MEHR KONTROLLE WENIGER RISIKO

Größe: px
Ab Seite anzeigen:

Download "MEHR KONTROLLE WENIGER RISIKO"

Transkript

1 MEHR KONTROLLE WENIGER RISIKO BERECHTIGUNGSRISIKEN IDENTIFIZIEREN, ANALYSIEREN UND STEUERN MIT DEM GARANCY ACCESS INTELLIGENCE MANAGER White Paper VERSION 1.0 STEFANIE PFAU, THOMAS GROSSE OSTERHUES 2013 Beta Systems Software AG

2 INHALT BERECHTIGUNGSRISIKEN FÜR ALLE PHASEN DES RISIKOMANAGEMENTS Stimmt alles Wichtige? Nutzen für alle Zielgruppen Auditing/Controlling IT-Administrator Management Business User/Leiter der Fachabteilungen Risikomanagement mit Garancy Access Intelligence Manager Risikoidentifikation mit Garancy Access Intelligence Manager Risikobewertung mit Garancy Access Intelligence Manager Risikosteuerung mit Garancy Access Intelligence Manager Wirksame Prävention und IT-Forensik unerlässlich für einen IT-Audit High-Risk User Ad-hoc-Analysen Berechtigungspfadanalyse Temporäre Berechtigungen Risikokontrolle mit Garancy Access Intelligence Manager Stimmt alles Wichtige? schnell, einfach und übersichtlich Schrittweise Einführung vom Datenimport zur Risikoeinstufung Berücksichtigung relevanter Regulierungen Empfehlungen für ein intelligenzbasiertes RisikoManagement

3 BERECHTIGUNGSRISIKEN FÜR ALLE PHASEN DES RISIKOMANAGEMENTS Ein Risikomanagement, dass die Zugangsberechtigungen berücksichtigt, kann wesentlich zur Verringerung von lt-risiken beitragen und damit in der Konsequenz zur Verringerung von strategischen und operativen Risiken. Jede vergebene Zugangsberechtigung stellt ein potentielles Risiko für die Unternehmen dar. Und die Zahl von Zugangskonten und -berechtigungen in den Datensystemen der Unternehmen nimmt weiterhin rasant zu. Dies ist der primäre Grund, warum sich das Risikomanagement aus den Unternehmen heraus jetzt verstärkt dem Management der Zugriffsrechte widmet, da sich Fehler innerhalb des Berechtigungsmanagements auf alle anderen Risiken auswirken können. Gleichzeitig spielen hierbei auch zusätzlich gesetzliche Anforderungen, wie beispielsweise verschärfte Datenschutzrichtlinien, eine wichtige Rolle, denn die Steuerung und Nachvollziehbarkeit der Berechtigungsvergabe ist eine Grundforderung verschiedener Compliance-Regularien. Daher sollten interne Zugriffsberechtigungen so eingerichtet sein, dass jeder Mitarbeiter wirklich nur auf diejenigen Systeme zugreifen kann, die er für seine Arbeit benötigt. Der Zugriff darf nur den Umfang haben, den der jeweilige Mitarbeiter zur Erledigung seiner Tätigkeit zwingend benötigt. UNTERSTÜTZUNG IN ALLEN PHASEN DES RISIKOMANAGEMENTS VON BERECHTIGUNGEN Access Risk Management & Analytics mit dem Garancy Access lntelligence Manager bietet für alle Phasen des Risikomanagements von Zugangsberechtigungen bestmögliche Unterstützung. Von der Identifikation, der Bewertung, der Steuerung bis hin zur ständigen Kontrolle bzw. Monitoring von Berechtigungsrisiken. Nachfolgend wird aufgezeigt, wie Unternehmen durch den Garancy Access Intelligence Manager unterstützt werden und wie die jeweiligen Zielgruppen im Unternehmen profitieren durch die Bereitstellung von Ready-To-Use-Analysen, Standard-Analysen für ausgewählte Use Cases, Hohe Interaktivität aufgrund von Verlinkungen zwischen den Reports (Drill-Down, Drill-Through,...) und die Verwendung aufgedeckter Schwachstellen als Basis für Ad-hoc-Analysen zur Erstellung zielgerichteter und problembezogener Reports. 1. STIMMT ALLES WICHTIGE? NUTZEN FÜR ALLE ZIELGRUPPEN Grundsätzlich sollte beim Aufbau eines Risikomanagements dafür Sorge getragen werden, dass die Adressaten wie etwa das Top Management, Abteilungsleiter, Auditoren und viele andere nur mit genau den Informationen versorgt werden, die einen tatsächlichen Mehrwert bieten. Entscheidend ist hier weniger die Quantität, sondern vielmehr die Qualität der Aussagen. Die Basis für qualitative Aussagen bilden Key Indikatoren, in denen große Datenmengen auf eine qualitative Aussage aggregiert werden. Damit ist es möglich, die wichtigen Daten sofort zu erkennen und den Fokus auf Hochrisikobereiche zu lenken. NUTZNIESSER VON ACCESS RISK MANAGEMENT Letztendlich lassen sich die Nutznießer von Access Risk Management in vier wesentliche Zielgruppen zusammenfassen. Dieses sind zum einen der Bereich Auditing & Controlling, der Bereich lt bzw. IT-Security, das Management und die Anwender in den Fachabteilungen. Die folgende Abbildung verdeutlicht, welche Vorteile diese vier Bereiche durch die Einführung von Access Risk Management & Analytics erhalten: 3

4 Abb. 1: Risikominimierung durch bedarfsgerechte Informationen bietet allen Beteiligten Vorteile 1.1. AUDITING/CONTROLLING Der Audit-Aufwand ist in den Unternehmen gestiegen. Fast alle Unternehmen haben einen signifikanten Anteil an manuellem Aufwand für die Erfüllung von Audit-Anforderungen. Hier bietet der Garancy Access Intelligence Manager viele Vorteile. Spontane Fragen des Auditors an das Access Management können nun mit einer bisher unerreichten Flexibilität beantwortet werden. Die sichere und regelkonforme Umsetzung neuer regulatorischer Anforderungen erfordert zudem eine strukturierte Vorgehensweise im Bereich ldentity & Access Governance (lag). Gerade durch den wachsenden Compliance-Druck sind auch die administrativen Anforderungen, insbesondere bezüglich der Erstellung von Audit-Berichten, nicht auf die leichte Schulter zu nehmen, da diese vielfach einen maßgeblichen Teil der Arbeitszeit in lt-abteilungen beanspruchen: Welcher User hat Zugriff auf welche Ressource? Wie erkenne ich genau die Fälle, in denen ein hohes Risiko gegeben ist? So können auch Aussagen zum Berechtigungsprofil des Users innerhalb seines Business-Kontexts wie beispielsweise seiner Abteilung bzw. Job Funktion in die Analysen eingebunden werden. Diese lassen sich in Form eines umfassenden und detaillierten Reports exportieren, zusammen mit den entsprechenden Handlungsempfehlungen des Auditors IT-ADMINISTRATOR Der lt-administrator bzw. der IT-Security-Verantwortliche erhält umfassende Analysen und Informationen zur Bewertung des Risikos der Zugriffsberechtigungen und den aktuellen Status der Zugriffsberechtigungen. Zudem stehen umfangreiche Drill Down- und Drill Through-Möglichkeiten zur Verfügung, die eine Analyse der Zugriffsberechtigungen in nahezu beliebiger Form ermöglichen. 4

