Rolle | Chief Information Security Officer (CISO)

Die Sicherheit mit IAM an vorderster Front optimieren

Mit dem wachsenden Fokus auf Informationssicherheit und Datenschutz kommt dem Chief Information Security Officer (CISO) eine immer größere Verantwortung innerhalb der Organisation zu. Dabei geht es nicht nur um die sichere Nutzung einer zunehmenden Zahl miteinander verbundener Informationssysteme. Auch die Entwicklung, Implementierung und Wartung spezifischer Informationssicherheitssysteme ist eine Angelegenheit für die Vorstandsebene. Daher steht die Modernisierung des Identity- und Access-Managements in vielen Organisationen ganz oben auf der Agenda.

Informationssicherheit durch Automatisierung

Durch die vollständig geschäftsorientierte Automatisierung des Identity Lifecycle mit HelloID und dem Personalsystem – oder anderen Quellsystemen – als ‚Single Source of Truth‘ wird das Risiko von Fehlern, unerwünschter Rechteansammlung und Datenlecks durch ‚vergessene‘ Konten minimiert. Auch die Verwaltung von zusätzlichen/ temporären Zugriffsrechten kann effizienter und sicherer erfolgen.

No Trust und Least Privilege

Für die Benutzerauthentifizierung integriert sich HelloID nahtlos mit Systemen wie z. B. dem Active Directory, oft ergänzt durch MFA und kontextabhängigen Zugriff. Der leistungsstarke Mechanismus der rollenbasierten Zugriffskontrolle stellt sicher, dass Benutzer nur auf ,Need- to-Know‘-Basis auf Anwendungen und Daten zugreifen können.

Sichere cloud-native IAM-Umgebung

HelloID basiert auf der Infrastruktur des Marktführers Azure. Die Informationssicherheit hat bei der Entwicklung und Verwaltung von HelloID oberste Priorität. Das gilt auch für die Entwicklungs-, Demo- und Testsysteme, und für Kunden steht eine Sandbox-Umgebung zur Verfügung, um neue Funktionen sicher testen zu können. Tools4ever ist als Verwaltungsorganisation nach ISO 27001 zertifiziert.

Unterstützung von PDCA-Zyklus und Compliance-Audits

In den Audit-Protokollen von HelloID werden sämtliche Zugriffsversuche, Rechteänderungen und Anfragen zur Genehmigung erfasst. Darüber hinaus ist stets eine Übersicht über alle vergebenen Zugriffsrechte einsehbar. Mit Standardberichten und von den Kunden selbst konfigurierbaren Analysen bietet HelloID alle erforderlichen Informationen für interne Sicherheitsbewertungen, externe Audits und formale Zertifizierungsverfahren.

Integrierte Sicherheitsarchitektur

HelloID ermöglicht neben der Anbindung an unterschiedliche Quell- und Zielsysteme für die automatisierte Benutzerkonto- und Zugriffsverwaltung auch APIs zur Integration mit weiteren Sicherheitssystemen. Durch die Integration von HelloID in das SIEM einer Kundenorganisation können die Protokolldaten von HelloID mit anderen Systemprotokollen zu einer zentralen Übersicht zusammengeführt werden.

informationssicherheit-in-der-cloud-identity-management-cloud-vs-on-premise

Häufige Fragen von CISOs

Ja. Wir sehen, dass für die ursprüngliche IAM-Funktionalität – Authentifizierung und Autorisierung – heutzutage oft die eigene AD-Umgebung verwendet wird. Was jedoch nicht vorliegt, ist eine vollwertige Verwaltungslösung, um in einer großen Organisation mit manchmal Hunderten von Benutzern und Dutzenden von Anwendungen jedem die richtigen Berechtigungen vollautomatisch und zeitnah zu erteilen. HelloID übernimmt diese Aufgabe. In der AD werden die Authentifizierung und Autorisierung technisch umgesetzt, HelloID übernimmt die weitere Integration und Verwaltung. Unabhängig davon bietet unser flexibles Access-Management-Modul mit umfangreichen Single-Sign-On-Funktionen und Multi-Faktor-Authentifizierung oft die notwendigen Workarounds in Migrations- und Integrationsprojekten. Auch ist es nicht immer notwendig, dass alle Benutzergruppen eine umfangreiche, d.h. teurere MS-Lizenz verwenden. Für sie sind die SSO- und MFA-Funktionen des Access-Management von HelloID in Kombination mit einer relativ günstigen E1-Lizenz oft ausreichend.

Tatsächlich ist die Sensibilisierung der Mitarbeiter ein wesentlicher Aspekt der Informationssicherheit. Mit automatisierten Prozessen für den Eintritt, den Wechsel und den Austritt sowie unserem leistungsstarken RBAC-System liegt unser Hauptaugenmerk auf der Sicherstellung von ‚Least Privilege‘. So verhindern wir, dass Mitarbeiter überhaupt Zugriff auf Daten erhalten, die sie für ihre Arbeit nicht (mehr) benötigen. Wir ergänzen jedoch auf Anfrage unserer Kunden auch ‚Sensibilisierungsmaßnahmen‘. Dadurch besteht die Möglichkeit, Business Rules in HelloID zu integrieren, die erfordern, dass Benutzer die Datenschutzrichtlinien der Organisation ausdrücklich akzeptieren, bevor ihre Zugriffsrechte aktiviert werden. Bis zur erfolgten Zustimmung erhält man beispielsweise nur Zugriff auf E-Mail und die Standardanwendungen. Auch bei zusätzlichen Anfragen kann im Online-Genehmigungsprozess explizit überprüft werden, ob der jeweilige Antragsteller die spezifischen (Schulungs-)Voraussetzungen erfüllt.

