IT Security Management

ADWEKO unterstützt Sie bei der Erreichung eines nachhaltigen Informationssicherheitsniveaus zur Einhaltung von gesetzlichen Vorgaben wie MaRisk oder BAIT.

Herausforderungen und Anforderungen an das IT Security Management

Durch die zunehmende Vernetzung von Informationstechnologien zur Unterstützung von Geschäftsprozessen sowie durch die stetig steigenden Anforderungen des Regulators (u.a. BAIT, BDSG, DSGVO, KRITIS) gewinnt die IT- und Informationssicherheit immer mehr an Bedeutung. Nachdem vor allem im Zuge der vergangenen regulatorischen Welle (u.a. im Accounting, Meldewesen und Risikobereich) viele Insellösungen gebaut wurden, stehen Unternehmen vor der Herausforderung, diese unter einer ISMS-Infrastruktur und den entsprechenden Prozessen zu harmonisieren. Ein flexibles Informations­sicherheits­management­system (ISMS) beispielsweise angelehnt an den ISO-Standards 27001/5 kann ein wesentlicher Erfolgsfaktor dafür sein, um als Unternehmen weiter zu wachsen und gleichzeitig das erforderliche Sicherheitsniveau zu halten.

ADWEKO unterstützt Sie auf Grundlage des ISMS ein unternehmensweites IT-Sicherheitsmanagement zu entwickeln und toolgestützt umzusetzen. Ob Berechtigungsmanagement, IT-Asset Inventory, Individual Data Processing (IDP) oder Aufbauorganisation, wir stehen Ihnen mit Rat und Tat zur Seite.

Identity Access Management

Identity Access Management (IAM) beschreibt Gesamtlösungen, die Anwender mit Zugängen zu IT-Ressourcen versorgen, die sie im Rahmen ihrer Aufgabenbereiche benötigen.

Interne und externe regulatorische Anforderungen (Governance & Compliance) verlangen, dass diese Zugänge aber auch nicht mehr umfassen als wirklich notwendig ist (least privilege-, need to know oder Minimalprinzip). Ergänzend sollen bei der Vergabe besondere Risiken z.B. aus kritischen Funktionen und Funktionstrennungsaspekten behandelt werden (Segregation of Duties).

Segregation of Duties

Die Trennung von fachlichen und IT-technischen Funktionen auf Anwender- und Berechtigungs­ebene dient in erster Linie der Vorbeugung betrügerischer Aktivitäten durch Benutzer. Darüber hinaus werden Interessens­konflikte und das Risiko von Prozess­fehlern verringert.

Zur Herstellung einer Segregation of Duties (SoD)-Compliance, die den regulatorischen Anforderungen gerecht wird, verfolgt ADWEKO eine bewährte Methode und unterstützt beim Aufbau eines SoD Rahmen­werks, der Etablier­ung von SoD-Regeln und deren Implementier­ung in eine geeignete Berechtigungs­manage­ment Software.

Privileged Access Management

Beim Privileged Access Management (PAM) geht es um die Verwaltung von Accounts mit erhöhten Zugriffsrechten (z.B. Administratoren-Rechte) bzw. privilegierten Berechtigungen auf Systeme oder Ressourcen. Neben dem klassischen IAM für Business Anwender widmet sich dieser Themenkomplex vor allem den besonderen Schutzbedarfen von privilegierten Rollen und Rechten im IT-Bereich.

ADWEKO unterstützt bei der Etablierung einer PAM-Lösung, die alle privilegierten Accounts inklusive der dazugehörigen Kontrollen (bspw. Passwort-Rotation oder Session Monitoring) verwaltet. Ausgangsbasis hierfür ist eine Soll-/ Ist-Analyse des PAM-Umfelds.

ITSM-konforme Aufbauorganisation

ADWEKO unterstützt Sie bei der Etablierung eines explizit dezentral angelegten Organisations­modells. Nicht nur die Überprüfung der Strategie und Governance wird als regelmäßige Aufgabe der Organisation verstanden, sondern es sind auch Rollen, Verantwortlichkeiten und Kompe­ten­zen zu definieren. Die Aufgaben­trennung erfolgt gemäß des Three-Lines-of-Defense-Modells.

IT Asset Inventory

Neben der nachvollziehbaren Dokumentation der Anwendungen und der Prozesse dient ein IT Asset Inventory insbesondere dem Schutz der Anwendungsdaten.

Wir unterstützen Sie bei der Einführung eines IT Asset Inventories, bei dem regulatorische Anforderungen zu berücksichtigen sind. Durch effiziente Prozesse, die periodisch laufen, wird eine fortlaufende Aktualisierung und dauerhafte Sicherstellung des Datenschutzes sowie eine zuverlässige und konstante Datenqualität im IT Asset Inventory gewährleistet.

Individual Data Processing

Gemäß ISO muss sichergestellt werden, dass Anwendungen zur individuellen Datenverarbeitung (IDV) die Schutzbedarfe der verarbeiteten Daten berücksichtigen. Daher müssen IDVs identifiziert, klassifiziert und inventarisiert werden.

ADWEKO unterstützt Sie bei der Absicherung anforderungskonformer IDVs, welche als Input für wesentliche unternehmerische Entscheidungen dienen. Dazu gehört u.a. die Etablierung Software-gestützter Werkzeuge zur Kategorisierung und Handhabung von IDVs, die Implementierung von geeigneten Kontrollmaßnahmen (automatische und manuelle Checks) sowie die Einführung von unternehmensweiten IDV-Standards und -Richtlinien.

Unsere Kompetenz

  • Projektleitung

    Umfangreiche Erfahrung bei der Projektleitung komplexer ITSM-Projekte

  • Fachliche Umsetzung

    Umfassende Kenntnisse über regulatorische Anforderungen und Normen

  • Expertise

    Unser Berater verfügen über langjährige Projekterfahrung sowie Zertifizierungen im Bereich ITSM

Referenzen

IT-Sicherheitsmanagement

ADWEKO unterstützt eine Landesbausparkasse im Meldewesenbereich beim Einsatz von DV-Anwendungen gemäß IT-Sicherheitsmanagement

Mario Sonneborn