5 Der Garancy Access Intelligence Manager stellt die Verbindung von der technischen Sicht zur Business-Sicht her. Er verknüpft Berechtigungsdaten mit dem organisatorischen Blick auf jeden einzelnen Benutzer, und dies kombiniert mit einer intuitiven Benutzeroberfläche, die konsequent für Nicht-Techniker entwickelt wurde. Dadurch lassen sich mit unserer Lösung leistungsfähige Risikoanalysen durch die Fachabteilungen nicht nur erstellen, sondern auch entsprechend nutzen. Dies führt zu einer Entlastung der lt-administration. Risikomanagement hat insbesondere auch in Initiativen für eine strukturierte und sichere Gestaltung der lt eine hohe Bedeutung, Mit einem auf dem Garancy Access Intelligence Manager aufbauenden Risikomanagement lassen sich Schwachstellen in der Organisation unmittelbar aufzeigen und Handlungsempfehlungen zur Reduktion des Zugriffsrisikos formulieren MANAGEMENT Das Management gewinnt durch die Einführung von Risikomanagement-Systemen in vielfacher Hinsicht. So steigt die Transparenz in der Berechtigungsvergabe, während gleichzeitig sichergestellt ist, dass sämtliche Veränderungen nachvollziehbar und erklärbar bleiben, um auf diese Weise die Einhaltung der regulatorischen Vorgaben hinsichtlich der IT-Compliance sicherzustellen. Über Dashboards mit gewichteten Aussagen und durch die Verwendung von Key-Risk-Indikatoren erhält das Management einfach und schnell Anstöße für Follow-up-Aktivitäten, um das Risiko zu minimieren. Das Zugriffsrisiko wird für das Management messbar und in Zahlen ausgedrückt. NACHWEIS DER EINHALTUNG VON COMPLIANCE-ANFORDERUNGEN Hierbei ist die hohe Relevanz eines wirksamen internen Kontrollsystems (IKS) zur Prävention und Aufdeckung von Compliance-Fallen offensichtlich. Die Verknüpfung zwischen Compliance-Management-System und IKS konzentriert sich auf die folgenden Fragestellungen: Verfügt das bestehende IKS über ausreichende und angemessene Kontrollen, um die festgestellten und bewerteten Compliance-Risiken abzudecken (Control Design)? Ist sichergestellt, dass die bestehenden Kontrollen zur Vermeidung oder Aufdeckung von Compliance- Verstößen im gesamten Unternehmen wirksam durchgeführt werden (Control Effectiveness)? Das Compliance-Management-System bewirkt somit eine stetige Beurteilung und Überwachung der Bestandteile des IKS, soweit sie dem Kontrollzweck Compliance dienen. Hierzu gehört insbesondere auch die Implementierung von Kontrollen in Geschäftsprozessen, z.b. durch Berücksichtigung in Arbeits- und Verfahrensanweisungen, Prozessdokumentationen sowie den vorgegebenen Freigabeprozessen. Wesentlich ist, dass die Kontrollen in den Systemen selbst abgebildet werden. Hier kommt Garancy mit dem Compliance-Indikator ins Spiel. Dieser zeigt Kennzahlen wie z.b. Benutzer ohne Berechtigungen oder verwaiste Konten, die zur Einhaltung der Compliance von Bedeutung sind (siehe Abbildung 2). Die Analyse hilft Unternehmen, Ausnahmefälle schnell zu finden, um diese tiefer untersuchen zu können. Die Analyse gibt es in den Varianten Benutzer, Konten, Rollen und Gruppen. Auf einem Blick werden in dieser Analyse die ausgewählten wichtigsten Indikatoren angezeigt. 5

6 Abb. 2: Compliance-Indikator Übersicht 1.4. BUSINESS USER/LEITER DER FACHABTEILUNGEN Die Risikoanalyse stellt unterschiedliche Aggregats- und Detailebenen dar und bedient damit die Sicht vom Top Management bis hinunter zum Abteilungsleiter. Abteilungsleiter können auf einen Blick Abweichungen bei den Berechtigungen innerhalb einer Peer Group erkennen. Dies macht somit ein umfassendes Monitoring der Risiken möglich und bildet die Basis für die Umsetzung von Maßnahmen zur Risikoreduktion. Die Business User, also die Anwender in den jeweiligen Fachabteilungen, profitieren zudem von der Einfachheit und Übersichtlichkeit des Systems. Die Garancy Access Intelligence Manager-Lösung ist intuitiv und selbsterklärend, so dass sich die Anwender in ihrer gewohnten Umgebung sofort zurechtfinden. Sie können umgehend vorgefertigte Analysen verwenden, die ihren individuellen Bedürfnissen entsprechen, wie z.b. Peer Group-Vergleiche. Diese Analysen können als Push Information regelmäßig und automatisiert versendet werden. Zusätzlich sind die Analysen so aufbereitet, dass sich daraus eine Prioritätenliste hinsichtlich des weiteren Handlings der Risiken ergibt wie z.b. für High-Risk User. Dies gestattet dann z.b. eine effektivere Rezertifizierung auf Basis eines Risiko-Rankings. 6

7 2. RISIKOMANAGEMENT MIT GARANCY ACCESS INTELLIGENCE MANAGER Definition: Unter Risikomanagement ist der der planvolle Umgang mit Risiken zu verstehen. Dieses beinhaltet die Phasen der Identifikation, der Bewertung, der Steuerung und der Kontrolle des Risikos. Ursachenbezogene Strategien Diese zielen darauf ab, die Höhe möglicher Verluste bzw. ihre Wahrscheinlichkeitsverteilung positiv zu beeinflussen. Zu den ursachenbezogene Strategien gehören die Risikovermeidung und die Risikominderung. Wirkungsbezogene Strategien Diese haben die Minderung der voraussichtlichen durch den Missbrauch der Berechtigungen entstehenden Schäden als Ziel. Strategien hierfür sind der Risikotransfer und die Risikovorsorge. Der Garancy Access Intelligence Manager zielt schwerpunktmäßig auf die ursachenbezogenen Strategien ab (präventiver Ansatz) Mit ihm lässt sich das Risiko auf unterschiedliche Arten reduzieren. Um die Höhe der Risiken und den zeitlichen Verlauf der Risikoveränderung abzubilden, können zahlreiche aussagekräftige Indikatoren verwendet werden. In Form von Standard- und auch als Ad-hoc-Analysen werden die Risiken exakt gemäß der Kundenanforderungen abgebildet RISIKOIDENTIFIKATION MIT GARANCY ACCESS INTELLIGENCE MANAGER Bevor sich Risiken vermeiden, vermindern oder in Kauf nehmen lassen, sind sie zuerst einmal als solche zu erkennen. Diese vermeintliche Trivialität stellt sich im Hinblick auf das Berechtigungsmanagement als komplexe Aufgabe heraus: Die Erfassung und Bewertung von Risiken in der riesigen Datenmenge, die sich im Umfeld des Access Managements beständig ansammeln, gleicht der berühmten Suche nach der Nadel im Heuhaufen. Mit wachsender Anzahl an Benutzern, Rollen und lt-systemen, für die Berechtigungen vergeben werden, steigt die Anzahl an einzelnen Gefahrenpunkten exponentiell an. So verfügt ein Unternehmen mit Mitarbeitern und nur 50 lt-systemen, in denen jeweils zehn Berechtigungsgruppen angelegt sind, bereits über 2,5 Millionen Berechtigungsmöglichkeiten, die jede für sich eine individuelle hohe oder geringe Gefahr für das Unternehmen darstellen. Der Versuch, alle aus den bestehenden Berechtigungen resultierenden Gefahren zu identifizieren, ihre Auswirkungen zu beurteilen und entsprechende Maßnahmen zu definieren, wirkt vor diesem Hintergrund aussichtslos. Tatsächlich lassen sich mit vernünftigem und vertretbarem Aufwand nicht alle Gefahren des Berechtigungsmanagements erfassen und bewerten. Es geht daher darum, die stark risikobehafteten Berechtigungen zu identifizieren, zu bewerten und im Nachgang mit geeigneten Maßnahmen zu belegen. Um zu einer Einschätzung zu gelangen, welche Berechtigungen welches Risiko besitzen, bietet der Garancy Access Intelligence Manager leistungsfähige Werkzeuge, die z.b. bereits mit Standard-Analysen in kurzer Zeit Aussagen zu den Auswirkungen individueller Risikobewertungen auf die einzelnen Berechtigungen und ihre Besitzer ermöglichen. 7

8 BENUTZER-RISIKO-ANALYSE Die Benutzer-Risiko-Analyse beinhaltet eine Risikoanalyse von Benutzern auf Basis ihrer zugewiesenen Gruppen. Sie zeigt auf einen Blick die Anzahl der Benutzer einer Abteilung gruppiert nach Risikotyp (ohne, gering, mittel, hoch) mit den dazugehörigen direkten Rollen und Unterrollen oder die Zahl der direkten Gruppen und Untergruppen der Benutzer sowie die Anzahl der Konten und der verwendeten lt-applikationen je Benutzer (siehe Abbildung 3). Abteilungen mit einem hohen Risiko werden direkt und unmittelbar identifiziert. Die Benutzer-Risiko-Analyse ermöglicht es Unternehmen, die Benutzer und die Rollen mit hohen Risiken innerhalb einer Organisationseinheit schnell zu identifizieren und zu prüfen, woher diese Risiken stammen. Abb.3: Beispiel einer Benutzer-Risiko-Analyse 8

