MEHR KONTROLLE WENIGER RISIKO

Größe: px
Ab Seite anzeigen:

Download "MEHR KONTROLLE WENIGER RISIKO"

Transkript

1 MEHR KONTROLLE WENIGER RISIKO BERECHTIGUNGSRISIKEN IDENTIFIZIEREN, ANALYSIEREN UND STEUERN MIT DEM GARANCY ACCESS INTELLIGENCE MANAGER White Paper VERSION 1.0 STEFANIE PFAU, THOMAS GROSSE OSTERHUES 2013 Beta Systems Software AG

2 INHALT BERECHTIGUNGSRISIKEN FÜR ALLE PHASEN DES RISIKOMANAGEMENTS Stimmt alles Wichtige? Nutzen für alle Zielgruppen Auditing/Controlling IT-Administrator Management Business User/Leiter der Fachabteilungen Risikomanagement mit Garancy Access Intelligence Manager Risikoidentifikation mit Garancy Access Intelligence Manager Risikobewertung mit Garancy Access Intelligence Manager Risikosteuerung mit Garancy Access Intelligence Manager Wirksame Prävention und IT-Forensik unerlässlich für einen IT-Audit High-Risk User Ad-hoc-Analysen Berechtigungspfadanalyse Temporäre Berechtigungen Risikokontrolle mit Garancy Access Intelligence Manager Stimmt alles Wichtige? schnell, einfach und übersichtlich Schrittweise Einführung vom Datenimport zur Risikoeinstufung Berücksichtigung relevanter Regulierungen Empfehlungen für ein intelligenzbasiertes RisikoManagement

3 BERECHTIGUNGSRISIKEN FÜR ALLE PHASEN DES RISIKOMANAGEMENTS Ein Risikomanagement, dass die Zugangsberechtigungen berücksichtigt, kann wesentlich zur Verringerung von lt-risiken beitragen und damit in der Konsequenz zur Verringerung von strategischen und operativen Risiken. Jede vergebene Zugangsberechtigung stellt ein potentielles Risiko für die Unternehmen dar. Und die Zahl von Zugangskonten und -berechtigungen in den Datensystemen der Unternehmen nimmt weiterhin rasant zu. Dies ist der primäre Grund, warum sich das Risikomanagement aus den Unternehmen heraus jetzt verstärkt dem Management der Zugriffsrechte widmet, da sich Fehler innerhalb des Berechtigungsmanagements auf alle anderen Risiken auswirken können. Gleichzeitig spielen hierbei auch zusätzlich gesetzliche Anforderungen, wie beispielsweise verschärfte Datenschutzrichtlinien, eine wichtige Rolle, denn die Steuerung und Nachvollziehbarkeit der Berechtigungsvergabe ist eine Grundforderung verschiedener Compliance-Regularien. Daher sollten interne Zugriffsberechtigungen so eingerichtet sein, dass jeder Mitarbeiter wirklich nur auf diejenigen Systeme zugreifen kann, die er für seine Arbeit benötigt. Der Zugriff darf nur den Umfang haben, den der jeweilige Mitarbeiter zur Erledigung seiner Tätigkeit zwingend benötigt. UNTERSTÜTZUNG IN ALLEN PHASEN DES RISIKOMANAGEMENTS VON BERECHTIGUNGEN Access Risk Management & Analytics mit dem Garancy Access lntelligence Manager bietet für alle Phasen des Risikomanagements von Zugangsberechtigungen bestmögliche Unterstützung. Von der Identifikation, der Bewertung, der Steuerung bis hin zur ständigen Kontrolle bzw. Monitoring von Berechtigungsrisiken. Nachfolgend wird aufgezeigt, wie Unternehmen durch den Garancy Access Intelligence Manager unterstützt werden und wie die jeweiligen Zielgruppen im Unternehmen profitieren durch die Bereitstellung von Ready-To-Use-Analysen, Standard-Analysen für ausgewählte Use Cases, Hohe Interaktivität aufgrund von Verlinkungen zwischen den Reports (Drill-Down, Drill-Through,...) und die Verwendung aufgedeckter Schwachstellen als Basis für Ad-hoc-Analysen zur Erstellung zielgerichteter und problembezogener Reports. 1. STIMMT ALLES WICHTIGE? NUTZEN FÜR ALLE ZIELGRUPPEN Grundsätzlich sollte beim Aufbau eines Risikomanagements dafür Sorge getragen werden, dass die Adressaten wie etwa das Top Management, Abteilungsleiter, Auditoren und viele andere nur mit genau den Informationen versorgt werden, die einen tatsächlichen Mehrwert bieten. Entscheidend ist hier weniger die Quantität, sondern vielmehr die Qualität der Aussagen. Die Basis für qualitative Aussagen bilden Key Indikatoren, in denen große Datenmengen auf eine qualitative Aussage aggregiert werden. Damit ist es möglich, die wichtigen Daten sofort zu erkennen und den Fokus auf Hochrisikobereiche zu lenken. NUTZNIESSER VON ACCESS RISK MANAGEMENT Letztendlich lassen sich die Nutznießer von Access Risk Management in vier wesentliche Zielgruppen zusammenfassen. Dieses sind zum einen der Bereich Auditing & Controlling, der Bereich lt bzw. IT-Security, das Management und die Anwender in den Fachabteilungen. Die folgende Abbildung verdeutlicht, welche Vorteile diese vier Bereiche durch die Einführung von Access Risk Management & Analytics erhalten: 3

4 Abb. 1: Risikominimierung durch bedarfsgerechte Informationen bietet allen Beteiligten Vorteile 1.1. AUDITING/CONTROLLING Der Audit-Aufwand ist in den Unternehmen gestiegen. Fast alle Unternehmen haben einen signifikanten Anteil an manuellem Aufwand für die Erfüllung von Audit-Anforderungen. Hier bietet der Garancy Access Intelligence Manager viele Vorteile. Spontane Fragen des Auditors an das Access Management können nun mit einer bisher unerreichten Flexibilität beantwortet werden. Die sichere und regelkonforme Umsetzung neuer regulatorischer Anforderungen erfordert zudem eine strukturierte Vorgehensweise im Bereich ldentity & Access Governance (lag). Gerade durch den wachsenden Compliance-Druck sind auch die administrativen Anforderungen, insbesondere bezüglich der Erstellung von Audit-Berichten, nicht auf die leichte Schulter zu nehmen, da diese vielfach einen maßgeblichen Teil der Arbeitszeit in lt-abteilungen beanspruchen: Welcher User hat Zugriff auf welche Ressource? Wie erkenne ich genau die Fälle, in denen ein hohes Risiko gegeben ist? So können auch Aussagen zum Berechtigungsprofil des Users innerhalb seines Business-Kontexts wie beispielsweise seiner Abteilung bzw. Job Funktion in die Analysen eingebunden werden. Diese lassen sich in Form eines umfassenden und detaillierten Reports exportieren, zusammen mit den entsprechenden Handlungsempfehlungen des Auditors IT-ADMINISTRATOR Der lt-administrator bzw. der IT-Security-Verantwortliche erhält umfassende Analysen und Informationen zur Bewertung des Risikos der Zugriffsberechtigungen und den aktuellen Status der Zugriffsberechtigungen. Zudem stehen umfangreiche Drill Down- und Drill Through-Möglichkeiten zur Verfügung, die eine Analyse der Zugriffsberechtigungen in nahezu beliebiger Form ermöglichen. 4

5 Der Garancy Access Intelligence Manager stellt die Verbindung von der technischen Sicht zur Business-Sicht her. Er verknüpft Berechtigungsdaten mit dem organisatorischen Blick auf jeden einzelnen Benutzer, und dies kombiniert mit einer intuitiven Benutzeroberfläche, die konsequent für Nicht-Techniker entwickelt wurde. Dadurch lassen sich mit unserer Lösung leistungsfähige Risikoanalysen durch die Fachabteilungen nicht nur erstellen, sondern auch entsprechend nutzen. Dies führt zu einer Entlastung der lt-administration. Risikomanagement hat insbesondere auch in Initiativen für eine strukturierte und sichere Gestaltung der lt eine hohe Bedeutung, Mit einem auf dem Garancy Access Intelligence Manager aufbauenden Risikomanagement lassen sich Schwachstellen in der Organisation unmittelbar aufzeigen und Handlungsempfehlungen zur Reduktion des Zugriffsrisikos formulieren MANAGEMENT Das Management gewinnt durch die Einführung von Risikomanagement-Systemen in vielfacher Hinsicht. So steigt die Transparenz in der Berechtigungsvergabe, während gleichzeitig sichergestellt ist, dass sämtliche Veränderungen nachvollziehbar und erklärbar bleiben, um auf diese Weise die Einhaltung der regulatorischen Vorgaben hinsichtlich der IT-Compliance sicherzustellen. Über Dashboards mit gewichteten Aussagen und durch die Verwendung von Key-Risk-Indikatoren erhält das Management einfach und schnell Anstöße für Follow-up-Aktivitäten, um das Risiko zu minimieren. Das Zugriffsrisiko wird für das Management messbar und in Zahlen ausgedrückt. NACHWEIS DER EINHALTUNG VON COMPLIANCE-ANFORDERUNGEN Hierbei ist die hohe Relevanz eines wirksamen internen Kontrollsystems (IKS) zur Prävention und Aufdeckung von Compliance-Fallen offensichtlich. Die Verknüpfung zwischen Compliance-Management-System und IKS konzentriert sich auf die folgenden Fragestellungen: Verfügt das bestehende IKS über ausreichende und angemessene Kontrollen, um die festgestellten und bewerteten Compliance-Risiken abzudecken (Control Design)? Ist sichergestellt, dass die bestehenden Kontrollen zur Vermeidung oder Aufdeckung von Compliance- Verstößen im gesamten Unternehmen wirksam durchgeführt werden (Control Effectiveness)? Das Compliance-Management-System bewirkt somit eine stetige Beurteilung und Überwachung der Bestandteile des IKS, soweit sie dem Kontrollzweck Compliance dienen. Hierzu gehört insbesondere auch die Implementierung von Kontrollen in Geschäftsprozessen, z.b. durch Berücksichtigung in Arbeits- und Verfahrensanweisungen, Prozessdokumentationen sowie den vorgegebenen Freigabeprozessen. Wesentlich ist, dass die Kontrollen in den Systemen selbst abgebildet werden. Hier kommt Garancy mit dem Compliance-Indikator ins Spiel. Dieser zeigt Kennzahlen wie z.b. Benutzer ohne Berechtigungen oder verwaiste Konten, die zur Einhaltung der Compliance von Bedeutung sind (siehe Abbildung 2). Die Analyse hilft Unternehmen, Ausnahmefälle schnell zu finden, um diese tiefer untersuchen zu können. Die Analyse gibt es in den Varianten Benutzer, Konten, Rollen und Gruppen. Auf einem Blick werden in dieser Analyse die ausgewählten wichtigsten Indikatoren angezeigt. 5

