Fachbericht: Access Governance

Ähnliche Dokumente
Wirksame Sicherheit durch Optimierung des Zugriffsschutzes

.. für Ihre Business-Lösung

SSZ Policy und IAM Strategie BIT

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO

Benutzerverwaltung Business- & Company-Paket

Kostenstellen verwalten. Tipps & Tricks

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

GRS SIGNUM Product-Lifecycle-Management

«PERFEKTION IST NICHT DANN ERREICHT, WENN ES NICHTS MEHR HINZUZUFÜGEN GIBT, SONDERN DANN, WENN MAN NICHTS MEHR WEGLASSEN KANN.»

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

IdM-Studie der Hochschule Osnabrück Identity Management lokal oder aus der Cloud?

Geschäftsprozessmanagement

Hilfe zur Urlaubsplanung und Zeiterfassung

Leseprobe. Sage HR Focus. Teil V: Effizientes Workforce Management für den Mittelstand

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

PowerPoint 2010 Mit Folienmastern arbeiten

Projektcontrolling in der Praxis

Konto einrichten in 10 Minuten! Nach der Registrierung helfen Ihnen folgende 4 Schritte, absence.io schnell und einfach einzuführen.

Installation & Konfiguration AddOn Excel Export Restriction

Anmeldung, Registrierung und Elternkontrolle des MEEP!-Tablet-PC

Abamsoft Finos im Zusammenspiel mit shop to date von DATA BECKER

Informationssicherheit als Outsourcing Kandidat

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION SUBSCRIPTION-VERTRÄGE VERWALTEN

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

Installation & Konfiguration AddOn Excel Export Restriction

Information Governance Ergebnisse einer Marktbefragung zum Status Quo und Trends. Dr. Wolfgang Martin Analyst

HealthCare Relationship Management.

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

Tender Manager. Sparen Sie Zeit und Kosten durch eine optimierte Erstellung Ihrer individuellen IT-Ausschreibungen

SharePoint Demonstration

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

Tutorial. Wie kann ich meinen Kontostand von meinen Tauschpartnern in. übernehmen? Zoe.works - Ihre neue Ladungsträgerverwaltung

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY

Projektsteuerung Projekte effizient steuern. Welche Steuerungsinstrumente werden eingesetzt?

StuPro-Seminar Dokumentation in der Software-Wartung. StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung.

Bestimmungen zur Kontrolle externer Lieferanten. BCM (Business Continuity Management)

GPP Projekte gemeinsam zum Erfolg führen

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Produktbeschreibung utilitas Ticketsystem

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

Interview zum Thema Management Reporting &Business Intelligence

Zeichen bei Zahlen entschlüsseln

Handbuch ECDL 2003 Basic Modul 5: Datenbank Grundlagen von relationalen Datenbanken

Requirements Engineering für IT Systeme

Was meinen die Leute eigentlich mit: Grexit?

G+H SoftwareSolutions Oktober Software zur unternehmensweiten Identitäts- und Berechtigungsüberprüfung

pro.s.app document status check Bringen Sie mehr Transparenz in Ihre Dokumente

UpToNet Workflow Workflow-Designer und WebClient Anwendung

SCHALTEN SIE DEN DATENSCHUTZ EIN. EINFACH & EFFEKTIV.

OLXTeamOutlook 1.5 für Outlook 2003, 2002/XP, 2000 und 97/98

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Beratung, Projektmanagement und Coaching

Aktualisierung der Lizenzierungsrichtlinien für Adobe Produkte

Grundlagen für den erfolgreichen Einstieg in das Business Process Management SHD Professional Service

Dokumentenmanagement mit hyscore

Identity & Access Management in der Cloud

my.ohm Content Services Autorenansicht Rechte

pro4controlling - Whitepaper [DEU] Whitepaper zur CfMD-Lösung pro4controlling Seite 1 von 9

Analyse zum Thema: Laufzeit von Support-Leistungen für ausgewählte Server OS

1 Was ist Personal Online-Coaching?

Maintenance & Re-Zertifizierung

SharePoint Portal für eine effiziente Zusammenarbeit

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

ERPaaS TM. In nur drei Minuten zur individuellen Lösung und maximaler Flexibilität.

