Königsdisziplin der ARCA-Consult -
Ihr Mehrwert durch Beratung

 


Unsere langjährige Erfahrung 

und unser fundiertes Fachwissen ermöglichen es uns jederzeit, die komplexen Aufgaben, die die Einführung oder Aktualisierung eines Identity & Access Managements an ein Unternehmen stellt, umzusetzen. Dabei gleicht kein Unternehmen dem anderen.
Unsere individuelle und frische Betrachtungsweise als elementare Kernkompetenz der ARCA-Consult macht den Unterschied.
Mit ausreichend Flexibilität führen wir jedes Projekt zielsicher und wirtschaftlich zum Erfolg.

Doch auch danach sind wir weiterhin für Sie da.
Für eine dauerhafte Wirksamkeit und stets optimale Anpassung setzen wir gemeinsam rechtliche und regulatorische Compliance-Vorgaben um. Somit stellen für Sie periodische Rezertifizierungen, gemäß der Risikoklassifizierung, keine Stolpersteine mehr auf dem Weg zum nächsten erfolgreichen Audit dar.

Unsere Beratungsleistung

Anforderungsdefinition und Gap-Analyse

Zuerst müssen die gesetzlichen und regulatorischen Anforderungen identifiziert werden. Diese Anforderungen spiegeln sich dann in den Sollprozessen für das Berechtigungsmanagement wider. Um den Abdeckungsgrad des Ist-Standes mit den Sollprozesse zu ermitteln, wird eine Gap-Analyse durchgeführt.
Wir identifizieren gemeinsam, bei Bedarf auch unter Einbindung relevanter externer Partner, welche Norm-Anforderungen bereits erfüllt sind und wo ein Anpassungsbedarf erforderlich ist. Daraus lassen sich Aktivitäten und Maßnahmen und den dafür notwendigen Aufwand für die Implementierung ableiten.
Des Weiteren führt der identifizierte Handlungsbedarf zu einem belastbaren Angebot hinsichtlich der für Ihr Unternehmen zugeschnittenen Beratungsleistung.

Tool-Auswahl

Die auf dem Markt befindlichen Software-Tools verfügen über unterschiedliche Schwerpunkte und haben entsprechende Stärken aber auch Schwächen. Bei der Tool-Auswahl muss deshalb auf eine bestmögliche Abdeckung der Anforderungen des Unternehmens geachtet werden.
Für diese unternehmensspezifische Auswahl hat ARCA-Consult ein individualisierbares Auswahlverfahren entwickelt.

Rollenkonzept

Die Entwicklung eines Rollenkonzeptes stellt einen elementaren Baustein beim Aufbau eines IAM-Systems dar. Daher legt ARCA-Consult größten Wert auf die präzise Ausarbeitung dieses Arbeitsschrittes.
Mit einer durchdachten Rollenmodellierung kann die Effektivität des Berechtigungsmanagement-Systems erheblich gesteigert werden. Dies basiert auf der Einteilung unterschiedlicher Rollenarten im Unternehmen und der Zuordnung, welche Elemente oder Aktivitäten innerhalb des gesamten Role-Life-Cycle anwendbar sind. Darauf wird ein automatisierter Rollenzuordnungs-Algorithmus zu den Identitäten aufgesetzt. Eine Rollen-Risiko-Klassifizierung und Rollen-Namenskonvention runden das Rollenkonzept ab.

Berechtigungskonzept

Für jede IT-Anwendung / IT-System können in einem Berechtigungskonzept die Einzelrechte und Rechtegruppierungen eingesehen werden. Natürlich sind darin auch die Authentifizierungs- und Autorisierungs-Regeln hinterlegt und wie diese anzuwenden sind. Eine Risikoklassifizierung und eine Rechte-SoD (segregation of duties) vervollständigen das Konzept.
Dabei unterstützen wir Sie unter anderem mit unseren firmeneigenen Templates und gewährleisten damit einen einheitlichen Konzeptaufbau.

SoD-Matrix / Funktionstrennung

Um den sicheren Betrieb zu gewährleisten und eine Interessenskollision zu vermeiden, stellt die Erarbeitung einer Funktionstrennung (segregation of duties) eine besondere Herausforderung dar.
Hier muss parallel der Top-Down-Ansatz der Rollen nach Funktionsprofil und Position als auch der Bottom-Up-Ansatz nach bereits existierenden Zugriffsrechten verbunden werden. Die hierfür erforderlichen Stellenbeschreibungen und Berechtigungskonzepte bilden die Basis zur Erstellung der SoD-Matrix. Profitieren Sie von unseren Erfahrungswerten für eine übersichtliche und praktikable Anwendung.

Risikoanalyse

Grundsätzlich gilt: Ein IAM-System ist nur so gut, wie die zugrunde liegende Risikoanalyse der zu verwaltenden Berechtigungen. Die Vergabe von Rechten und Rollen, sowie die sich daraus ergebenden Genehmigungsprozesse müssen aufgrund der Integritäts-, Verfügbarkeits-, Authentizitäts- sowie Vertraulichkeitsanalyse getroffen werden. Die abzuleitenden Verarbeitungs- und Eskalationswege sichern folglich die Einhaltung der Compliance-Anforderungen einer Unternehmung.
Das Risiko-Construction-Kit von ARCA-Consult vereinfacht und vereinheitlicht für Sie die Durchführung des Risiko-Managements.

