Benutzerberechtigungsmanagement – Praxisnah und kompakt
Gegenstand des Seminars

Zentrales Element jedes Informationssicherheitsmanagements – ob IT-Grundschutz, ISO 27001 oder Branchenstandard – ist ein Benutzerberechtigungsmanagement, das festlegt, welche Rollen oder Benutzer auf welche Informationen zugreifen können sollen.

Ein solches Benutzerberechtigungsmanagement schafft einen Rahmen für die Definition vorgesehener und nicht vorgesehener Zugriffe, überwacht die Nutzung von Berechtigungen, vermeidet Sicherheitsvorfälle, die aus übermäßigen oder vergessenen Berechtigungen herrühren und legt Prozesse für die Hinzufügung und die Entfernung von Berechtigungen fest.

Anhand zweier fiktiver, auf echten Fällen basierenden Beispielen – einem mittelständischen Industrieunternehmen und einer Behörde – wird der Weg zu einem vollständigen Benutzerberechtigungsmanagements nachgezeichnet, beginnend von der Analyse der Anwendungen und Systeme bis hin zu den fertigen Berechtigungskonzepten und -prozessen und der periodischen Überprüfung dieser.

Im Rahmen des Seminars werden nach Anleitung Vorlagen für ein Benutzerberechtigungsmanagement im eigenen Unternehmen oder in der eigenen Organisation erstellt.

Zielsetzung

Teilnehmer dieses Seminars sind in der Lage, auch in komplexen IT-Landschaften das Benutzerberechtigungsmanagement hauptverantwortlich zu betreiben, Systeme und Anwendungen zu analysieren, Berechtigungskonzepte und -prozesse zu erstellen, die Nutzung der Berechtigungen zu überwachen und regelmäßige Überprüfungen und Soll-Ist-Abgleiche durchzuführen.

Zielgruppe

Dieses Seminar richtet sich an Führungskräfte, Informationssicherheitsbeauftragte und verantwortliche Personen aus den Bereichen IT, IT-Beschaffung, IT-Betrieb und IT-Security. Grundlegende technische Kenntnisse über IT werden vorausgesetzt.

Seminarablauf

Themenüberblick, 09:00 bis 17:00 Uhr:

Grundlagen

  • Definition Benutzerberechtigungsmanagement
  • Benutzerberechtigungsmanagement in IT-Grundschutz und ISO 27001
  • Einführung in die zwei Beispiele

Erfassung des Informationsverbunds

  • Anwendungen und Systeme
  • Werkzeuge zur systematischen Erfassung
  • Besonderheiten bestimmter Systeme

Personen und Rollen

  • Informationsquellen
  • Benutzerkennungen
  • Umgang mit nicht eindeutig einer Person zugeordneten Benutzerkennungen
  • Definition von Rollen und Einzelrechten
  • Änderungen von Rollen, Einzelrechten und Zuordnungen

Berechtigungen

  • Erfassung von bestehenden und möglichen Berechtigungen
  • Aus der Praxis: Erfassung von Berechtigungen bei bestimmten Systemen (Active Directory, Freigaben, Exchange, SharePoint)
  • Grundprinzipien der Definition von Berechtigungen
  • Besonders kritische Berechtigungen und risikoreduzierende Maßnahmen
  • Unterscheidung notwendiger und nicht notwendiger Berechtigungen

Erstellung und Änderung von Berechtigungskonzepten

  • Trennschärfe von Rollen
  • Umgang mit Einzelrechten
  • Geeignete Prozesse für Gewährung, Änderung und Entzug

Überwachung der Nutzung von Berechtigungen

  • Definition zu überwachender Aktionen
  • Technische Umsetzung der Überwachung bei bestimmten Systemen (Active Directory, Freigaben, Exchange, SharePoint)
  • Automatische, zentrale Auswertung

Überprüfung von Berechtigungskonzepten und -prozessen

  • Turnusmäßige und anlassbezogene Überprüfungen
  • Rezertifizierung von Soll-Berechtigungen
  • Soll-Ist-Abgleich
Referenten
Marian  Kogler,

ist Geschäftsführer der syret GmbH, die Unternehmen und öffentliche Einrichtungen im deutschsprachigen Raum zu Fragen der IT-Sicherheit und IT-Forensik berät.

Termin und Ort
Ort:
Tagungshotel (wird noch bekannt gegeben)
Berlin


Zeitraum:
17.09.2020 09:00 Uhr - 17.09.2020 17:00 Uhr

Preis
490,- Euro zzgl. MwSt.
Zur Anmeldung


Partner:



Veranstaltungen nach Datum


Januar 2020 (5)

Februar 2020 (6)

März 2020 (25)

April 2020 (2)

Mai 2020 (11)

Juni 2020 (10)

August 2020 (2)

September 2020 (18)

Oktober 2020 (4)

November 2020 (16)


Veranstaltungen nach Thema


Datenschutz & Compliance
Informationssicherheit
Organisation & Best Practice
Rechtliche Anforderungen & Regulierung
Technische Mittel & Methoden
Zertifizierung