Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Helpful TipsEin IAM ist innerhalb der IT-Infrastruktur ein wichtiges Instrument, um Datenzugriff und Prozesse dynamischen Anforderungen effektiv anzupassen. Das Sicherheitsniveau steigt, der Produktivitäts- und Effizienzgewinn des Einzelnen zahlt sich aus – durch eine höhere Flexibilität und Dynamik der gesamten Organisation.

Mit einem IAM profitieren Organisationen aber nicht nur von einer gesteigerten Informationssicherheit sowie höherer Transparenz und Nachvollziehbarkeit bei der Berechtigungsvergabe. Außerdem erfüllen sie die Compliance-Anforderungen im Zusammenhang mit dem Bundesdatenschutzgesetz, KWG / MaRisk, GoBD, PCI-DSS sowie der EU-Datenschutzgrundverordnung (EU-DSGVO). Nachfolgend ein paar Tipps für Implementierung bzw.
Migration:

Tipp 1: Ausreichend Zeit für die Analyse einplanen. Antworten finden auf Fragen wie: Was soll das IAM leisten, welche Anforderungen sind zu definieren, welche Schnittstellen sind zu berücksichtigen, welche technologischen Erfordernisse gibt es innerhalb der Organisation?

Tipp 2: Ein Projektteam gründen, Verantwortlichkeiten und Rollen definieren. Ein IAM-Projekt hat Schnittstellen zu vielen anderen IT-Systemen in der Organisation. Deshalb ist es wichtig, alle Stakeholder mit ins Boot zu holen. Idealerweise gehören Projektteam neben den IT-Fachleuten auch Kollegen aus dem operativen Bereich an, die sich mit den Prozessen im Hause bestens auskennen.

Tipp 3: Datenlage bereinigen. Vor der Migration sind alle bestehenden Benutzerkonten den Beschäftigten im Unternehmen zuzuordnen, nicht mehr relevante Accounts zu löschen und Dateninkonsistenzen zwischen verschiedenen Systemen zu beheben (User-ID-Konsolidierung). So ist sichergestellt, dass die Mitarbeiter nur Zugriffsrechte auf Systeme haben, die sie wirklich haben dürfen. So lassen sich die Datenlage bereinigen, unnötige Lizenzkosten einsparen und unkalkulierbare Sicherheitsrisiken für die Organisation vermeiden.

Tipp 4: Das richtige Beratungshaus finden. Wichtig ist, dass das IAM-Beratungshaus das Unternehmen von der Analyse über die Konzeption bis zur Produktauswahl und Implementierung begleiten kann. Es sollte bei Bedarf die Projektleitung übernehmen können und den Auftraggeber mit einem festen Mitarbeiterstamm über das gesamte Projekt hinweg unterstützen.

Tipp 5: Konzipieren, planen, kontrollieren. Ein IAM-Projekt ist ein komplexes IT-Projekt, das ein Konzept, definierte Ziele und ein straffes Controlling benötigt. Im Konzept sollte die Ist-Situation im Unternehmen auch dann berücksichtigt werden, wenn noch gar kein IAM im Einsatz ist, denn auch dann wurden zu diesem Zeitpunkt bereits digitale Identitäten verwaltet, Berechtigungen vergeben bzw. ist die Zustimmung eines Verantwortlichen einzuholen, bevor eine Berechtigung vergeben werden kann.

Tipp 6: Testsystem einrichten. Auf einem produktionsnahen Testsystem lassen sich mögliche Anpassungen durchspielen, bevor es in die eigentliche heikle Phase, das Migrieren der Systeme und der Daten, geht. Dieser Phase gilt eine besondere Sorgfalt, denn eine Inkonsistenz von Daten kann je nach Größe der Organisation gleich mehrere hunderte oder gar tausende von Benutzern betreffen und damit kostenträchtige Produktivitätsverluste und gravierende Sicherheitsrisiken erzeugen.

Tipp 7: Schrittweise vorgehen. Es empfiehlt sich, im Projektverlauf iterativ vorzugehen, da sonst zeitliche Verzögerungen und erhöhter Aufwand vorprogrammiert sind. Beispielsweise sollten zuerst nur einige wenige wichtige Systeme angebunden und damit automatisiert werden. Mit diesen Erfahrungen lassen sich weitere Arbeitspakete viel besser in Angriff nehmen.

Tipp 8: Prozesse sauber definieren: Die erforderlichen Prozesse für die Verwaltung von Benutzern und Berechtigungen sollten sauber definiert und aufeinander abgestimmt sein. Wichtig ist, hier auch auf Vollständigkeit zu achten, insbesondere bei Benutzergruppen, die vom Standard abweichen wie z.B. Azubis, Externe, die bei einem Abteilungswechsel gern mal durchs Raster fallen.

Tipp 9: Re-Zertifizierung planen. Zugriffsberechtigungen müssen regelmäßig überprüft werden - auch dies lässt sich mit einem IAM professionell über eine Standardisierung und Automatisierung von festgelegten Zeiträumen planen.

Weil eine leistungsfähige und flexible IT-Infrastruktur in Unternehmen und Verwaltung ohne den Einsatz von Cloud-Diensten heute kaum noch denkbar ist, empfiehlt TÜV Rheinland eine stärkere Verzahnung von IAM- und Cloud-Strategie. IAM und Cloud sind die neuen Perimeter der Organisation, was eine entsprechende Adaption der aktuellen Cyber-Security-Strategie erfordert.

Weitere Informationen vom TÜV Rheinland:
IAM: mit Profis die System-Migration meistern

Günter Thiel, Florian Probst, Experten für Identity und Access Management bei TÜV Rheinland

www.tuv.com/iam
 

GRID LIST
Mann mit Notebook wartet im Flughafen

Umfassende Kontrolle über privilegierte Fernzugriffe

BeyondTrusts Enterprise-Lösung für privilegierte Fernzugriffe schützt, überwacht und…
Online-Banking

Online-Zahlungsdienste: Wann ist "sicher" sicher genug?

Banken und Finanzdienstleister müssen ihre Transaktionsdienste ab September 2019 durch…
IAM Concept

Ein IAM in 20 Tagen

Eine Krankenkasse mit etwa 9.000 Usern hat sich entschlossen, ein IAM in Nutzung zu…
IAM Concept

Partnerlösungen für komplexe IAM-Probleme

Ping Identity kündigt neue Programme und Vorteile für die Technology Alliance- und…
IAM Konzept

Ping Intelligent Identity Platform mit verbesserter Kundenerfahrung und IT-Automation

Ping Identity kündigte Updates für seine Software-Produkte, darunter PingFederate,…
Key

Privileged Access Management gegen gefährliche Schwachstellen

Check Point Research hat jüngst einige kritische Schwachstellen im weitverbreiteten…