Archiv - Berechtigungen


GEZIELT MEHR SICHERHEIT MIT 4I ACCESS SERVER & 4I CONNECT CLIENT

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Wissenswertes über die Bewertung. Arbeitshilfe

Firewall-Logs: gewusst wie! (14:00 Uhr, Referat B) Firewall-Logs gezielt aufzeichnen und auswerten

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

Zimmertypen. Zimmertypen anlegen

Stud.IP. Inhalt. Rechenzentrum. Vorgehen zur Eintragung in Veranstaltungen / Gruppen. Stand: Januar 2015

DeltaVision Computer Software Programmierung Internet Beratung Schulung

Content Management System mit INTREXX 2002.

Windows 7 - Whoami. Whoami liefert Informationen wie z.b. die SID, Anmelde-ID eines Users, sowie Gruppenzuordnungen, Berechtigungen und Attribute.

EINE PLATTFORM

Workflows verwalten. Tipps & Tricks

Updatehinweise für die Version forma 5.5.5

Typisierung des Replikationsplan Wirries, Denis Datenbankspezialist

Dr. Heiko Lorson. Talent Management und Risiko Eine Befragung von PwC. *connectedthinking

Welchen Nutzen haben Risikoanalysen für Privatanleger?

DIRECTINFO 5.7 SICHERHEITSKONZEPTE FÜR BENUTZER, INFORMATIONEN UND FUNKTIONEN

Guideline. Facebook Posting. mit advertzoom Version 2.3

(1) Mit dem Administrator Modul werden die Datenbank, Gruppen, Benutzer, Projekte und sonstige Aufgaben verwaltet.

Microsoft Office Visio 2007 Infotag SemTalk Thema: Prozessmodellierung

P R E S S E M I T T E I L U N G

SSGI Veranstaltung vom 23. Mai 2014

Rechtssichere -Archivierung

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Das große ElterngeldPlus 1x1. Alles über das ElterngeldPlus. Wer kann ElterngeldPlus beantragen? ElterngeldPlus verstehen ein paar einleitende Fakten

Folgende Einstellungen sind notwendig, damit die Kommunikation zwischen Server und Client funktioniert:

teischl.com Software Design & Services e.u. office@teischl.com

Stand vr bank Südthüringen eg 1 von 10. Smart TAN plus Umstellungsanleitung VR-NetWorld Software

Transkript:

Fachbericht: Access Governance Wirksame Sicherheit durch Optimierung des Zugriffsschutzes Inhalt 1. Einführung 2 2. Zielsetzung von Access Governance 3 3. Mehr Verantwortung für die Fachbereiche 4 4. Die Rolle bekommt eine neue Rolle 4 5. Access Intelligence 5 6. Access Governance Dienstleistungen von ipg AG 7 7. Fazit 8 Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG

1. Einführung Access Governance bedeutet eine strukturierte Kontrolle und Überprüfung von Mitarbeiter-Berechtigungen. So wird Access Governance immer mehr zu einem Muss für Unternehmen und Organisationen. Damit diese eine wirksame und umfassende Sicherheit für die Zugriffe erhalten, sind sie zum Handeln gezwungen. Die Sicherheitsrisiken durch unbefugte Zugriffe sind heute so gross, dass die möglichen Folgekosten enorm sein können. Viel besser ist es also, durch Präventionsmassnahmen die Sicherheitsstandards zu erhöhen. Zudem verlangen Compliance-Anforderungen, Risk- Management-Standards, IKS und Best-Practices umfassenderen Schutz für alle Zugriffsprozesse. Wir sprechen dann auch von IAM 360-Grad. Abbildung 1: Komponenten von Identity & Access Governance Die zunehmende Sensibilisierung der Sicherheitsverantwortlichen führt dazu, dass sich diese verstärkt mit der Frage beschäftigen wer kann wie auf welche Informationen zugreifen? Damit der Zugriff auf die Unternehmensressourcen sicher ist, sind unterschiedliche Aspekte für eine umfassende Lösungsgestaltung zu berücksichtigen: Zentrale, system- und plattformübergreifende Services für Identity Management zur Verwaltung von Identitäten und Zugriffsrechten, welche in der Regel auf Rollen und Regeln basieren. Automatisierte Antragsprozesse (Workflow) für das Beantragen von Rechten und Rollen Lösungen für Access Management zur Erhöhung der Passwortsicherheit, z.b. mit Single Sign On Lösungen für die Verwaltung der privilegierten Usern und Accounts (oder User Accounts), damit auch die Administratoren-Tätigkeiten jederzeit nachvollziehbar sind. Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 2/8