6 Abb. 2: Compliance-Indikator Übersicht 1.4. BUSINESS USER/LEITER DER FACHABTEILUNGEN Die Risikoanalyse stellt unterschiedliche Aggregats- und Detailebenen dar und bedient damit die Sicht vom Top Management bis hinunter zum Abteilungsleiter. Abteilungsleiter können auf einen Blick Abweichungen bei den Berechtigungen innerhalb einer Peer Group erkennen. Dies macht somit ein umfassendes Monitoring der Risiken möglich und bildet die Basis für die Umsetzung von Maßnahmen zur Risikoreduktion. Die Business User, also die Anwender in den jeweiligen Fachabteilungen, profitieren zudem von der Einfachheit und Übersichtlichkeit des Systems. Die Garancy Access Intelligence Manager-Lösung ist intuitiv und selbsterklärend, so dass sich die Anwender in ihrer gewohnten Umgebung sofort zurechtfinden. Sie können umgehend vorgefertigte Analysen verwenden, die ihren individuellen Bedürfnissen entsprechen, wie z.b. Peer Group-Vergleiche. Diese Analysen können als Push Information regelmäßig und automatisiert versendet werden. Zusätzlich sind die Analysen so aufbereitet, dass sich daraus eine Prioritätenliste hinsichtlich des weiteren Handlings der Risiken ergibt wie z.b. für High-Risk User. Dies gestattet dann z.b. eine effektivere Rezertifizierung auf Basis eines Risiko-Rankings. 6

7 2. RISIKOMANAGEMENT MIT GARANCY ACCESS INTELLIGENCE MANAGER Definition: Unter Risikomanagement ist der der planvolle Umgang mit Risiken zu verstehen. Dieses beinhaltet die Phasen der Identifikation, der Bewertung, der Steuerung und der Kontrolle des Risikos. Ursachenbezogene Strategien Diese zielen darauf ab, die Höhe möglicher Verluste bzw. ihre Wahrscheinlichkeitsverteilung positiv zu beeinflussen. Zu den ursachenbezogene Strategien gehören die Risikovermeidung und die Risikominderung. Wirkungsbezogene Strategien Diese haben die Minderung der voraussichtlichen durch den Missbrauch der Berechtigungen entstehenden Schäden als Ziel. Strategien hierfür sind der Risikotransfer und die Risikovorsorge. Der Garancy Access Intelligence Manager zielt schwerpunktmäßig auf die ursachenbezogenen Strategien ab (präventiver Ansatz) Mit ihm lässt sich das Risiko auf unterschiedliche Arten reduzieren. Um die Höhe der Risiken und den zeitlichen Verlauf der Risikoveränderung abzubilden, können zahlreiche aussagekräftige Indikatoren verwendet werden. In Form von Standard- und auch als Ad-hoc-Analysen werden die Risiken exakt gemäß der Kundenanforderungen abgebildet RISIKOIDENTIFIKATION MIT GARANCY ACCESS INTELLIGENCE MANAGER Bevor sich Risiken vermeiden, vermindern oder in Kauf nehmen lassen, sind sie zuerst einmal als solche zu erkennen. Diese vermeintliche Trivialität stellt sich im Hinblick auf das Berechtigungsmanagement als komplexe Aufgabe heraus: Die Erfassung und Bewertung von Risiken in der riesigen Datenmenge, die sich im Umfeld des Access Managements beständig ansammeln, gleicht der berühmten Suche nach der Nadel im Heuhaufen. Mit wachsender Anzahl an Benutzern, Rollen und lt-systemen, für die Berechtigungen vergeben werden, steigt die Anzahl an einzelnen Gefahrenpunkten exponentiell an. So verfügt ein Unternehmen mit Mitarbeitern und nur 50 lt-systemen, in denen jeweils zehn Berechtigungsgruppen angelegt sind, bereits über 2,5 Millionen Berechtigungsmöglichkeiten, die jede für sich eine individuelle hohe oder geringe Gefahr für das Unternehmen darstellen. Der Versuch, alle aus den bestehenden Berechtigungen resultierenden Gefahren zu identifizieren, ihre Auswirkungen zu beurteilen und entsprechende Maßnahmen zu definieren, wirkt vor diesem Hintergrund aussichtslos. Tatsächlich lassen sich mit vernünftigem und vertretbarem Aufwand nicht alle Gefahren des Berechtigungsmanagements erfassen und bewerten. Es geht daher darum, die stark risikobehafteten Berechtigungen zu identifizieren, zu bewerten und im Nachgang mit geeigneten Maßnahmen zu belegen. Um zu einer Einschätzung zu gelangen, welche Berechtigungen welches Risiko besitzen, bietet der Garancy Access Intelligence Manager leistungsfähige Werkzeuge, die z.b. bereits mit Standard-Analysen in kurzer Zeit Aussagen zu den Auswirkungen individueller Risikobewertungen auf die einzelnen Berechtigungen und ihre Besitzer ermöglichen. 7

8 BENUTZER-RISIKO-ANALYSE Die Benutzer-Risiko-Analyse beinhaltet eine Risikoanalyse von Benutzern auf Basis ihrer zugewiesenen Gruppen. Sie zeigt auf einen Blick die Anzahl der Benutzer einer Abteilung gruppiert nach Risikotyp (ohne, gering, mittel, hoch) mit den dazugehörigen direkten Rollen und Unterrollen oder die Zahl der direkten Gruppen und Untergruppen der Benutzer sowie die Anzahl der Konten und der verwendeten lt-applikationen je Benutzer (siehe Abbildung 3). Abteilungen mit einem hohen Risiko werden direkt und unmittelbar identifiziert. Die Benutzer-Risiko-Analyse ermöglicht es Unternehmen, die Benutzer und die Rollen mit hohen Risiken innerhalb einer Organisationseinheit schnell zu identifizieren und zu prüfen, woher diese Risiken stammen. Abb.3: Beispiel einer Benutzer-Risiko-Analyse 8

9 2.2. RISIKOBEWERTUNG MIT GARANCY ACCESS INTELLIGENCE MANAGER Die große Herausforderung einer Risiko-Analyse ist, dass diese Systeme zwar von der lt bereitgestellt werden, sie dann jedoch zu großen Teilen von den Fachabteilungen bedient und genutzt werden müssen. Selbstverständlich muss eine Risikoanalyse von Zugangsberechtigungen auch mit der lt-problematik der großen Datenmengen, also mit dem sehr aktuellen Thema Big Data, umgehen. Aber die größte Aufgabe sehen wir darin, wie dies alles fachlich bewertet und dargestellt wird: Ob und aus welchem Grund ein Mitarbeiter eine Zugangsberechtigung besitzt und welches Risiko aus dieser Berechtigung entsteht. Diese Bewertung kann die lt alleine nicht sinnvoll leisten. Die Metriken für ldentity Risk Management müssen zahlreiche wichtige Aufgaben erfüllen. Zum einen sollen sie die Verteilung der Zugangsberechtigungen verdeutlichen und Aussagen zur Qualität, der Einbindung in die Organisation und der Handhabung der Identitäten ermöglichen. Zum anderen sollen sie Auskünfte über die Entscheidungsprozesse innerhalb der Berechtigungsvergabe auf Basis einer Herkunftsanalyse ermöglichen. Die Problembereiche sollten dabei idealerweise in Form von Dashboards ersichtlich sein. Will man jetzt Risk Management tatsächlich zu einer messbaren, objektiven Bewertungsgröße machen, so wird man mit der Schwierigkeit konfrontiert, eine einzige Aussage ( Wie hoch ist das Risiko eines Users, einer Rolle oder einer Gruppe ) aus einer Vielzahl an Einflussgrößen zu ermitteln. Zu berücksichtigen sind: Risikobewertungen: auf Rollen-, Gruppen-, Ressourcen- und Autorisierungsebene Risikobetrachtung: auf Benutzer-, Organisations- oder Jobfunktionsebene RISK TYPE UND RISK RATE Garancy verwendet einen klassifizierten Ansatz, mit dem Rollen, Gruppen und Ressourcen und Autorisierungen über einen Risikotyp (low, medium, high risk) und einer Risikorate bewertet werden können. Beim Risk Rating handelt es sich um die numerische Einstufung einzelner Berechtigungsobjekte, wobei die Risikobewertung grundsätzlich auf Basis von Bedrohungspotential, Wahrscheinlichkeit für das Eintreten des Schadensfalls und den erwarteten Auswirkungen basiert. Alle weiteren Risikoparameter ergeben sich automatisch. RISIKOKLASSEN Auf Basis der Risikorate und des Riskikotyps werden in den Analysen Risikoklassen gebildet, die pro Typ drei Stufen vorsehen. Die Konfiguration der Klassen ist kundenindividuell möglich. Als Standard werden folgende Klassendefinitionen verwendet (siehe Abbildung 4): Abb. 4: Standard-Klassendefinitionen 9

10 Die Aggregation oder die Aufsummierung der Risikoraten findet immer innerhalb eines Risikotyps statt. Es werden Schwellwerte definiert, die festlegen, welcher Summenwert als high, medium oder low eingeordnet wird. Das System zeigt deutlich die Summen innerhalb der Typen oder Klassen. Im Gegensatz zu einem rein numerischen Wert wird bei diesem Ansatz sofort deutlich, über welches Risiko der Mitarbeiter verfügt. RISK SCORING Das Risk Scoring beinhaltet die Aufsummierung aller zugeordneten Risiken (siehe Abbildung 5). Diese können auf unterschiedlichen mathematischen Ansätzen basieren (Summierungen, Algorithmen,...). Abb. 5: Risk Score Der Vorteil dieser Vorgehensweise zur Risikobewertung liegt in der Aggregation der Einzelrisiken pro Berechtigung auf den einzelnen Benutzer. Hier unterstützt der Garancy Access Intelligence Manager dadurch, dass die Einzelrisiken pro Entitlement-Typ (Rolle, Gruppe, Ressource, Autorisierung) aggregiert werden. Um die Risiken nicht einfach zu addieren, bietet Garancy eine klassifizierte Methode, in der die Aggregation ausschlieglich innerhalb einer Klasse stattfindet. In der Detailsicht gibt der Garancy Access Intelligence Manager die dem Benutzer zugeordneten Berechtigungen sowie die einzelnen Risikoklassen und -bewertungen an (siehe Abbildung 6): Abb. 6: Risikoklassen und Risikobewertungen 10

11 Das Risk Grading gibt nun das Risikopotential des einzelnen Benutzers an. Dieses wird auf Basis der vorliegenden Informationen automatisch erstellt. Das zugrundeliegende Modell zur Risikobewertung verschafft Unternehmen einen detaillierten Überblick über das Gesamtrisiko des einzelnen Benutzers, die Zusammensetzung des Risikos und die Herkunft des Risikos. VERWENDUNG VON RISIKOLIMITS Zur Vermeidung oder zur Kontrolle von Risikopotential wird die Konfiguration von Risikolimits benötigt. Diese Risikolimits beziehen sich auf ein einzelnes Objekt (z.b. Rolle) und können pro Benutzer oder pro Organisationseinheit hinterlegt werden. Sobald es zur Überschreitung dieser Limits bei der Beantragung von Berechtigungen kommt, wird der Risikomanager eingeschaltet. Der Risikomanager entscheidet dann, ob er den Antrag freigibt oder nicht. Hierbei wird er durch die Analysen der Access Intelligence unterstützt RISIKOSTEUERUNG MIT GARANCY ACCESS INTELLIGENCE MANAGER Welche Auswirkungen hat nun die Risikosteuerung auf das Berechtigungsmanagement? Warum sollte man nicht bei bisher unbewusst risikogesteuerten Entscheidungen qualifizierte und quantifizierbare Risikobewertungen nutzen? Wie wirkt sich ein Risk Scoring auf eine Strategie zur Risikominderung aus, was bedeutet dies für organisatorische Prozesse und was kann getan werden, um die Eintrittswahrscheinlichkeit des Risikos, also den Schadensfall, weiter zu reduzieren? Durch übersichtliche Dashboards und komprimierte Aussagen zeigt der Garancy Access Intelligence Manager in stark verdichteter und gut verständlicher Weise auf, wie sich das Risiko im Berechtigungsmanagement reduzieren lässt Zur Steuerung der Risiken werden Key-Risk-Indikatoren verwendet. Diese basieren sowohl auf Standardanalysen und -reports wie der Benutzer-Risikoanalyse und dem Compliance-Indikatorreport als auch auf Ad-hoc-Analysen. Aus den Risikoanalysen ergeben sich darüber hinaus weitere wichtige Nutzungsmöglichkeiten. Sie lassen sich verwenden um Prozesse zu verbessern um die Effizienz der Organisation zu überprüfen für die Einführung präventiver Kontrollen als Risk Score Cards in Form von Dashboards für das Management und die Fachabteilungen als Risk Reporting des Identity Access Management Systems (als Zuarbeit zum allgemeinen Risk Management) zur individuellen Priorisierung von IAG-Aufgaben (z.b. Rezertifizierung zuerst für High-Risk User) zur Definition von Freigabeprozessen und deren Freigabestufen in Abhängigkeit von Risk Scores als KRI ("Key Risk Indicator") zur Kontrolle der aktuellen "Risikolage" zur Qualitätskontrolle der aktuellen Berechtigungsstrukturen aus Risikosicht WIRKSAME PRÄVENTION UND IT-FORENSIK UNERLÄSSLICH FÜR EINEN IT-AUDIT 11

12 Ein auf Access Intelligence basierendes Risikomanagement ist wesentlich mehr als ein reines Reporting nämlich die wirksame Prävention und lt-forensik durch intelligente Analysen. Im Sinne einer IT-Forensik sollten verdächtige bzw. auffällige Berechtigungen festgestellt und umfassend analysiert und digitale Spuren ausgewertet werden können. Zu den Aufgaben einer wirksamen Prävention und IT-Forensik gehören: Risikoeinstufung von Benutzern aufgrund der zugewiesenen Berechtigungen entsprechend der kundenspezifischen Anforderungen bzw. Datenbereitstellung auf Basis von Rollen, Gruppen, Autorisierungen oder Ressourcen Soll-lst-Vergleiche: Entspricht die Risikoeinstufung dem Risiko-Level des Benutzers? (Top-Ten)-Liste der High Risk User : Gruppiert nach verschiedenen Kriterien (Organisation, Jobfunktion, Quellsysteme...) Filterung von Objekten: Fokussierung auf die kritischen Benutzer oder auf die kritischen Berechtigungsobjekte Identifikation von Orphan Accounts, also verwaisten Accounts, die in keiner Beziehung zu einem Benutzer stehen, aber immer noch aktiv sind und illegal verwendet werden könnten. Laut lso sind diese zu löschen. Generierung von Key-Risk-Indikatoren und Trendanalysen: Zeitliche Betrachtung von Risikoverläufen Die nachfolgenden Beispiele zeigen deutlich den präventiven und den forensischen Nutzen eines auf BI- Technologien basierenden Risikomanagements HIGH-RISK USER Unter Berücksichtigung des zeitlichen Aufwandes lassen sich selten alle Gefahren des Berechtigungsmanagements erfassen und bewerten. Es geht daher darum, vor allem die stark risikobehafteten Berechtigungen zu identifizieren, zu bewerten und im Nachgang mit geeigneten Maßnahmen zu belegen. Jedes Unternehmen sollte in der Lage sein, im Zusammenhang mit High Risk Users, Privileged Users oder Administratoren die folgenden Fragen beantworten zu können: Gibt es im Unternehmen User, die im täglichen Geschäft Zugriff auf sensible Daten haben? Verfügt das Unternehmen über geeignete Werkzeuge, um die Zugriffsberechtigungen auf ein Minimum zu reduzieren? Kann das Unternehmen durch Änderungen an den Zugriffs-Berechtigungen z.b. durch Rollenkonzepte das Risiko weiter reduzieren? Besteht die Möglichkeit, die Aktivitäten der privilegierten Benutzer aufzuzeichnen? Unter Berücksichtigung der steigenden Anzahlen von Benutzern und IT-Systemen sowie den steigenden Compliance-Anforderungen benötigen die Unternehmen Systeme, die ihnen helfen, Transparenz in die sehr komplexe IT-Landschaft zu bringen. Für Benutzer mit Sonderrechten bedeutet dies im Risikomanagement: Regelmäßige Überprüfung der Rechte im Hinblick auf die Zuordnung und Nutzung dieser übergeordneten Gruppen oder Rollen Welche Aktivitäten führen diese berechtigten Benutzer aus? 12

