Externer-CISO

Externer, virtual CISO

Abseits eines Informationssicherheitsbeauftragten (ISB) für ein ISMS nach ISO/IEC 27001:2022, biete ich Ihnen auch die Rolle eines „virtuellen“ Chief Information Security Officer (CISO) an. Die Rolle des CISOs sehe ich differenzierter als die des ISBs.


Auch ohne ein ISMS nach ISO/IEC 27001:2022, kann ich durch meine tiefgreifende Praxiserfahrung Ihr Unternehmen im Bereich der IT-Sicherheit kräftig unterstützen. Wie kann das im Detail aussehen?


Die grundsätzliche Vorgehensweise von mir ist grob in diesen Schritten und in dieser Reihenfolge aufgeteilt:


  1. Strukturelles IT-Security Assessment und begleitende Korrektur von Maßnahmen, welche sich hieraus ergeben.
  2. Begleitung des Asset-Managements und Einarbeitung in Ihre Infrastruktur.
  3. Von mir durchgeführtes Schwachstellen Management und System Härtungen, in Zusammenarbeit mit Ihrem IT-Team.*
  4. Einführung oder Erweiterung eines ganzheitlichen, sehr detaillierten Infrastruktur-Monitorings. Hier nutze ich gerne die niederländische Phrase "Meten is Weten", zu Deutsch "Messen ist Wissen". Insbesondere eine Überwachung von fast allem kann eine böse Überraschung verhindern.
  5. Optionale Einführung eines SIEMs mittels Wazuh.
  6. Testen des Monitorings und des SIEMs, anhand von vorab besprochenen Use Cases.
  7. Begleitung der Risikobewertung Ihrer Assets.
  8. Gemeinsame Erstellung von Richtlinien und Prozessen, speziell was die Notfall-Pläne angeht. Pläne, sind jedoch erstmal nichts wert, wenn diese nicht getestet werden. Entsprechend werden Szenarios mit Ihrem
    IT-Team „geübt“. Diese     Übungen verifizieren nicht nur einen Notfall-Plan, sondern testen auch das Monitoring und das Desaster-Recovery.
  9. Kontinuierliche Kontrolle der Sicherheitseinrichtungen, des Monitorings, der aktuellen Bedrohungslage, etwaige Anpassungen und das aktive Einfordern einer gesunden Awareness.
  10. Aufbau (soweit es möglich ist) eines SOCs.
  11. 24 × 7 Rufbereitschaft
  12. Und meiner Ansicht nach besonders wichtig: Führung durch gutes Beispiel.


Die stete Kommunikation mit dem IT-Team und dem Top-Management ist dabei selbstverständlich. Aus den obigen Punkten lässt sich allerdings erkennen, dass ein CISO viel Zeit investieren muss und auf die Zuarbeit der IT angewiesen ist. Eine passende Unterstützung des Top-Managements ist demnach Pflicht. Auch wenn Ihr Unternehmen gar keine ISO Zertifizierung anstrebt, sind die Parallelen meiner Tätigkeiten doch verblüffend. Schaut man auch in die NIS-2 Gesetzgebung rein, findet man so ziemlich alles wieder.


 * Die Bewertung der jeweiligen Systeme benötigt einen Netzwerkzugang (via VPN) und auch erhöhte Rechte innerhalb dieser Systeme. Nach einer Bewertung, rate ich die Zugänge zu deaktivieren und nur bei einer nötigen Verwendung wieder zu aktivieren.

Meine Dienstleistung lässt Sie nicht allein, ich stehe aktiv mit Rat und Tat an Ihrer Seite.

  • Objektiv, bodenständig und 100 % persönlich.
  • Ohne den Teufel an die Wand zu malen.
  • Fehler beim Namen nennen, Dinge genau unter die Lupe nehmen und vorausschauend arbeiten.
  • Technik und Compliance aus einer Hand.
  • Immer in Zusammenarbeit mit Ihrem IT-Team.
  • Mit tiefgreifendem IT-Security Wissen aus der Praxis.
  • Mit tiefgreifendem IT-Infrastruktur Wissen aus der Praxis.
  • Mit intensivem Know-how der ISO/IEC 27001:2022 + ISO/IEC 27002:2022.
  • Mit intensivem Know-how der CIS Critical Security Controls®.
  • Bei Bedarf, 24x7!
  • In Oberhausen/NRW ansässig, in Deutschland zu Hause.

Unterschiedliche Pakete, für unterschiedliche Bedürfnisse.

Immer mit dem Anspruch auf eine langjährige Partnerschaft sind auch individuelle Lösungen möglich.

Jedes Paket hat die Option, ohne Aufschlag, auch werktags nach 18:00 Uhr bzw. am Wochenende durchgeführt zu werden.
Alle Pakete lassen sich auch individuell mit anderen Dienstleistungen kombinieren.
Profitieren Sie von interessanten Rabatten.

SMALL MEDIUM LARGE EXTRA LARGE
(kleine Umgebungen bis ~50 Assets) (mittlere Umgebungen bis ~150 Assets) (größere Umgebung ~150-250 Assets) (custom)
Zugriff auf echtes Experten-Wissen
Kein aggressives Up-Selling
Tätigkeit auch nach 18:00 Uhr und am Wochenende OHNE Aufpreis
Vorarbeiten* Ihr Wegweiser zur IT-Sicherheit (gesondertes Paket) Ihr Wegweiser zur IT-Sicherheit (gesondertes Paket) Ihr Wegweiser zur IT-Sicherheit (gesondertes Paket) Ihr Wegweiser zur IT-Sicherheit (gesondertes Paket)
Schwachstellen-Management inkl. automatisierte Konfigurationskontrolle** nach Rücksprache
Ihr Wegweiser zur IT-Sicherheit - Maßnahmen einfordern
Ihr Wegweiser zur IT-Sicherheit - Audit durchführen 1x im Jahr (gesondertes Paket) 1x im Jahr (gesondertes Paket) 1x im Jahr (gesondertes Paket) 1x im Jahr (gesondertes Paket)
CISO Tätigkeiten in PT*** Ab 10 PT pro Monat Ab 12 PT pro Monat Ab 15 PT pro Monat nach Rücksprache
Aktive Mitarbeit bei der Maßnahmen-Umsetzung gesonderter Auftrag gesonderter Auftrag gesonderter Auftrag gesonderter Auftrag
Mindestvertragslaufzeit 6 Monate 6 Monate 12 Monate 12 Monate

*     Nötig für eine gezielte Erst-Analyse
**   Soweit technisch unterstützt. Meine Anwendungen aktualisieren sich täglich. VPN Zugriff und erhöhte Rechte nötig. Das Asset-Inventar muss vollständig sein.
*** Nicht genutzte Stunden/Personentage verfallen am Ende des Monats.

Kontaktieren Sie mich
Share by: