Anforderungsdefinition und Gap-Analyse
Zuerst müssen die gesetzlichen und regulatorischen Anforderungen identifiziert werden. Diese Anforderungen spiegeln sich dann in
den Sollprozessen für das Berechtigungsmanagement wider. Um den Abdeckungsgrad des Ist-Standes mit den Sollprozessen zu ermitteln,
wird eine Gap-Analyse durchgeführt.
Wir identifizieren gemeinsam, bei Bedarf auch unter Einbindung relevanter externer Partner,
welche Norm-Anforderungen bereits erfüllt sind und wo ein Anpassungsbedarf erforderlich ist. Daraus lassen sich Aktivitäten und
Maßnahmen und den dafür notwendigen Aufwand für die Implementierung ableiten.
Des Weiteren führt der identifizierte Handlungsbedarf zu einem belastbaren Angebot hinsichtlich der für Ihr Unternehmen
zugeschnittenen Beratungsleistung.
Tool-Auswahl
Die auf dem Markt befindlichen Software-Tools verfügen über unterschiedliche Schwerpunkte und haben entsprechende Stärken aber auch Schwächen. Bei der Tool-Auswahl muss deshalb auf eine bestmögliche Abdeckung der Anforderungen des Unternehmens geachtet werden.
Für diese unternehmensspezifische Auswahl hat ARCA-Consult ein individualisierbares Auswahlverfahren entwickelt.
Rollenkonzept
Die Entwicklung eines Rollenkonzeptes stellt einen elementaren Baustein beim Aufbau eines IAM-Systems dar. Daher legt ARCA-Consult größten Wert auf die präzise Ausarbeitung dieses Arbeitsschrittes.
Mit einer durchdachten Rollenmodellierung kann die Effektivität des Berechtigungsmanagement-Systems erheblich gesteigert werden.
Dies basiert auf der Einteilung unterschiedlicher Rollenarten im Unternehmen und der Zuordnung, welche Elemente oder Aktivitäten innerhalb des gesamten Role-Life-Cycle anwendbar sind. Darauf wird ein automatisierter Rollenzuordnungs-Algorithmus zu den Identitäten aufgesetzt. Eine Rollen-Risiko-Klassifizierung und Rollen-Namenskonvention runden das Rollenkonzept ab.
Berechtigungskonzept
Für jede IT-Anwendung / IT-System können in einem Berechtigungskonzept die Einzelrechte und Rechtegruppierungen eingesehen werden. Natürlich sind darin auch die Authentifizierungs- und Autorisierungs-Regeln hinterlegt und wie diese anzuwenden sind. Eine Risikoklassifizierung und eine Rechte-SoD (segregation of duties) vervollständigen das Konzept.
Dabei unterstützen wir Sie unter anderem mit unseren firmeneigenen Templates und gewährleisten damit einen einheitlichen Konzeptaufbau.
SoD-Matrix / Funktionstrennung
Um den sicheren Betrieb zu gewährleisten und eine Interessenskollision zu vermeiden, stellt die Erarbeitung einer Funktionstrennung (segregation of duties) eine besondere Herausforderung dar.
Wir unterstützen Sie bei der Analyse der gesetzlichen und branchenüblichen Anforderungen sowie mit Best-Practice-Lösungen zur Konzipierung einer prüfungssicheren Funktionstrennung. Profitieren Sie von unseren Erfahrungswerten für eine übersichtliche und praktikable Anwendung.
Risikoanalyse
Grundsätzlich gilt: Ein IAM-System ist nur so gut, wie die zugrunde liegende Risikoanalyse der zu verwaltenden Berechtigungen.
Die Vergabe von Rechten und Rollen, sowie die sich daraus ergebenden Genehmigungsprozesse müssen aufgrund der Integritäts-, Verfügbarkeits-, Authentizitäts- sowie Vertraulichkeitsanalyse getroffen werden. Die abzuleitenden Verarbeitungs- und Eskalationswege sichern folglich die Einhaltung der Compliance-Anforderungen einer Unternehmung.
ARCA-Consult unterstützt Sie bei der Vereinfachung und Vereinheitlichung Ihres Risiko-Managements.
Beantragungsprozess
Das Thema Beantragungsprozess stellt oftmals einen kritisch betrachteten Aspekt innerhalb der Fachabteilungen dar. Die Frage, wie und wer Berechtigungen beantragen kann und welche Regeln es bei den Beantragungsprozessen zu beachten gibt, wirft oftmals viel Verunsicherung auf.
Rechte- und Applikation-Owner kommen hierbei oftmals an ihre Grenzen, da das hierfür benötigte Wissen außerhalb ihrer eigentlichen Kernkompetenz liegt. Deshalb ist es ratsam, diesen Personenkreis bereits im Vorfeld mit einzubeziehen.
Zudem ist ein klar und verständlich formuliertes Rollen- und Rechtemanagement sehr wichtig.
Rechteanalyse
Die in Unternehmen oft gängige Praxis „kopiere mal das Profil von Herrn Müller“ ist die Art der Rechtevergabe, mit der das „Need-to-now-Prinzip“ niemals eingehalten wird. Eine Rechteanalyse vor einer Migration ist somit unabdingbar.
Das Rechte-Analyse-Tool von ARCA-Consult bereitet übersichtlich Ihre Ist-Rechte auf und unterstützt Sie bei einem nachhaltigen Rollendesign.
Migrationsphase
Zur Hauptaufgabe der Einführung eines IAM-Systems zählt die IAM-Migrationsphase. Die Festlegung einer Migrationsart stellt viele Unternehmen vor eine große Herausforderung.
Lange Migrationszyklen mit hohem Zeit- und Ressourcenaufwand stellen zusammen mit der Aufrechterhaltung eines Parallelbetriebs einen hohen Kostendruck dar.
ARCA-Consult zählt zu ihren stärksten Kompetenzen die Durchführung eines reibungslosen Migrationsprozesses.
Rezertifizierung
Eine Rezertifizierung überprüft die Richtigkeit und Aktualität von Berechtigungskonzepten, Rolleninhalten und die Vergabe von Rollen zu Identitäten. ARCA-Consult erarbeitet für Sie Rezertifizierungspläne und legt damit Prozesse und Aktivitäten fest, die aufgrund der Rezertifizierungsergebnisse auszuführen sind.
Dieser zeitintensive Vorgang kann durch die routinierte Vorgehensweise unserer Consultants effizienter gestaltet werden.
Reconciliation
Durchführung eines Soll-Ist-Abgleichs von Accounts und deren Berechtigungen zwischen IAM- und Berechtigungssystem sowie deren Prüfung auf Konsistenz.
Unsere Consultants bieten Expertise bei der Identifizierung von Recon-Ausführungssequenzen unter Berücksichtigung der hohen Performance und der Sicherstellung ihres laufenden Betriebes.