen umsetzen.

Um dies zu gewährleisten müssen diese Anforderungen kommuniziert und zusammen erarbeitet werden. Damit dies reibungslos durchgeführt werden kann, übernehme ich die Aufgaben der Implementierung als neutraler Vermittler und Berater zwischen den Fachbereichen sowie wenn nötig als Projektleiter. Für Unterweisungen und Schulungen zur Awareness und der spezifischen Aufgaben der Fachbereiche stehe ich ebenso zur Verfügung.

Ein Sicherheitsaudit dient dazu, um festzustellen ob die implementierten und umgesetzten Konzepte in Form von Richtlinien, Prozessen und Prozeduren und der daraus resultierenden Maßnahmen entsprechend umgesetzt und gelebt werden. Es verrät Ihnen sozusagen, wie es um die Sicherheitslage des Unternehmens bestellt ist. Dabei wird das Soll ihres angestrebten Sicherheitsniveaus mit der festgestellten Ist-Situation verglichen.

Ein Audit kann unterschiedliche Ausprägungen aufweisen. Es können einzelne Produkte bzw. Systeme sein, aber auch das gesamte Unternehmen das beispielsweise ein unternehmensweites Informationssicherheitsmanagementsystem (ISMS) zertifizieren möchte.

Grund können unterschiedliche Gesetzesanforderungen (z.B. IT-Sicherheitsgesetz), aber auch Veränderungen im Unternehmen selbst (z.B. Unternehmensumstrukturierung, Produktumstieg, Änderungen des Geschäftsfeldes) sein.

Um diesen Anforderungen gerecht zu werden, übernehme ich für Sie die Aufgaben der Planung und Durchführung und sorge dafür, dass Sie Audits erfolgreich absolvieren. Als Lead Auditor nach ISO 27001, übernehme ich die Rolle eines internen Auditors und trete während externen Audits bzw. für die Zertifizierung eines ISMS nach ISO 27001, dem Auditor als kompetenter Ansprechpartner auf gleicher Augenhöhe gegenüber. Weiterhin ist es mir möglich anhand der Auditergebnisse bzw. der festgelegten Maßnahmen realistisch einzuschätzen ob die geplanten Konzepte stimmig und konform sind, um die benötigten Aufwände so gering wie möglich zu halten.

Durch den komplexen Einsatz von IT-Systemen, zur Abbildung von Geschäftsprozessen, entstehen unterschiedliche Gefährdungen für das Unternehmen. Dazu zählen beispielsweise, der Verlust oder Missbrauch schutzbedürftiger Daten und Informationen, unerlaubte externe und interne Zugriffe auf das Unternehmensnetzwerk, die Unterbrechung oder Behinderung der Geschäftstätigkeit, unerkannte Verstöße gegen gesetzliche Bestimmungen oder Richtlinien und Normen.

Oftmals stagniert bereits schon nach Einführung entsprechender Maßnahmen die Weiterentwicklung der Informationssicherheit. Die daraus resultierenden Risiken und Schwachstellen bedrohen dabei ständig aufs Neue die Unternehmenssicherheit und somit auch die Businessanforderungen aus dem Kerngeschäftsfeld.

Um diesen Gefährdungen entgegen zu wirken und die Hürden aufzudecken, die dafür verantwortlich sind, führe ich im Unternehmen eine Schwachstellen- und Risikoanalyse der einzelnen Sicherheitskonzepte durch. Zum einen um die entsprechenden Richtlinien und Prozesse zu analysieren, sowie zum anderen um zielgerichtete Maßnahmen für gefundene Schwachstellen und den ggf. daraus resultierenden Risiken zu identifizieren, die zur Erreichung der geplanten Unternehmensziele hinderlich sind.

Die Risikoanalyse bzw. der gesamte Risikomanagementprozess stellt eine Kernkomponente der Informationssicherheit dar und sollte daher unbedingt optimal implementiert werden. Hierbei kann ich Ihnen besonders zur Seite stehen, um den Risikomanagementprozess in das Unternehmen zu integrieren und zu leben.

Sie benötigen einen Informationssicherheitsbeauftragten oder Informationssicherheitsmanager?

Dann übertragen Sie doch einfach die Aufgaben und Verantwortlichkeitenan einen externen Partner.

Mit qualifizierter und erfahrener Expertise stehe ich Ihnen gerne als Interimsmanager oder externer Informationssicherheitsbeauftragter zur Verfügung, um die komplette Verantwortung der Informationssicherheit oder als teilweise Unterstützung zu einer bestehenden Verantwortlichkeit, in Ihrem Unternehmen zu übernehmen.

So haben Sie die Möglichkeit sich auf andere Aufgaben zu konzentrieren oder genügend Zeit sich um eine geeignete Vakanz zu bemühen.