9 2.2. RISIKOBEWERTUNG MIT GARANCY ACCESS INTELLIGENCE MANAGER Die große Herausforderung einer Risiko-Analyse ist, dass diese Systeme zwar von der lt bereitgestellt werden, sie dann jedoch zu großen Teilen von den Fachabteilungen bedient und genutzt werden müssen. Selbstverständlich muss eine Risikoanalyse von Zugangsberechtigungen auch mit der lt-problematik der großen Datenmengen, also mit dem sehr aktuellen Thema Big Data, umgehen. Aber die größte Aufgabe sehen wir darin, wie dies alles fachlich bewertet und dargestellt wird: Ob und aus welchem Grund ein Mitarbeiter eine Zugangsberechtigung besitzt und welches Risiko aus dieser Berechtigung entsteht. Diese Bewertung kann die lt alleine nicht sinnvoll leisten. Die Metriken für ldentity Risk Management müssen zahlreiche wichtige Aufgaben erfüllen. Zum einen sollen sie die Verteilung der Zugangsberechtigungen verdeutlichen und Aussagen zur Qualität, der Einbindung in die Organisation und der Handhabung der Identitäten ermöglichen. Zum anderen sollen sie Auskünfte über die Entscheidungsprozesse innerhalb der Berechtigungsvergabe auf Basis einer Herkunftsanalyse ermöglichen. Die Problembereiche sollten dabei idealerweise in Form von Dashboards ersichtlich sein. Will man jetzt Risk Management tatsächlich zu einer messbaren, objektiven Bewertungsgröße machen, so wird man mit der Schwierigkeit konfrontiert, eine einzige Aussage ( Wie hoch ist das Risiko eines Users, einer Rolle oder einer Gruppe ) aus einer Vielzahl an Einflussgrößen zu ermitteln. Zu berücksichtigen sind: Risikobewertungen: auf Rollen-, Gruppen-, Ressourcen- und Autorisierungsebene Risikobetrachtung: auf Benutzer-, Organisations- oder Jobfunktionsebene RISK TYPE UND RISK RATE Garancy verwendet einen klassifizierten Ansatz, mit dem Rollen, Gruppen und Ressourcen und Autorisierungen über einen Risikotyp (low, medium, high risk) und einer Risikorate bewertet werden können. Beim Risk Rating handelt es sich um die numerische Einstufung einzelner Berechtigungsobjekte, wobei die Risikobewertung grundsätzlich auf Basis von Bedrohungspotential, Wahrscheinlichkeit für das Eintreten des Schadensfalls und den erwarteten Auswirkungen basiert. Alle weiteren Risikoparameter ergeben sich automatisch. RISIKOKLASSEN Auf Basis der Risikorate und des Riskikotyps werden in den Analysen Risikoklassen gebildet, die pro Typ drei Stufen vorsehen. Die Konfiguration der Klassen ist kundenindividuell möglich. Als Standard werden folgende Klassendefinitionen verwendet (siehe Abbildung 4): Abb. 4: Standard-Klassendefinitionen 9

10 Die Aggregation oder die Aufsummierung der Risikoraten findet immer innerhalb eines Risikotyps statt. Es werden Schwellwerte definiert, die festlegen, welcher Summenwert als high, medium oder low eingeordnet wird. Das System zeigt deutlich die Summen innerhalb der Typen oder Klassen. Im Gegensatz zu einem rein numerischen Wert wird bei diesem Ansatz sofort deutlich, über welches Risiko der Mitarbeiter verfügt. RISK SCORING Das Risk Scoring beinhaltet die Aufsummierung aller zugeordneten Risiken (siehe Abbildung 5). Diese können auf unterschiedlichen mathematischen Ansätzen basieren (Summierungen, Algorithmen,...). Abb. 5: Risk Score Der Vorteil dieser Vorgehensweise zur Risikobewertung liegt in der Aggregation der Einzelrisiken pro Berechtigung auf den einzelnen Benutzer. Hier unterstützt der Garancy Access Intelligence Manager dadurch, dass die Einzelrisiken pro Entitlement-Typ (Rolle, Gruppe, Ressource, Autorisierung) aggregiert werden. Um die Risiken nicht einfach zu addieren, bietet Garancy eine klassifizierte Methode, in der die Aggregation ausschlieglich innerhalb einer Klasse stattfindet. In der Detailsicht gibt der Garancy Access Intelligence Manager die dem Benutzer zugeordneten Berechtigungen sowie die einzelnen Risikoklassen und -bewertungen an (siehe Abbildung 6): Abb. 6: Risikoklassen und Risikobewertungen 10

11 Das Risk Grading gibt nun das Risikopotential des einzelnen Benutzers an. Dieses wird auf Basis der vorliegenden Informationen automatisch erstellt. Das zugrundeliegende Modell zur Risikobewertung verschafft Unternehmen einen detaillierten Überblick über das Gesamtrisiko des einzelnen Benutzers, die Zusammensetzung des Risikos und die Herkunft des Risikos. VERWENDUNG VON RISIKOLIMITS Zur Vermeidung oder zur Kontrolle von Risikopotential wird die Konfiguration von Risikolimits benötigt. Diese Risikolimits beziehen sich auf ein einzelnes Objekt (z.b. Rolle) und können pro Benutzer oder pro Organisationseinheit hinterlegt werden. Sobald es zur Überschreitung dieser Limits bei der Beantragung von Berechtigungen kommt, wird der Risikomanager eingeschaltet. Der Risikomanager entscheidet dann, ob er den Antrag freigibt oder nicht. Hierbei wird er durch die Analysen der Access Intelligence unterstützt RISIKOSTEUERUNG MIT GARANCY ACCESS INTELLIGENCE MANAGER Welche Auswirkungen hat nun die Risikosteuerung auf das Berechtigungsmanagement? Warum sollte man nicht bei bisher unbewusst risikogesteuerten Entscheidungen qualifizierte und quantifizierbare Risikobewertungen nutzen? Wie wirkt sich ein Risk Scoring auf eine Strategie zur Risikominderung aus, was bedeutet dies für organisatorische Prozesse und was kann getan werden, um die Eintrittswahrscheinlichkeit des Risikos, also den Schadensfall, weiter zu reduzieren? Durch übersichtliche Dashboards und komprimierte Aussagen zeigt der Garancy Access Intelligence Manager in stark verdichteter und gut verständlicher Weise auf, wie sich das Risiko im Berechtigungsmanagement reduzieren lässt Zur Steuerung der Risiken werden Key-Risk-Indikatoren verwendet. Diese basieren sowohl auf Standardanalysen und -reports wie der Benutzer-Risikoanalyse und dem Compliance-Indikatorreport als auch auf Ad-hoc-Analysen. Aus den Risikoanalysen ergeben sich darüber hinaus weitere wichtige Nutzungsmöglichkeiten. Sie lassen sich verwenden um Prozesse zu verbessern um die Effizienz der Organisation zu überprüfen für die Einführung präventiver Kontrollen als Risk Score Cards in Form von Dashboards für das Management und die Fachabteilungen als Risk Reporting des Identity Access Management Systems (als Zuarbeit zum allgemeinen Risk Management) zur individuellen Priorisierung von IAG-Aufgaben (z.b. Rezertifizierung zuerst für High-Risk User) zur Definition von Freigabeprozessen und deren Freigabestufen in Abhängigkeit von Risk Scores als KRI ("Key Risk Indicator") zur Kontrolle der aktuellen "Risikolage" zur Qualitätskontrolle der aktuellen Berechtigungsstrukturen aus Risikosicht WIRKSAME PRÄVENTION UND IT-FORENSIK UNERLÄSSLICH FÜR EINEN IT-AUDIT 11

12 Ein auf Access Intelligence basierendes Risikomanagement ist wesentlich mehr als ein reines Reporting nämlich die wirksame Prävention und lt-forensik durch intelligente Analysen. Im Sinne einer IT-Forensik sollten verdächtige bzw. auffällige Berechtigungen festgestellt und umfassend analysiert und digitale Spuren ausgewertet werden können. Zu den Aufgaben einer wirksamen Prävention und IT-Forensik gehören: Risikoeinstufung von Benutzern aufgrund der zugewiesenen Berechtigungen entsprechend der kundenspezifischen Anforderungen bzw. Datenbereitstellung auf Basis von Rollen, Gruppen, Autorisierungen oder Ressourcen Soll-lst-Vergleiche: Entspricht die Risikoeinstufung dem Risiko-Level des Benutzers? (Top-Ten)-Liste der High Risk User : Gruppiert nach verschiedenen Kriterien (Organisation, Jobfunktion, Quellsysteme...) Filterung von Objekten: Fokussierung auf die kritischen Benutzer oder auf die kritischen Berechtigungsobjekte Identifikation von Orphan Accounts, also verwaisten Accounts, die in keiner Beziehung zu einem Benutzer stehen, aber immer noch aktiv sind und illegal verwendet werden könnten. Laut lso sind diese zu löschen. Generierung von Key-Risk-Indikatoren und Trendanalysen: Zeitliche Betrachtung von Risikoverläufen Die nachfolgenden Beispiele zeigen deutlich den präventiven und den forensischen Nutzen eines auf BI- Technologien basierenden Risikomanagements HIGH-RISK USER Unter Berücksichtigung des zeitlichen Aufwandes lassen sich selten alle Gefahren des Berechtigungsmanagements erfassen und bewerten. Es geht daher darum, vor allem die stark risikobehafteten Berechtigungen zu identifizieren, zu bewerten und im Nachgang mit geeigneten Maßnahmen zu belegen. Jedes Unternehmen sollte in der Lage sein, im Zusammenhang mit High Risk Users, Privileged Users oder Administratoren die folgenden Fragen beantworten zu können: Gibt es im Unternehmen User, die im täglichen Geschäft Zugriff auf sensible Daten haben? Verfügt das Unternehmen über geeignete Werkzeuge, um die Zugriffsberechtigungen auf ein Minimum zu reduzieren? Kann das Unternehmen durch Änderungen an den Zugriffs-Berechtigungen z.b. durch Rollenkonzepte das Risiko weiter reduzieren? Besteht die Möglichkeit, die Aktivitäten der privilegierten Benutzer aufzuzeichnen? Unter Berücksichtigung der steigenden Anzahlen von Benutzern und IT-Systemen sowie den steigenden Compliance-Anforderungen benötigen die Unternehmen Systeme, die ihnen helfen, Transparenz in die sehr komplexe IT-Landschaft zu bringen. Für Benutzer mit Sonderrechten bedeutet dies im Risikomanagement: Regelmäßige Überprüfung der Rechte im Hinblick auf die Zuordnung und Nutzung dieser übergeordneten Gruppen oder Rollen Welche Aktivitäten führen diese berechtigten Benutzer aus? 12