13 Mit der Identifizierung der privilegierten Benutzer bzw. der Hochrisiko-Berechtigung oder -Autorisierung können sich die Unternehmen auf diese Gruppen konzentrieren. Dadurch ergibt sich eine fokussierte und schnelle Analyse, aus der entsprechende Maßnahmen abgeleitet werden können AD-HOC-ANALYSEN Die Einschätzung, ob und wie hoch die Gefahr einer vergebenen Berechtigung ist, hängt von vielen nichtstandardisierbaren Faktoren ab: Toxische Berechtigungskombinationen lassen sich mit SoD-Regeln definieren, wobei die Frage zu beantworten ist, wie stark das Gefahrenpotential eines Benutzers auch durch die Kombination zulässiger Berechtigungen wächst. Ob ein erhöhtes Risiko durch die Vergabe von mehreren an sich harmlosen Einzelberechtigungen entsteht, kann nur mit Kenntnis der betroffenen Systeme und der betroffenen Organisationseinheiten mit ihren Aufgaben beurteilt werden. Rollenmodelle im Access Management, die sich an der Stellenbeschreibung der einzelnen Mitarbeiter orientieren, bieten generell eine leistungsfähige und nachvollziehbare Verbindung von Business- und IT- Sicht. Aber auch hier ist die Bewertung, welche Risiken einem Unternehmen aus der gemeinsamen Vergabe verschiedener Rollen an einen Anwender erwachsen, höchst individuell. Vielfach lassen sich gemeinsame Berechtigungsmuster an den einzelnen Organisationseinheiten ableiten. Benutzer gleicher Abteilungen erhalten häufig identische oder ähnliche Berechtigungen. Der Vergleich über Organisationseinheiten hinweg (z.b. in verschiedenen Tochterunternehmen) verlangt aber detaillierte Kenntnisse über die Aufgaben/Prozesse, Gleichheiten und Abweichungen zwischen den Bereichen. Eine Aufgabe, die mit Standard-Reports nur schwer zu lösen ist. Für derartige spezialisierte Fragestellungen bietet Garancy Access Intelligence Manager Ad-hoc-Analysen. Ein Access Intelligence basiertes Risikomanagement dient als Werkzeug, in dem Unternehmen und Organisationen alle Daten des Access Managements mit dem leistungsfähigsten und weltweit führenden Ad hoc Reporting System verarbeiten kann: Microsoft Excel. Microsoft Excel steht sprichwörtlich für die flexibelste Form der Endanwender-Datenverarbeitung und -visualisierung. Millionen von Anwendern kennen und schätzen die Funktionen und Arbeitsweise dieses Systems. SEMANTISCHES INTERFACE Grundlage ist das Datenmodell des Garancy Access Intelligence Manager. Erst dadurch wird ein businessverständliches Modell möglich. Dieses steht für die Auswertungen in Excel zur Verfügung. Im Gegensatz zu Datenbank-/Data-Warehouse-orientierten Systemen bietet Garancy Access Intelligence Manager ein vollumfängliches semantisches Interface, in dem die Objekte der Access Intelligence (User, System, Gruppe, Rolle etc.) mit seinen Attributen (Name, Typ, Kategorie uvm.) und seinen bestehenden Verbindungen für Adhoc-Reports genutzt werden können. Dieses Interface ist die Grundlage (in Excel) für den Drag&Drop-Ansatz. Der User benötigt kein technisches Wissen über Tabellenstrukturen und interne Datenbankverknüpfungen, um sich individuelle Aussagen und Reports zu seinem Access Management-Universum zu generieren. Mit dem Garancy Access Intelligence Manager formuliert der Anwender über Excel Pivot-Tabellen und -Charts seine Fragestellungen auf dem hohen Abstraktionsniveau des Business Intelligence (BI) Cubes. Durch die Verbindung beliebiger Objekte des Datenmodells und ihrer Verbindungen untereinander liefert Garancy Access Intelligence die gewünschten Aussagen: Von Detailauflistungen einzelner Berechtigungsbereiche bis hin zur Aggregation von Kennzahlen sind dabei der Verarbeitung in Microsoft Excel keine Grenzen gesetzt. 13

14 BERECHTIGUNGSPFADANALYSE Neben der typischen Frage Wer hat welche Berechtigung auf welche Ressource? entsteht aufgrund der weitverzweigten Berechtigungsstrukturen eine weitere wichtige Frage Über welche Zuweisungen (Rollen, Gruppen, Authorisierungsobjekte,...) wurden dem Benutzer die Berechtigungen vergeben?. Dazu hat Beta Systems eine Methode entwickelt, welche die gesamte Berechtigungsstruktur in einzelne Pfade aufgliedert, die die Grundlage für leistungsfähige Analysemöglichkeiten bilden. Die vorangestellte zweite Frage wird somit zu einer wesentlich nachvollziehbareren Fragestellung: Über welche Berechtigungspfade hat der Benutzer Zugriff auf die Ressourcen? Mit diesem Pfad-orientierten Ansatz sind eine Vielzahl von neuartigen Auswertungen möglich, die Beta Systems unter den Namen Berechtigungspfadanalyse zusammenfasst. Das Konzept der Berechtigungspfade ermöglicht Untersuchungen mit hohem Mehrwert für die Security eines Unternehmens, wie beispielsweise die Redundanzanalyse und die Pfadlängenanalyse. REDUNDANZANALYSE Die Redundanzanalyse untersucht die Berechtigungsstrukturen hinsichtlich redundanter Pfade. Als redundante Pfade werden doppelte Berechtigungszuweisungen bezeichnet, die durch die Zuweisung von verschiedenen Security-Objekten und dessen Beziehungen untereinander entstehen können. Eine typische Ursache dafür sind beispielsweise überlappende Rollen- oder Gruppenmodelle. Die Bewertung, ob Redundanzen positive oder negative Auswirkungen auf die Verwendung und Pflege von Berechtigungsstrukturen haben, ist sehr kundenindividuell und hängt von der Zielstellung der jeweiligen Modelle ab. PFADLÄNGENANALYSE Die Pfadlängenanalyse dagegen untersucht die einzelnen Zuweisungen hinsichtlich ihrer Pfadlänge. Häufig haben Rollenmodelle eine definierte Anzahl von Hierarchieebenen, z.b. IT-Rollen und zwei Ebenen von Business-Rollen. Mit der Analyse können dann abweichende Pfadlängen ermittelt werden. Diese Fälle stellen potenzielle Risiken dar, da sie nicht dem vorgegebenen Rollenmodell entsprechen und können dann geprüft und ggf. angepasst werden TEMPORÄRE BERECHTIGUNGEN Ein typischer Anwendungsfall, bei dem das Thema Transparenz und Monitoring extreme Bedeutung gewinnt, sind die klassischen temporären Wartungs- und Supportberechtigungen, die häufig für einen Sonderfall erteilt werden und im Anschluss automatisiert entzogen werden sollen (siehe Abbildung 7). 14

15 Abb. 7: Rollendetails Oft kann der automatisierte Entzug der Berechtigungen nicht durchgeführt werden, weil die lt-systeme z.b. zu diesem Zeitpunkt nicht verfügbar sind. Abhängig davon, wie häufig der automatisierte Entzug durchgeführt wird, kann es passieren, dass den Mitarbeitern die Berechtigungen deutlich länger zur Verfügung stehen als eigentlich geplant. In diesem Zeitraum besteht ein erhöhtes Risikopotential RISIKOKONTROLLE MIT GARANCY ACCESS INTELLIGENCE MANAGER Veränderung in den Bedrohungen, in der Organisation selbst und auch der technische Fortschritt erfordern eine laufende Neubewertung und Kontrolle der Risiken, um die lt-infrastruktur und kritische Daten dauerhaft zu sichern. Hierfür bietet der Garancy Access Intelligence Manager ein kontinuierliches Monitoring, das vorhandene Standardanalysen durch kundenindividuelle oder situativ erforderliche Ad-hoc-Analysen ergänzt. Fehler und Auffälligkeiten bei Berechtigungen werden sofort identifiziert. Dabei ist es von besonderer Bedeutung, eine sofortige Nachvollziehbarkeit über die Berechtigungen und die Vergabe der Berechtigungen zu ermöglichen. Die intelligente Analyse und das Monitoring der Berechtigungen werden in Verbindung mit Access-lntelligence- Lösungen auf ein neues Qualitätsniveau gehoben, so dass jederzeit Risiken transparent pro Mitarbeiter, Rolle und Gruppe dargestellt werden können. 15

16 Dies wird durch die Verwendung analytischer Funktionen ermöglicht, bei denen Technologien aus dem Bereich Business Intelligence/Data Warehouse zum Einsatz kommen. Da das Monitoring des Risikos auf unterschiedlichen Ebenen erfolgt, müssen viele Fragestellungen beantwortet werden können, wie die folgende Abbildung verdeutlicht: Abb. 9: Auswahl von Fragestellungen im Access Risk Management Durch das umfassende Risikomonitoring kann der Garancy Access lntelligence Manager Schwächen im IAM- System aufzeigen, weil beispielsweise entweder Benutzer mehr Zugriffsberechtigungen als erforderlich hatten oder privilegierte Benutzer (d.h. Benutzergruppen mit privilegierten Konten, z.b. mit erhöhten Rechten oder gemeinsam genutzten Konten) Aktivitäten ausführen konnten, die sie nie hätten ausführen dürfen. SOD MONITORING Als Konsequenz der MaRisk (Mindestanforderungen an das Risikomanagement) werden explizit Regeln für die Funktionstrennung (Segregation of Duties) mit technischen Systemen gefordert, die auch technisch umzusetzen sind und deren Einhaltung /Compliance nachzuweisen ist. Mit dem Garancy Access lntelligence Manager können Verletzungen dieser SoD aufgedeckt werden. 3. STIMMT ALLES WICHTIGE? SCHNELL, EINFACH UND ÜBERSICHTLICH Niemand kann garantieren, dass absolut jedes Access-Risiko durch ein Risikomanagement erfasst wird. Jedoch ermöglicht unsere auf auf Bl-Technologien aufbauende Access-Intelligence-Lösung den Nachweis, dass Alles für die Compliance-Erfüllung Wichtige erfasst und dokumentiert wurde. Access Intelligence zeigt darüber hinaus direkt auf, wo Probleme entstehen könnten und liefert detaillierte Anknüpfungspunkte, was getan werden kann, um Risiken zu reduzieren. Dafür stellt der Garancy Access Intelligence Manager Best-of-Breed-Analysetechniken, Vergleichsmöglichkeiten und Dashboards zur Visualisierung zur Verfügung (siehe Abbildung 10). 16

17 Abb. 10: Beispiel für Management Dashboards 3.1. SCHRITTWEISE EINFÜHRUNG VOM DATENIMPORT ZUR RISIKOEINSTUFUNG Grundsätzlich sollte es für die Einführung eines Risiko-Management-Systems im Berechtigungsmanagement ein klar formuliertes und verständliches Einführungsmodell geben. Die Einführung muss Schritt für Schritt erfolgen, wobei die Technik selbst erst ganz zum Schluss implementiert wird. Ganz wichtig ist die Beantwortung der Frage, wer die Bewertung der Risiken vornimmt. In einem ersten Schritt werden ausschließlich die allerwichtigsten Risikopotentiale bewertet. Hierfür geben die erfahrenen Consultants der Beta Systems Software AG fundierte Vorschläge und Handlungsempfehlungen. Um den Aufwand in Grenzen zu halten, empfiehlt sich die Konzentration auf alles Wichtige, also beispielsweise auf hochrisikobehaftete Applikationen und Systeme. Nicht relevante Fragestellungen oder sehr geringe Risiken werden an dieser Stelle nicht weiterverfolgt. Auf diese Weise ist eine schnelle Einführung und Implementierung des Risikomanagement-Systems möglich. Der Garancy Access Intelligence Manager verfügt über eine definierte Datenimportschnittstelle, die aus unterschiedlichsten Systemen die Daten importieren kann. Klassische Systeme dafür sind lag-systeme, aber es sind auch andere Quellsysteme möglich. In einem weiteren Schritt kann später eine schrittweise Erweiterung der Risikobewertung erfolgen. Zusätzlich können dann beispielsweise Risk Limits eingegeben oder businessorientierte Workflows integriert werden, die viele Aktionen automatisiert anstoßen können. 17

18 3.2. BERÜCKSICHTIGUNG RELEVANTER REGULIERUNGEN Bei den Regulierungen nennen Unternehmen aus der Finanzbranche das Kreditwesengesetz KWG und die MaRisk mit Abstand am häufigsten, womit das Thema Risikomanagement die Unternehmen am stärksten beschäftigt. KWG UND MARISK 25a des KWG (Kreditwesengesetz) sieht für die organisatorische Sicherstellung der gesetzlichen Anforderungen die Einführung eines Risikomanagements vor. Wörtlich heißt es: Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet. Die in 1 Abs. 2 Satz 1 bezeichneten Personen sind für die ordnungsgemäße Geschäftsorganisation des Instituts verantwortlich. Eine ordnungsgemäße Geschäftsorganisation muss insbesondere ein angemessenes und wirksames Risikomanagement umfassen, auf dessen Basis ein Institut die Risikotragfähigkeit laufend sicherzustellen hat; Die MaRisk umfasst für die IT wichtige Vorschriften zum Risikomanagement bzw. den internen Kontrollverfahren (AT 4), zu den Anforderungen an die Innenrevision (AT 4.4) und zur technisch / organisatorischen Ausstattung (AT 7). Die MaRisk fordert unter der Rubrik Funktionstrennung: AT 4.3.1: Bei der Ausgestaltung der Aufbau- und Ablauforganisation ist sicherzustellen, dass miteinander unvereinbare Tätigkeiten durch unterschiedliche Mitarbeiter durchgeführt werden. BT O 1.1.: Maßgeblicher Grundsatz für die Ausgestaltung der Prozesse im Kreditgeschäft ist die klare aufbauorganisatorische Trennung der Bereiche Markt und Marktfolge bis einschließlich der Ebene der Geschäftsleitung. Bei kleinen Instituten sind unter bestimmten Voraussetzungen Ausnahmen hinsichtlich der Funktionstrennung möglich. Was bedeutet dies für die IT? In der lt wird Funktionstrennung im Kontext der Benutzerrechteverwaltung verwendet. Unterschiedliche technische Funktionen sind unterschiedlichen Rollen zugeordnet. Dies dient dazu, kriminelle Handlungen der Mitarbeiter zu vermeiden. Wenn zum Beispiel ein Mitarbeiter Lieferanten im lt- System pflegen und anlegen kann und gleichzeitig Zahlungen initiieren kann, so hätte dieser die Möglichkeit, Finanzmittel zu unterschlagen (z. B. fiktiven Lieferanten anlegen und Zahlung an diesen durchführen). Die MaRisk fordert sehr eindeutig die Einrichtung eines organisatorischen und technischen Berechtigungsmanagements. Neben den Anforderungen an die Trennung fordert die MaRisk AT 7.2 : Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT- Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen. 18

19 4. EMPFEHLUNGEN FÜR EIN INTELLIGENZBASIERTES RISIKOMANAGEMENT Worauf sollten Unternehmen vor allem achten bei der Planung, der Einführung und Umsetzung eines Access Risk Management Systems? Nutzen Sie die Möglichkeiten, die moderne Risikomanagement-Lösungen in Verbindung mit Access Intelligence bieten. Think big, start small!. Der Business Intelligence-Ansatz bietet ein enormes Potential für weitreichende Analysen. Setzen Sie frühzeitig ein System ein, dass ausbaufähig ist. Führen Sie Risikomanagement in einem Stufenmodell ein. Machen Sie es Ihren Kollegen im Unternehmen so einfach wie möglich, schnell und verlässlich Aussagen treffen zu können zum Risikomanagement innerhalb ihrer Fachabteilung oder für das Top Management. Verzetteln Sie sich nicht in einfachen quantitativen Risikoeinschätzungen, sondern nutzen Sie qualitative, auf Inhalten basierende Bewertungen. Identifizieren Sie High Risk User: Sie müssen nicht auf alles eine Antwort haben, aber stellen Sie sicher, dass alles Wichtige stimmt. Verwenden Sie Berechtigungspfadanalysen um festzustellen, wer diese Berechtigung wann erteilt hat und ob er dies überhaupt durfte. Nutzen Sie Ad-hoc-Analysen: Bestehen Sie auf der Möglichkeit, eigene Analysen auf einfache Art und Weise erstellen zu können, individuell, entsprechend Ihrer Bedürfnisse. 19

20 Beta Systems Software AG, Alle Rechte vorbehalten. Alle im Text erwähnten Produktnamen der Beta Systems Software AG sowie die entsprechenden Logos sind Marken des Unternehmens in Deutschland und anderen Ländern weltweit. Namen von Produkten und Dienstleistungen anderer Unternehmen sind Marken dieser Unternehmen. Dies gilt auch für die jeweilige Firmenbezeichnung. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. Produkte können länderspezifische Unterschiede aufweisen. In dieser Publikation enthaltene Aussagen stellen keine Zusicherungen, Gewährleistungen oder in sonstiger Weise bindende Aussagen dar. Die Beta Systems Software AG übernimmt keinerlei Haftung oder Garantie für Fehler oder Unvollständigkeiten in dieser Publikation. 20

Entdecken Sie Tiefe. mit dem. Garancy Access Intelligence Manager! More control. Less risk. powered by

Entdecken Sie Tiefe. mit dem. Garancy Access Intelligence Manager! More control. Less risk. powered by Entdecken Sie Tiefe mit dem Garancy Access Intelligence Manager! Less risk. More control. powered by Der Garancy Access Intelligence Manager ist das zuverlässige Modul zur Analyse von erteilten Zugriffsrechten.

Mehr

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie

KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie P R E S S E M I T T E I L U N G KuppingerCole und Beta Systems untersuchen in aktueller Studie die Treiber von Identity Access Management und Governance in der Finanzindustrie KWG und MaRisk sind die mit

Mehr

Scan Resolve Analyse Report Transparenz in Windows-Dateisystemen Rechte- und Risiko-Analysen in gewachsenen Windows-Dateisystemen Revision, Wirtschaftsprüfer und Aufsichtsbehörden fordern verstärkt detaillierte

Mehr

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism

INSTITUT FÜR SYSTEM- MANAGEMENT. Compliance. Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism INSTITUT FÜR SYSTEM- MANAGEMENT Compliance Alter Wein in neuen Schläuchen oder eine neue Strategie? Prof. Dr. Dr. Gerd Rossa CEO ism ism GmbH 2010 Definition: Compliance Compliance die Bedeutung allgemein:

Mehr

P R E S S E M I T T E I L U N G

P R E S S E M I T T E I L U N G PRESSEMITTEILUNG KuppingerCole und Beta Systems ermitteln in gemeinsamer Studie die technische Reife von Identity Access Management und Governance in der Finanzindustrie Identity Provisioning als Basistechnologie

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007

Risikomanagement. Anforderungen und Umsetzung bei mittelständischen Unternehmen. Folie 1. Stand: Dezember 2007 Risikomanagement Anforderungen und Umsetzung bei mittelständischen Unternehmen Stand: Dezember 2007 Folie 1 Inhalt Gesetzliche Regelungen Bedeutung von Risikomanagement Leitlinien für die Gestaltung eines

Mehr

Identity Maturity Assessment

Identity Maturity Assessment Identity Maturity Assessment Case Study Atos Fachtagung zum Thema Identity Management & Cyber Security München, 24 Juni 2014 Wer ist Bay31 Bay31 ist Software-Hersteller im Bereich Identity Governance:

Mehr

Informationssicherheit und Compliance-Erfüllung econet Der Weg zum sicheren Umgang mit Informationen und Zugriffsrechten Wohl nirgends in der IT sind gewachsene Strukturen riskanter, als in Dateisystemen

Mehr

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung

Ihr Partner für das Management der IT. von der Strategie bis zur Lösung Ihr Partner für das der IT von der Strategie bis zur Lösung Agenda In aller Kürze 1. Tätigkeitsfelder 2. Leistungen 3. Referenzen 4. Unternehmen 2015 2 Lieferanten 1. Tätigkeitsfelder Gestalten Sie die

Mehr

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out

Fileserver Berechtigungen und Active Directory im Griff. protecting companies from the inside out Fileserver Berechtigungen und Active Directory im Griff 8MAN - Berechtigungen auf einen Blick Ihre Situation Große Datenmengen mit den unterschiedlichsten Inhalten und Formaten türmen sich auf Unternehmensservern

Mehr

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden

Regulierung. IT-Sicherheit im Fokus der Aufsichtsbehörden Regulierung IT-Sicherheit im Fokus der Aufsichtsbehörden Risikomanagement nach MaRisk beinhaltet auch das Management von IT-Risiken. Dies ist an sich nicht neu, die Anforderungen nehmen aber durch Ergebnisse

Mehr

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen! Autor: Thomas Halfmann Halfmann Goetsch Peither AG Mit GAMP 5 wurde im Jahr 2005 der risikobasierte Ansatz in die Validierung computergestützter

