Topic Description Date Microsoft, MCP (Zertificate), MCSE, NT4.0, WIN2000 (Zertificate), 02/ /2001

Transkript

1 Skilldescriptin Stand: August 2012 Name: Michael Schilder Alter: 44 Whnrt: CH Rupperswil Tpic Descriptin Date Micrsft, MCP (Zertificate), MCSE, NT4.0, WIN2000 (Zertificate), 02/ /2001 Ausbildung MCT (Zertificate) Netwrk CCNA, CISCO (Zertificate), CCNP, CISCO (Curse) 07/ /2002 Ausbildung Berufsakademie Stuttgart (Abendstudium) Services, ITIL V1 (Siemens Accunt KSB) 2004 Przesse (gem. ITIL) - Incident-; Prblem, Changemanagement (Kunde: KSB, Frankenthal) - Cnfiguratin- Management Plan, Design and Implement the Cnfiguratin Management Database (CMDB), (Kunde: KSB Frankenthal) ITIL V2 Naspa, swissgrid - IT-Security Management (Przessverantwrtung) Infrmatin Security Strategie (Visin) Infrmatin Security Plicy (Missin) Knzeptinen (Taktik) Awarenesskampagnen Turnusberichte an den Vrstand - IT Service Cntinuity Management (ITSCM) (Przessverantwrtung) Ermittlung der Vital Business Functins (VBF) gem. Schutzbedarfsanalyse (Risikansatz); Guidelines BCM/BCP Störungseingang (Ablauf), Alarmierungsplan, Wiederanlauf dat ITIL V3 swissgrid Verantwrtlich für die Planung, das Design und die Implementierung der flgenden Przesse (Verantwrtlich): - IT Service Cntinuity Management (ITSCM) - IT Security Management (ITSM) Risikmanagement (FB: ICS) IT-Security Management - Verfasser des Dkumentes Infrmatin Security Strategie bei der swissgrid ( )à Visin - Verfasser des Dkumentes Infrmatinssicherheitsplitik bei der swissgrid à Missin - Festsetzung auf die jeweilig relevanten Knzepte (Taktik) - Verfasser des Dkumentes Benutzung der Infrmatinssysteme bei der swissgrid (peratinell) - Einführung und Betrieb Security Framewrk auf Basis ISO ( Sicherer IT-Betrieb ) Frtdauernder Verbesserungsprzess (PDCA) Riskmanagement (swissgrid, Bereichsverantwrtung Riskfficer ICS ) - Planung, Design und Implement. einer unternehmensweiten Risikplattfrm auf Basis

2 ITIL Educatin Inf. Sec. Ausund Weiterbildung Framewrk, Security (ISO 27001/ 2) ISO 270XXff Aus- und Weiterbildung Framewrk, NERC (CIP) NERC Ausbildung IT- Security, allegemeine Skills SharePint Threats (Bedrhungen) Vulnerabilities (Schwachstellen) (Bereichs-) Risiken Massnahmen (Single-Respnsibility) Aufgaben (Multiple-Respnsibilities) Awarenssveranstaltungen Anfertigen vn Lehrvides Verfasser Dkument Riskpliy bei ICS - Durchführung vn Lehrveranstaltungen für weitere Bereiche auf Basis der SharePint-Plattfrm Weitere TSO (Transmissin System Operatr) haben bereits Interesse an dieser Vrgehensweise zum Ausdruck gebracht ITIL, Fundatin, Certificate (05/2004) seit 2004 bis dat ITIL, Fundatin V3, Certificate (05/) ITIL, Service Manager V2, Certificate (05/ /2011) ITIL, Expert V3 (In Planung) CISM (Ausbildung) 2012 "Sicherer IT- Betrieb" (SIZ/ DE) - Asessment (IST- Zustand) - Pririsierung der Knzepte Massnahmenplanung ( Risikbehandlungsplan ) - Awareness/ Training AllHands Onlineschulungen (webbased) incl. Zertifizierung der Anwender Newsletter Securityberichte an die Geschäftsleitung - Schulung: ISO Vertiefung Infrmatin Security in Unternehmen 08/ - ISO Lead Auditr Infrmatin Security (incl. Zertifizierung), in Planung Swissgrid - Durchführung vn einem Verlaufsassessment zur Erlangung des Grades an Cmpliance (SCADA) Auf Basis CEST-Tl Massnahmenplanung Präsentatin der Ergebnisse bei der Geschäftsleitung und Verwaltungsrat der swissgrid - Ausblicke in die Zukunft Hinzuzug vn weiteren NERC- Audits (2012) Erlangung vn tiefen Fachkenntnissen - bei den NERC- Spezialisten Vrrt (USA/New Yrk) - NERC-Standard Überblick SCADA-Umgebungen Durchführung vn Cmpliance- Audits für kritische Umgebungen Massnahmenplanung für die Erreichung vllständiger Cmpliance Strategische Ebene Guidelines - Infrmatinssicherheitsstrategie Sicherkeitsleitlinien Stellenwert der IT Wrkshps zur Herleitung (Basis Szenarien) seit 2006 bis dat bis dat 09/ /2011 Seit 2006 bis dat

