Site Search

Loading Results

Identity & Access Management

Skab effektiv styring af identitet og brugerrettighedstyring med IAM
Zero Trust - øget cybersikkerhed med sikker it-arkitektur

IAM skaber fundamentet i din virksomhed, til at understøtte øget cybersikkerhed, zero trust, databeskyttelse og bedre compliance.

Hvad er IAM?

Identity & Access Management (IAM) også kendt som Identity Management (IdM) er den it-sikkerhedsdisciplin, som sikrer at alle med adgang til IT systemer har én digital identitet der er kendt af virksomheden, og hvortil alle arbejdsrelevante IT adgange kan tilknyttes. 

Kun en IAM løsning kan sikre at de rette personer får de korrekte adgang til de rette ressourcer i virksomheden, at rettigheder tildeles på de rette tidspunkter, på den rigtige måde og af de rigtige grunde, og at I efterlever compliance-kravene om rapportering og dokumentering.

En IAM løsning hjælper jer med at skabe overblik og sammenhæng i styringen af jeres identitet- og brugerrettigheder. IAM løsningen hjælper med at ensrette og automatisere processerne omkring brugeradministration, så I bliver mindre afhængig af enkeltpersoner, opnår den ønskede effektivisering, og sikrer den nødvendige dokumentation.

IAM er det fundament som alle andre cybersikkerhedstiltag læner sig op ad. Uden en kontrolleret styring af virksomhedens digitale identiteter, kan man ikke målrettet arbejde med IT sikkerhed.

Mads Nørgaard Madsen, Partner, Technology & Security, PwC Danmark

Hvorfor er IAM relevant for din virksomhed?

Ingen virksomheder kan i dag fungere uden IT systemer. Og mange IT systemer er indrettet med adgangskontrol, der skal administreres. Skal alle have adgang til løndata? Skal alle have adgang til persondata? Listen over krav til adgangskontrol er lang, og er et fokuspunkt for blandt andre revisorer, forordninger og lovgivningen. Dermed stilles der krav til at virksomheden kan dokumentere at IT adgange bliver administreret i henhold til en lang række krav, krav som typisk følger et IT sikkerhedsrammeværk, såsom ISO 2700X, CIS18, NIST og lignende.

IAM løsning omsætter data

En IAM løsning modtager typisk data fra virksomhedens HR eller løn system omkring nyansættelser, ændringer og fratrædelser:

iam løsning model

Ved at koble HR data sammen med den digitale identitet, sikres den største integritet, da HR’s opgave netop er at have fuldstændig styr på hvem der arbejder i virksomheden, og hvem der ikke gør.

IAM løsningen omsætter data fra HR til en digital identitet for den enkelte medarbejder (konsulenter mv). Samtidig tilknyttes basale IT adgange automatisk til identiteten, baseret på medarbejderens afdeling, fysisk lokation mv. Konti oprettes automatisk på de relevante IT systemer og de relevante IT adgange tilknyttes til identiteten. Dette sparer IT afdelingen for meget manuelt arbejde.

Hvordan arbejder I bedst med IAM?

At administrere og dokumentere medarbejderes adgang til de relevante it-systemer og applikationer kan være en udfordrende øvelse. Mange oplever, at de i dag skal håndtere den enkelte medarbejders brugeradgange på tværs af digitale miljøer, der bliver stadigt mere komplekse at navigere i, og har et voksende behov for at effektivisere de mest basale processer i deres brugeradministration.

PwC ser identitets- og rettighedsstyring som en kompleks disciplin, der kræver mere end blot it-og teknologikompetencer. Vellykkede IAM-projekter kræver et helhedsorienteret perspektiv, hvor både mennesker, systemer og teknologier tænkes sammen. Dermed er IAM langt fra alene et IT projekt. IAM løsninger rammer hele forretningen, og IAM projekter der fejler, fejler typisk fordi der ikke er gennemført en tilstrækkelig analyse af forretningens behov i relation til brugeradministration.

Som virksomhed skal man derfor holde sig fra at springe direkte til indkøb af IAM software, fordi man tror det ”bare” er noget som IT kan klare. Succes med et IAM projekt kan kun opnås hvis man forbereder IAM projektet ordentligt ved at analysere de faktiske behov.

Vi har mere end 15 års erfaring med rådgivning, implementering og drift af IAM løsninger. Globalt har vi mere end 950 IAM konsulenter og i Danmark sidder 25 IAM konsulenter parat til at hjælpe din virksomhed.

Mads Nørgaard Madsen, Partner, Technology & Security, PwC Danmark

Hvordan kan PwC hjælpe jer med IAM?

PwC har den fornødne bredde i kompetencerne til at komme hele vejen rundt om jeres IAM-projekt på alle niveauer i virksomheden.

