Unsere Spezialisten haben einen Quick Check für das Identity and Access Management entwickelt, mit dem sich rasch Lücken aufdecken und Gefahren identifizieren lassen. Als Ausgangspunkt legen wir gemeinsam mit Ihnen IAM-Strategie, Prozesse und IAM-Tools fest.

• Zur IAM-Strategie gehört in der Regel ein dediziertes IAM-Operating-Model. Dessen Ziel ist es, Aufgaben und Verantwortlichkeiten zu definieren und Prozesse allen Stakeholdern transparent zu machen. Diese Basis ist umso wichtiger, da Änderungen am IAM immer Auswirkungen auf die gesamte Organisation haben.
• Sobald der Ausgangspunkt im IAM-Operating-Model gesetzt ist, gilt es, die konkreten Verantwortlichkeiten und Prozesse zu regeln. Das kann etwa die Aufgaben der Asset-Owner beim Management der Segregation-of-Duties-Konflikte (SoD) umfassen. Oder es werden einheitliche Regelungen zum Management der Identitäten bei Fluktuation im Unternehmen definiert (sogenannte Joiner-Mover-Leaver).
• Neben dem Prozessdesign ist auch die Auswahl geeigneter Tools von großer Bedeutung. Die IAM-Tools können das Management von Identitäten effizienter gestalten und die Basis zum Umgang mit privilegierten Benutzern legen. Es ist vorteilhaft, wenn die Toolauswahl immer mit der IAM-Strategie und den Prozessen korrespondiert; sie kann nie losgelöst betrachtet werden.

Im Quick Check berücksichtigen wir alle Aspekte des Identity and Access Managements und bewerten die Punkte hinsichtlich ihrer Kritikalität im Sinne der regulatorischen Anforderungen (etwa aus BAIT oder DORA) sowie hinsichtlich der individuellen Relevanz für Ihr Institut und entwickeln auf dieser Grundlage eine priorisierte Handlungsempfehlung.

Das IAM Operating Model steht im Zentrum jeder IAM-Lösung. Ein Institut muss für sich ein Zielbild entwerfen, wie mit den Fragestellungen rund um das Identity and Access Management umzugehen ist.

• Wie werden toxische Rollen- Rechte-Kombinationen erkannt und gemanagt?
• Wie soll mit privilegierten Identitäten umgegangen werden?
• Soll auf Standardsoftware oder auf selbstentwickelte Lösungen zurückgegriffen werden?
• Welche Technologien kommen zum Einsatz?

Dies sind nur einige ausgewählte Fragen, die zur Definition des Operating-Models beantwortet werden müssen. Darauf aufbauend kann ein Institut dann über Prozesse und Systeme entscheiden.

Aufbauend auf den Entscheidungen gemäß des IAM-Operating-Models werden für das IAM relevante Prozesse definiert. Da diese in der Regel das gesamte Haus betreffen, ist es für den Erfolg enorm wichtig, von Anfang an alle Stakeholder in die Gestaltung der Workflows einzubinden. Unsere Berater haben aufgrund ihrer langjährigen Erfahrung in der Umsetzung der IAM-Prozesse den für eine erfolgreiche Einführung notwendigen geschulten Blick. So achten sie beispielsweise darauf, die SoD-Prozesse so zu designen, dass Rechte stets nach dem Need-to-know-Prinzip vergeben werden. Bei Prozessen zum Management der Joiner-Mover-Leaver und den mit Abteilungswechseln verbundenen Rechteänderungen ist für uns die prozessuale Umsetzung einer Role Based Access Control (RBAC) selbstverständlich.

Jedes IAM ist neben der rein prozessualen Komponente geprägt von den technischen Systemen für die eigentliche Umsetzung. PPI kennt die Erfolgsfaktoren, wie die Integration in das Benutzermanagement oder die Anforderung zur Multi-Faktor-Authentifizierung. Unsere Berater unterstützen Sie bei der Toolauswahl. Wir haben den Überblick über die gängigen Systeme und entscheiden gemeinsam mit Ihnen, welches System am besten zu Prozessen und Strategie passt. Dabei achten wir neben den funktionalen und fachlichen Anforderungen auch darauf, dass die Systeme benutzerfreundlich sind und eine hohe Kompatibilität zur bestehenden Systemlandschaft besitzen.

Das Management der privilegierten Benutzer erfordert eine Verbindung der prozessualen und systemseitigen Komponenten im IAM. In den Lösungsansätzen von PPI werden in den PAM-Systemen die persönlichen und technischen Benutzer kategorisiert und hinsichtlich ihres Privilegierungsgrades bewertet. Darauf aufbauend suchen wir passgenaue Lösungen zur Kontrolle der privilegierten Benutzer sowie zum Session Recording and Monitoring. Um schnell auf Angriffe oder mögliche Betrugsfälle reagieren zu können, verknüpfen wir das Management der privilegierten Benutzer mit SIEM-Lösungen.