Mehr

Fachbericht: Access Governance

Fachbericht: Access Governance Fachbericht: Access Governance Wirksame Sicherheit durch Optimierung des Zugriffsschutzes Inhalt 1. Einführung 2 2. Zielsetzung von Access Governance 3 3. Mehr Verantwortung für die Fachbereiche 4 4. Die

Mehr

Risk Management. Überblick RIM 1.5.100

Risk Management. Überblick RIM 1.5.100 Risk Management Überblick - 1 - OMNITRACKER Risk Management im Überblick Effizientes Risikomanagement mit dem OMNITRACKER Risk Management Ein Werkzeug zur Abdeckung des gesamten Prozesses von der Risikoerfassung

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

SAM Business Process Workflow

SAM Business Process Workflow Let s talk Business vom Antrag zur Berechtigung Geringere Fehleranfälligkeit und schnellere Duchlaufzeiten für die Erteilung von Berechtigungen Einhaltung gesetzlicher Regularien Schutz vor Compliance-Verletzungen

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

protecting companies from the inside out

protecting companies from the inside out protecting companies from the inside out 1 Integriertes Berechtigungsmanagement Futuredat IT Forum 15. Mai 2014 80% der Daten liegen unstrukturiert als ppt, doc und excel vor Quelle: Meryll Lynch 80% der

Mehr

Theoretisches Seminar/Skiseminar im Wintersemester 2014/15. Themen

Theoretisches Seminar/Skiseminar im Wintersemester 2014/15. Themen FAKULTÄT FÜR WIRTSCHAFTSWISSENSCHAFTEN Lehrstuhl für Wirtschaftsinformatik I Informationssysteme Prof. Dr. Günther Pernul Theoretisches Seminar/Skiseminar im Wintersemester 2014/15 Auch im Wintersemester

Mehr

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de

Neue Produkte 2010. Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 www.p-und-z.de Neue Produkte 2010 Ploetz + Zeller GmbH Truderinger Straße 13 81677 München Tel: +49 (89) 890 635-0 Ploetz + Zeller GmbH. Symbio ist eine eingetragene Marke der Ploetz + Zeller GmbH. Alle anderen Marken

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

SAP BusinessObjects Solutions for Governance, Risk and Compliance

SAP BusinessObjects Solutions for Governance, Risk and Compliance SAP BusinessObjects Solutions for Governance, Risk and Compliance B4: Berechtigungsvergabe datenschutz- und compliancekonform gestalten mit SAP BusinessObjects Access Control und SAP Netweaver Identity

Mehr

Technische Produktinformation: Active Directory- Management in bi-cube

Technische Produktinformation: Active Directory- Management in bi-cube Inhalt: 1 bi-cube -FEATURES ACTIVE DIRECTORY... 2 2 DAS SYSTEMKONZEPT... 3 3 WAS SIND ADOC UND ECDOC?... 3 4 DIE WICHTIGSTEN FUNKTIONEN IM ÜBERBLICK... 5 4.1 Verwaltung der Strukturdaten... 5 4.2 Verwaltung

Mehr

Legal Risk als Folge fehlender Compliance

Legal Risk als Folge fehlender Compliance Legal Risk als Folge fehlender Compliance Konzernrechtstag Luther, Düsseldorf, 29.04.2015 Ludger Hanenberg BaFin, Bonn. Gliederung 1. Hintergründe 2. Compliance-Funktion als Risikomangement- Instrument

Mehr

VARONIS DATA GOVERNANCE SUITE

VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE VARONIS DATA GOVERNANCE SUITE Funktionen und Vorteile VOLLSTÄNDIG INTEGRIERTE LÖSUNGEN Varonis DatAdvantage für Windows Varonis DatAdvantage für SharePoint Varonis DatAdvantage

Mehr

Thema: Risikomanagement

Thema: Risikomanagement 1.1. Risikomanagement Eine der elementarsten Anforderungen an die Projektplanung ist, durch zielgerichtete Planung mögliche Risiken, die den Projekterfolg in Frage stellen, zu identifizieren und präventiv

Mehr

Raber+Märcker Business Intelligence Lösungen und Leistungen

Raber+Märcker Business Intelligence Lösungen und Leistungen Business Intelligence Raber+Märcker Business Intelligence Lösungen und Leistungen www.raber-maercker.de 2 LEISTUNGEN Business Intelligence Beratungsleistung Die Raber+Märcker Business Intelligence Beratungsleistung

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

WENDIA ITSM EXPERT TALK

WENDIA ITSM EXPERT TALK WENDIA ITSM EXPERT TALK WENDIA ITSM WHITEPAPER IT SERVICE MANAGEMENT BASISWISSEN: IN EINFACHEN SCHRITTEN ZUR CMDB Wer, Wie, Was: Die CMDB als Herzstück eines funktionierenden IT Service Management Die

Mehr

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen

CaseWare Monitor. ProduktNEWS CaseWare Monitor. Version 4.3. Mehr Informationen zu CaseWare Monitor und unseren anderen Produkten & Dienstleistungen Mit der aktuellen Version hält eine komplett neu konzipierte webbasierte Anwendung Einzug, die sich neben innovativer Technik auch durch ein modernes Design und eine intuitive Bedienung auszeichnet. Angefangen

Mehr

Enterprise Risk Management Due Diligence

Enterprise Risk Management Due Diligence Enterprise Risk Management Due Diligence.proquest Die richtigen Antworten auf die entscheidenden Fragen! A-4661 Roitham/Gmunden OÖ, Pfarrhofstraße 1 Tel. +43.7613.44866.0, Fax - DW 4 e-mail. office@proquest.at

Mehr

Vorstellung der Software GRC-Suite i RIS

Vorstellung der Software GRC-Suite i RIS Vorstellung der Software GRC-Suite i RIS Systemgestütztes Governance-, Risk- und Compliance- sowie Security-, Business Continuity- und Audit- Inhalt Überblick Architektur der GRC-Suite i RIS Einsatz-Szenarien

Mehr

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken

Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken Vertragsmanagement im Mittelstand - Strategien zur wirtschaftlichen Behandlung von Risiken VDE Südbayern AK Unternehmensmanagement Innung für Elektro- und Informationstechnik Haus II, Seminarraum 3 / 5.

Mehr

Test Management Cockpit. SAP Deutschland AG & Co. KG

Test Management Cockpit. SAP Deutschland AG & Co. KG Test Management Cockpit SAP Deutschland AG & Co. KG Einleitung Kennzahlen und Testmanagement Der zusätzliche Aufbau eines Kennzahlensystems bietet die große Chance, tatsächlich die Kenntnis darüber zu

Mehr

ISMS Teil 3 Der Startschuss

ISMS Teil 3 Der Startschuss ISMS Teil 3 Der Startschuss Nachdem das TOP-Managenment die grundsätzliche Entscheidung getroffen hat ein ISMS einzuführen, kann es nun endlich losgehen. Zu Beginn sollte Sie noch die Grundlagen des ISMS

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Fileserver Berechtigungen und Active Directory im Griff

Fileserver Berechtigungen und Active Directory im Griff Fileserver Berechtigungen und Active Directory im Griff Ihre Situation Steigende Datenflut Das explosionsartige Anwachsen der Datenmengen stellt die IT- Abteilungen der Unternehmen heute vor völlig neue

Mehr

GRC Governance Risk & Compliance

GRC Governance Risk & Compliance GRC Governance Risk & Compliance Ansätze zur Unternehmenssteuerung aus Sicht der Wirtschaftsprüfung 27. März 2012 WP StB Heinz-Georg Kämpchen RWGV GRC 27. März 2012 WP StB Heinz-Georg Kämpchen Inhalt.

Mehr

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO IDENTITY & ACCESS MANAGEMENT Marc Burkhard CEO Die drei wichtigsten Eckpfeiler Access Management Identity Management IAM Prozesse ACCESS MANAGEMENT Die Ebenen Identity & Access Management Applikation Directories,

Mehr

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS Stefan Taubenberger und Prof. Jan Jürjens, 22. September 211 Ziele der Studie Konfirmative und explorative Studie mit folgenden Fragestellungen Welche Kriterien

Mehr

Success Story. Einführung des SAP Berechtigungs konzeptes in ausgewählten Bereichen beim Photovoltaikunternehmen

Success Story. Einführung des SAP Berechtigungs konzeptes in ausgewählten Bereichen beim Photovoltaikunternehmen Success Story Einführung des SAP Berechtigungs konzeptes in ausgewählten Bereichen beim Photovoltaikunternehmen Q-Cells SE Q-Cells SE Q-Cells SE zählt zu den führenden Photovoltaikunternehmen weltweit.

Mehr

IDV Assessment- und Migration Factory für Banken und Versicherungen

IDV Assessment- und Migration Factory für Banken und Versicherungen IDV Assessment- und Migration Factory für Banken und Versicherungen Erfassung, Analyse und Migration von Excel- und AccessAnwendungen als User-Selfservice. Sind Ihre Excel- und Access- Anwendungen ein

Mehr

Wilken Risikomanagement

Wilken Risikomanagement Wilken Risikomanagement Risiken bemerken, bewerten und bewältigen Nur wer seine Risiken kennt, kann sein Unternehmen sicher und zielorientiert führen. Das Wilken Risikomanagement hilft, Risiken frühzeitig

Mehr

Wirksame Sicherheit durch Optimierung des Zugriffsschutzes

Wirksame Sicherheit durch Optimierung des Zugriffsschutzes Wirksame Sicherheit durch Optimierung des Zugriffsschutzes Access Governance IAM der Neuzeit Marco Rohrer, Experte IAM Mehr Risiken erfordern höhere Sicherheiten für Informationen und Daten. Aber wie?