Vi har dyb indsigt i jeres branche, og kan trække på kompetencer inden for bl.a. IT infrastruktur, forandringsledelse og HR processer, når IAM-projekterne skal forankres effektivt i jeres organisation. Samtidig har vi stor indsigt i de aktuelle compliance-regler, herunder GDPR, og en stærk tradition for at sikre høj kvalitet i alle faser af opgaveløsningen, fra oprettelse og vedligehold af rettigheder til dokumentation. 

Cyber Transformation

Beskyt jeres forretningsprocesser ved at identificere og mindske cyberrisici, udføre avancerede systemtests og sikre overholdelse af regulativer.

Læs mere

Kontakt os

Mads Nørgaard Madsen

Partner, Head of Consulting, Direktør, København, PwC Denmark

2811 1592

E-mail

Marc Jerner

Partner, Technology Implementation, Technology & Security, København, PwC Denmark

4099 4698

E-mail

Hvad er NIS2-direktivet?

NIS direktivet regulerer virksomheder og myndigheder på cyber- og informationssikkerhedsområdet. Direktivet bliver udmøntet i nationale bekendtgørelser og fungerer som bindende lov, hvilket betyder, at din organisation vil skulle efterleve kravene i bekendtgørelsen.

NIS2-direktivet udvider kravene og sanktioneringen af cybersikkerhed for at harmonisere og strømline sikkerhedsniveauet på tværs af medlemslandene, og med skærpede krav for flere sektorer, betyder det, at din organisation skal forholde sig til blandt andet risikostyring, kontrol og tilsyn.

Hvem er omfattet af NIS2-direktivet?

NIS2 udvider i væsentlig grad omfanget af organisationer, og skelner mellem ”essentielle entiteter” og ”vigtige entiteter” (se samtlige sektorer i tabel nedenfor).

Omfanget af sektorer udvides (se samtlige sektorer i tabel nedenfor), da Kommissionen ønsker at dække alle organisationer, der varetager vigtige funktioner i samfundet. Det betyder altså, at NIS2 også vil gælde for sektorer som fødevareproduktion, affaldshåndtering og hele forsyningskæden.

I energisektoren har omfanget eksempelvis været begrænset til virksomheder, der producerer, forsyner eller balancerer energi i el- og naturgassektoren. I NIS2 forventer vi, at forsyningskæden, fx vindmølleproducenter, ligeledes bliver omfattet af kravene, da direktivet forsøger at sikre en 360 graders harmonisering af cybersikkerhed.

NIS2-direktivets skærpede krav til cybersikkerhed omfatter også offentlige myndigheder - læs mere her.

Hvilke krav stiller NIS2 til din organisation?

NIS2-direktivet stiller både krav til ledelse, risikostyring, forretningskontinuitet og rapportering til myndighederne:

  • Ledelsen i jeres organisation skal være bekendte med kravene i direktivet og risikostyringsindsatsen. De får et direkte ansvar for, at cyberrisici bliver identificeret og håndteret samt, at kravene overholdes.
  • Øgede krav til risikostyring og robusthed betyder, at din organisation skal risikostyre og implementere både skadesforebyggende og -begrænsende foranstaltninger, der reducerer risici og konsekvenser. Minimumskrav er fx incident management, sikring af cybersikkerhed i forsyningskæder, netværkssikkerhed, adgangskontrol og kryptering.
  • Jeres organisation skal forholde sig til, hvordan I vil sikre forretningskontinuiteten i tilfælde af, at I skulle blive ramt af en større cyberhændelse. Dette indebærer eksempelvis genopretning af systemer, nødprocedurer og etablering af en kriseorganisation.
  • Jeres organisation skal have etableret processer for, hvordan I vil sikre den korrekte rapportering til myndighederne. Der stilles blandt andet krav til, at større hændelser rapporteres inden for 24 timer.

Sådan implementerer du NIS2-kravene

Hent vores trin-for-trin-guide

Download

Hvordan fører myndigheder tilsyn, håndhæver og sanktionerer?

Med implementeringen af NIS2-direktivet skal myndighederne udvide tilsynet både i dybden og bredden. I dybden, fordi tilsynsmyndigheder er forpligtet til at håndhæve kravene i direktivet, og i bredden, fordi omfanget af direktivet er udvidet til at gælde flere sektorer.

Essentielle entiteter kan forvente løbende tilsyn såsom revisioner, rapportering og peer reviews, mens vigtige entiteter kan forvente tilsyn, tvungne revisioner og rapportering, hvis der er mistanke om, at organisationen ikke lever op til kravene.

Mulighed for sanktionering omfatter bl.a. bøder, tvungne revisioner, sanktionering af ledelse mv.