Zentrale Governance-Services zur Überprüfung der Sicherheit, wie SoD-Prüfungen oder Access-Re-Zertifizierungen (Review einer Berechtigungsüberprüfung) Authentifizierungsservices für die eindeutige Authentisierung und Autorisierung der User Die klassischen Technologien für das Identity Management sind auf die präventive Sicherheit und damit primär auf das Erstellen und Verwalten von Benutzer-Konten und Zugriffsrechten ausgerichtet. Lösungen für die Access Governance bieten zusätzlich verschiedene Hilfsmittel für die Echtzeitauswertung. Damit lassen sich Abweichungen vom Soll-Zustand erkennen und beispielsweise Funktionstrennungskonflikte ausweisen oder periodisch die Mitarbeiter-Zugriffe re-zertifizieren. Abbildung 2: Access Governance in Ergänzung zu Identity Management (Quelle: Crossideas) 2. Zielsetzung von Access Governance Im klassischen Identity & Access Management standen die effiziente User-Verwaltung und die Kostensenkung im Vordergrund. Durch die wachsenden Sicherheitsrisiken spielen die Compliance-Faktoren eine zentrale Rolle. Mit den Systemen für die Access Governance erfüllen die Unternehmen nach und nach die zunehmenden Anforderungen aus Regularien und Gesetzen und können somit die gesteigerten Erwartungen an das Risikomanagement erfüllen. Damit ist Access Governance mehr als eine Erweiterung des traditionellen Identity & Access Managements. Es ist auch nicht damit erledigt, lediglich die aktuellen Berechtigungen einzusammeln und periodisch zu attestieren. Eine Lösung für Access Governance braucht zwar die regelmässigen Kontrollen, noch viel wichtiger sind jedoch Mechanismen zur Erkennung und sofortigen Korrektur von Abweichungen des Ist- vom Soll-Zustand. Damit dies effizient umgesetzt werden kann, braucht es eine Steuerung (oder ein höheres Sicherheitsniveau in Form von Berechtigungen durch Rollen und (Geschäfts-)Regeln). Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 3/8

3. Mehr Verantwortung für die Fachbereiche Auch die Access Governance baut auf Rollen, der Kernkomponente des Identity Managements, auf. Der Einsatz und Stellenwert von Rollen verändert sich jedoch. In den traditionellen Lösungen für Identity & Access Management stand der zentrale Administrationspunkt im Fokus und die Rollen hatten eine IT-lastige Administrationsaufgabe zu erfüllen. Zwar wurden mit den Rollen die Berechtigungen gekapselt und teilweise auch, auf Basis von HR-Informationen, automatisiert erstellt. Aber die Fachbereiche ausserhalb der Informatik besassen kaum Kenntnisse über diese Rollen. Sie waren ein Hilfsmittel der Informatik, um die stets wachsenden Administrationsvolumina bewältigen zu können. Die Berechtigungs- und Rollenzuweisung wurde in diesen traditionellen Systemen für das Identity & Access Management primär mit den Daten aus der Personalabteilung und den in der IT gebildeten Rollen gesteuert. Neuere Systeme sind viel stärker durch die Geschäftsanforderungen getrieben. Regulatorische und Compliance-Anforderungen verlangen, dass sich die Fachbereiche stärker mit der Zugriffsthematik auseinandersetzen. 4. Die Rolle bekommt eine neue Rolle Die Rollen, welche für die Access Governance benötigt werden, müssen stärker an die tatsächlichen Aufgaben der Mitarbeiter im Unternehmen angelehnt werden. Die alleinige Koppelung von Rollen an HR-relevante Informationen greift zu kurz. Zudem müssen die Rollen verstärkt via ein Antrags- und Genehmigungsverfahren zugewiesen werden. Eine rein system- und regelbasierende Zuweisung von Rollen ist unter dem Aspekt der Access Governance zu unterlassen. Heutige Rollenmodelle müssen die Unternehmenssicht abbilden. Darin verbergen sich dann untergeordnet die zielsystemspezifischen Berechtigungsstrukturen. Heute wird in grossen Organisationen zwischen Business- und IT-Rollen unterschieden. Damit lassen sich allzu komplexe Rollenhierarchien vermeiden. Dabei definieren die IT-Rollen den technischen Bezug der zugewiesenen Berechtigungen. Die Business-Rollen orientieren sich an funktionalen, organisatorischen oder hierarchischen Aspekten der Benutzer. So kann mit geeigneten Rollen die Brücke zwischen Business und der Informatik gebaut werden. Wichtig ist, dass bei der Erstellung von Rollen die Fachbereiche den Lead übernehmen. Leider ist das in der Praxis oft noch nicht der Fall. Die Fachbereiche glauben häufig, dass sie für die Rollenbildung ungenügend qualifiziert sind und überlassen daher den Lead lieber der IT. Das ist ein fataler Trugschluss. Die Rollenbildung muss zusammen mit den Fachbereichen erfolgen. Daher müssen zwingend Wege gefunden werden, um die Fachbereiche stärker in den Rollenbildungs- aber auch in den Rollenwartungs-Prozess (Role-Lifecycle) einzubinden. Es bleibt immer in der Fachbereichs- und Linien-Verantwortung, die Mitarbeiter mit den benötigten Rechten auszustatten und dabei das need-to-know-prinzip bestmöglichst einzuhalten. Dabei gilt es für die Fachbereiche, die verlangte Verantwortung sowohl bei der Rollenerstellung und -Wartung als auch bei der Zuweisung, Pflege und Re-Zertifizierung der Berechtigungen und Rollen zu übernehmen. Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 4/8