3 Publikatinen Taktische Ebene - Knzepte Pririsierung (Mittelfristplanung) IT Security Plicy Operatinelle Ebene - Weisungen - IT-Richtlinien, Backupknzept, Archivierungsknzept, etc. - Owner vn: Penetratintest Infrmatinsklassifizierung und ILP Sicherheitsrganisatin (Dkumentarisch) Weitere Skills - Verfasser vn (Risik-) Bewertungen diverser Sachverhalte - Mitarbeit an der unternehmensweiten Infrastruktur- Architektur Zning, Prtclls, Mnitring, Reprting ("sicherheitsrelevante Incidents") - Mitarbeit am unternehmensweiten Identity Access Management (IAM) Definitin vn Rllen und Verantwrtlichkeiten Benennung vn Cmpliance Reprts aus den Vrgaben des IKS (Generelle IT-Kntrllen) - CITRIX Starke Authentisierung (Erstellung der Definitinen) - Tken, Batch, Zutrittsmdelle (Zutritts- Znen) Weitere Skills Telekmmunkatinsdienst, E- Mail - Spamfiltering - Telemediengesetz - Dienstvereinbarungen - juristische Bedeutung "Nutzung des Telekmmunikatinsdienstes E- Mail" (BitKm) - Verbt der privaten Nutzung der Telekmmunikatinsdienste (Internet/ E- Mail) - Umgang mit vertraulichen Infrmatinen (Sensitivitätsstufen--> ILP) - Sichere Mail Übermittlung - VPN/ SSL Prtal - Verschlüsselung (S/MIME), andere Telekmmunikatinsdienst, Internet - Firewall, Rules (gem. Guidelines) - Black/Whitelisting Penetratintest - Anfrderungen gem. der aktuellen Sicherheitslage und geltenden Vrgaben Verfasser des Dkumentes: "Durchführung eines Penetratintest bei der swissgrid" - Verantwrtlich für Planung und Durchführung - Verantwrtlich für die Abstellung der Lücken Tracing/ Tragging in eigen erstelletn Eingabemasken in SharePint Wrkflwbasierend Beauftragung der Massnahmen (IKSrelevant) Buch- und Präsentatinsprjekt - Rahmenwerk Infrmatinssicherheitsmanagement 2011 bis dat Seit Q1 / 2012 (siehe unter Web:

4 Framewrk, weitere (Erfahrungen) IKS Prjekte Der Przess (Keyntes) Kmpletter Infrmatinsecurity Management Przess ( Vn der Wiege in die Bahre ) Drei-Ebenen für unterschiedliche Anspruchsgruppen (Management, Engineers, Beispielvrlagen) Auflösungsptimiert für ipad Incl. Zahlreicher Tutrials und Hilfestellungen (Yutube, Heise, etc.) - Buch: Infrmatinssicherheitsmanagement Der Przess Erste Layuts vrhanden (Struktur, Design, etc.) Release 2013 in Planung Enterprise Architecture - Gem der Schablne Zachman ("Zachman Enterprise Architecture") Sicherstellung der Integrität bei der finanziellen Berichterstattung (Fkus: generelle IT- Kntrllen) - Festlegung der im jeweiligen Prüfungsjahr im Fcus stehenden Applikatinen - Leitung der Asessments, der durchgeführten Massnahmen - Zentraler Ansprechpartner in Bezug auf die Zwischenprüfung und Finalprüfung durch die externe Prüfungsbehörde (KPMG) Siemens Business Services (SBS) - "Migratin der IT- Infrastruktur Accunt KSB (Frankenthal) vn NT40 auf WIN2000 (Active Directry)" - Teilprjektleitung: "Einführung einer ITIL knfrmen Service Infrastruktur" Cnfiguratinmanagement Incidentmanagement Prblemmanagement Planung, Design und Implementierung einer zentralen CMDB - Prjektleitung: "Einführung eines Werkzeuges zur Bewältigung des Tagesgeschäftes auf Basis Servicemangement (ITIL- Tl: Assyst) Nassauische Sparkasse (NASPA) Infrmatinssicherheit - Security Framewrk 27001/2 Implementierung und Aufrechterhaltung (P- D-C-A) - Schulung Erstellung und Publizierung eines an die Naspa- Bedürfnisse angepassten Fragenkatalges Durchführungsverantwrtung für User à Details - siehe unter Services und Przesse Business Cntinuity Management (BCM) - Ntfallplanung mit den Fachbereichen nach Kriterien des Schutzbedarfes der Anwendungen und Systemen - Integratin der gesammelten Infrmatinen in Datenbank ("BCM- Tl") - Durchführung und Planung vn Tests der Ntbetriebsprzesse - Unterstützung bei der Erstellung und der Pflege der unternehmensweit einheitlichen Risiklandkarte (Riskmanagement) seit seit