13 Mit der Identifizierung der privilegierten Benutzer bzw. der Hochrisiko-Berechtigung oder -Autorisierung können sich die Unternehmen auf diese Gruppen konzentrieren. Dadurch ergibt sich eine fokussierte und schnelle Analyse, aus der entsprechende Maßnahmen abgeleitet werden können AD-HOC-ANALYSEN Die Einschätzung, ob und wie hoch die Gefahr einer vergebenen Berechtigung ist, hängt von vielen nichtstandardisierbaren Faktoren ab: Toxische Berechtigungskombinationen lassen sich mit SoD-Regeln definieren, wobei die Frage zu beantworten ist, wie stark das Gefahrenpotential eines Benutzers auch durch die Kombination zulässiger Berechtigungen wächst. Ob ein erhöhtes Risiko durch die Vergabe von mehreren an sich harmlosen Einzelberechtigungen entsteht, kann nur mit Kenntnis der betroffenen Systeme und der betroffenen Organisationseinheiten mit ihren Aufgaben beurteilt werden. Rollenmodelle im Access Management, die sich an der Stellenbeschreibung der einzelnen Mitarbeiter orientieren, bieten generell eine leistungsfähige und nachvollziehbare Verbindung von Business- und IT- Sicht. Aber auch hier ist die Bewertung, welche Risiken einem Unternehmen aus der gemeinsamen Vergabe verschiedener Rollen an einen Anwender erwachsen, höchst individuell. Vielfach lassen sich gemeinsame Berechtigungsmuster an den einzelnen Organisationseinheiten ableiten. Benutzer gleicher Abteilungen erhalten häufig identische oder ähnliche Berechtigungen. Der Vergleich über Organisationseinheiten hinweg (z.b. in verschiedenen Tochterunternehmen) verlangt aber detaillierte Kenntnisse über die Aufgaben/Prozesse, Gleichheiten und Abweichungen zwischen den Bereichen. Eine Aufgabe, die mit Standard-Reports nur schwer zu lösen ist. Für derartige spezialisierte Fragestellungen bietet Garancy Access Intelligence Manager Ad-hoc-Analysen. Ein Access Intelligence basiertes Risikomanagement dient als Werkzeug, in dem Unternehmen und Organisationen alle Daten des Access Managements mit dem leistungsfähigsten und weltweit führenden Ad hoc Reporting System verarbeiten kann: Microsoft Excel. Microsoft Excel steht sprichwörtlich für die flexibelste Form der Endanwender-Datenverarbeitung und -visualisierung. Millionen von Anwendern kennen und schätzen die Funktionen und Arbeitsweise dieses Systems. SEMANTISCHES INTERFACE Grundlage ist das Datenmodell des Garancy Access Intelligence Manager. Erst dadurch wird ein businessverständliches Modell möglich. Dieses steht für die Auswertungen in Excel zur Verfügung. Im Gegensatz zu Datenbank-/Data-Warehouse-orientierten Systemen bietet Garancy Access Intelligence Manager ein vollumfängliches semantisches Interface, in dem die Objekte der Access Intelligence (User, System, Gruppe, Rolle etc.) mit seinen Attributen (Name, Typ, Kategorie uvm.) und seinen bestehenden Verbindungen für Adhoc-Reports genutzt werden können. Dieses Interface ist die Grundlage (in Excel) für den Drag&Drop-Ansatz. Der User benötigt kein technisches Wissen über Tabellenstrukturen und interne Datenbankverknüpfungen, um sich individuelle Aussagen und Reports zu seinem Access Management-Universum zu generieren. Mit dem Garancy Access Intelligence Manager formuliert der Anwender über Excel Pivot-Tabellen und -Charts seine Fragestellungen auf dem hohen Abstraktionsniveau des Business Intelligence (BI) Cubes. Durch die Verbindung beliebiger Objekte des Datenmodells und ihrer Verbindungen untereinander liefert Garancy Access Intelligence die gewünschten Aussagen: Von Detailauflistungen einzelner Berechtigungsbereiche bis hin zur Aggregation von Kennzahlen sind dabei der Verarbeitung in Microsoft Excel keine Grenzen gesetzt. 13

14 BERECHTIGUNGSPFADANALYSE Neben der typischen Frage Wer hat welche Berechtigung auf welche Ressource? entsteht aufgrund der weitverzweigten Berechtigungsstrukturen eine weitere wichtige Frage Über welche Zuweisungen (Rollen, Gruppen, Authorisierungsobjekte,...) wurden dem Benutzer die Berechtigungen vergeben?. Dazu hat Beta Systems eine Methode entwickelt, welche die gesamte Berechtigungsstruktur in einzelne Pfade aufgliedert, die die Grundlage für leistungsfähige Analysemöglichkeiten bilden. Die vorangestellte zweite Frage wird somit zu einer wesentlich nachvollziehbareren Fragestellung: Über welche Berechtigungspfade hat der Benutzer Zugriff auf die Ressourcen? Mit diesem Pfad-orientierten Ansatz sind eine Vielzahl von neuartigen Auswertungen möglich, die Beta Systems unter den Namen Berechtigungspfadanalyse zusammenfasst. Das Konzept der Berechtigungspfade ermöglicht Untersuchungen mit hohem Mehrwert für die Security eines Unternehmens, wie beispielsweise die Redundanzanalyse und die Pfadlängenanalyse. REDUNDANZANALYSE Die Redundanzanalyse untersucht die Berechtigungsstrukturen hinsichtlich redundanter Pfade. Als redundante Pfade werden doppelte Berechtigungszuweisungen bezeichnet, die durch die Zuweisung von verschiedenen Security-Objekten und dessen Beziehungen untereinander entstehen können. Eine typische Ursache dafür sind beispielsweise überlappende Rollen- oder Gruppenmodelle. Die Bewertung, ob Redundanzen positive oder negative Auswirkungen auf die Verwendung und Pflege von Berechtigungsstrukturen haben, ist sehr kundenindividuell und hängt von der Zielstellung der jeweiligen Modelle ab. PFADLÄNGENANALYSE Die Pfadlängenanalyse dagegen untersucht die einzelnen Zuweisungen hinsichtlich ihrer Pfadlänge. Häufig haben Rollenmodelle eine definierte Anzahl von Hierarchieebenen, z.b. IT-Rollen und zwei Ebenen von Business-Rollen. Mit der Analyse können dann abweichende Pfadlängen ermittelt werden. Diese Fälle stellen potenzielle Risiken dar, da sie nicht dem vorgegebenen Rollenmodell entsprechen und können dann geprüft und ggf. angepasst werden TEMPORÄRE BERECHTIGUNGEN Ein typischer Anwendungsfall, bei dem das Thema Transparenz und Monitoring extreme Bedeutung gewinnt, sind die klassischen temporären Wartungs- und Supportberechtigungen, die häufig für einen Sonderfall erteilt werden und im Anschluss automatisiert entzogen werden sollen (siehe Abbildung 7). 14

15 Abb. 7: Rollendetails Oft kann der automatisierte Entzug der Berechtigungen nicht durchgeführt werden, weil die lt-systeme z.b. zu diesem Zeitpunkt nicht verfügbar sind. Abhängig davon, wie häufig der automatisierte Entzug durchgeführt wird, kann es passieren, dass den Mitarbeitern die Berechtigungen deutlich länger zur Verfügung stehen als eigentlich geplant. In diesem Zeitraum besteht ein erhöhtes Risikopotential RISIKOKONTROLLE MIT GARANCY ACCESS INTELLIGENCE MANAGER Veränderung in den Bedrohungen, in der Organisation selbst und auch der technische Fortschritt erfordern eine laufende Neubewertung und Kontrolle der Risiken, um die lt-infrastruktur und kritische Daten dauerhaft zu sichern. Hierfür bietet der Garancy Access Intelligence Manager ein kontinuierliches Monitoring, das vorhandene Standardanalysen durch kundenindividuelle oder situativ erforderliche Ad-hoc-Analysen ergänzt. Fehler und Auffälligkeiten bei Berechtigungen werden sofort identifiziert. Dabei ist es von besonderer Bedeutung, eine sofortige Nachvollziehbarkeit über die Berechtigungen und die Vergabe der Berechtigungen zu ermöglichen. Die intelligente Analyse und das Monitoring der Berechtigungen werden in Verbindung mit Access-lntelligence- Lösungen auf ein neues Qualitätsniveau gehoben, so dass jederzeit Risiken transparent pro Mitarbeiter, Rolle und Gruppe dargestellt werden können. 15

