IT Security Management
ADWEKO unterstützt Sie bei der Erreichung eines nachhaltigen Informationssicherheitsniveaus zur Einhaltung von gesetzlichen Vorgaben wie MaRisk oder BAIT.
Herausforderungen und Anforderungen an das IT Security Management
Durch die zunehmende Vernetzung von Informationstechnologien zur Unterstützung von Geschäftsprozessen sowie durch die stetig steigenden Anforderungen des Regulators (u.a. BAIT, BDSG, DSGVO, KRITIS) gewinnt die IT- und Informationssicherheit immer mehr an Bedeutung. Nachdem vor allem im Zuge der vergangenen regulatorischen Welle (u.a. im Accounting, Meldewesen und Risikobereich) viele Insellösungen gebaut wurden, stehen Unternehmen vor der Herausforderung, diese unter einer ISMS-Infrastruktur und den entsprechenden Prozessen zu harmonisieren. Ein flexibles Informationssicherheitsmanagementsystem (ISMS) beispielsweise angelehnt an den ISO-Standards 27001/5 kann ein wesentlicher Erfolgsfaktor dafür sein, um als Unternehmen weiter zu wachsen und gleichzeitig das erforderliche Sicherheitsniveau zu halten.
ADWEKO unterstützt Sie auf Grundlage des ISMS ein unternehmensweites IT-Sicherheitsmanagement zu entwickeln und toolgestützt umzusetzen. Ob Berechtigungsmanagement, IT-Asset Inventory, Individual Data Processing (IDP) oder Aufbauorganisation, wir stehen Ihnen mit Rat und Tat zur Seite.
Identity Access Management
Identity Access Management (IAM) beschreibt Gesamtlösungen, die Anwender mit Zugängen zu IT-Ressourcen versorgen, die sie im Rahmen ihrer Aufgabenbereiche benötigen.
Interne und externe regulatorische Anforderungen (Governance & Compliance) verlangen, dass diese Zugänge aber auch nicht mehr umfassen als wirklich notwendig ist (least privilege-, need to know oder Minimalprinzip). Ergänzend sollen bei der Vergabe besondere Risiken z.B. aus kritischen Funktionen und Funktionstrennungsaspekten behandelt werden (Segregation of Duties).
Segregation of Duties
Die Trennung von fachlichen und IT-technischen Funktionen auf Anwender- und Berechtigungsebene dient in erster Linie der Vorbeugung betrügerischer Aktivitäten durch Benutzer. Darüber hinaus werden Interessenskonflikte und das Risiko von Prozessfehlern verringert.
Zur Herstellung einer Segregation of Duties (SoD)-Compliance, die den regulatorischen Anforderungen gerecht wird, verfolgt ADWEKO eine bewährte Methode und unterstützt beim Aufbau eines SoD Rahmenwerks, der Etablierung von SoD-Regeln und deren Implementierung in eine geeignete Berechtigungsmanagement Software.
Privileged Access Management
Beim Privileged Access Management (PAM) geht es um die Verwaltung von Accounts mit erhöhten Zugriffsrechten (z.B. Administratoren-Rechte) bzw. privilegierten Berechtigungen auf Systeme oder Ressourcen. Neben dem klassischen IAM für Business Anwender widmet sich dieser Themenkomplex vor allem den besonderen Schutzbedarfen von privilegierten Rollen und Rechten im IT-Bereich.
ADWEKO unterstützt bei der Etablierung einer PAM-Lösung, die alle privilegierten Accounts inklusive der dazugehörigen Kontrollen (bspw. Passwort-Rotation oder Session Monitoring) verwaltet. Ausgangsbasis hierfür ist eine Soll-/ Ist-Analyse des PAM-Umfelds.
ITSM-konforme Aufbauorganisation
ADWEKO unterstützt Sie bei der Etablierung eines explizit dezentral angelegten Organisationsmodells. Nicht nur die Überprüfung der Strategie und Governance wird als regelmäßige Aufgabe der Organisation verstanden, sondern es sind auch Rollen, Verantwortlichkeiten und Kompetenzen zu definieren. Die Aufgabentrennung erfolgt gemäß des Three-Lines-of-Defense-Modells.
IT Asset Inventory
Neben der nachvollziehbaren Dokumentation der Anwendungen und der Prozesse dient ein IT Asset Inventory insbesondere dem Schutz der Anwendungsdaten.
Wir unterstützen Sie bei der Einführung eines IT Asset Inventories, bei dem regulatorische Anforderungen zu berücksichtigen sind. Durch effiziente Prozesse, die periodisch laufen, wird eine fortlaufende Aktualisierung und dauerhafte Sicherstellung des Datenschutzes sowie eine zuverlässige und konstante Datenqualität im IT Asset Inventory gewährleistet.
Individual Data Processing
Gemäß ISO muss sichergestellt werden, dass Anwendungen zur individuellen Datenverarbeitung (IDV) die Schutzbedarfe der verarbeiteten Daten berücksichtigen. Daher müssen IDVs identifiziert, klassifiziert und inventarisiert werden.
ADWEKO unterstützt Sie bei der Absicherung anforderungskonformer IDVs, welche als Input für wesentliche unternehmerische Entscheidungen dienen. Dazu gehört u.a. die Etablierung Software-gestützter Werkzeuge zur Kategorisierung und Handhabung von IDVs, die Implementierung von geeigneten Kontrollmaßnahmen (automatische und manuelle Checks) sowie die Einführung von unternehmensweiten IDV-Standards und -Richtlinien.
ITSM Services – Awareness Campaign
Ein Großteil der IT-Sicherheitsvorfälle wird durch riskantes menschliches Verhalten begünstigt oder verursacht. Bei der Durchführung der ADWEKO Security-Awareness Kampagne fokussieren wir uns darauf, den Risikofaktor „Mensch“ transparent zu machen und gleichzeitig sein Verhalten zu sensibilisieren. Es handelt sich dabei um ein Maßnahmenpaket, das im Kern eine Phishing-Simulation zusätzlich zu klassischen Schulungsinhalten umfasst.
Eine Security-Awareness Kampagne verschafft darüber hinaus einen besseren Blick darauf, welche internen Prozesse und Maßnahmen verbessert oder eingeführt werden müssen, um der wachsenden Bedrohung von Cyberattacken gewappnet zu sein und die Organisation auf ein höheres Sicherheitsniveau zu heben.
Unsere Kompetenz
-
Projektleitung
Umfangreiche Erfahrung bei der Projektleitung komplexer ITSM-Projekte
-
Fachliche Umsetzung
Umfassende Kenntnisse über regulatorische Anforderungen und Normen
-
Expertise
Unser Berater verfügen über langjährige Projekterfahrung sowie Zertifizierungen im Bereich ITSM
