Anzeige

Anzeige

VERANSTALTUNGEN

Software Quality Days 2019
15.01.19 - 18.01.19
In Wien

CloudFest 2019
23.03.19 - 29.03.19
In Europa-Park, Rust

Blockchain Summit
25.03.19 - 26.03.19
In Frankfurt, Kap Europa

SMX München
02.04.19 - 03.04.19
In ICM – Internationales Congress Center München

Anzeige

Anzeige

Anzeige

Helpful TipsEin IAM ist innerhalb der IT-Infrastruktur ein wichtiges Instrument, um Datenzugriff und Prozesse dynamischen Anforderungen effektiv anzupassen. Das Sicherheitsniveau steigt, der Produktivitäts- und Effizienzgewinn des Einzelnen zahlt sich aus – durch eine höhere Flexibilität und Dynamik der gesamten Organisation.

Mit einem IAM profitieren Organisationen aber nicht nur von einer gesteigerten Informationssicherheit sowie höherer Transparenz und Nachvollziehbarkeit bei der Berechtigungsvergabe. Außerdem erfüllen sie die Compliance-Anforderungen im Zusammenhang mit dem Bundesdatenschutzgesetz, KWG / MaRisk, GoBD, PCI-DSS sowie der EU-Datenschutzgrundverordnung (EU-DSGVO). Nachfolgend ein paar Tipps für Implementierung bzw.
Migration:

Tipp 1: Ausreichend Zeit für die Analyse einplanen. Antworten finden auf Fragen wie: Was soll das IAM leisten, welche Anforderungen sind zu definieren, welche Schnittstellen sind zu berücksichtigen, welche technologischen Erfordernisse gibt es innerhalb der Organisation?

Tipp 2: Ein Projektteam gründen, Verantwortlichkeiten und Rollen definieren. Ein IAM-Projekt hat Schnittstellen zu vielen anderen IT-Systemen in der Organisation. Deshalb ist es wichtig, alle Stakeholder mit ins Boot zu holen. Idealerweise gehören Projektteam neben den IT-Fachleuten auch Kollegen aus dem operativen Bereich an, die sich mit den Prozessen im Hause bestens auskennen.

Tipp 3: Datenlage bereinigen. Vor der Migration sind alle bestehenden Benutzerkonten den Beschäftigten im Unternehmen zuzuordnen, nicht mehr relevante Accounts zu löschen und Dateninkonsistenzen zwischen verschiedenen Systemen zu beheben (User-ID-Konsolidierung). So ist sichergestellt, dass die Mitarbeiter nur Zugriffsrechte auf Systeme haben, die sie wirklich haben dürfen. So lassen sich die Datenlage bereinigen, unnötige Lizenzkosten einsparen und unkalkulierbare Sicherheitsrisiken für die Organisation vermeiden.

Tipp 4: Das richtige Beratungshaus finden. Wichtig ist, dass das IAM-Beratungshaus das Unternehmen von der Analyse über die Konzeption bis zur Produktauswahl und Implementierung begleiten kann. Es sollte bei Bedarf die Projektleitung übernehmen können und den Auftraggeber mit einem festen Mitarbeiterstamm über das gesamte Projekt hinweg unterstützen.

Tipp 5: Konzipieren, planen, kontrollieren. Ein IAM-Projekt ist ein komplexes IT-Projekt, das ein Konzept, definierte Ziele und ein straffes Controlling benötigt. Im Konzept sollte die Ist-Situation im Unternehmen auch dann berücksichtigt werden, wenn noch gar kein IAM im Einsatz ist, denn auch dann wurden zu diesem Zeitpunkt bereits digitale Identitäten verwaltet, Berechtigungen vergeben bzw. ist die Zustimmung eines Verantwortlichen einzuholen, bevor eine Berechtigung vergeben werden kann.

Tipp 6: Testsystem einrichten. Auf einem produktionsnahen Testsystem lassen sich mögliche Anpassungen durchspielen, bevor es in die eigentliche heikle Phase, das Migrieren der Systeme und der Daten, geht. Dieser Phase gilt eine besondere Sorgfalt, denn eine Inkonsistenz von Daten kann je nach Größe der Organisation gleich mehrere hunderte oder gar tausende von Benutzern betreffen und damit kostenträchtige Produktivitätsverluste und gravierende Sicherheitsrisiken erzeugen.

Tipp 7: Schrittweise vorgehen. Es empfiehlt sich, im Projektverlauf iterativ vorzugehen, da sonst zeitliche Verzögerungen und erhöhter Aufwand vorprogrammiert sind. Beispielsweise sollten zuerst nur einige wenige wichtige Systeme angebunden und damit automatisiert werden. Mit diesen Erfahrungen lassen sich weitere Arbeitspakete viel besser in Angriff nehmen.

Tipp 8: Prozesse sauber definieren: Die erforderlichen Prozesse für die Verwaltung von Benutzern und Berechtigungen sollten sauber definiert und aufeinander abgestimmt sein. Wichtig ist, hier auch auf Vollständigkeit zu achten, insbesondere bei Benutzergruppen, die vom Standard abweichen wie z.B. Azubis, Externe, die bei einem Abteilungswechsel gern mal durchs Raster fallen.

Tipp 9: Re-Zertifizierung planen. Zugriffsberechtigungen müssen regelmäßig überprüft werden - auch dies lässt sich mit einem IAM professionell über eine Standardisierung und Automatisierung von festgelegten Zeiträumen planen.

Weil eine leistungsfähige und flexible IT-Infrastruktur in Unternehmen und Verwaltung ohne den Einsatz von Cloud-Diensten heute kaum noch denkbar ist, empfiehlt TÜV Rheinland eine stärkere Verzahnung von IAM- und Cloud-Strategie. IAM und Cloud sind die neuen Perimeter der Organisation, was eine entsprechende Adaption der aktuellen Cyber-Security-Strategie erfordert.

Weitere Informationen vom TÜV Rheinland:
IAM: mit Profis die System-Migration meistern

Günter Thiel, Florian Probst, Experten für Identity und Access Management bei TÜV Rheinland

www.tuv.com/iam
 

GRID LIST
Philipp Jacobi

Mit Identity Governance zu mehr IT-Sicherheit

Immer mehr Mitarbeiter greifen über mobile-basierte Anwendungen auf Unternehmensdaten in…
Smart City

IOTA treibt Smart-City-Initiative mit biometrischer Identitätsprüfung voran

Tangle von IOTA, ein auf azyklisch gerichteten Graphen basierendes Transaktionssystem,…
Fragezeichen

Vertrauenswürdige Identitätslösungen aus der Cloud

HID Global sieht eine steigende Nutzung der Cloud beim Identitätsmanagement. Gründe sind…
Leitfaden IAM-Projekte erfolgreich umsetzen

Praxis-Leitfaden zur erfolgreichen Umsetzung von IAM-Projekten

Airlock veröffentlicht zusammen mit seinen Partnern Beta Systems, KPMG und TIMETOACT den…
Tb W190 H80 Crop Int 49b8aad2435603d564c50d2760b776ff

Privileged Access-Management die Basis für IAM

Viele der in letzter Zeit bekannt gewordenen Cyberangriffe und Datenverstöße haben eines…
Rubik Würfel

Ganzheitliche Applikationssicherheit dank kombinierter Disziplinen

Durch die Digitalisierung steigen die Cyber-Attacken auf Applikationen und Webservices…
Smarte News aus der IT-Welt