Mein Angebot
Ich unterstütze Unternehmen bei der Umsetzung wirksamer und praktikabler Informationssicherheit: Von ISMS und Risikoanalysen über die Vorbereitung auf regulatorische und normative Anforderungen bis hin zur Mitgestaltung sicherer IT-Anwendungen. Besonders wichtig ist mir dabei eine pragmatische Vorgehensweise, verständliche Kommunikation und klare Handlungsempfehlungen.
Ich bin überzeugt: 100% Sicherheit ist ein Mythos. Nur nachvollziehbare und angemessene Sicherheitsmaßnahmen bringen einen echten Mehrwert für Ihr Unternehmen.
Kernkompetenzen
- ISMS nach ISO 27001 und BSI IT-Grundschutz
- Regulatorische Anforderungen: DORA, NIS2 etc.
- Informationssicherheitsaudits und Gap-Analysen
- Sicherheitsrichtlinien, Prozesse und Governance
- Information Security Architecture für Cloud-Anwendungen
- Stakeholdermanagement zwischen Fachbereich, IT, Dienstleister und Management
- Projektleitung, Anforderungsmanagement und Workshop-Moderation
- Verständliche Schulungen und Trainings komplexer Themen
Referenzprojekte (Auszug)
ISO 27001-Implementierung
Begleitung der Einführung und Weiterentwicklung eines Informationssicherheitsmanagementsystems (ISMS) nach ISO/IEC 27001 in der Unternehmensgruppe eines Logistikers. Unterstützung bei der strukturierten Umsetzung normativer Anforderungen sowie bei der Etablierung praxistauglicher Sicherheitsprozesse zur schnellen Erlangung der Zertifizierungsreife.
Schwerpunkte sind unter anderem Gap-Analysen, Richtlinien und Dokumentation, Prozesseinführungen und Schulungen, die Vorbereitung auf Audits sowie die Abstimmung von Maßnahmen mit Fachbereichen, IT und Management.
Trainer & Dozent für Informationssicherheit
Konzeption und Durchführung von Schulungen, Seminaren und Vorlesungen zu Themen der Informationssicherheit für unterschiedliche Branchen und Zielgruppen. Inhaltliche Schwerpunkte liegen insbesondere auf ISO 27001, BSI IT-Grundschutz, Security-Awareness und IT-Sicherheit allgemein.
Von Vorlesungen zu IT-Sicherheit an der DHBW Stuttgart über zielgruppenspezifische Security-Awareness-Kampagnen bis hin zu ISO 27001-Lehrgänge von privaten Bildungseinrichtungen: Die verständliche Vermittlung komplexer Themen rund um die Informationssicerheit liegt mit am Herzen.
Informationssicherheitsaudits
Durchführung und Weiterentwicklung von Informationssicherheitsaudits im regulierten Umfeld eines Finanzinstituts. Ziel war die Überprüfung von IT-Systemen und Anwendungen auf Einhaltung gesetzlicher, regulatorischer und interner Anforderungen im Rahmen eines strukturierten Soll-Ist-Abgleichs.
Berücksichtigt wurden insbesondere finanzaufsichtliche Anforderungen wie DORA, MaRisk und BAIT. Dazu gehörten Workshops mit Anwendungsverantwortlichen und Dienstleistern, die Bewertung und Dokumentation der Ergebnisse (inkl. Risikoanalyse), die Ableitung von Maßnahmen sowie die kontinuierliche Optimierung von Auditprozess, Templates und Methodik.
IT-Security-Architekturberatung
Beratung zur sicheren Konzeption und Weiterentwicklung von IT-Anwendungen mit einem Fokus auf Cloud- und Kubernetes-Architekturen. Unterstützung bei der Berücksichtigung von Sicherheitsanforderungen bereits in Design-, Änderungs- und Umsetzungsphasen als Teil des DevSecOps-Prozesses.
Dazu gehört insb. die Abstimmung zwischen Architektur, Entwicklung, Betrieb und Informationssicherheit, der Bewertung sicherheitsrelevanter Anforderungen und Risiken (Threat Modeling) sowie der Erarbeitung praktikabler Sicherheitsmaßnahmen für Anwendungen und technische Plattformen.
Zertifizierungen
- CISSP - (ISC)²
- ISO/IEC 27001 Auditor - PECB
- IT-Grundschutz-Praktiker - BSI
- ITIL Foundation - ITIL
- Scrum PSPO I - Scrum.org
- Datenschutzbeauftragter - IHK
Kontakt
Für Projektanfragen, Interimsmandate und Trainings in deutscher oder englischer Sprache: info@lewaconsulting.de