16 Dies wird durch die Verwendung analytischer Funktionen ermöglicht, bei denen Technologien aus dem Bereich Business Intelligence/Data Warehouse zum Einsatz kommen. Da das Monitoring des Risikos auf unterschiedlichen Ebenen erfolgt, müssen viele Fragestellungen beantwortet werden können, wie die folgende Abbildung verdeutlicht: Abb. 9: Auswahl von Fragestellungen im Access Risk Management Durch das umfassende Risikomonitoring kann der Garancy Access lntelligence Manager Schwächen im IAM- System aufzeigen, weil beispielsweise entweder Benutzer mehr Zugriffsberechtigungen als erforderlich hatten oder privilegierte Benutzer (d.h. Benutzergruppen mit privilegierten Konten, z.b. mit erhöhten Rechten oder gemeinsam genutzten Konten) Aktivitäten ausführen konnten, die sie nie hätten ausführen dürfen. SOD MONITORING Als Konsequenz der MaRisk (Mindestanforderungen an das Risikomanagement) werden explizit Regeln für die Funktionstrennung (Segregation of Duties) mit technischen Systemen gefordert, die auch technisch umzusetzen sind und deren Einhaltung /Compliance nachzuweisen ist. Mit dem Garancy Access lntelligence Manager können Verletzungen dieser SoD aufgedeckt werden. 3. STIMMT ALLES WICHTIGE? SCHNELL, EINFACH UND ÜBERSICHTLICH Niemand kann garantieren, dass absolut jedes Access-Risiko durch ein Risikomanagement erfasst wird. Jedoch ermöglicht unsere auf auf Bl-Technologien aufbauende Access-Intelligence-Lösung den Nachweis, dass Alles für die Compliance-Erfüllung Wichtige erfasst und dokumentiert wurde. Access Intelligence zeigt darüber hinaus direkt auf, wo Probleme entstehen könnten und liefert detaillierte Anknüpfungspunkte, was getan werden kann, um Risiken zu reduzieren. Dafür stellt der Garancy Access Intelligence Manager Best-of-Breed-Analysetechniken, Vergleichsmöglichkeiten und Dashboards zur Visualisierung zur Verfügung (siehe Abbildung 10). 16

17 Abb. 10: Beispiel für Management Dashboards 3.1. SCHRITTWEISE EINFÜHRUNG VOM DATENIMPORT ZUR RISIKOEINSTUFUNG Grundsätzlich sollte es für die Einführung eines Risiko-Management-Systems im Berechtigungsmanagement ein klar formuliertes und verständliches Einführungsmodell geben. Die Einführung muss Schritt für Schritt erfolgen, wobei die Technik selbst erst ganz zum Schluss implementiert wird. Ganz wichtig ist die Beantwortung der Frage, wer die Bewertung der Risiken vornimmt. In einem ersten Schritt werden ausschließlich die allerwichtigsten Risikopotentiale bewertet. Hierfür geben die erfahrenen Consultants der Beta Systems Software AG fundierte Vorschläge und Handlungsempfehlungen. Um den Aufwand in Grenzen zu halten, empfiehlt sich die Konzentration auf alles Wichtige, also beispielsweise auf hochrisikobehaftete Applikationen und Systeme. Nicht relevante Fragestellungen oder sehr geringe Risiken werden an dieser Stelle nicht weiterverfolgt. Auf diese Weise ist eine schnelle Einführung und Implementierung des Risikomanagement-Systems möglich. Der Garancy Access Intelligence Manager verfügt über eine definierte Datenimportschnittstelle, die aus unterschiedlichsten Systemen die Daten importieren kann. Klassische Systeme dafür sind lag-systeme, aber es sind auch andere Quellsysteme möglich. In einem weiteren Schritt kann später eine schrittweise Erweiterung der Risikobewertung erfolgen. Zusätzlich können dann beispielsweise Risk Limits eingegeben oder businessorientierte Workflows integriert werden, die viele Aktionen automatisiert anstoßen können. 17

18 3.2. BERÜCKSICHTIGUNG RELEVANTER REGULIERUNGEN Bei den Regulierungen nennen Unternehmen aus der Finanzbranche das Kreditwesengesetz KWG und die MaRisk mit Abstand am häufigsten, womit das Thema Risikomanagement die Unternehmen am stärksten beschäftigt. KWG UND MARISK 25a des KWG (Kreditwesengesetz) sieht für die organisatorische Sicherstellung der gesetzlichen Anforderungen die Einführung eines Risikomanagements vor. Wörtlich heißt es: Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die in 1 Abs. 2 Satz 1 bezeichneten Personen sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich. Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; Die MaRisk umfasst für die IT wichtige Vorschriften zum Risikomanagement bzw. den internen Kontrollverfahren (AT 4), zu den Anforderungen an die Innenrevision (AT 4.4) und zur technisch / organisatorischen Ausstattung (AT 7). Die MaRisk fordert unter der Rubrik Funktionstrennung: AT 4.3.1: Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt werden. BT O 1.1.: Maßgeblicher Grundsatz für die Ausgestaltung der Prozesse im Kreditgeschäft ist die klare aufbauorganisatorische Trennung der Bereiche Markt und Marktfolge bis einschließlich der Ebene der Geschäftsleitung. Bei kleinen Instituten sind unter bestimmten Voraussetzungen Ausnahmen hinsichtlich der Funktionstrennung möglich. Was bedeutet dies für die IT? In der lt wird Funktionstrennung im Kontext der Benutzerrechteverwaltung verwendet. Unterschiedliche technische Funktionen sind unterschiedlichen Rollen zugeordnet. Dies dient dazu, kriminelle Handlungen der Mitarbeiter zu vermeiden. Wenn zum Beispiel ein Mitarbeiter Lieferanten im lt- System pflegen und anlegen kann und gleichzeitig Zahlungen initiieren kann, so hätte dieser die Möglichkeit, Finanzmittel zu unterschlagen (z. B. fiktiven Lieferanten anlegen und Zahlung an diesen durchführen). Die MaRisk fordert sehr eindeutig die Einrichtung eines organisatorischen und technischen Berechtigungsmanagements. Neben den Anforderungen an die Trennung fordert die MaRisk AT 7.2 : Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT- Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen. 18

19 4. EMPFEHLUNGEN FÜR EIN INTELLIGENZBASIERTES RISIKOMANAGEMENT Worauf sollten Unternehmen vor allem achten bei der Planung, der Einführung und Umsetzung eines Access Risk Management Systems? Nutzen Sie die Möglichkeiten, die moderne Risikomanagement-Lösungen in Verbindung mit Access Intelligence bieten. Think big, start small!. Der Business Intelligence-Ansatz bietet ein enormes Potential für weitreichende Analysen. Setzen Sie frühzeitig ein System ein, dass ausbaufähig ist. Führen Sie Risikomanagement in einem Stufenmodell ein. Machen Sie es Ihren Kollegen im Unternehmen so einfach wie möglich, schnell und verlässlich Aussagen treffen zu können zum Risikomanagement innerhalb ihrer Fachabteilung oder für das Top Management. Verzetteln Sie sich nicht in einfachen quantitativen Risikoeinschätzungen, sondern nutzen Sie qualitative, auf Inhalten basierende Bewertungen. Identifizieren Sie High Risk User: Sie müssen nicht auf alles eine Antwort haben, aber stellen Sie sicher, dass alles Wichtige stimmt. Verwenden Sie Berechtigungspfadanalysen um festzustellen, wer diese Berechtigung wann erteilt hat und ob er dies überhaupt durfte. Nutzen Sie Ad-hoc-Analysen: Bestehen Sie auf der Möglichkeit, eigene Analysen auf einfache Art und Weise erstellen zu können, individuell, entsprechend Ihrer Bedürfnisse. 19

20 Beta Systems Software AG, Alle Rechte vorbehalten. Alle im Text erwähnten Produktnamen der Beta Systems Software AG sowie die entsprechenden Logos sind Marken des Unternehmens in Deutschland und anderen Ländern weltweit. Namen von Produkten und Dienstleistungen anderer Unternehmen sind Marken dieser Unternehmen. Dies gilt auch für die jeweilige Firmenbezeichnung. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. Produkte können länderspezifische Unterschiede aufweisen. In dieser Publikation enthaltene Aussagen stellen keine Zusicherungen, Gewährleistungen oder in sonstiger Weise bindende Aussagen dar. Die Beta Systems Software AG übernimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. 20

Entdecken Sie Tiefe. mit dem. Garancy Access Intelligence Manager! More control. Less risk. powered by

Entdecken Sie Tiefe. mit dem. Garancy Access Intelligence Manager! More control. Less risk. powered by Entdecken Sie Tiefe mit dem Garancy Access Intelligence Manager! Less risk. More control. powered by Der Garancy Access Intelligence Manager ist das zuverlässige Tool zur Analyse von erteilten Zugriffsrechten.