5. Access Intelligence Die Access Intelligence liefert den Fachbereichen die notwendigen Informationen, um die korrekten Entscheidungen im Hinblick auf die Kontrolle der erteilten Berechtigungen zu treffen. Damit die Fachbereiche aus der Vielzahl an Zugriffsinformationen die richtigen Schlüsse ziehen und die Berechtigungen richtig vergeben resp. re-zertifizieren, müssen die Daten vorgängig in eine Form gebracht werden, die es den Entscheidungsträgern erlaubt, ihrer Verantwortung nachzukommen. Die Risikobewertung, die etablierte Berechtigungs- und Rollen-Re-Zertifizierung sowie die Funktionstrennung (Segregation of Duties, SoD) sind daher die wichtigsten Voraussetzungen für die Fachbereiche, um die Berechtigungen der Mitarbeiter zu administrieren. Rollen können, losgelöst von einzelnen Berechtigungen, hinsichtlich ihres Risikos bewertet werden. Weiter können Rollen einem Aktivitäts- oder Prozessmodell zugeordnet werden. Auf Ebene der Prozesse und Aktivitäten lassen sich ebenfalls Risikobeurteilungen vornehmen, z.b. nach deren Geschäftskritikalität oder Sicherheitsrelevanz. Die Risikobewertung hilft bei der Steuerung des Reportings/Controllings und hat Einfluss darauf, wie oft eine Rolle bestätigt (rezertifiziert) werden muss. Segregation of Duties (SoD) Wichtig für die Access Intelligence sind auch die Definitionen der Funktionstrennung (SoD). Es muss festgelegt werden, welche Funktionen und Arbeiten in Konflikt mit anderen Aktivitäten stehen. Die SoD-Definitionen können in Form von Policies auf die definierten Business-Rollen angewandt oder, je nach Lösung, direkt auf Aktivitäten, Applikationen und damit auf Zugriffe vererbt werden. Wenn die Funktionstrennung auf der Stufe von Rollen (heute die gängige Praxis) definiert wird, gibt es für die Modellgestaltung zwei grosse Herausforderungen: 1. Minimierung der dem Mitarbeiter zugewiesenen Rollen 2. Definition und Anwendung der SoD für die Rollen Abbildung 3: SoD auf Stufe Rollen (Quelle: Crossideas) Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 5/8