Mehr

Compliance Monitoring mit PROTECHT.ERM

Compliance Monitoring mit PROTECHT.ERM covalgo consulting GmbH Operngasse 17-21 1040 Wien, Austria www.covalgo.at Compliance Monitoring mit PROTECHT.ERM Autor: DI Mag. Martin Lachkovics, Dr. Gerd Nanz Datum: 20. Oktober 2014, 29. April 2015

Mehr

Das Wesentliche im Blick.

Das Wesentliche im Blick. Das Wesentliche im Blick. Unternehmen effektiv steuern mit relevanten Daten im Management Dashboard CP-Cockpit ist ein Modul der Corporate Planning Suite. Den Blick auf das Wesentliche lenken. Effektiv

Mehr

Rollenverwaltung innerhalb von Access Governance & Intelligence

Rollenverwaltung innerhalb von Access Governance & Intelligence Rollenverwaltung innerhalb von Access Governance & Intelligence White Paper / Detlef Sturm, Senior System Architect, Beta Systems Software AG / Oktober 2011 2 Inhalt Rollenverwaltung innerhalb von Access

Mehr

GRC-Suite i RIS Eine intelligente Lösung

GRC-Suite i RIS Eine intelligente Lösung GRC-Suite i RIS GRC-Suite i RIS Eine intelligente Lösung Die Software GRC-Suite i RIS (intelligent Reports, Informations and Solutions) unterstützt Sie effektiv und effizient in Ihrem Governance-, Risk-

Mehr

Ordnung im Qualitätsmanagement mit Microsoft SharePoint

Ordnung im Qualitätsmanagement mit Microsoft SharePoint Ordnung im Qualitätsmanagement mit Microsoft SharePoint Bei pscquality handelt es sich um ein vollständiges Produkt, das die QM-Abläufe in Ihrem Unternehmen nach Ihren Anforderungen und basierend auf den

Mehr

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren

IKS, Compliance, Risikomanagement. Wie Sie angemessene und wirtschaftliche Kontrollen installieren IKS, Compliance, Risikomanagement Wie Sie angemessene und wirtschaftliche Kontrollen installieren Das Interne Kontrollsystem (IKS) rückt immer stärker in den Fokus der Bankenaufsicht Damit steht es auch

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

System-Tool MaRisk Light

System-Tool MaRisk Light Unser Angebot System-Tool MaRisk Light Von der Strategie bis zum Risikolimitsystem! Das System-Tool MaRisk Light umfasst die Module Risikoreport, Adressen- Risikomanagement, Interne Revision und IKS, Marktpreisrisikomanagement,

Mehr

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand

SOLUTION Q_RISKMANAGER 2.0. Das Risikomanagementsystem für den Mittelstand SOLUTION Q_RISKMANAGER 2.0 Das Risikomanagementsystem für den Mittelstand Q4/2012 Q_Riskmanager als webbasierte Lösung des Risikomanagements unter Solvency II Solvency II stellt Unternehmen vor neue Herausforderungen

Mehr

wikima4 mesaforte firefighter for SAP Applications

wikima4 mesaforte firefighter for SAP Applications 1 wikima4 mesaforte firefighter for SAP Applications Zusammenfassung: Effizienz, Sicherheit und Compliance auch bei temporären Berechtigungen Temporäre Berechtigungen in SAP Systemen optimieren die Verfügbarkeit,

Mehr

Mit Risk Analytics Kundenrisiken aktiv steuern

Mit Risk Analytics Kundenrisiken aktiv steuern Mit Risk Analytics Kundenrisiken aktiv steuern Was sind Risk Analytics? Unter Risk Analytics versteht man statistische Analysen und Data Mining-Verfahren. Sie untersuchen Risiken im Zusammenhang mit Kundenbeziehungen

Mehr

Konsolidierung von Dateisystemund Berechtigungsstrukturen Der econet Dateisysteme zügig konsolidieren Unklare Berechtigungsverhältnisse beim Dateisystemzugriff sind eine Bedrohung für das Unternehmens-Know-how.

Mehr

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem 17. Bundesfachtagung IKS Transparenz schafft Sicherheit Erfolgsfaktor Internes Kontrollsystem Mag. Gunnar Frei Warum braucht eine Gemeinde ein IKS? Landeskriminalamt ermittelt Wie aus gut informierten

Mehr

ERP-Systemeinsatz bewerten und optimieren

ERP-Systemeinsatz bewerten und optimieren ERP-Systemeinsatz bewerten und optimieren Handlungsfelder zur Optimierung des ERP-Systemeinsatzes ERP-Lösungen werden meist über viele Jahre lang eingesetzt, um die Geschäftsprozesse softwaretechnisch

Mehr

Enterprise Architecture Management für Krankenhäuser. Transparenz über die Abhängigkeiten von Business und IT

Enterprise Architecture Management für Krankenhäuser. Transparenz über die Abhängigkeiten von Business und IT Enterprise Architecture Management für Krankenhäuser Transparenz über die Abhängigkeiten von Business und IT HERAUSFORDERUNG Gestiegener Wettbewerbsdruck, höhere Differenzierung im Markt, die konsequente

Mehr

Von BI zu Analytik. bessere Entscheidungen basiert auf Fakten. Dr. Wolfgang Martin Analyst, ibond Partner und Ventana Research Advisor

Von BI zu Analytik. bessere Entscheidungen basiert auf Fakten. Dr. Wolfgang Martin Analyst, ibond Partner und Ventana Research Advisor Von BI zu Analytik bessere Entscheidungen basiert auf Fakten Webinar Mai 2010 Dr. Wolfgang Martin Analyst, ibond Partner und Ventana Research Advisor Von Business Intelligence zu Analytik Die Bedeutung

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN

DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE CHANGE PROCESS DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN DURCHGÄNGIGE SAP CHANGE- UND RELEASE-PROZESSE EINFACH UMSETZEN THEGUARD! SMARTCHANGE I CHANGE PROCESS

Mehr

Vertriebs-Dashboards für das Management

Vertriebs-Dashboards für das Management Vertriebs-Dashboards für das Management Die wichtigsten Vertriebskennzahlen jederzeit und aktuell auf einen Blick. www.schleupen.de Schleupen AG 2 Der Wettbewerb Die Stadtwerke stehen im direkten Wettbewerb

Mehr

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen

IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen IT-Aufsicht im Bankensektor Fit für die Bafin-Sonderprüfungen Rainer Benne Benne Consulting GmbH Audit Research Center ARC-Institute.com 2014 Audit Research Center ARC-Institute.com Referent Berufserfahrung

Mehr

GDP4U. Intelligente Ideen für Finanzinstitute

GDP4U. Intelligente Ideen für Finanzinstitute GDP4U Intelligente Ideen für Finanzinstitute --> GDP4U Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU 147 Abs. 6 AO) verpflichten Finanzinstitute, den Finanzbehörden den

Mehr

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015

Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Qualitätsmanagementsystem nach DIN EN ISO 9001:2015 Quick Tour (Foliensatz für das Management) Karlsruhe, im Juni 2015 Qualitätsmanagement ist einfach. Sehr einfach. Wir zeigen Ihnen wie. ipro Consulting

Mehr

Geschäftsprozessmanagement

Geschäftsprozessmanagement Geschäftsprozessmanagement Der INTARGIA-Ansatz Whitepaper Dr. Thomas Jurisch, Steffen Weber INTARGIA Managementberatung GmbH Max-Planck-Straße 20 63303 Dreieich Telefon: +49 (0)6103 / 5086-0 Telefax: +49

Mehr

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014

Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 www.pwc.de Aktuelle bankaufsichtliche Entwicklungen in der IT 13. FI-TS Management-Forum 2014 WP StB Marc Billeb Partner Financial Services Technology & Processes Agenda 1 Regulatorische Anforderungen

Mehr

Balanced Scorecard Strategien umsetzen. CP-BSC ist ein Modul der Corporate Planning Suite.

Balanced Scorecard Strategien umsetzen. CP-BSC ist ein Modul der Corporate Planning Suite. Balanced Scorecard Strategien umsetzen CP-BSC ist ein Modul der Corporate Planning Suite. UnternehMenSSteUerUng Mit ViSiOn UnD StrAtegie Strategien umsetzen. Jedes Unternehmen hat strategische Ziele und

Mehr

IT - Risikomanagement in der 4. Dimension

IT - Risikomanagement in der 4. Dimension INSTITUT FÜR SYSTEM- MANAGEMENT IT - Risikomanagement in der 4. Dimension Finance Forum Germany 2011 - Wiesbaden Prof. Dr. Dr. Gerd Rossa CEO ism Institut für System-Management GmbH, Rostock ism GmbH 2011

Mehr

Data Lineage goes Traceability - oder was Requirements Engineering von Business Intelligence lernen kann

Data Lineage goes Traceability - oder was Requirements Engineering von Business Intelligence lernen kann Data Lineage goes Traceability - oder was Requirements Engineering von Business Intelligence lernen kann Andreas Ditze MID GmbH Kressengartenstraße 10 90402 Nürnberg a.ditze@mid.de Abstract: Data Lineage

Mehr

BERECHTIGUNGS- UND USERMANAGEMENT

BERECHTIGUNGS- UND USERMANAGEMENT 1 BERECHTIGUNGS- UND USERMANAGEMENT Die Firma: protected-networks.com Die 2009 in Berlin gegründete protectednetworks.com GmbH entwickelt integrierte Lösungen für das Berechtigungsund Usermanagement in

Mehr

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme

1 Einführung betriebswirt- schaftlich vernünftiger Form wesentliche Risiken von der IT fernzuhal- ten reduzieren Auswirkungen begrenzen IT-Systeme 1 Die Unternehmens-IT steht vor vielfältigen Herausforderungen: Kostenreduzierung, Standardisierung, Komplexitätsreduktion, Virtualisierung, Verfügbarkeit und Steuerung externer Dienstleister werden häufig