Mehr

Entdecken Sie Tiefe. mit dem. Garancy Access Intelligence Manager! More control. Less risk. powered by

Entdecken Sie Tiefe. mit dem. Garancy Access Intelligence Manager! More control. Less risk. powered by Entdecken Sie Tiefe mit dem Garancy Access Intelligence Manager! Less risk. More control. powered by Der Garancy Access Intelligence Manager ist das zuverlässige Modul zur Analyse von erteilten Zugriffsrechten.

Mehr

Risikogrundsätze Version 2, Stand 10/2011

Risikogrundsätze Version 2, Stand 10/2011 Version 2, Stand 10/2011 1. RISIKOGRUNDSÄTZE 1.1 Verantwortung des Vorstandes Der Vorstand der Schoellerbank Invest AG ist für die ordnungsgemäße Geschäftsorganisation und deren Weiterentwicklung verantwortlich.

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Scan Resolve Analyse Report Transparenz in Windows-Dateisystemen Rechte- und Risiko-Analysen in gewachsenen Windows-Dateisystemen Revision, Wirtschaftsprüfer und Aufsichtsbehörden fordern verstärkt detaillierte

Mehr

Test Management Cockpit. SAP Deutschland AG & Co. KG

Test Management Cockpit. SAP Deutschland AG & Co. KG Test Management Cockpit SAP Deutschland AG & Co. KG Einleitung Kennzahlen und Testmanagement Der zusätzliche Aufbau eines Kennzahlensystems bietet die große Chance, tatsächlich die Kenntnis darüber zu

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Identity Maturity Assessment

Identity Maturity Assessment Identity Maturity Assessment Case Study Atos Fachtagung zum Thema Identity Management & Cyber Security München, 24 Juni 2014 Wer ist Bay31 Bay31 ist Software-Hersteller im Bereich Identity Governance:

Mehr

Compliance Monitoring mit PROTECHT.ERM

Compliance Monitoring mit PROTECHT.ERM covalgo consulting GmbH Operngasse 17-21 1040 Wien, Austria www.covalgo.at Compliance Monitoring mit PROTECHT.ERM Autor: DI Mag. Martin Lachkovics, Dr. Gerd Nanz Datum: 20. Oktober 2014, 29. April 2015

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth

Vortrag. Systembasiertes Risiko-Controlling für den Mittelstand. 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth 15 Jahre syscon 21. Oktober 2011 Pyramide Fürth Vortrag Systembasiertes Risiko-Controlling für den Mittelstand Dr. Klaus Blättchen Geschäftsführer syscon Copyright - syscon Unternehmensberatung GmbH syscon

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen

Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Informationsveranstaltung IT-Aufsicht bei Banken Informationsrisikomanagement und Auslagerungsmanagement, Erfahrungen aus 44 KWG Prüfungen Axel Leckner - Informationsveranstaltung IT-Aufsicht bei 1 Banken

Mehr

bi-cube Aktiver Compliance - Monitor (ACM)

bi-cube Aktiver Compliance - Monitor (ACM) INSTITUT FÜR SYSTEM- MANAGEMENT bi-cube Aktiver Compliance - Monitor (ACM) ism- Architektur Team ism GmbH 2010 Definition: Compliance Compliance bedeutet die Einhaltung von Verhaltensmaßregeln, Gesetzen

Mehr

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE CHANGE PROCESS DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE I CHANGE PROCESS

Mehr

Raber+Märcker Business Intelligence Lösungen und Leistungen

Raber+Märcker Business Intelligence Lösungen und Leistungen Business Intelligence Raber+Märcker Business Intelligence Lösungen und Leistungen www.raber-maercker.de 2 LEISTUNGEN Business Intelligence Beratungsleistung Die Raber+Märcker Business Intelligence Beratungsleistung

Mehr

Informationssicherheit und Compliance-Erfüllung econet Der Weg zum sicheren Umgang mit Informationen und Zugriffsrechten Wohl nirgends in der IT sind gewachsene Strukturen riskanter, als in Dateisystemen

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

Schlüsselfragen für ein wirksames Risikomanagementsystem

Schlüsselfragen für ein wirksames Risikomanagementsystem Risikomanagement im Krankenhaus - Möglichkeiten und Grenzen einer Systemunterstützung Kai Stübane, Vice President Sales, GRC, SAP Deutschland AG & Co. KG Ralf Erdmann, Senior-Riskmanager, Dr. Schmitt GmbH

Mehr

CENIT RETENTION SOLUTION 1.1 Verwaltung von temporären Sperren und Löschworkflows. Copyright CENIT AG

CENIT RETENTION SOLUTION 1.1 Verwaltung von temporären Sperren und Löschworkflows. Copyright CENIT AG CENIT RETENTION SOLUTION 1.1 Verwaltung von temporären Sperren und Löschworkflows Agenda Herausforderung Ausgangssituation in Unternehmen Funktionen Architektur Nutzen Ausblick auf nächste Produktversionen

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

protecting companies from the inside out

protecting companies from the inside out protecting companies from the inside out 1 Integriertes Berechtigungsmanagement Futuredat IT Forum 15. Mai 2014 80% der Daten liegen unstrukturiert als ppt, doc und excel vor Quelle: Meryll Lynch 80% der

Mehr

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung 5. November 2012 2012 ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2 Agenda Einführung Konzepte und Prinzipien

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

GÖRG Wir beraten Unternehmer.

GÖRG Wir beraten Unternehmer. GÖRG Partnerschaft von Rechtsanwälten München Berlin Essen Frankfurt/M. Köln München GÖRG Wir beraten Unternehmer. Unternehmerfrühstück 18. Februar 2009 C o m p l i a n c e IT - Compliance Rechtliche Aspekte

Mehr

Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud

Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud Die Cloud Auswirkungen der Cloud auf Ihre Organisation So managen Sie erfolgreich den Weg in die Cloud Die Auswirkungen und Aspekte von Cloud-Lösungen verstehen Cloud-Lösungen bieten Unternehmen die Möglichkeit,

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

_Case Study Fraud-Quick-Check für eine renommierte Privatbank

_Case Study Fraud-Quick-Check für eine renommierte Privatbank _Case Study für eine renommierte Privatbank Verdeckte Gefahrenpotenziale und verschärfte regulatorische Vorgaben erfordern effektive Präventionsmaßnahmen gegen Betrugsdelikte Severn Consultancy GmbH, Hansa

Mehr

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand SOLUTION Q_RISKMANAGER 2.0 Das Risikomanagementsystem für den Mittelstand Q4/2012 Q_Riskmanager als webbasierte Lösung des Risikomanagements unter Solvency II Solvency II stellt Unternehmen vor neue Herausforderungen

Mehr

Das Wesentliche im Blick.

Das Wesentliche im Blick. Das Wesentliche im Blick. Unternehmen effektiv steuern mit relevanten Daten im Management Dashboard CP-Cockpit ist ein Modul der Corporate Planning Suite. Den Blick auf das Wesentliche lenken. Effektiv

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

7 Das CpD - Prüfprocedere

7 Das CpD - Prüfprocedere 7 Das CpD - Prüfprocedere In den vorangegangen Abschnitten haben Sie die regulären Ablageauswertungen der kunden- oder lieferantenspezifischen Datenanteile eruiert. In diesem Abschnitt möchte ich Ihnen

Mehr

Risk Management. Überblick RIM 1.5.100

Risk Management. Überblick RIM 1.5.100 Risk Management Überblick - 1 - OMNITRACKER Risk Management im Überblick Effizientes Risikomanagement mit dem OMNITRACKER Risk Management Ein Werkzeug zur Abdeckung des gesamten Prozesses von der Risikoerfassung

Mehr

Fachbericht: Access Governance

Fachbericht: Access Governance Fachbericht: Access Governance Wirksame Sicherheit durch Optimierung des Zugriffsschutzes Inhalt 1. Einführung 2 2. Zielsetzung von Access Governance 3 3. Mehr Verantwortung für die Fachbereiche 4 4. Die

Mehr

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions

Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Richtlinie zur Informationssicherheit T-Systems Multimedia Solutions Autor: Frank Schönefeld Gültig ab: 23.03.2015 / Ersetzte Ausgabe: 29.05.2012 Seite 1 von 5 Vorwort Unsere Kunden und Beschäftigten müssen

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung Ihr Partner für das der IT von der Strategie bis zur Lösung Agenda In aller Kürze 1. Tätigkeitsfelder 2. Leistungen 3. Referenzen 4. Unternehmen 2015 2 Lieferanten 1. Tätigkeitsfelder Gestalten Sie die

Mehr

Success Story. Einführung des SAP Berechtigungs konzeptes in ausgewählten Bereichen beim Photovoltaikunternehmen

Success Story. Einführung des SAP Berechtigungs konzeptes in ausgewählten Bereichen beim Photovoltaikunternehmen Success Story Einführung des SAP Berechtigungs konzeptes in ausgewählten Bereichen beim Photovoltaikunternehmen Q-Cells SE Q-Cells SE Q-Cells SE zählt zu den führenden Photovoltaikunternehmen weltweit.