Die grosse Herausforderung besteht darin, dass die Rollen nicht immer 1:1 auf die Business- Aktivitäten zugeschnitten sind. Daher ist es teilweise nicht klar, welche SoD-Policies auf eine Rolle angewandt werden müssen. Noch schwieriger ist es, jederzeit die Rollen auf gegenseitige Konflikte zu prüfen und die entsprechenden Policies zu unterhalten. Zudem ist dieser Ansatz im Administrations-Betrieb (der Pflege von Rollen und SoD Polices) sehr intensiv. Werden die Regeln (2) für die Funktionstrennung auf der Ebene von Aktivitäten (1) gebildet, welche wiederum Prozessen (1) zugeordnet sind, können diese losgelöst von der Aufbauorganisation stabiler definiert werden. Abbildung 4: SoD auf Stufe von Prozessen oder Aktivitäten (Quelle: Crossideas) Die einzelnen Applikationen werden den Aktivitäten zugewiesen (3). Damit ist auch definiert, welche Berechtigungen für welche Funktionen benötigt werden. Sobald dieses Mapping erfolgt ist, kann die Kontrolle der Einhaltung der SoD-Regeln basierend auf den Aktivitäten oder den Prozessen erfolgen. Dabei ist die SoD Prüfung unabhängig von den Rollen, welche für die Zuteilung der Berechtigungen angewendet wurden. Dadurch entsteht eine Entkoppelung von Rollen und Regeln für die Funktionstrennung, welche die Lösung für eine Access Governance agiler und flexibler gestaltet. Ungeachtet der Umsetzungsform: Im Zentrum steht die Sicherstellung, dass gewisse Funktionen nicht gleichzeitig von der selben Person wahrgenommen werden dürfen oder zumindest dafür eine wissentliche Attestierung (Genehmigung des Konflikts) durch das Management erfolgt. Gerade bei Finanzdienstleistern stellt die Gewährleistung der Funktionstrennung eine zentrale Anforderung dar (als Beispiel: Kreditentscheid und -Auszahlung soll durch verschiedene Person erfolgen). Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 6/8

6. Access Governance Dienstleistungen von ipg AG Auch wenn externe Prüfer unter Access Governance oftmals eine Attestierung und Bereinigung von bestehenden Zugriffsberechtigungen verlangen, steht bei einem nachhaltigen und wirkungsvollen Gesamtansatz die Definition von Rollen und Richtlinien (SoDs) für die Steuerung des Zugriffsmanagements im Zentrum. Die Experten von ipg AG unterstützen Sie gerne bei Fragen zur Access Governance. Auch wenn Access Governance ein scheinbar neues Thema ist, hat ipg AG schon seit Jahren ein Dienstleistungs- und Lösungsportfolio im Angebot, welches die vielschichtigen Anforderungen an die Access Governance abdeckt. Abbildung 5: Access Governance Services von ipg AG Einstiegshilfe: Access Check von ipg AG Den ersten Schritt in die Optimierung der Zugriffe schaffen Unternehmen mit dem Access-Check von ipg AG. Dazu müssen keine Softwarelösungen gekauf und installiert werden. Die benötigten Werkzeuge liefert ipg AG im Rahmen der Prüfung (as a Service) mit. Mit dem Access Check von ipg AG konzentrieren sich die Unternehmen vollständig auf die Berechtigungsanalyse und Rechte Re-Zertifizierung. Zu Beginn eines solchen Checks werden der Scope der Prüfung definiert und die zu untersuchendenen Prozesse festgelegt. Anschliessend wird untersucht, welche Systeme für die Prüfung berücksichtigt werden. Sobald diese Festlegung abgeschlossen ist, erfolgt schrittweise die Datenaufbereitung, die Definition der Kontrollen (SoD Regeln) sowie die Auswertung der Ist- Situation. Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 7/8

Abbildung 6: Access Check Vorgehen 7. Fazit Das traditionelle IAM-Modell ist zwar nach wie vor vertretbar. Um aber den Compliance- Anforderungen auch Morgen noch zu entsprechen, muss dieses Modell unter dem Begriff der Access Governance stärker auf das Thema Access Intelligence ausgerichtet werden. Darunter versteht sich die Bereitstellung geeigneter Massnahmen und Funktionalitäten für die Fachbereiche, damit diese in die Berechtigungsvergabe und -Kontrolle einbezogen werden. Kernpunkt dabei ist es, die vormals technischen Berechtigungsinformationen in eine für das Business verständliche Form zu bringen. Access Governance Lösungen bilden eine Plattform für die Fachbereiche, um deren Zugriffe zu steuern. Die IT übernimmt dabei keine Administrationstätigkeit mehr. Die Berechtigungsverwaltung wird durch die Mitarbeiter selbst wahrgenommen. Damit dies möglich ist, bieten diese Plattformen umfangreiche Mitarbeiter-Self-Services Funktionalitäten und, ganz zentral, Workflows für Antragsund Genehmigungsprozesse. Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 8/8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback