Governance 

Risiko Management, Rezertifizierung, SoD und Einhaltung von internen und externen Regularien sind ohne den Einsatz von Governance Programmen schwer einhaltbar.

Das Identity Management besteht seit einiger Zeit nicht mehr nur aus den Fokus-Themen Provisionierung und Automatisierung von Prozessen. Vielmehr sind Governance und die Einhaltung von internen (IKS) und externen Regularien (DSGVO, VAIT etc.) deutlich in den Vordergrund gerückt. Einige dieser Vorgaben sind ohne den Einsatz von Governance Programmen bei den vorhandenen Datenmengen nicht mehr umzusetzen. Eine Bereitstellung der für einen Audit erforderlichen Informationen ist manuell einfach nicht mehr möglich. 

TIMETOACT hilft hier mit der Erfahrung, die im Rahmen der Einführung und Implementierung von Governance-Projekten bei verschiedenen Kunden gewonnen wurden. Unsere Stärken liegen in der Erarbeitung und Umsetzung von ganzheitlichen Rezertifizierungs- und SoD-Konzepten und die Risikobeurteilung im IT-Umfeld. Unser Angebot umfasst ebenfalls die Erstellung von Rollenkonzepten und deren Ausarbeitung im Dialog mit den Fachbereichen.

Ihr Nutzen von Governance:

Basis für die Erfüllung gesetzlicher und interner Vorgaben:

  • Bereitstellung der Sicherheitsinformationen für den Auditor 
  • Datenbasis für die forensische Verfolgung bei einem Sicherheitsvorfall
  • Standardisierung und Durchsetzung von Sicherheitsregeln  
  • Sicherstellung der Aktualität der Daten
  • Minimierung der Risiken von Sicherheitsvorfällen 
  • Durchsetzung von SoD
  • Gewährleistung von Least Privilege und Need-To-Know 

Alle Services im Application Lifecycle:

Analyse und Evaluierung geeigneter Produkte:

  • Fachliche und technische Konzeption 
  • Technische Umsetzung
  • Pflege und Weiterentwicklung
  • Rezertifizierung als Manged Service

Themenbereiche zu Identity Governance:

Risiko Management

Risiko Management im Bereich der Governance immer wichtiger

Die Anforderungen an ein Risiko Management steigen im Bereich Governance immer mehr. Im Umfeld Zero Trust wird dies auf Content-Ebene relevant, um die Zugriffe auf sensible Daten freizugeben. Die Risiken werden im Identity Management auf verschiedenen Ebenen betrachtet und ergeben am Ende einen Risikoindex für jede Identität im Unternehmen. Dieser Index ist das Ergebnis aus der Sensibilität der zuzugreifenden Daten und der Kombination der verschiedenen Zugriffsberechtigungen aus Rollenzugehörigkeiten.

Wir helfen ihnen die die Zusammenhänge und Auswirkungen der Risiken im Umfeld einer ganzheitlichen Sicht auf die Cyber-Security zu erkennen und diese zu mitigieren.

Rezertifizierung

Aufgrund von unternehmensinternen Vorschriften und/oder regulatorischen Anforderungen der Gesetzgebung müssen Unternehmen oftmals sicherstellen, dass die Nutzer der IT-Systeme lediglich jene Rechte erhalten und besitzen, welche sie für die Erfüllung Ihrer Aufgaben benötigen. Gesteigerte Anforderungen verlangen das Sicherstellen von Rechten, die nur einmal vergeben werden. Gemeinsam genutzte Rechte stellen andernfalls ein unternehmerisches Risiko dar (siehe SoD). Die Durchführung von Rezertifizierungen hilft diesen Anforderungen gerecht zu werden.

Prozess der Rezertifizierung

Rechte – zum Beispiel in Form von Rollen oder Gruppen – werden einem Benutzer häufig zunächst unbefristet zugewiesen. Der Prozess der Rezertifizierung überprüft, ob die Voraussetzungen für die Zuteilung eines Rechts weiterhin Bestand haben und ob eine Berechtigung erhalten bleiben kann oder zu entziehen ist. In zeitlich regelmäßig wiederkehrenden Rezertifizierungskampagnen werden die Berechtigungen dem Personenkreis vorgelegt, der dies beurteilen kann – z.B. Linien- oder Fachvorgesetzte. Organisation und Durchführung der Kampagnen erfolgen werkzeuggestützt, der etwaige Entzug von Berechtigungen wird nach dem Rezertifizierungsentscheid umgehend provisioniert.

Anlassbezogene Rezertifizierung

Anlassbezogene Rezertifizierungen außerhalb von Kampagnen werden bei Auftreten bestimmter Ereignisse ausgelöst. Beispielsweise bei der Versetzung eines Benutzers können bestehende Berechtigungen unter Umständen nicht einfach entzogen werden, sondern über Fortbestand oder Entzug muss eine fachliche Entscheidung gefällt werden. Im Rahmen des Versetzungsprozesses werden die betreffenden Berechtigungen automatisch dem zuständigen Rezertifizier – z.B. dem bisherigen oder dem zukünftigen Linienvorgesetzten - zur Begutachtung vorgelegt.

Objecte der Rezertifizuerung

Rezertifizierungen finden auf verschiedenen Objekten Anwendung. So werden sowohl Benutzer und Berechtigungen, aber auch Rollen regelmäßig zur Rezertifizierung vorgelegt. Um einer Überforderung der meist fachlich beteiligten Stellen entgegen zu wirken, wird auch hier eine übergreifende Planung notwendig. Vorgefertigte Rezertifizierungspläne können mit dem Kunden auf die jeweiligen Gegebenheiten angepasst werden.

SoD (Funktionstrennung)

Zur Vermeidung von Interessenkonflikten wird die Vergabe sich ausschließender Rechte kontrolliert und ggfs. von vornherein unterbunden. Die BaFin (Bankenaufsicht für Versicherungen) fordert im Rahmen der MaRisk (Mindestanforderungen an das Risikomanagement) für Kreditinstitute beispielsweise eine Trennung von Markt und Marktfolge. Infolgedessen dürfen aus dieser Sicht kritische Rechte auf Prozesse, Funktionen und Ressourcen aus diesen beiden Bereichen nicht in einer Person kombiniert werden. Es müssen entsprechende Berechtigungskonzepte vorliegen, aus denen sich die betreffenden SoD-Regeln ableiten lassen.

Diese Regeln werden ausgewertet, wenn Rechte beantragt und/oder zugewiesen werden. Werden dabei Regelverstöße festgestellt, hängt das weitere Vorgehen von der Einstufung des SoD-Konflikts im Hinblick auf Kritikalität und Risiko ab: Entweder wird die Rechtevergabe wegen des Regelverstoßes abgewiesen, oder die Rechtevergabe wird trotz Regelverstoß zuzulassen. Als dritte Möglichkeit werden die zu vergebende Berechtigung im Rahmen eines Workflows bei einem entsprechenden Gremium zur Genehmigung vorgelegt. Regelverstöße werden in jedem Fall dokumentiert.

Die Prüfung auf SoD-Konflikte schließt immer alle Berechtigungen aller digitalen Identitäten einer Person ein. Sie berücksichtigt dabei auch eventuelle Berechtigungshierarchien (Rollenhierarchien). TIMETOACT überprüft die zugrundeliegenden rechtlichen Anforderungen und berät Ihr Unternehmen bei der praktischen Umsetzung. 

Derartige regulatorische Anforderungen gibt es für eine Vielzahl von Branchen und Unternehmen. Beispielsweise:

Allgemein

DSGVO & IT-Grundschutz

Banken

MaRisk BA BaFin & BAIT

Versicherungen

VAIT

Kritische Infrastrukturen (KRITIS)

§8a BSIG: BSI-KritisV

Regulatorien

Das Hauptziel beim Einsatz von IGA-Programmen ist neben der Erhöhung der Sicherheit auch die Erreichung und Erfüllung von regulatorischen Vorgaben. Diese werden intern entweder durch ein IKS oder durch die externen Vorgaben getrieben. Egal ob bei Banken, Versicherungen, Healthcare oder der Industrie, die Erbringung der Nachweise für die Einhaltung kann nur über das Identity Management erbracht werden.

TIMETOACT kann hier durch die Kenntnisse der regulatorischen Vorgaben und dem Fachwissen über den Einsatz der IGA-Möglichkeiten erhebliche Zeitersparnis bei der Umsetzung in den Projekten leisten.

Für jedes Projekt den richtigen Hersteller:

IBM Platinum Business Partner

Unsere Referenzen:

Sprechen Sie uns zu Governance gerne an!