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Risikomanagement und CheckAud for SAP Systems

Risikomanagement und CheckAud for SAP Systems Risikomanagement und CheckAud for SAP Systems IBS Schreiber GmbH Olaf Sauer Zirkusweg 1 20359 Hamburg Tel.: 040 696985-15 Email: info@ibs-schreiber.de 1 Vorstellung Die IBS Schreiber GmbH stellt sich vor:

Mehr

What s new in risk2value 5.1

What s new in risk2value 5.1 What s new in risk2value 5.1 Dezember 2014 avedos business solutions gmbh Seite 1 Inhaltsverzeichnis 1. Anmeldung/Dashboard... 3 1.1. Standard Startseite frei konfigurierbar... 3 1.2. Dashboard um individuelle

Mehr

MM-2-111-403-00. IT-Sicherheit

MM-2-111-403-00. IT-Sicherheit MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 MM-2-111-403-00 IT-Sicherheit Seite: 1 / 8 MM-2-111-403-00 Rev. Nr.: 01 Rev. Datum: 26.03.2014 Nächste Rev.: 26.03.2017 Ziel

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

INTEGRIERTE CMDB FÜR DEN SAP SOLUTION MANAGER: LÜCKENLOSES ECHTZEIT-MONITORING IHRER IT

INTEGRIERTE CMDB FÜR DEN SAP SOLUTION MANAGER: LÜCKENLOSES ECHTZEIT-MONITORING IHRER IT SAP IT INFRASTRUCTURE MANAGEMENT INTEGRIERTE CMDB FÜR DEN SAP SOLUTION MANAGER: LÜCKENLOSES ECHTZEIT-MONITORING IHRER IT EINBETTUNG ALLER IT-INFRASTRUKTURINFORMATIONEN IN DAS IT-SERVICE-MANAGEMENT SAP

Mehr

Betrugsprävention mit Hilfe von Risk Analytics

Betrugsprävention mit Hilfe von Risk Analytics Betrugsprävention mit Hilfe von Risk Analytics Steigende Zahl an Betrugsfällen Die Polizeiliche Kriminalstatistik von 2010 zeigt: Betrug nimmt von Jahr zu Jahr immer mehr zu. Mit 968.162 Betrugsfällen

Mehr

Modul 1 Modul 2 Modul 3

Modul 1 Modul 2 Modul 3 Schaffen Sie Transparenz, Struktur und Zukunftssicherheit für Ihre IT durch modulare IT-Audits Die Unternehmens- und IT-Leitung benötigt ein verständliches Tool für die aktive Steuerung und Entwicklung

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de Neue Produkte 2010 Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 Ploetz + Zeller GmbH. Symbio ist eine eingetragene Marke der Ploetz + Zeller GmbH. Alle anderen Marken

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen

Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Aktualisierung der ISO/IEC 27001 (ISMS): Entstehung, Änderungsbedarf und Handlungsempfehlungen für Unternehmen Bearbeitet von Stefan Beck 1. Auflage 2015. Taschenbuch. 148 S. Paperback ISBN 978 3 95934

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager

Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager Lösungen für Security Information and Event Management Zur Unterstützung Ihrer Geschäftsziele Überwachung und Überprüfung privilegierter Benutzer mit IBM Tivoli Compliance Insight Manager Unbefugte Aktivitäten

Mehr

Requirements Management für SAP Solution Manager Projektrisiken minimieren durch professionelles Anforderungsmanagement

Requirements Management für SAP Solution Manager Projektrisiken minimieren durch professionelles Anforderungsmanagement Requirements Management für SAP Solution Manager Projektrisiken minimieren durch professionelles Anforderungsmanagement SAP Consulting Use this title slide only with an image Agenda Risikofaktoren beim

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 4 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 66 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

Testfragen PRINCE2 Foundation

Testfragen PRINCE2 Foundation Testfragen PRINCE2 Foundation Multiple Choice Prüfungsdauer: 20 Minuten Hinweise zur Prüfung 1. Sie sollten versuchen, alle 25 Fragen zu beantworten. 2. Zur Beantwortung der Fragen stehen Ihnen 20 Minuten

Mehr

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS

IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS IT-Strukturanalyse als wichtige Voraussetzung für ein funktionierendes ISMS 5. IT-Grundschutz-Tag 23.11.2011 Björn Schulz Agenda 1. Einleitung + Ausgangslage 2. Anforderungen 3. IT-Strukturanalyse 4. Fazit

Mehr

SAP BusinessObjects Solutions for Governance, Risk and Compliance

SAP BusinessObjects Solutions for Governance, Risk and Compliance SAP BusinessObjects Solutions for Governance, Risk and Compliance B4: Berechtigungsvergabe datenschutz- und compliancekonform gestalten mit SAP BusinessObjects Access Control und SAP Netweaver Identity

Mehr

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11. Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds

Mehr

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008

IT-Risikomanagement Auf die Schwachstellen kommt es an! Michael Haack 11. Februar 2008 Auf die Schwachstellen kommt es an! 11. Februar 2008 Was ist Risikomanagement? Gefahr, dass Ziele nicht erreicht werden können Im Alltag Gesundheit Finanzielle Sicherheit Familie Beispiele für Maßnahmen

Mehr

Das neue Framework der ISACA: RiskIT

Das neue Framework der ISACA: RiskIT Das neue Framework der ISACA: RiskIT Werte schaffen und Risiken managen Alfred Heiter 25. Februar 2010 Vorstellung Alfred Heiter alfred.heiter@at.ey.com Seit 10 Jahren im IT-Prüfungs- und IT-Beratungsgeschäft

Mehr

Oracle White Paper März 2009. Realitätsnahere Prognosen: Getrennte Beurteilung von Chancen und Risiken sowie Unsicherheit

Oracle White Paper März 2009. Realitätsnahere Prognosen: Getrennte Beurteilung von Chancen und Risiken sowie Unsicherheit Oracle White Paper März 2009 Realitätsnahere Prognosen: Getrennte Beurteilung von Chancen und Risiken sowie Unsicherheit Executive Summary In diesem White Paper werden anhand eines Beispiels die Vorteile

Mehr

GDP4U. Intelligente Ideen für Finanzinstitute

GDP4U. Intelligente Ideen für Finanzinstitute GDP4U Intelligente Ideen für Finanzinstitute --> GDP4U Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU 147 Abs. 6 AO) verpflichten Finanzinstitute, den Finanzbehörden den

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT

Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Prof. Dr. Bruno Brühwiler, Präsident Netzwerk Risikomanagement ISO 9001:2015 UND RISIKOMANAGEMENT Wesentliche Änderungen Anwendung der High Level Structure 10 Kapitel Verstärkte Anforderungen an die oberste

Mehr

Enterprise Architecture Management für Krankenhäuser. Transparenz über die Abhängigkeiten von Business und IT

Enterprise Architecture Management für Krankenhäuser. Transparenz über die Abhängigkeiten von Business und IT Enterprise Architecture Management für Krankenhäuser Transparenz über die Abhängigkeiten von Business und IT HERAUSFORDERUNG Gestiegener Wettbewerbsdruck, höhere Differenzierung im Markt, die konsequente

Mehr

Workflowmanagement. Business Process Management

Workflowmanagement. Business Process Management Workflowmanagement Business Process Management Workflowmanagement Workflowmanagement Steigern Sie die Effizienz und Sicherheit Ihrer betrieblichen Abläufe Unternehmen mit gezielter Optimierung ihrer Geschäftsaktivitäten

Mehr

Konsolidierung von Dateisystemund Berechtigungsstrukturen Der econet Dateisysteme zügig konsolidieren Unklare Berechtigungsverhältnisse beim Dateisystemzugriff sind eine Bedrohung für das Unternehmens-Know-how.