Im Rahmen der Role-Based-Access-Control (RBAC) wird für jede Rolle klar definiert, welche Zugriffsrechte gelten, sodass jemand nur auf ‚Need-to-Know‘-Basis Zugriff erhält. Wenn sich die Rolle einer Person im Personalsystem ändert, überprüft HelloID automatisch, welche Rechte nicht mehr gelten, und diese werden automatisch entzogen. Auf ähnliche Weise wird überprüft, welche neuen Zugriffsrechte für die neue Rolle einer Person erforderlich sind, und diese werden automatisch bereitgestellt. So vermeiden wir eine unerwünschte Anhäufung von Zugriffsrechten, die bei der manuellen Verwaltung von Rechten häufig auftritt.

Die automatische Erstellung und Änderung von Benutzerkonten und Zugriffsrechten erfolgt in HelloID mithilfe des so genannten Role-Based-Access-Control (RBAC)-Systems. Anhand von Business Rules werden für jede Rolle in der Organisation die entsprechenden Zugriffsrechte festgelegt. Für die Implementierung dieses RBAC-Modells sollte die Personalabteilung einbezogen werden, da sie die Struktur der Stellen innerhalb der Organisation kennt und verwaltet.

Als Endergebnis sind die Prozesse für den Eintritt, Wechsel und Austritt von Mitarbeitern größtenteils automatisiert. Auch die Beantragung von zusätzlichen und/oder temporären Rechten sowie anderen Anfragen – wie beispielsweise Namensänderungen nach einer Hochzeit – kann automatisiert werden. Dabei sollten die exakten Übergänge zwischen den Aspekten, die noch manuell erledigt werden, und den automatisierten Prozessen klar definiert werden. In diesem Zusammenhang ist es wichtig, dass die Personalabteilung als zuständige Stelle für die Personalprozesse involviert wird.

Hierfür erweist sich das RBAC-System als nützliche Option. Mit RBAC verwalten wir an einem zentralen Ort alle Rollen und die dazugehörigen Zugriffsrechte. Im Zuge einer Umstrukturierung sind zahlreiche Änderungen möglich, die aus unserer ‚RBAC-Perspektive‘ im Wesentlichen darin bestehen, Rollen hinzuzufügen und die damit verbundenen Zugriffsrechte zu ändern. Wenn wir zunächst in HelloID die neuen Rollen und Rechte erstellen und danach im Personalsystem Mitarbeiter mit diesen neuen Rollen verknüpfen, erreichen wir eine kontrollierte Migration zur neuen Situation, während jeder Zugang zu seinen Anwendungen und Daten behält.

Nein, grundsätzlich ist das nicht sinnvoll. In zahlreichen Organisationen lassen sich für einige Rollen – die so genannten Schlüsselrollen – umfassende RBAC-Profile erstellen, die alle erforderlichen Zugriffsrechte beinhalten. Dabei handelt es sich oft um klar definierte und abgegrenzte Rollen. Es ist auch möglich, dass Personen mehrere Rollen haben, und zusätzlich gibt es weniger klar definierte Positionen innerhalb von – beispielsweise – Sonderabteilungen. Bei diesen Mitarbeitern werden die grundlegenden Zugriffsrechte über das RBAC-Modell bereitgestellt. Weitere Zugriffsrechte müssen vom Benutzer über den Serviceprozess angefordert werden. Mit HelloID können wir solche Anforderungsprozesse ebenfalls automatisieren. Um zu verhindern, dass hier unnötige Rechte vergeben werden, können wir spezifische Genehmigungsabläufe einrichten, in denen die relevanten Vorgesetzten die Anfrage online überprüfen und genehmigen müssen. Damit bleibt die Trennung der Rollen gewährleistet, und wir können zudem konfigurieren, dass solche Zugriffsrechte nur vorübergehend erteilt werden. So wird eine ungewollte Anhäufung von Rechten vermieden.

Referenzberichte, Blogs, Whitepaper

Referenzberichte

case-study-pro-infirmis

Beliebte Blogs

Gern gelesen: Whitepaper

User Provisioning: Mühelose Benutzerverwaltung

Nur für autorisierte Mitarbeiter automatisch einen sicheren und angemessenen Zugang zu Systemen & Daten in hybriden Netzwerk-Umgebungen.

Identity and Access Management ist Chefsache

Welche Vorteile hat eine Identity- und Access-Management-Lösung (IAM) für Ihre Organisation? Inkl. Argumenten für Ihren Chef.

e-Magazin User Provisioning

Verknüpfen Sie das Personalsystem mit Ihrem Netzwerk! Wir zeigen Ihnen, wie Sie das Personalsystem als perfekte Basis für eine automatisierte und fehlerfreie Benutzerverwaltung nutzen können.