Overblik over særlig kritiske og kritiske entiteter

Omfattede sektorer:

  • Post- og kurertjenester – klargøring, sortering, transport og levering af post og pakker
  • Affaldshåndtering – opsamling, transport, gendannelse og bortskaffelse
  • Kemiske produkter – fremstilling, produktion og distribution
  • Fødevare - fremstilling, distribution og produktion Kritisk
  • Fremstilling/produktion af pharma, elektronik, optisk udstyr, maskineri, køretøjer
  • Udbydere af online markedspladser, søgemaskiner, sociale platforme

Omfattede sektorer:

  • Energi – producenter, operatører, forsyning, distribution, transmission og salg af elektricitet, fjernvarme- og fjernkøling, olie, gas og brint, herunder operatører af ladestandere
  • Transport via luft, jernbane, vej og vand
  • Finans - kredit, handel, marked og infrastruktur
  • Sundhed – forskning, produktion, udbydere af services og fremstillere af udstyr og råvarer
  • Drikke- og spildevand – leverandører, distributører, indsamling, bortskaffelse 
  • Digital infrastruktur – internetudvekslingspunkter, DNS, topdomæneadministratorer, cloudcomputing, datacentertjenester, indholdsleveringsnetværk, tillidstjenester, kommunikationsnet og kommunikationstjenester (tele- og net)
  • IKT-tjenester (B2B) – administrerende tjenester og sikkerhedstjenester
  • Offentlig forvaltning – centraladministrationen, regioner og kommuner
  • Rumfart – infrastruktur, software og services

CFO'ens CyberGuide: Webcast om NIS2-direktivet

Se eller gense webcasten, hvor PwC's eksperter går i dybden med, hvordan CFO'en og direktionen skal forholde sig til efterlevelse af NIS2-direktivet, der regulerer de driftskritiske aktiver i jeres organisation. Du får overblik over de væsentligste elementer i NIS2, samt hvordan du finder ud af, om jeres organisation er omfattet af direktivet, og hvordan I sikrer jer, at I efterlever kravene.

Playback of this video is not currently available
45:41

PwC hjælper jer med at leve op til de nye lovkrav

Konkret kan vi hjælpe med:

  • at identificere, hvorvidt I vil blive omfattet af direktivet
  • at identificere gaps i forhold til kravene i direktivet
  • implementering af både organisatoriske og tekniske krav i jeres organisation
  • at etablere de kapabiliteter, der er nødvendige for at varetage forpligtelserne i ledelsen.

Har I brug for hjælp, er I velkomne til at kontakte PwC’s Technology & Security-afdeling.

Kontakt os

PwC’s Cyberteam er en del af PwC’s Technology & Security-afdeling, som tæller op mod 200 konsulenter. Vi har derfor adgang til en lang række specialister inden for bl.a. cyber- og informationssikkerhed og kan bistå med rådgivning og vejledning – fra juridisk og forretningsmæssig rådgivning til teknisk rådgivning.

PwC er en del af et bredt NIS2-netværk

PwC er en del af et bredt NIS2-netværk på tværs af EMEA, der består af 150 erfarne fagfolk inden for cybersikkerhed, risikostyring, incident response, governance, compliance og jura. Dette netværk er blevet etableret for at kunne give vores kunder den bedst mulige rådgivning om kravene i NIS2-direktivet. 

Vi hjælper med at forstå regulativet, og hvad det har af betydning for din virksomhed eller organisation, herunder at identificere, hvor I allerede opfylder kravene, og undersøge, hvor der er behov for indsats. Vi støtter jer desuden på bedst mulig måde i at igangsætte tiltag, så I overholder de lovgivningsmæssige krav, der stilles – både lokalt og på EU-plan. 

Hvis I vil vide mere, er I velkommen til at kontakte os.

Sådan implementerer du NIS2-kravene

Hent vores trin-for-trin-guide

Download

Få seneste nyt fra PwC

Vær på forkant med nye tiltag og tendenser i erhvervslivet. Du bliver også inviteret til agendasættende events, hvor vi sammen får ny viden, perspektiver og relationer.

Tilmeld nyhedsbrev

Publikationer og udgivelser

Seneste publikationer, analyser og undersøgelser om emner som skat, regnskab, IFRS, revision, moms, told og afgifter.

Læs mere

{{filterContent.facetedTitle}}

Kontakt os

William Sharp

Partner, Technology & Security, Aarhus, PwC Denmark

8932 0076

E-mail

Aleksandar Predrag Piletich

Director, Technology & Security, Hellerup, PwC Denmark

2928 5743

E-mail

Følg PwC

Felter, markeret med stjerne, skal udfyldes.(*)

Ved at indsende denne formular giver du samtykke til, at PwC må behandle de personoplysninger, du har indtastet for at kunne håndtere din henvendelse. Læs mere om dine rettigheder, samt hvordan du kan kontakte PwC og/eller klage i PwC’s privatlivspolitik.

Hide
Om os Kontorer Presse Kontakt os

© 2021 - 2024 PwC. Alle rettigheder forbeholdes. PwC refererer til PwC netværket og/eller et eller flere af dets medlemsfirmaer, hvor hver enkelt virksomhed er en særskilt juridisk enhed. Se www.pwc.com/structure for yderligere detaljer.