5 - Mitglied des Krisenstabes Reprting/ Präsentatin - An den Vrstand der Nassauischen Sparkasse für den Bereich IT- Security und Ntfallplanung - Entscheidungsvrlagen aller aktuellen Themen gemäss der Kriterien der IT- Security - Berichte VSK - Berichte an den Zentralbereichsleiter - Leitung des Naspa IT- Sicherheitsmanagement- Teams (Intervall: Quartal) - "Videüberwachung der Geschäftstellen der Naspa" (Prjektleitung) Anfertigung einer Vrstandsvrlage Kstenanalyse Piltierung einer zentralen IP- basierenden Lösung UVV- Kassen- Knfrmität Herstellerevaluierung Ausschreibung - "Wireless LAN" Vrprjekt "Machbarkeitsstudie aus der Sicht des Sicheren IT- Betriebes swissgrid ag IT-Sicherheit - Planung, Design und Implementierung IT- Security Framewrk nach IEC/ ISO à Details - siehe unter Services und Przesse Abschnitt swissgrid Zusätzlich: Infrmatin Classificatin (Knzept k029) - Knzept erstellt im Dkument Klassifizierung der Infrmatinen bei der swissgrid (Organisatrische-) Handungsanweisungen Klassifizierung der Infrmatinen Mittels Unterstützung durch die Datatrustees - Planung und Design einer unternehmensweit einheitlichen Lösung zur Verhinderung des Verlusten vertraulicher Infrmatinen Leak Preventin - Anfrderungskatalg Requirements erstellt - Herstellerevaluierung Generelle IT- Kntrllen - Verantwrtlich für die Sicherstellung der Integrität der finanz. Berichterstattung (Turnusprüfung durch externe Prüfungsbehörde KPMG) Enterprise Architecture - Mitwirkung bei der Planung, Design und der Umsetzung eines Zachman Framewrks zur Abbildung der Geschäftsprzesse Master Daten Management - Mitglied des swissgrid Master Daten Cmmitee - Entscheidungsträger im benannten Gremium des Themengebietes "Datataxnmie" Awarenessveranstaltungen - Leitung und Durchführung vn Unternehmensweiten Awarenessveranstaltungen in regelmässigem Turnus Seit 2008 bis dat Seit 2008 bis dat Seit 2008 bis dat

6 AllHands (300 Zuhörer) Bist Du sicher? AllHands (300 Zuhörer) Datenschutz und Infrmatinssicherheit ein wichtiges Detail AllHands (300 Zuhörer) Infrmatinssicherheit Bei Dir fängt sie an! AllHands (300 Zuhörer) S einfach kann Hacking sein Eine Livedem 2011 seit 2006 bis dat Schulungen, weitere Bewertungen (Auszug) Dkumenteninhalt: Über, Aufgabenstellung, Ausgangslage, IST- Zustand, SOLL- Zustand, Vrgehensweise/ Lösungsweg, Bewertung (incl. Fazit) - Verwendung unpersönlicher Userknten - WIN7- lkale Adminberechtigungen - Versrgung der Systeme mit Patches - Ntwendigkeit der Infrmatinsklassifizierung - IAM und deren Securityanfrderungen - EPF - Benötigter Internetzugriff aus der Prduktinsumgebung heraus - Remtezugriff Salesfrce Getting Things Dne, GTD (Zeitmanagement)