Senior Information Security Consultant København, Danmark

Might be available

(Updated 2023-12-16)

Senior Information Security Consultant

København, Danmark

Native Chinese, Danish, English, Beginner Norwegian

  • Risikovurdering og konsekvensanalyse (GDPR, databeskyttelsesloven)
  • ISO 27001 implementering og certificering
  • 18+ års erfaring med cyber og informationssikkerhed
Contact

Skills (26)

SIEM

SYSTEMS SECURITY

GDPR

IT AUDIT

CISA

ISAE 3000

Patching

CISSP

ISAE 3402

Projektleder

PCI

ISO 27001

IT

PCI DSS

Security governance

INFORMATION SECURITY

ISMS

Operation security

RISIKOVURDERING

PRINCE2

CISM

NESSUS

Stakeholder Management

Cyber Risk Management

IPS

IDS

Summary

18 years' experience in information security management and data protection (GDPR) with a demonstrated history of working in collaboration with the management, business units, project teams, IT functions, in cross-organizational efforts to safeguard the Danish national critical infrastructure, and to support line operations and business growth.

My expertise and specialities include:
• Risk assessment, e.g. using ISO 27005 and ongoing ENISA threat landscape
• Policy development, including identifying need, gathering information, drafting, consulting and review
• Access control, identity management, authentication & authorization, MFA/2FA (multi/two factor authentication)
• Cryptography, e.g. DNSSEC, NemID digital signature and PKI (public key infrastructure) framework
• Operations security, e.g. malware protection, logging & monitoring, vulnerability management, change management
• System development, security requirements, environment, and supporting processes
• Supplier management, security requirements e.g. right to audit for individual supplier agreements
• Incident management for continuous improvement in information security
• Business continuity management, exercise and test for validity and effectiveness
• Audit & supervision, e.g. using ISO 27002 controls and ISAE 3000 GDPR framework
• Ensure compliance with relevant legal, regulatory and security requirements

Master’s degree in information technology with certifications in information security, compliance, project and IT service management.

As a person, I am always committed to what I do, being very effective and focused even in tough situations. I am energetic, independent, self-motivated and at the same time a strong team player. Pragmatism, efficiency and the use of common sense characterize my work style.

Read more on LinkedIn: https://www.linkedin.com/in/alvindk/

Professional Experience

Information Security Manager
Rejsekort & Rejseplan A/S

2016-01 - 2021-01

Som informationssikkerhedsansvarlig i Rejsekort & Rejseplan A/S er jeg overordnet ansvarlig for koordinering af it-sikkerhedsarbejde og persondatabeskyttelse i virksomheden, herunder ansvarlig for planlægning og gennemførelse af aktiviteter i følgende udvalg og faggrupper.

Udvalg og faggrupper:

• It-sikkerhedsudvalg: Internt udvalg med ansvar for den overordnede prioritering og opfølgning på informationssikkerhed og persondatabeskyttelse i virksomheden og i relation til de tilsluttede trafikselskaber og leverandører.

• It-sikkerhedsgruppe: Ekstern arbejdsgruppe med sikkerhedsrepræsentanter fra de tilsluttede trafikselskaber som kunder, samarbejdspartnere, og databehandlere (DSB, Movia, Metro, Sydtrafik, Nordjyllands Trafikselskab, Fynbus, Midttrafik og Arriva).

• Sikkerhedsforum: Ekstern arbejdsgruppe med sikkerhedsrepræsentanter fra leverandørerne til udvikling, drift og vedligehold af rejsekortsystemet.

Opgaver:

• Risikovurdering og konsekvensanalyse: Risikovurdering baseret på ENISA-trusselsidentifikation, udarbejdelse af konsekvensanalyser (DPIA) og sikkerhedsspecifikationer til nye it-projekter.

• Sikkerhedshændelser: Håndtering af cyber- og it-sikkerhedshændelser, herunder fra centrallogning og -overvågning af it-systemer, -infrastruktur, API-gateway, og IDS/IPS til produktionsmiljøet.

• Best practice: Udvikling af årshjul og vedligehold af tekniske sikringsforanstaltninger som opfølgning på logning og overvågning, sikkerhedstests af cloud-, windows-, linux-, og netværks-miljøer, som organisatoriske foranstaltninger som revision af sikkerhedspolitik, retningslinjer og procedurer

• Audit og tilsyn: Årlig planlægning og gennemførelse af interne audits, og eksterne tilsyn af leverandører og databehandlere med brug af anerkendte værktøj som ISO 27002 sikringskontroller og ISAE 3000 GDPR-rammeværk.

• Rådgivning og sparring: Ledelsesrapportering og support til forretningsenheder, projektteams, it-specialister, og hele organisationen i alle spørgsmål og opgaver relateret til informationssikkerhed og persondatabeskyttelse.

Resultater:

• Koordinering på tværs af trafikselskaberne til varetagelse af informationssikkerhed og persondatabeskyttelse fra leverandører og underleverandører til slutbrugere i rejsekortets livscyklus.

• At bidrage til sikker og stabil drift af rejsekortet og rejseplanen i en forandringstid med fusionen af Rejsekort og Rejseplanen, og med transformationen fra projektsamarbejder til en velstruktureret driftsorganisation i perioden 2016 - 2020.
 

Informationssikkerhedsansvarlig
DK Hostmaster A/S

2005-01 - 2016-01

Som informationssikkerhedsansvarlig var jeg ansvarlig for informations sikkerhed bag det danske internet, herunder udvikling, drift og vedligehold af DNS-rodservere for Danmark i koordination og erfaringsudveksling med andre nationale TLDs (Top Level Domain Registries), samt ansvarlig for implementering og efterfølgende certificering af virksomheden i DS 484 og ISO 27001.

Managing consultant – PCI QSA
NCC Group Europe

2021-01 - 2021-09

Som QSA (Qualified Security Assessor) udpeget af PCI SSC (Payment Card Industry Security Standards Council) yder jeg rådgivning, validering og attestationstjenester med hensyn til overholdelse af PCI DSS (Data Security Standard) for virksomheder og institutioner hovedsageligt inden for finans, telekommunikation, offentlig transport og detailsektorer i hele Europa.

 

Information Security Officer
GN Store Nord

2021-10 - 2023-08

Som Information Security Officer hos GN Group var jeg delvist ansvarlig for at designe og implementere politikker og kontroller baseret på ISO 2700x and NIS2, levere sikkerhedsekspertise og support til en bred vifte af teams, afdelinger og seniorledere samt koordinere informationssikkerhedsaudits på koncernniveau.

 

Opgaver:

 

·        Risikovurdering: Rådgivning og udarbejdelse af risikostyringer for fælles it-systemer på koncern-niveau, videreudvikling og tilpasning af risikovurderingsmetoder til de selvstændige forretningsdivisioner, der opererer i henholdsvis professionel- og detailmarkeder (høretelefon) og medicinsk udstyr (høreapparat) markeder.

 

·        Leverandørstyring: Rådgivning og udarbejdelse af passende sikkerhedskrav til nye leverandører i større it-udbud, relevante sikkerhedskrav til underleverandører og forsyningskæden, nødvendige sikkerhedskrav og databehandleraftaler i kontrakten, samt løbende monitorering af serviceydelse i leverandørstyring.

 

·        Implementering af ISMS: Rådgivning og implementering af informationssikkerhedsstyringssystem (ISMS) baseret på ISO 2700x:2013 og ISO 2700x:2022 på koncernniveau, herunder politikker og procedurer for forsyningskædestyring og leverandørstyring, procedurer for håndtering af sikkerhedshændelser, samt privacy by design og default i projekter.

 

·        Generel it-sikkerhedsrådgivning: Rådgivning og implementering af forebyggende og opdagende tiltag i koncern-it i tæt samarbejde med it-teams, udviklere, R&D, topledelse, revisorer osv. Rådgivning og gennemgang af forretnings- og it-projekter for at identificere informationssikkerheds- og compliance-risici, samt implementering af sikre løsninger i forskellige lag, platforme og domæner på tværs af koncern-it og andre it-enheder i virksomheden i samarbejde med arkitekter, ingeniører, serviceejere og beslutningstagere.

 

Senior IT Security Consultant
DSB

2023-03 - 2023-03

Conducting a course on secure coding (SDLC, Secure Development Life Cycle) tailored for DSB app developers in connection with a PCI certification audit.

  • OWASP, API security, Mobile App security.
  • CVE database of known vulnerabilities, CVSS vulnerability scale.
  • Risk management, change management and vulnerability management.
Information Security Consultant
Banedanmark

2023-09 - 2023-11

The consultant was responsible for:

 

Technical vulnerability management:

  • Define vulnerability monitoring
  • Establish vulnerability risk assessment
  • Define patching guidelines and procedures for periodic and ad-hoc patching
  • Incident management in relation to vulnerability management

 

Security requirements of IT systems:

  • Analysis of security requirements if new and existing IT systems
  • Specification of security requirements 
  • Application security
  • Communication security
  • Development security
  • Vendor security and oursourcing
  • System change control processes
  • Security testing
  • Security review of new and updated IT systems

 

Academic Background

Master
Danmarks Tekniske Universitet

1980-01 - 1985-01

Gymnasium
Avedøre statsskole

1979-01 - 1980-01

Certifications

Certified practitioner
CISA
CISM
Certified information security manager
Certified Ethical Hacker
CISSP
Certified information security auditor

Contact contractor

/