Compliance IAM

Die Zahl der Auflagen und Bestimmungen für Finanzinstitute ist enorm, anspruchsvoll und sie reichen vom Bundesdatenschutzgesetz bis zu den MaRisk-Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) respektive den entsprechenden Anforderungen der Finanzaufsichtsbehörde in der Schweiz (FINMA), die Finanzmarktaufsichtsbehörde (FMA) in Österreich und die Finanzmarktaufsicht Liechtenstein (FMA). Darunter fallen unter anderem die für den Finanzbereich so wichtigen Überprüfungen der Zugriffsberechtigungen auf IT-Systeme. Diese Berechtigungen müssen regelmässig überprüft werden und es muss ein definierter Prozess zur Vergabe von IT-Berechtigungen vorliegen. Weiter ist sicherzustellen, dass jeder Mitarbeitende nur über die Rechte verfügt, über die er nach seiner Tätigkeit und Funktion im Unternehmen verfügen darf.

Herausforderung

Herausforderung Berechtigungsüberprüfung

Im Arbeitsalltag ist die Überprüfung und strikte Einhaltung dieser Anforderungen eine Herausforderung. Daher sind effektive Werkzeuge notwendig, die rund um das Thema Benutzer- und Berechtigungsmanagement unterstützen.

Wichtigste Herausforderungen:

Kontinuierliche Überprüfung von Zugriffs- und IT-Berechtigungen und Sicherstellung «need to know» Prinzip
Verhindern von «Überberechtigungen»
Nachweis eines lückenlosen Antragswesens für Berechtigungen
Einbezug der Fachabteilungen in die Re-Zertifizierung der Berechtigungen

Nutzen

Schnell eingesetzt: Mit der Compliance IAM-Lösung von IPG können Sie innert drei bis fünf Monaten die wichtigsten Berechtigungsprüfungen automatisieren und die Compliance Anforderungen der Aufsichtsbehörden erfüllen.

Modular aufgebaut: Die Compliance IAM-Lösung lässt sich jederzeit zu einem vollwertigen IAM ausbauen. Dieses lässt dann die Automatisierung aller Mitarbeiter- und Berechtigungsmanagementprozesse zu, bietet ein noch umfassenderes Reporting und ein Portal mit Self-Service für die Mitarbeitenden.

Die Compliance IAM erhalten Sie auf Wunsch als Full-Managed Service zu fixen monatlichen Kosten. IPG installiert, konfiguriert und betreibt die Lösung in der Kundenumgebung nach den kundenspezifischen Vorgaben. Selbstverständlich ist auch eine herkömmliche On-Premise Beschaffung möglich.

Features

Die Compliance IAM-Lösung von IPG bietet, basierend auf der Funktionalität einer IAM-Standardlösung, out-of-the-box alle erforderlichen Funktionen, um die Compliance Anforderungen zu erfüllen.

Reporting

Berechtigungsanalyse
Time Trace (Betrachtung der Rechte über die Zeit)
Analyse des Berechtigungsursprungs (Rollen, Bestellungen, ...)

Segregation of Duties (SoD) & Unternehmensrichtlinien

Regeldefinition für sensible Berechtigungen oder Import existierender Regelsets
Definition von Mitigationsprozessen (beispielsweise Ausnahmegenehmigungen, Benachrichtigungen etc.)
Einrichtung präventiver und detektiver Kontrollen

Attestierung und Re-Zertifizierung

Zertifizierung eines Status oder der Veränderung eines Status
Re-Zertifizierung: forcierte zeitliche Attestierung inklusive spezifischer und fokussierter Berichte zu Eskalationsoperationen

Durchsetzung von Unternehmensrichtlinien

Mitarbeiterbezogene Prüfung der Unternehmensrichtlinien (Compliance)
Kontrolle von Unternehmensrichtlinien, welche nicht mitarbeiterzentriert sind
Unternehmensrichtlinien über alle Objekte des Identity Management (Quellsysteme, Zielsysteme, Rollen und Berechtigungen)
Integriertes Reporting als E-Mail, ad hoc Analysen, Übersichten und abonnierbare Berichte

Zentrales Portal

Information über Bearbeitung und Auditierung von Unternehmensrichtlinien
Bearbeitung von Richtlinienausnahmen (Eskalationen)
Kontrolle des Unternehmens auf Einhaltung der Richtlinien

Lösung

Lösungsansatz

Die Compliance IAM-Lösung ist auf die Rezertifizierung der Mitarbeiterberechtigungen ausgerichtet. Dazu wird eine IAM-Standardsoftware lesend auf die relevanten Berechtigungssysteme aufgesetzt. Dank der Schnittstelle zum Personalsystem werden die Personendaten mit den Account Informationen der Berechtigungssysteme verknüpft. So können die tatsächlich zugeteilten Berechtigungen ausgelesen und in Rezertifizierungworkflows überprüft werden. Änderungen werden direkt aus dem Workflow an die Systemadministratoren oder an ein IT-Servicemanagement-System übermittelt, bis später in folgenden Ausbauschritten (nicht zwingend nötig) die Systeme auch schreibend angebunden sind und Änderungen automatisch provisioniert werden können.

Unsere Leistungen

Als Managed Service stellen wir die Lösung in der Kundenumgebung bereit. In Workshops werden die Anforderungen und Rahmenbedingungen aufgenommen und von unseren Consultants dokumentiert. Dies erfolgt auf der Basis von Standardvorgehensplänen und –Dokumenten. Anschliessend erfolgen die Umsetzung sowie die Kundenschulung kurz vor Übergabe. In der Folge betreibt das IPG Operation Center die Lösung gemäss den festgelegten SLA’s.