Über SecuCentric
Als freiberufliche, unabhängige Berater mit langjähriger Erfahrung mit internationalen Beratungshäusern unterstützen meine Partner und ich Kunden darin, die Risiken der Digitalisierung sowie gesetzliche und regulatorische Anforderungen einzuschätzen und angemessen zu behandeln sowie sich auf unvermeidbare Störfälle vorzubereiten.
„SecuCentric“ steht für Konzentration auf den Schutz der Informationswerte unserer Kunden!
Zielsetzung ist, insbesondere klein- und mittelständische Unternehmen darin zu unterstützen, fehlende Cybersecurity-Expertise durch externe Dienstleistungen zu kompensieren und informierte Entscheidungen zu Einsatz und Betrieb von IT-Systemen zu ermöglichen. Jedes noch so kleine Unternehmen nutzt heute digitalisierte Prozesse und ist in seinem Bestand von diesen abhängig. Risikoerkenntnis und Wissen um Handlungsoptionen zum Schutz dieser Prozesse und verarbeiteten Informationen sind somit kritische Erfolgsfaktoren.
Standortbestimmung und Risikoanalysen
Handlungsempfehlungen und Maßnahmenplanung/-begleitung
Erfolgskontrolle, interne Audits, Zertifizierungsvorbereitung
Beratungsschwerpunkte
Standortbestimmung
Wir erfassen Ihren Informationsverbund und erheben den Dokumentations- und Implementierungsstand bereits vorhandener Sicherheitsmaßnahmen.
Das Ergebnis gleichen wir ab gegen bestehende rechtliche und regulatorische Anforderungen sowie die Risikobereitschaft Ihres Unternehmens und führen eine Abweichungsanalyse (Gap-Analysis) durch.
Risikoanalyse
Auf Grundlage der gefundenen Abweichungen nehmen wir eine Risikobewertung vor und erstellen ein Risikokataster. Die Kriterien zur Risikogewichtung stimmen wir mit Ihnen ab, abhängig von Ihrer individuellen Risikotoleranz.
Strategie und Handlungsempfehlungen
Zur Minderung der größten Risiken in Abhängigkeit des Risikoappetits Ihres Unternehmens bedarf es der Umsetzung sog. technischer und organisatorischer Maßnahmen. Wir erarbeiten für Sie eine Handlungsempfehlung und unterstützen bei der Umsetzungsplanung.
Soweit externe Lösungen oder Dienstleistungen (Managed Services) eingekauft werden sollen, unterstützen wir Sie bei der Erstellung eines auf Ihre Bedürfnisse abgestimmten Anforderungskatalogs und bei der Auswahl.
ISMS-Aufbau/-Ertüchtigung
Ein Informationssicherheits-Managementsystem (ISMS) etabliert einige Prozesse in Ihrem Unternehmen, die eine kontinuierliche Transparenz bzgl. der zu schützenden Unternehmenswerte, der einwirkenden Risiken und der Maßnahmen zur Risikobehandlung gewährleisten sollen.
Wir unterstützen eine ISMS-Einführung durch Modellierung und Einführung der Prozesse zur Inventarisierung, Risikomanagement, Risikobehandlung und Effektivitätskontrolle (int. Audit).
Internes Audit und Zertifizierungsbegleitung
Wir überprüfen die Vollständigkeit und Wirksamkeit der implementierten Maßnahmen im Hinblick auf die Risikotoleranz Ihres Unternehmens sowie des regulatorischen Umfeldes.
Soweit eine Zertifizierungsabsicht besteht, berücksichtigen wir die Anforderungen des dem Zielzertifikat zugrunde liegenden Standards und geben eine fundierte Einschätzung zur Zertifizierungsreife ab.
Externer Informationssicherheitsbeauftragter (ISB)
Ihre Organisation ist zu klein, um einen Vollzeit-ISB zu beschäftigen? Sie können eine ISB-Stelle erst zu einem späteren Zeitpunkt besetzen?
Eine Lösung kann darin bestehen, einen externen ISB mit einem festen Zeitkontingent und klar definierten Aufgaben zu bestellen. Dieser Ansatz kann auch auf Interims-Management-Basis verfolgt werden.
Beraterprofile
Peter Loos
Mit über 30 Jahren Berufserfahrung in der IT habe ich mich auf die Aufgabe fokussiert, kleine und mittelständische Unternehmen mit effizienten Methoden an effektives Informationssicherheits-Management heranzuführen. 25 Jahre Tätigkeit für internationale Beratungsunternehmen und viele Projekte haben mich für diese Aufgabe qualifiziert. Ich halte u. a. Zertifizierungen als ISO 27001 Lead Auditor, ISO 22301 Implementer, ITIL Expert sowie ISACA CISM& CRISC.
Krzysztof Müller
Ich verfüge über mehr als 30 Jahre Managementerfahrung in IT und IT-Security, davon 14 Jahre als CISO bei A1 Telekom Austria.
Seit 2017 arbeite ich als Berater für Informationssicherheit. Meine Hauptthemen: ISO 27001, SOC-2 und TISAX Assessments, Unterstützung beim Aufbau von ISMS. Dabei achte ich immer auf eine sehr praxisorientierte Umsetzung.
Ich unterrichte zudem seit 2010 das Fachgebiet Governance, Risk and Compliance (GRC) an der Fachhochschule St. Pölten.
Carsten Feldhahn
Seit 2007 beschäftige ich mich hauptberuflich mit Managementsystemen für Informationssicherheit gemäß ISO 27001 und BSI IT-Grundschutz, in Festanstellung in internationalen Unternehmen und seit 2013 als freier Berater und Trainer. Ich bin u. a. zertifizierter ISO 27001 Lead Auditor, ISACA CISM und CRISC, Cybersecurity-Awareness-Beauftragter und habe zusätzliche Prüfverfahrens-Kompetenz für § 8 a BSIG.
Ioannis Karamitros
Ich bin spezialisiert auf die Unterstützung bei der Umsetzung und Prüfung von regulatorischen Anforderungen mit Schwerpunkt (IT-)Governance, (IT-)Risikomanagement, (IT-)Compliance, (IT-)IKS, Informationssicherheit und Auslagerungsmanagement bei Finanzdienstleistern.
Ich besitze langjährige Beratungs- und Prüfungserfahrung bei namhaften Unternehmen, internationalen Konzernen, Mittelstand oder aufsteigenden Startups und begleite die Unternehmen durch alle Phasen, die für eine effektive Umsetzung der Regulatorik erforderlich sind. Ich bin zertifiziert als IIA-CIA, ISO 27001 ISMS Auditor und für KRITIS (§ 8 a BSIG).
Neben der Durchführung von Beratungsprojekten unterstütze ich auch Wirtschaftsprüfer bei der Durchführung von IT-Prüfungen oder führe Prüfungen im Auftrag der Internen Revision durch.