Unsere Dienstleistungen im Bereich Identity Governance & Administration (IGA) umfassen
Unklare Vergaberegelungen von Berechtigungen, unpersönliche privilegierte Benutzerkonten und die Re-Zertifizierung resp. Prüfung von Rollen / Berechtigungen sowie Berechtigungszuweisungen stellen eine Herausforderung für Unternehmen dar. Durch eine Überprüfung lassen sich operationelle Risiken identifizieren, bewerten und korrigieren.
Unsere Identity Governance & Administration (IGA) Berechtigungsprüfung basiert auf einem Framework zur systematischen Analyse von Prozessen und Systemen, wie beispielsweise HR-Prozesse Joiner, Mover und Leaver.
Die IGA-Berechtigungsprüfung umfasst:
-
Analyse der bestehenden Berechtigungsstrukturen
o Qualität der Zugriffe, gemäss Need-to-Know Prinzip
o Rollen und Berechtigungen nach dem Need-to-Know Prinzip
o Funktionentrennung (Segregation-of-Duties)
o Anzahl Logins bzw. die Häufigkeit der Zugriffe bzw. Nutzung der Anwendung
o Anzahl failed Logins
o Einsatz von Notfall-Usern
-
Analyse der bestehenden Berechtigungs- und Rollenkonzepte
Abweichungen gegenüber den geltenden Richtlinien und Weisungen sowie Optimierungsmöglichkeiten werden dabei detailliert aufgezeigt. Dadurch können Massnahmen eingeleitet und Quick-Wins kurzfristig umgesetzt werden. Die IGA Berechtigungsprüfung kann einmalig oder in Form eines regelmässigen Service durchgeführt werden.
Darüber hinaus sind auch kundenspezifische IGA Prüfungen wie Ausreisser Prüfungen, Prüfung eingesetzter Standards oder themenspezifisch auf (Cloud) Privileged Access Management (C)PAM, Consumer/Customer IAM CIAM sowie weitere Ausprägungen möglich.
Die IGA-Organisationsanalyse geht über die Berechtigungsanalyse hinaus und berücksichtigt die Ebenen Organisation, Prozess und Mensch. Dazu ist das Verständnis für die Prozesse und deren Umsetzung sowie die Organisation erforderlich. Weiter gilt es die Eingliederung der Menschen in die Prozesse und Organisation, deren Verhalten und Tätigkeiten zu verstehen sowie die Praxis im Geschäftsalltag.
Es werden insbesondere folgende Aspekte beleuchtet:
-
Organisation: Analyse der Aufbauorganisation
-
Prozess: Analyse der IAM-Prozesse und deren Umsetzung in der Organisation
-
Mensch: Analyse der Leistungserbringer, deren Aufgaben und Tätigkeiten
Sie erhalten eine fundierte Entscheidungsgrundlage inkl. konkreter Massnahmen für Ihre IGA. InfoGuard berücksichtigt hierfür verschiedene Verfahren, (internationale) Frameworks, Branchen-Vorgaben und Good-/Best- Practices.
Eine solide IGA-Grundlage ist die Voraussetzung, damit Sie ihre strategischen Sicherheitsziele erreichen können. Unser IGA-Konzept umfasst deshalb sowohl Mensch, Prozess und Organisation sowie technologische Aspekte. Dank bewährter Good- und Best-Practices liegt der Fokus auf der praxisnahen Umsetzbarkeit.
Die IGA-Konzeption umfasst:
- Bedürfnisermittlung mit Erfassung und Dokumentation der IST-Situation
- Anforderungsermittlung mit Beschreibung der Anforderungen an die Prozesse, Systeme und Organisation
- Beschreibung möglicher Use-Cases (Anwendungsfälle)
- Erstellen der Massnahmen / Lösungsvorschlag
- Aufzeigen von Lösungsvarianten und deren Bewertung
- Erstellen der Roadmap zur Umsetzung des IGA Konzeptes