Identity und Access Management Beratung

Identity und Acccess Management Beratung

Ich bin Freelancer Berater, Consultant und Interim Manager und biete im Zuge einer Identity und Access Management Beratung die folgenden Beratungs-Leistungen an:

  • Identity und Access Management (IAM)
  • User Access Management (UAM)
  • Berechtigungsmanagement
  • Privileged Account und Access Management (PAM)
  • Authentisierung bzw. Authentication und Autorisierung
  • Berechtigungsprozesse und Berechtigungsvergabe
  • Diesbezügliche Regulatorische Anforderungen aus der MARisk, BAIT, VAIT und den EBA Guidelines für IKT /ICT bzw. IT Sicherheit
  • Insbesondere für Banken, Versicherungen und kritische Infrastruktur, die dem BSIG unterliegen
  • Internal Control & internes Kontroll-System (IKS) bzgl- der Berechtigungsvergabe
  • Integration von Prozessen und Risiko-Betrachtungen
  • Schutz des IT Assets durch geeignete Controls im Berechtigungsmanagement
  • Berechtigungsmanagement Projekte mit Six Sigma und Lean Management Methodik
  • Funktionstrennung und Segregation of Duties
  • Passwort Safe und Vaulting
  • Erstellung und Anpassung für Berechtigungskonzepte und Rollenkonzepte
  • Projektmanager und Prozessmanager für o.a. Themen

Identity und Access Management im Fokus regulatorischer Anforderungen

Das Berechtigungsmanagement – auch User Access Management oder Identity und Access Management genannt – rückt zunehmend in den Fokus regulatorischer Anforderungen. Nachdem das Berechtigungsmanagement bislang in der MARisk am Rande erwähnt war, wurde dem Bereich in der BAIT und VAIT ein eigenes Kapitel gewidmet.  Zuletzt wurden die Anforderungen durch die EBA Guidelines abgerundet und von der Bafin in eine neue BAIT Novelle eingearbeitet.

Berechtigungsmanagement und Strategie und Governance

Meine Unternehmensberatung befasst sich mit diesen Anforderungen und der Umsetzung u. a. in Banken und Versicherungen und systemkritischen Branchen (KRITIS – Energieversorgung, Verkehrswesen usw.). Besonderen Wert lege ich dabei auf nachhaltige und dauerhafte Prozesse, sowie auf ein vernünftiges Kosten-Nutzen-Verhältnis. Dies wird vor allem durch ein zeitgemäßes Rollenkonzept umgesetzt. Das Berechtigungsmanagement muss in das Risiko-Management und das IT Sicherheitskonzept eingebunden werden, um ein eine Integration in die Unternehmensziele zu erreichen. Die Implementierung von internal Controls sollte der Größe des Unternehmens entsprechen und eine angemessene Reduzierung des IT Risikos (gemäß Risk Appetite) nach sich ziehen (Risk Based Approach).

Privileged Account und Access Management (PAM) – Angriffsvektoren für Cybercrime und regulatorischer Fokus

Privilegierte Konten und privileged Access sind Multiplikatoren für Cyber-Angriffe und stellen potenzielle Angriffsvektoren dar. Sie sollten entsprechend den regulatorischen Anforderungen in das interne Kontroll-System eingebunden sein und in den Berechtigungsprozessen entsprechend berücksichtigt werden. Gleiches gilt generell für die Autorisierung und Authentisierung der User am jeweiligen IT System (Asset). Privilegierte Berechtigungen sollte entsprechend gemanaged werden, um IT Risiken zu beschränken. Just in time spielt hier eine Rolle.

Identity und Access Management (IAM) und Segregation of Duties (Funktionstrennung)

Segregation of Duties bzw. Funktionstrennung spielt hier eine entscheidende Rolle, ebenso die Verwaltung von Passworten durch Safes (Vaulting).

Als Consultant für verfüge ich über die entsprechenden Erfahrungen in Umfeld zur Identity und Access Management Beratung. Ich habe mehrere Jahre im Identity und Access Umfeld gearbeitet (internationale börsennotierte Banken) und entsprechende Projekte begleitet, sowie die Prozesse optimiert und gesteuert. Mein klarer Schwerpunkt liegt im betriebswirtschaftlichen und risiko-orientierten Ansatz und Themenbereich. Dennoch verstehe ich mich auf die Kommunikation mit Technikern mit dem Ziel einer anforderungsgerechten Umsetzung von Identity und User Access Management, sowie Berechtigungsmanagement Projekten. Als Lean Six Sigma Black Belt führe ich Projekte -sofern sinnvoll – mit den Methoden und Ansätzen von Lean Management und Six Sigma durch. Meine Erfahrungen runde ich ab durch stetige Weiterbildungen z.B. in den Bereichen Datenschutz als Datenschutzbeauftragter oder IT Sicherheit als IT Sicherheitsbeauftragter.

Passwort – Management: Ein paar Tipps zum Umgang mit Passworten (in Unternehmen, ggf auch privat)

  • Passworte sollten regelmäßig gewechselt werden (auch wenn sie nicht verwendet wurden)
  • Passworte sollte niemals weitergegeben bzw. geteilt werden
  • Passworte sollten niemals an verschiedenen Systemen verwendet oder „wiederverwendet“ werden
  • Passworte sollten eine gewisse Komplexität aufweisen und nicht leicht zu „erraten“ seien.
  • Accounts sollten nicht dauerhaft „privilegiert“ sein, sondern nut im jeweils erforderlichen Masse (least privileged).
  • Passworte sollten nie in Textform gespeichert werden
  • Es sollte pro user möglichst wenige Accounts (Alias) geben
  • Authentisierung über mehrere Faktoren sollte verwendet weren
  • Privilegierte Tätigkeiten müssen genehmigt und überwacht werden