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

E-Mail Marketing Runde um Runde

E-Mail Marketing Runde um Runde Wir powern Ihr E-Mail Marketing Runde um Runde Mehr Response durch Interessen-Tracking Mit relevanten Inhalten punkten Möchten Sie als werbetreibendes Unternehmen heute nicht in der Flut von Informationen

Mehr

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen

Organisatorische Einbindung eines Risikomanagementsystems in mittelständische Unternehmen Organisatorische Einbindung eines Risikomanagementsystems März 2002 Andreas Henking www.risk-sim.de 1 Einleitung Wichtiger Erfolgsfaktor bei der Einführung von Risikomanagementsystemen ist die richtige

Mehr

Der Weg zu einem ganzheitlichen GRC Management

Der Weg zu einem ganzheitlichen GRC Management Der Weg zu einem ganzheitlichen GRC Management Die Bedeutung von GRC Programmen für die Informationsicherheit Dr. Michael Teschner, RSA Deutschland Oktober 2013 1 Transformationen im Markt Mobilität Cloud

Mehr

ACCESS INTELLIGENCE. mehr als intelligente Zugriffsverwaltung. White Paper

ACCESS INTELLIGENCE. mehr als intelligente Zugriffsverwaltung. White Paper ACCESS INTELLIGENCE mehr als intelligente Zugriffsverwaltung White Paper Inhaltsverzeichnis Access Intelligence mehr als intelligente Zugriffsverwaltung...3 Das neue Paradigma des Identity Access Management...3

Mehr

Banken tun sich mit der Umsetzung von BCBS 239 schwer

Banken tun sich mit der Umsetzung von BCBS 239 schwer Banken tun sich mit der Umsetzung von BCBS 239 schwer Andreas Bruckner Das Baseler Komitee für Bankenaufsicht (BCBS) hat am 23. Januar 2015 den Bericht über den Umsetzungsstand der Grundsätze für die effektive

Mehr

www.runbook.com Der Einzelabschluss mit Runbook ONE ein Überblick

www.runbook.com Der Einzelabschluss mit Runbook ONE ein Überblick Der Einzelabschluss mit Runbook ONE ein Überblick Alle Teilnehmer sind stumm geschaltet während des Webinars Einwahlnummern: Deutschland: +49 (0) 692 5736 7216 Österreich: +43 (0) 7 2088 0035 Schweiz:

Mehr

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"!

Herzlich willkommen zum Fragebogen für den Studienschwerpunkt Compliance von Geschäftsprozessen! von 22 10.07.2014 12:25 Herzlich willkommen zum Fragebogen für den Studienschwerpunkt "Compliance von Geschäftsprozessen"! Bitte füllen Sie den Fragebogen in einem Durchgang aus, da ein Zwischenspeichern

Mehr

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.

Aufbau eines Compliance Management Systems in der Praxis. Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11. Aufbau eines Compliance Management Systems in der Praxis Stefanie Held Symposium für Compliance und Unternehmenssicherheit Frankfurt, 15.11.2012 Gliederung Kapitel 1 - Festlegung des Compliance-Zielbilds

Mehr

BI Konsolidierung: Anspruch & Wirklichkeit. Jacqueline Bloemen. in Kooperation mit

BI Konsolidierung: Anspruch & Wirklichkeit. Jacqueline Bloemen. in Kooperation mit BI Konsolidierung: Anspruch & Wirklichkeit Jacqueline Bloemen in Kooperation mit Agenda: Anspruch BI Konsolidierung Treiber Was sind die aktuellen Treiber für ein Konsolidierungsvorhaben? Kimball vs. Inmon

Mehr

Fileserver Berechtigungen und Active Directory im Griff

Fileserver Berechtigungen und Active Directory im Griff Fileserver Berechtigungen und Active Directory im Griff Ihre Situation Steigende Datenflut Das explosionsartige Anwachsen der Datenmengen stellt die ITAbteilungen der Unternehmen heute vor völlig neue

Mehr

Identity Management. Technische Aspekte und Erfolgsfaktoren. Hamburg, 27.03.2009

Identity Management. Technische Aspekte und Erfolgsfaktoren. Hamburg, 27.03.2009 Identity Management Technische Aspekte und Erfolgsfaktoren Hamburg, 27.03.2009 Der Vortragende Rolf Burleson Geschäftsführer qp42 DATA GmbH Düppelstr. 6 24105 Kiel Tel.: +49 (431) 26 04 26-12 email: r.burleson@qp42-data.de

Mehr

Unser Wissen und unsere Erfahrung bringen Ihr E-Business-Projekt sicher ans Ziel.

Unser Wissen und unsere Erfahrung bringen Ihr E-Business-Projekt sicher ans Ziel. M/S VisuCom Beratung Unser Wissen und unsere Erfahrung bringen Ihr E-Business-Projekt sicher ans Ziel. Design Auch das Erscheinungsbild Ihres E-Business-Projektes ist entscheidend. Unsere Kommunikationsdesigner

Mehr

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012

Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Peter Grünberger 07.03.2012 Normenkonformer Betrieb medizinischer IT-Netzwerke neue Aufgaben des IT- Systemlieferanten Peter Grünberger 07.03.2012 Vorstellung COMPAREX COMPAREX versteht sich als unabhängiger IT Lösungsanbieter 2000

Mehr

Datenschutz: Datenvernichtung im HCM mittels Information Lifecycle Management. Dr. Michael Wulf, Sap SE 22.März 2015

Datenschutz: Datenvernichtung im HCM mittels Information Lifecycle Management. Dr. Michael Wulf, Sap SE 22.März 2015 Datenschutz: Datenvernichtung im HCM mittels Information Lifecycle Management Dr. Michael Wulf, Sap SE 22.März 2015 Motivation Datenschutz ist schon immer ein Thema im HR, wird aber noch wichtiger Was

Mehr

APplus KENNZAHLEN-COCKPIT

APplus KENNZAHLEN-COCKPIT APplus KENNZAHLEN-COCKPIT Unternehmen steuern mit Kennzahlen Unternehmens-Cockpit Eine verlässliche Informationsversorgung mit zuverlässigen, stets aktuellen und transparenten Kennzahlen ist heute unerlässlich,

Mehr

Quick-Wins identifizieren!

Quick-Wins identifizieren! Identity-Management im Fokus: Quick-Wins identifizieren! Michael Watzl Leiter Vertrieb TESIS SYSware GmbH Stand A50/2 http://www.tesis.de/sysware TESIS SYSware Kernkompetenz und Portfolio Portfolio: Identity-Management

Mehr

Macht Knowledge- Management Unternehmen effizienter?

Macht Knowledge- Management Unternehmen effizienter? Macht Knowledge- Management Unternehmen effizienter? Karl-Heinz Plünnecke Geschäftsführer H.U.T GmbH 1 Software Performance Entwicklung Performance Was dann? ecommerce ERP SCM CRM Zeit 2 1 Noch Potential?

Mehr

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke

Implementierung eines Risikomanagementsystems bei der EADS BU DE. Jan Eickmann Mathias Wernicke Implementierung eines Risikomanagementsystems bei der EADS BU DE Jan Eickmann Mathias Wernicke 03.02.2009 Dipl.-Ing. Mathias Wernicke, Jan Eickmann 1 Vision2020 Entwicklung der EADS [ ] mit größerem Anteil

Mehr

Von Big Data zu Executive Decision BI für den Fachanwender bis hin zu Advanced Analytics 10.45 11.15

Von Big Data zu Executive Decision BI für den Fachanwender bis hin zu Advanced Analytics 10.45 11.15 9.30 10.15 Kaffee & Registrierung 10.15 10.45 Begrüßung & aktuelle Entwicklungen bei QUNIS 10.45 11.15 11.15 11.45 Von Big Data zu Executive Decision BI für den Fachanwender bis hin zu Advanced Analytics

Mehr

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences

Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences Beuth Hochschule BEUTH HOCHSCHULE FÜR TECHNIK BERLIN University of Applied Sciences WISSENSCHAFTLICHE WEITERBILDUNG Fernstudium Industrial Engineering Produktions- und Betriebstechnik Kurseinheit 98 und

Mehr

Predictive Analysis für eine intelligente Produktionsplanung Dr. Andreas Cardeneo, SAP Data Science 20. Mai 2014

Predictive Analysis für eine intelligente Produktionsplanung Dr. Andreas Cardeneo, SAP Data Science 20. Mai 2014 Predictive Analysis für eine intelligente Produktionsplanung Dr. Andreas Cardeneo, SAP Data Science 20. Mai 2014 Agenda Vorstellung Kundenbeispiel Absatzprognose SAP Predictive Analysis Anwendung SAP Predictive

Mehr

Berechtigungsmanagement für Fileserver

Berechtigungsmanagement für Fileserver Berechtigungsmanagement für Fileserver Sicherer Self-Service mit DIVA Access Manager Peter Bück Vertriebsleiter inspiring security TESIS Unternehmensgruppe Gegründet: 1992 Stammsitz: München Weltweiter

Mehr

Bei psccontract handelt es sich ein vollständiges Produkt zur Vertragsverwaltung auf Basis von Microsoft

Bei psccontract handelt es sich ein vollständiges Produkt zur Vertragsverwaltung auf Basis von Microsoft Verpassen Sie Ihrem Vertragsmanagement mit Microsoft SharePoint einen neuen Anstrich Bei psccontract handelt es sich ein vollständiges Produkt zur Vertragsverwaltung auf Basis von Microsoft SharePoint.

Mehr

Risikomanagement und CheckAud for SAP Systems

Risikomanagement und CheckAud for SAP Systems Risikomanagement und CheckAud for SAP Systems IBS Schreiber GmbH Olaf Sauer Zirkusweg 1 20359 Hamburg Tel.: 040 696985-15 Email: info@ibs-schreiber.de 1 Vorstellung Die IBS Schreiber GmbH stellt sich vor:

Mehr