Zdzisław Stępień

Koordynacja i wykonywanie projektów w obszarze zarządzania, bezpieczeństwa, ryzyka i zgodności systemów IT

Audyt IT:
•Analiza ryzyka i przygotowywanie planów audytów IT odzwierciedlających krytyczność procesów biznesowych wspieranych przez IT, zidentyfikowane ryzyka, oczekiwania kadry zarządzającej, istotność spodziewanych podatności technicznych lub słabości procesów zarządzających utrzymaniem i rozwojem obszaru IT
•Koordynacja przeglądów IT i/lub operacyjne w nich uczestnictwo:
-przygotowywanie list spodziewanych ryzyk i kontroli w danym środowisku IT z uwzględnieniem analizy ryzyka
-ocena stanu bezpieczeństwa i efektywności procesów zarządzania IT w badanym środowisku w oparciu wytyczne COBIT, ITIL, ISO27001, PCI-DSS, ITGC i własne doświadczenie
-koordynacja pracy zespołowej w zakresie prowadzonych zadań, zbieranie wyników, analiza, zapewnienie jakości i terminowości prac
•Przygotowywanie, prezentacja i uzgadnianie raportów oraz rekomendacji z kadrą zarządzającą
•Monitoring wdrożeń wydanych rekomendacji

Doradztwo wewnętrzne IT:
•Doradztwo i koordynacja części prac związanych z projektem rozdzielenia zasobów IT pomiędzy wydzielonymi częściami organizacji w związku z jej sprzedażą
•Doradztwo w zakresie tworzenia i wdrażania wybranych wewnętrznych polityk bezpieczeństwa
•Doradztwo w zakresie optymalizacji wybranych procesów zarządzania IT

• Projektowanie, wdrażanie, ocena i poprawa wewnętrznych polityk i procedur związanych z bezpieczeństwem i zarządzaniem obszarem IT
• Przygotowywanie wytycznych dla wykonywania samooceny bezpieczeństwa i efektywności obszaru IT dla klientów zewnętrznych, doradztwo w zakresie poprawy znalezionych rozbieżności
• Koordynacja prac związanych z wykonywaniem testów penetracyjnych przez dostawcę na potrzeby klientów zewnętrznych (przygotowanie i negocjacja umowy/SLA, koordynacja przygotowywania środowiska do testów oraz komunikacji między uczestnikami procesu)

•Przygotowywanie planów audytów i koordynacja przeglądów IT
•Ocena stanu bezpieczeństwa i efektywnosci procesów zarządzania IT w badanym środowisku w oparciu o własne doświadczenie i standardy (COBIT, ITIL, ISO17799)
-przegląd konfiguracji komponentów IT (pliki konfiguracyjne, ustawienia systemowe, logi) w stosunku do dobrych praktyk bezpieczeństwa pochodzących z uznanych źródeł (benchmarki CIS, publikacje SANS, NIST, OWASP itp.)
-wykonywanie testów bezpieczeństwa w oparciu o standardowe narzędzia: Nessus, MBSA, Symantec ESM, IKE Scan, Cain, nmap itp..
•Przygotowywanie, prezentacja i uzgadnianie raportów audytowych oraz rekomendacji z kadrą zarządzającą IT i zarządzającą kadrą biznesową
•Monitoring wydanych rekomendacji

•Doradztwo w zakresie wewnętrznych polityk bezpieczeństwa
•Doradztwo w zakresie optymalizacji procesów zarządzania IT

•Przygotowywanie planów audytów IT
•Zarządzanie zaspołem projektowym w ramach wybranych przeglądów audytowych
•Operacyjne przeprowadzanie przeglądów IT:
-Badanie zgodności ze standardami COBIT, ITIL, ISO27001 , PCI-DSS
-Przeglądy konfiguracji komponentów IT
-Wykonywanie podstawowych testów bezpieczeństwa w oparciu o standardowe narzędzia audytowe
-Przygotowywanie, prezentacja i uzganianie raportów audytowych
-Monitoring wydanych rekomendacji
-Opracowywanie statystyk dot. aktualnego statusu bezpieczeństwa, zidentyfikowanych podatności i statusu wdrażania rekomendacji

•Uczestnictwo w wybranych projektach IT związanych z bezpieczeńswem
•Doradztwo w zakresie optymalizacji wewnętrznych procesów IT
•Przeprowadzanie zgodności śrdowiska IT z wymogami standard PCI-DSS i doradztwo w zakresie eliminacji znalezionych rozbieżności
•Doradztwo w zakresie utrzymywania zgodności z wymogami regulacyjnymi w zakresie IT

•Koordynacja przegladów bezpieczeństwa IT w dwóch zagranicznych oddziałach firmy
•Analizy bezpieczeństwa aplikacji
•Przygotowywanie rekomendacji mitygujących znalezione podatności bezpieczeństwa lub rozbieżności z obowiązującymi standardami
•Monitorowanie statusu wdrożenia rekomendacji i raportowanie statystyk do kadry zarzadzającej ryzykiem operacyjnym banku
•Uczestnictwo w wewnętrznych projektach związanych z rozwojem wykorzystywanej metodologii analiz bezpieczeństwa i wspierajacych ją narzędzi

•Przeglądy bezpieczeństwa IT wykonywane dla klientów zewnętrznych (banki, przemysł, agencje rządowe)
•Przeglądy IT weryfikujące wiarygodność i bezpieczeństwo systemów przetwarzających dane finansowe
•SOX – weryfikacja zgodności środowisk informatycznych z wymogami określonymi w ustawie Sarbanes-Oxley w bankach
•Przygotowywanie projektów polityk bezpieczeństwa dla klientów zewnętrznych
•Doradztwo w zakresie mitygacji ryzyk bezpieczenstwa IT i zapewnienia zgodnosci z obowiązujacymi standardami np. SOX, GIODO-Polityka Ochrony Danych Osobowych

•IT HelpDesk
•Zarządzanie siecią LAN