Security-, Risk- und Compliance Bank-IT
plenum hat eine Bank bei der strategischen Positionierung und Einordnung künftiger...
Assessment IAM & PAM
Professionelles und revisionssicheres Management der Berechtigungen
Professionelles und revisionssicheres Management der Berechtigungen
Unser Kunde, ein Wertpapier-Broker, erhielt im Rahmen einer Prüfung zahlreiche Hinweise, sein Berechtigungsmanagement zu optimieren. Die Aufgaben umfassten u.a. die Schließung der identifizierten Feststellungen seitens Revision und Abschlussprüfer; Ergänzende Betrachtung zum privilegierten Rechtemanagement (Lifecycle-Management, Überwachungsprozesse und Kontrollprozesse) für Anwendungen, Betriebssysteme und Datenbanken sowie die Stabilisierung des internen Kontrollsystem (IKS) zum Berechtigungswesen.
Im Rahmen des Projekts wurde zunächst ein Quick Scan des gesamten Berechtigungsmanagements durchgeführt, um den Ist-Zustand zu analysieren und Handlungsfelder zu identifizieren. Darauf aufbauend entstand ein Zielbild für ein zukunftsfähiges Berechtigungsmanagement, das die Grundlage für alle weiteren Maßnahmen bildet. Ein zentraler Bestandteil war die Bewertung der Einführung eines IAM-Tools zur effizienten Verwaltung von Berechtigungen. Ergänzend wurde eine zentrale Protokollierungsinstanz implementiert, um Aktivitäten von Benutzern mit privilegierten Berechtigungen transparent zu überwachen. Zur Standardisierung und Vereinfachung der Prozesse wurden Templates für die Berechtigungsvergabe sowie für Berechtigungskonzepte entwickelt. Abschließend erfolgte die Überarbeitung der bestehenden Arbeitsanweisungen, um die neuen Anforderungen und Best Practices verbindlich zu verankern.
Das Projekt hat ein stabiles und erweiterungsfähiges Privileged Account Management (PAM) etabliert, das eine sichere Verwaltung privilegierter Zugänge gewährleistet und zukünftige Anforderungen flexibel unterstützt. Darüber hinaus wurde das Personal auf allen relevanten Ebenen geschult, um die neuen Prozesse und Sicherheitsmechanismen effektiv anzuwenden. Das Berechtigungsmanagement erfüllt nun die regulatorischen Anforderungen in den Dimensionen Berechtigungsvergabe, Überwachung und Kontrolle und sorgt damit für eine revisionssichere Umsetzung. Ergänzend wurde durch gezielte Maßnahmen die Sensibilisierung und Akzeptanz der operativen Einheiten erreicht, was die nachhaltige Verankerung des neuen Berechtigungsmodells sicherstellt.
„Mit diesem Projekt haben wir ein stabiles und erweiterungsfähiges Privileged Account Management etabliert, regulatorische Anforderungen an das Berechtigungsmanagement vollständig erfüllt und unser Personal umfassend geschult. Damit erhöhen wir nicht nur die Sicherheit und Compliance, sondern schaffen auch Akzeptanz und Nachhaltigkeit in den operativen Einheiten.“
- Projektleiter
