Identity und Access Management Beratung

Ich bin Freelancer Berater, Consultant und Interim Manager und biete im Zuge einer Identity und Access Management Beratung die folgenden Beratungs-Leistungen an:

  • Identity und Access Management (IAM)
  • User Access Management (UAM)
  • Berechtigungsmanagement
  • Privileged Account und Access Management (PAM)
  • Authentisierung bzw. Authentication und Autorisierung
  • Berechtigungsprozesse und Berechtigungsvergabe
  • Diesbezügliche Regulatorische Anforderungen aus der MARisk, BAIT, VAIT und den EBA Guidelines für IKT /ICT bzw. IT Sicherheit
  • Insbesondere für Banken, Versicherungen und kritische Infrastruktur, die dem BSIG unterliegen
  • Internal Control & internes Kontroll-System (IKS) bzgl- der Berechtigungsvergabe
  • Integration von Prozessen und Risiko-Betrachtungen
  • Schutz des IT Assets durch geeignete Controls im Berechtigungsmanagement
  • Berechtigungsmanagement Projekte mit Six Sigma und Lean Management Methodik
  • Funktionstrennung und Segregation of Duties
  • Passwort Safe und Vaulting
  • Erstellung und Anpassung für Berechtigungskonzepte und Rollenkonzepte
  • Projektmanager und Prozessmanager für o.a. Themen

Das Berechtigungsmanagement – auch User Access Management oder Identity und Access Management genannt – rückt zunehmend in den Fokus regulatorischer Anforderungen. Nachdem das Berechtigungsmanagement bislang in der MARisk am Rande erwähnt war, wurde dem Bereich in der BAIT und VAIT ein eigenes Kapitel gewidmet.  Zuletzt wurden die Anforderungen durch die EBA Guidelines abgerundet und von der Bafin in eine neue BAIT Novelle eingearbeitet. Meine Unternehmensberatung befasst sich mit diesen Anforderungen und der Umsetzung u. a. in Banken und Versicherungen und systemkritischen Branchen (KRITIS – Energieversorgung, Verkehrswesen usw.). Besonderen Wert lege ich dabei auf nachhaltige und dauerhafte Prozesse, sowie auf ein vernünftiges Kosten-Nutzen-Verhältnis. Dies wird vor allem durch ein zeitgemäßes Rollenkonzept umgesetzt. Das Berechtigungsmanagement muss in das Risiko-Management und das IT Sicherheitskonzept eingebunden werden, um ein eine Integration in die Unternehmensziele zu erreichen. Die Implementierung von internal Controls sollte der Größe des Unternehmens entsprechen und eine angemessene Reduzierung des IT Risikos (gemäß Risk Appetite) nach sich ziehen (Risk Based Approach). Privilegierte Konten und privileged Access sollten entsprechend den regulatorischen Anforderungen in das interne Kontroll-System eingebunden sein und in den Berechtigungsprozessen entsprechend berücksichtigt werden. Gleiches gilt generell für die Autorisierung und Authentisierung der User am jeweiligen IT System (Asset). Segregation of Duties bzw Funktionstrennung spielt hier eine entscheidende Rolle, ebenso die Verwaltung von Passworten durch Safes (Vaulting).

Als Consultant für verfüge ich über die entsprechenden Erfahrungen in Umfeld zur Identity und Access Management Beratung. Ich habe mehrere Jahre im Identity und Access Umfeld gearbeitet (internationale börsennotierte Banken) und entsprechende Projekte begleitet, sowie die Prozesse optimiert und gesteuert. Mein klarer Schwerpunkt liegt im betriebswirtschaftlichen und risiko-orientierten Ansatz und Themenbereich. Dennoch verstehe ich mich auf die Kommunikation mit Technikern mit dem Ziel einer anforderungsgerechten Umsetzung von Identity und User Access Management, sowie Berechtigungsmanagement Projekten. Als Lean Six Sigma Black Belt führe ich Projekte -sofern sinnvoll – mit den Methoden und Ansätzen von Lean Management und Six Sigma durch. Meine Erfahrungen runde ich ab durch stetige Weiterbildungen z.B. in den Bereichen Datenschutz als Datenschutzbeauftragter oder IT Sicherheit als IT Sicherheitsbeauftragter.