Datensicherheit blau leuchtender Fingerabdruck

identity & access management

Zentrale Steuerung und Verwaltung von digitalen Identitäten und Zugriffsrechten für die Nutzung von IT-Services (u.a. Cloud), Anwendungen und IT-Infrastruktur.

berechtigungen – risiken und lösungen

Berechtigungen zu verwalten ist bislang oft Sache der IT: Fachbereiche melden benötigte Berechtigungen für ihre Mitarbeiter; die IT-Abteilung setzt diese für die jeweilige Anwendung um. Ein im Grunde einfaches System, das aber mit enormen Risiken verbunden ist. Denn häufig werden mehr Berechtigungen vergeben als benötigt werden, und Zugriffsrechte für eigentlich zu trennende Aufgabenstellungen werden ungeprüft eingerichtet.  Eine fehlende anwendungsübergreifende Sicht auf alle Berechtigungen eines Mitarbeiters und auf veränderte Bedarfe an Berechtigungen eines Mitarbeiters sowie fehlende Kontrollen führen zu einer Situation, die dem Missbrauch von Berechtigungen Tür und Tor öffnen: Ein Risiko, das auch von Prüfern erkannt und aktiv adressiert wird.

gesamthafte betrachtung - das IAM governancemodell

plenum systematisiert und strukturiert das Berechtigungsmanagement mit einem konsistenten Governance-Modell. Das Modell stellt sicher, dass

  • klare Verantwortlichkeiten für die Vergabe von Berechtigungen definiert sind,
  • hohe Transparenz über die erteilten Berechtigungen übergreifend über Anwendungen und Infrastrukturen erzeugt wird,
  • Berechtigungen, inkl. der privilegierten Berechtigungen, restriktiv vergeben werden und
  • wirksame, mehrstufige Kontrollen und Überwachungsmechanismen etabliert werden.

Die Nutzung unseres Governancemodells stellt sicher, dass nicht nur die regulatorischen Anforderungen (bspw. BAIT, VAIT, BSI-KritisV) erfüllt, sondern auch die operationellen Risiken des Unternehmens gesenkt und die Effizienz der Abläufe gesteigert werden. 

unser beratungsangebot

Wir begleiten unsere Kunden von der Etablierung der notwendigen Governance bis hin zur Implementierung gesamtheitlicher Berechtigungsmanagement-Lösungen (IAM - Identity & Access Management, PAM - Privileged Access Management). Dies beinhaltet auch die notwendige Integration von IT-Systemen und Anwendungen.

Wir erstellen mit unseren Kunden compliance-konforme Governance-Strukturen für das Berechtigungsmanagement. Hierbei entwickeln wir - zugeschnitten auf die jeweilige Organisation - Strategien (inkl. Ziele), übergeordnete Verantwortungs- und Rollenmodelle, Regelungen zur Funktionstrennung (SoD) sowie Richtlinien und Arbeitsanweisungen (SfO) und betten diese in das interne Kontrollsystem ein.

Wir gestalten die operativen Prozesse für das Berechtigungsmanagement (u.a. Management von digitalen Identitäten und Berechtigungsobjekten, Beantragung und Einrichtung von Zugriffsrechten), definieren die notwendigen Kontrollen (u.a. Rezertifizierungen, Soll-Ist Abgleich, Funktionstrennung) und implementieren diese auf Basis der vorgegebenen Governance nachhaltig in der Organisation.

Wir erheben die spezifischen Anforderungen unter Berücksichtigung aller internen und externen Compliance-Vorgaben und wählen auf dieser Basis ein geeignetes Tool für das Berechtigungsmanagement aus. Anschließend führen wir dieses Tool technisch und organisatorisch ein und binden die relevanten IT-Systeme und Anwendungen an.

Für die Protokollierung und Überwachung von Aktivitäten mit kritischen (privilegierten) Zugriffsrechten (bspw. IT-Administratoren) wählen wir ein geeignetes Tool (PAM-Lösung) aus. Dieses führen wir gemeinsam mit dem Kunden sowohl technisch wie auch organisatorisch im Unternehmen ein. 

Wir unterstützen Sie bei der zielgruppenorientierten Kommunikation der relevanten Veränderungen (u.a. durch Schulungen, Benutzerdokumentationen, Videoanleitungen etc.) und bei der aktiven Steuerung der Zielerreichung zum Berechtigungsmanagement bzw. Privileged Access Management.