Gern gelesen: Whitepaper

User Provisioning: Mühelose Benutzerverwaltung

Nur für autorisierte Mitarbeiter automatisch einen sicheren und angemessenen Zugang zu Systemen & Daten in hybriden Netzwerk-Umgebungen.

Identity and Access Management ist Chefsache

Welche Vorteile hat eine Identity- und Access-Management-Lösung (IAM) für Ihre Organisation? Inkl. Argumenten für Ihren Chef.

e-Magazin User Provisioning

Verknüpfen Sie das Personalsystem mit Ihrem Netzwerk! Wir zeigen Ihnen, wie Sie das Personalsystem als perfekte Basis für eine automatisierte und fehlerfreie Benutzerverwaltung nutzen können.

Noch Fragen?

Sicher in der Cloud

Tools4ever verfolgt eine aktive Compliance- und Zertifizierungsstrategie. Unsere Software-Entwicklung ist ISO 27001 und NEN5710 zertifiziert. Neben verschiedenen technischen Sicherheits-standards wie HTTPS, SSL-Zertifikaten sowie RSA- und AES-Verschlüsselung halten wir auch die NCSC ICT-B v2-Richtlinien ein. Ein weiteres Beispiel ist die OpenID-Zertifizierung von HelloID.

Unser IDaaS-Cloudanbieter, Microsoft Azure, verfügt über das größte Compliance-Portfolio der Branche. Dabei umfasst die Compliance wichtige, weltweit gültige Standards und Zertifizierungen.

Zusätzlich zu den Tests durch unsere internen Sicherheitsexperten, prüfen hochqualifizierte ethische Hacker von Deloitte HelloID zweimal im Jahr auch unternehmensextern. Deloitte führt für HelloID gemäß der NCSC ICT-B v2-Richtli­nien und unter Verwendung beispielsweise der OWASP Top 10 Anwendungssicherheitsrisiken Penetrationstests durch. Deloitte ist ein erstklassiger, unabhängiger Marktführer im Bereich der Informationssicher­heit und wurde von Gartner sechs Jahre in Folge als bester Anbieter für globale Sicherheitsbera­tungsdienste ausgezeichnet

Tools4ever Informatik GmbH
Hauptstraße 145-147
51465 Bergisch Gladbach
Deutschland

Phone: +49 2202 2859-0

Email: [email protected]

LINKS

ÜBER TOOLS4EVER

Tools4ever ist ein führender Anbieter von Identity und Access Management Software im Bereich Identity Governance & Administration (IGA) in Deutschland, Österreich und der Schweiz. In Organisationen mit 300 bis zu mehr als 200.000 Benutzerkonten ermöglicht die IAM-Suite von Tools4ever effizientes und sicheres Management der Benutzerkonten und Berechtigungen, um IT-Verwaltungsprozesse zu optimieren und sensible Daten vor unberechtigten Zugriffen zu schützen.

Seit 1999 entwickelt und liefert Tools4ever Software und Support für User Provisioning, Cloud Identity Management, SSO, Pass­word Management und Self-Service. Wir beraten Sie gerne zu Access Governance, Workflow-Management und Compliance.

LINKS

ÜBER TOOLS4EVER

Tools4ever ist ein führender Anbieter von Identity und Access Management Software im Bereich Identity Governance & Administration (IGA) in Deutschland, Österreich und der Schweiz. In Organisationen mit 300 bis zu mehr als 200.000 Benutzerkonten ermöglicht die IAM-Suite von Tools4ever effizientes und sicheres Management der Benutzerkonten und Berechtigungen, um IT-Verwaltungsprozesse zu optimieren und sensible Daten vor unberechtigten Zugriffen zu schützen.

Seit 1999 entwickelt und liefert Tools4ever Software und Support für User Provisioning, Cloud Identity Management, SSO, Pass­word Management und Self-Service. Wir beraten Sie gerne zu Access Governance, Workflow-Management und Compliance.

LINKS

ÜBER TOOLS4EVER

Tools4ever ist ein führender Anbieter von Identity und Access Management Software im Bereich Identity Governance & Administration (IGA) in Deutschland, Österreich und der Schweiz. In Organisationen mit 300 bis zu mehr als 200.000 Benutzerkonten ermöglicht die IAM-Suite von Tools4ever effizientes und sicheres Management der Benutzerkonten und Berechtigungen, um IT-Verwaltungsprozesse zu optimieren und sensible Daten vor unberechtigten Zugriffen zu schützen.

Seit 1999 entwickelt und liefert Tools4ever Software und Support für User Provisioning, Cloud Identity Management, SSO, Pass­word Management und Self-Service. Wir beraten Sie gerne zu Access Governance, Workflow-Management und Compliance.

© Copyright 2024 | Tools4ever Informatik GmbH | Alle Produkt- und Firmennamen sind Marken der jeweiligen Inhaber. Ihre Verwendung impliziert keine Zugehörigkeit zu diesen Unternehmen oder deren Unterstützung.

Nach oben