ing. Michael Pengel CISSP CISM CISA CRISC


Uw risico / project manager met ruim 25 jaar ICT ervaring waarvan 11 jaar op het gebied van risico managment o.a. in diverse SW development trajecten.

Certificeringen: CISSP, CISM , CISA, IRCA,CRISC en Mediation.


Expertise


Michael Pengel kan bogen op meer dan 25 jaar ICT ervaring waarvan ruim 9 jaar op het gebied van risico management. Hij is zijn carrière gestart bij IBM als netwerk- en systeem beheerder (7 jaar), is daarna (7 jaar) werkzaam geweest voor de overheid op de Antillen. Hier heeft hij als adviseur / technisch project manager diverse technische projecten uitgevoerd waaronder software en systeem implementaties, infrastructurele en civiele projecten (o.a. het opzetten van een compleet rekencentrum). De afgelopen 12 jaar is hij werkzaam geweest in de bancaire sector: 3 jaar als ICT manager bij een Nedelandse bank te Curaçao, 3 jaar als informatie risico manager bij een bank in Luxemburg en de afgelopen 6 jaar als zelfstandig ondernemer in de rol van risico manager bij een 2 tal grote banken in Nederland.


Hij heeft ruime ervaring met de implementatie van informatie risico management in organisaties en in Software development projecten (gebaseerd op de BS17799 (later de ISO27002) en de ISO27001) Deze ervaring is opgedaan in de bancaire sector in Luxemburg als in Nederland vanuit zowel de ICT alsook het Business perspectief binnen lijn organisaties als ook in programma’s. Als informatie risico manager heeft hij ruime ervaring opgedaan met het auditen van systemen en processen en het maken van risico afwegingen en het geven van adviezen voor het mitigeren van risico’s c.q. het accepteren van rest risico’s. Deze jarenlange ervaring wordt ondersteund door een gedegen theoretische kennis behaald via diverse vakgerelateerde certificaten w.o. CISM, CISSP, CISA en BRM.


Hij is een pragmaticus die gewend is op diverse niveau’s binnen de organisatie te functioneren (Programma managers, Informatie managers, Functioneel beheerders, Applicatie beheerders, Technisch beheerders, ICT architecten, B en E en systeemrealisatie, maar ook met risicomanagers, auditors, business managers, eindgebruikers en directie leden). Hij is gewent zowel individueel alsook in teamverband te functioneren en heeft geleerd zich snel aan te passen aan diverse bedrijfsculturen dit tot tevredenheid van superieuren en collega’s.


Hij heeft tezamen met een gecertificeerd NMI-IMI mediator diverse mediation trajecten uitgevoerd.

 

Specifieke Expertise:


  • Implementatie van het informatie risicomanagement proces binnen de Rabo bank in Luxemburg en diverse financiële instellingen in Nederland gebaseerd op de ISO27001 en ISO27002 (voorheen BS17799). Taken: Creëren van risico awareness, zorgen van management commitment (sponsorship), verzorgen van presentaties en workshops op het gebied van informatie risico management, invoeren van het risicomanagement proces. Uitvoeren van tal van risicoanalyses (zowel proces als applicatie risicoanalyses), borgen van de implementatie van maatregelen, verificatie van de werking van de geïmplementeerde maatregelen en zorgen voor restrisico acceptatie in diverse Software ontwikkel trajecten. Opstellen van het informatie risico management plan en uitvoer geven aan dit plan.
  • Opzetten en implementeren van IAM / autorisatie beheer proces gebaseerd op RBAC. Het het gehele proces doorlopen van het begeleiden van de Business, afstemmen van de rollen op de te ondersteunen business processen, bewaken van het “need to know” principe en “doorbreking van functie scheiding” etc, testen, coördinatie en begeleiding bij de invoering, ondersteuning en advisering van de afdeling autorisatie beheer en het uitvoeren van risico assessments bij het aanpassen en uitbreiden van rollen
  • Implementeren van informatie beveiliging binnen diverse grote programma’s ter vervanging van de ICT systemen ter ondersteuning van diverse bancaire processen
  • Invulling geven aan business continuity management met als resultaat een up-to-date BCP Business Continuïteit Plan
  • Uitvoeren van tal van diverse risicoanalyses (zowel principle based als rule based) binnen de lijn en programma’s. Risicoanalyses betroffen risico’s m.b.t. het invoeren van nieuwe applicaties, processen en producten.
  • Participatie in een programma met als doel de integratie van IRM (Informatie Risico Management), ORM (Operationeel Risico Management) en BCM (Business Continuity Management).
  • Verantwoordelijk voor de aansturing van een werkgroep voor het ontwikkelen van een generieke risico analyse methode (zowel principle based als rule based). Daarnaast verantwoordelijk voor de inbedding van deze methode in de organisatie. (verzorgen presentaties en workshops)
  • Opstellen van een risico bedreigingenlijst om als leidraad te gebruiken bij risicoanalyses met alle mogelijk relevante risico’s (informatie risico’s gebaseerd op ISO 27002, operationele risico’s gebaseerd op Basel 2, en business- en crisis risico’s gebaseerd op BS 25999 en het normenkader van de DNB)
  • Als relatie beheerder verantwoordelijk voor het tot stand komen van een risico controle plan waarin het risico profiel van de afdeling, maatregelen en KCI’s (Key Control Indicatoren) benoemd zijn voor sturing op beheersbaarheid. Plotten van dit afdeling controle plan op de speerpunten (risk appetite) van de organisatie. Assisteren bij de drie maandelijkse inrichting van de rapportages van de voortgang. De implementatie van het afdelingscontrole plan begeleiden.
  • Evalueren van het risicomanagement normenkader van organisaties.
  • Namens de klant verifiëren van de status (auditen) van informatie risicomanagement bij diverse externe organisaties waar deze klant zaken mee doet. Doel van deze audits en reviews was veelal het vormen van een oordeel over de effectiviteit van risicomanagement processen, het identificeren van de risico’s en het doen van aanbevelingen ter verbetering.
  • Adviseren van en over risicomanagement processen bij organisaties. Zowel nationaal als internationaal
  • Het uitvoeren van audits en reviews op het gebied van risicomanagement processen bij gemeentelijke en financiële instellingen.
  • Het uitvoeren van mediation trajecten