Beantragungsprozess

Das Thema Beantragungsprozess stellt oftmals einen kritisch betrachteten Aspekt innerhalb der Fachabteilungen dar. Die Frage, wie und wer Berechtigungen beantragen kann und welche Regeln es bei den Beantragungsprozessen zu beachten gibt, wirft oftmals viel Verunsicherung auf.
Rechte- und Applikation-Owner kommen hierbei oftmals an ihre Grenzen, da das hierfür benötigte Wissen außerhalb ihrer eigentlichen Kernkompetenz liegt. Deshalb ist es ratsam, diesen Personenkreis bereits im Vorfeld mit einzubeziehen.
Zudem ist ein klar und verständlich formuliertes Rollen- und Rechtemanagement sehr wichtig.

Rechteanalyse

Die in Unternehmen oft gängige Praxis „kopiere mal das Profil von Herrn Müller“ ist die Art der Rechtevergabe, mit der das „Need-to-now-Prinzip“ niemals eingehalten wird. Eine Rechteanalyse vor einer Migration ist somit unabdingbar.
Das Rechte-Analyse-Tool von ARCA-Consult bereitet übersichtlich Ihre Ist-Rechte auf und unterstützt Sie bei einem nachhaltigen Rollendesign.

Migrationsphase

Zur Hauptaufgabe der Einführung eines IAM-Systems zählt die IAM-Migrationsphase. Die Festlegung einer Migrationsart stellt viele Unternehmen vor eine große Herausforderung. Lange Migrationszyklen mit hohem Zeit- und Ressourcenaufwand stellen zusammen mit der Aufrechterhaltung eines Parallelbetriebs einen hohen Kostendruck dar.
ARCA-Consult zählt zu ihren stärksten Kompetenzen die Durchführung eines reibungslosen Migrationsprozesses.

Rezertifizierung

Eine Rezertifizierung überprüft die Richtigkeit und Aktualität des Berechtigungskonzeptes der Rolleninhalte und die Vergabe von Rollen zu Identitäten. ARCA-Consult erarbeitet für Sie Rezertifizierungspläne und legt damit Prozesse und Aktivitäten fest, die aufgrund der Rezertifizierungsergebnisse auszuführen sind.
Dieser zeitintensive Vorgang kann durch die routinierte Vorgehensweise unserer Consultants effizienter gestaltet werden.

Reconciliation

Mit dem Reconciliation wird ein Soll-Ist-Abgleich von Accounts und deren Berechtigungen zwischen IAM-System und dem Berechtigungssystem durchgeführt und auf Konsistenz geprüft.
Unsere Consultants bieten Expertise bei der Identifizierung von Recon-Ausführungssequenzen unter Berücksichtigung der hohen Performance und der Sicherstellung ihres laufenden Betriebes.

Zusätzliche Beratungsleistung im IAM-Umfeld

Passwort-Management

Jedes IAM-System muss im Rahmen des Account-Managements eine Default-Password-Engine vorweisen können. Als Grundlage zur Versorgung dieser Engine ist die im Unternehmen gültige Passwort-Richtlinie heranzuziehen.
Als Partner von ARCA-Consult können Sie auf unser Best-Practice-Wissen zugreifen.

Privileged Account Management / Privileged Access Management

Im Privileged Access Management werden Privileged Accounts nur für einen bestimmten Zeitraum zur Durchführung einer außerordentlichen Aktion zur Verfügung gestellt. Nach Beendigung des Vorgangs wird der Account bis zur erneuten Aktivierung gesperrt. Daher wird diese Disziplin als Privileged Account Management bezeichnet. Ebenso sind die Verwaltung von technischen Accounts und System-Accounts, sowie der zyklische Passwortwechsel von Privileged Accounts Bestandteile des Privileged Access Managements.
Wir identifizieren diese Accounts und bauen mit Ihnen Ihr High Privileged Account Management (HPA) auf.

Privileged Session Management - Protokollierung der kritischen Aktivitäten

Mit einem hochsensiblen Protokollierungssystem wird eine Nachvollziehbarkeit aller Aktivitäten von privilegierten Benutzern (HPA) sichergestellt.
In Kooperation mit Betriebsrat und Führungsebene erarbeiten wir mit ihnen Prozesse, die eine rechtlich einwandfreie Einsichtnahme in diese hochkritische Protokollierung gewährleisten.

Security Information and Event Management (SIEM)

Mit einem Security Information and Event Management (SIEM) werden Gefährdungen des IT-Betriebes identifiziert, klassifiziert und auf ihr Gefahrenpotenzial analysiert. Bei Bedarf werden entsprechende Gegenmaßnahmen eingeleitet. Die dadurch ausgelösten Eventklassen reduzieren Risiken wie Datenklau und Spionage.
Anhand unserer branchenunabhängiger Praxiserfahrung erstellen wir mit Ihnen individuell risikoorientierte Steckbriefe, designen die hierzu erforderlichen Eventklassen und legen die Eskalationsprozesse fest. Dabei wahren wir stets die notwendige Diskretion.