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Risikomanagementsystem

Risikomanagementsystem Beispiel 1. Einleitung Eine risikoorientierte Unternehmensüberwachung wird vor dem Hintergrund der steigenden Komplexität in der Unternehmensumwelt immer wichtiger. Der Gesetzgeber hat mit dem Gesetz zur

Mehr

Ordnung im Qualitätsmanagement mit Microsoft SharePoint

Ordnung im Qualitätsmanagement mit Microsoft SharePoint Ordnung im Qualitätsmanagement mit Microsoft SharePoint Bei pscquality handelt es sich um ein vollständiges Produkt, das die QM-Abläufe in Ihrem Unternehmen nach Ihren Anforderungen und basierend auf den

Mehr

Muster-Angebotsinformation

Muster-Angebotsinformation Muster-Angebotsinformation Einsatzanalyse SAP Berechtigungs-Management & Compliance 3-Tages Proof-of-Concept Seite 1 Inhalt 1 Management Summary... 3 1.1 Technische Rahmenbedingungen... 3 1.2 Ziele der

Mehr

Von BI zu Analytik. bessere Entscheidungen basiert auf Fakten. Dr. Wolfgang Martin Analyst, ibond Partner und Ventana Research Advisor

Von BI zu Analytik. bessere Entscheidungen basiert auf Fakten. Dr. Wolfgang Martin Analyst, ibond Partner und Ventana Research Advisor Von BI zu Analytik bessere Entscheidungen basiert auf Fakten Webinar Mai 2010 Dr. Wolfgang Martin Analyst, ibond Partner und Ventana Research Advisor Von Business Intelligence zu Analytik Die Bedeutung

Mehr

Prof. Dr. Rainer Elschen

Prof. Dr. Rainer Elschen Risikomanagement II - Vorlesung 6 - Prof. Dr. Rainer Elschen Prof. Dr. Rainer Elschen 102 Inhaltsübersicht 1. Unternehmerisches Risiko 1.1 Kausalitätsstruktur von Risiken 1.2 Risikokategorien 1.3 Risikostrategien

Mehr

RISIKO- ORIENTIERTES IAM. Erfahren. Zuverlässig. Innovativ.

RISIKO- ORIENTIERTES IAM. Erfahren. Zuverlässig. Innovativ. RISIKO- ORIENTIERTES IAM. Erfahren. Zuverlässig. Innovativ. RISIKOORIENTIERTES IAM. ERFAHREN 20+ Jahre IAM ZUVERLÄSSIG Leistungsstarkes Provisioning INNOVATIV Risikozentrierte Governance 50 % der größten

Mehr

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009

EURO-SOX (URÄG) Was bedeutet es für IT? Krzysztof Müller Juni 2009 EUO-SOX (UÄG) Was bedeutet es für IT? Juni 2009 Agenda Herausforderungen bei der Umsetzung von Compliance Bedeutung von Standards Zusammenspiel zwischen Finanzen und IT Umsetzung Lernbuchweg Umsetzung

Mehr

ERP-Systemeinsatz bewerten und optimieren

ERP-Systemeinsatz bewerten und optimieren ERP-Systemeinsatz bewerten und optimieren Handlungsfelder zur Optimierung des ERP-Systemeinsatzes ERP-Lösungen werden meist über viele Jahre lang eingesetzt, um die Geschäftsprozesse softwaretechnisch

Mehr

2012 Quest Software Inc. All rights reserved.

2012 Quest Software Inc. All rights reserved. Identity & Access Management neu interpretiert Stefan Vielhauer, Channel Sales Specialist Identity & Access Management André Lutermann, Senior Solutions Architect CISA/CHFI Rechtliche Rahmenbedingungen

Mehr

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon

IT-Security und Datenschutz für die Praxis it-sa, Messe Nürnberg, Halle12, Raum Lissabon 11. Oktober 2011 12. Oktober 2011 13. Oktober 2011 09:30 09:45 Begrüßung Begrüßung Begrüßung 09:45 11:00 Kurz-Audit Datenschutz Kurz-Audit Business Continuity Management Kurz-Audit Informationssicherheit

Mehr

Thema: Risikomanagement

Thema: Risikomanagement 1.1. Risikomanagement Eine der elementarsten Anforderungen an die Projektplanung ist, durch zielgerichtete Planung mögliche Risiken, die den Projekterfolg in Frage stellen, zu identifizieren und präventiv

Mehr

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern

Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Hypes und Alltägliches beherrschen: funktionierende Prozesse für den Datenschutz im Mittelstand oder im Konzern Natascha Düren Forum Rot, it-sa 2013 Nürnberg, 10.10.2013 Besuchen Sie uns! it-sa 2013, Halle

Mehr

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten

ISO & IKS Gemeinsamkeiten. SAQ Swiss Association for Quality. Martin Andenmatten ISO & IKS Gemeinsamkeiten SAQ Swiss Association for Quality Martin Andenmatten 13. Inhaltsübersicht IT als strategischer Produktionsfaktor Was ist IT Service Management ISO 20000 im Überblick ISO 27001

Mehr

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht

Muster Nachweisdokumentation und Sicherheitsbewertungsbericht Muster Nachweisdokumentation und Sicherheitsbewertungsbericht auf Basis der "Verordnung (EG) Nr. 352/2009 der Kommission vom 24. April 2009 über die Festlegung einer gemeinsamen Sicherheitsmethode für

Mehr

JOB MANAGEMENT MIT DEM SAP SOLUTION MANAGER. Whitepaper

JOB MANAGEMENT MIT DEM SAP SOLUTION MANAGER. Whitepaper JOB MANAGEMENT MIT DEM SAP SOLUTION MANAGER. Whitepaper Wussten Sie, dass lediglich der kleinere Teil der Datenverarbeitung in Ihrem System von End-Anwendern generiert wird? Der größere Teil der Informationen

Mehr

SAP MII Jump-Start Service. SAP Deutschland AG & Co KG

SAP MII Jump-Start Service. SAP Deutschland AG & Co KG SAP MII Jump-Start Service SAP Deutschland AG & Co KG Ihre Herausforderung Unsere Lösung Ihre Motivation Die Hürde bei der Einführung einer neuen Software-Lösung zu überwinden Integration der Shopfloor

Mehr

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO IDENTITY & ACCESS MANAGEMENT Marc Burkhard CEO Die drei wichtigsten Eckpfeiler Access Management Identity Management IAM Prozesse ACCESS MANAGEMENT Die Ebenen Identity & Access Management Applikation Directories,

Mehr

Gruppen E-Mail Software SAP AD-Account Domain Stammdaten Organisation Dateiablagen Computer Location MS SharePoint Effiziente und sichere Verwaltung von Identitäten, Rechten und IT-Diensten Der econet

Mehr

Skills-Management Investieren in Kompetenz

Skills-Management Investieren in Kompetenz -Management Investieren in Kompetenz data assessment solutions Potenziale nutzen, Zukunftsfähigkeit sichern Seite 3 -Management erfolgreich einführen Seite 4 Fähigkeiten definieren und messen Seite 5 -Management

Mehr

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme 1 Die Unternehmens-IT steht vor vielfältigen Herausforderungen: Kostenreduzierung, Standardisierung, Komplexitätsreduktion, Virtualisierung, Verfügbarkeit und Steuerung externer Dienstleister werden häufig

Mehr

ENTERPRISE PERFORMANCE MANAGEMENT FÜR EPM. Sie.

ENTERPRISE PERFORMANCE MANAGEMENT FÜR EPM. Sie. ENTERPRISE PERFORMANCE MANAGEMENT FÜR EPM Sie. WIE SIEHT DIE PERFORMANCE IHRES UNTERNEHMENS AUS? ZIELE MUSS MAN MESSEN KÖNNEN Ihre Mitarbeitenden bilden nicht nur einen grossen Kostenblock in Ihrer Aufwandsrechnung,

Mehr

Theoretisches Seminar/Skiseminar im Wintersemester 2014/15. Themen

Theoretisches Seminar/Skiseminar im Wintersemester 2014/15. Themen FAKULTÄT FÜR WIRTSCHAFTSWISSENSCHAFTEN Lehrstuhl für Wirtschaftsinformatik I Informationssysteme Prof. Dr. Günther Pernul Theoretisches Seminar/Skiseminar im Wintersemester 2014/15 Auch im Wintersemester

Mehr

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria

Enterprise Risikomanagement nach ISO 31000. MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Enterprise Risikomanagement nach ISO 31000 MSc Eckehard Bauer, RM-Trainer und Prokurist, Quality Austria Basis des operativen Risikomanagement Was ist unter dem Begriff Risiko zu verstehen? GEFAHR? Begutachtung

Mehr

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen

Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Auf sichere Weise Geschäftsvorteile für das Online-Geschäft schaffen Wichtige Technologietrends Schutz der Daten (vor Diebstahl und fahrlässiger Gefährdung) ist für die Einhaltung von Vorschriften und

Mehr

Die Entwicklung von KPI als ein zentrales Element der Gesamtbanksteuerung

Die Entwicklung von KPI als ein zentrales Element der Gesamtbanksteuerung Die Entwicklung von KPI als ein zentrales Element der Gesamtbanksteuerung Auf die richtigen Key Performance Indicators (KPI) kommt es an Seit dem spektakulären Zusammenbruch der US-Investmentbank Lehman

Mehr