Access Governance - das neue IAM

Gemeinsam Lösungen finden
mit Kompetenz werben

Login

Registrieren

Global filtern nach Kategorien:

Ihre Suche

Erweiterte Suche

Titel / Name:

Online seit:

Region:

Untertitel:

Thema / Center:

Qualitäts Level:

Suchkriterien zurücksetzen

Allgemeine Informationen zur Competence Site

AGB Anbieterverzeichnis

Semantisches Klassifikations-Profil des Dokuments (u.a. Extrakt)

fachbericht_access_governance.pdf

ipg AG Tel. +41 52 245 04 74 information process group Fax +41 52 245 04 73 Jägerstrasse 2 www.ipg-ag.com CH-8406 Winterthur info@ipg-ag.com Fachbericht: Access Governance Wirksame Sicherheit durch Optimierung des Zugriffsschutzes Inhalt 1. Einführung 2 2. Zielsetzung von Access Governance 3 3. Mehr Verantwortung für die Fachbereiche 4 4. Die Rolle bekommt eine neue Rolle 4 5. Access Intelligence 5 6. Access Governance Dienstleistungen von ipg AG 7 7. Fazit 8 Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG ipg AG Tel. +41 52 245 04 74 information process group Fax +41 52 245 04 73 Jägerstrasse 2 www.ipg-ag.com CH-8406 Winterthur info@ipg-ag.com 1. Einführung Access Governance bedeutet eine strukturierte Kontrolle und Überprüfung von Mitarbeiter-Berechtigungen. So wird Access Governance immer mehr zu einem „Muss“ für Unternehmen und Organisationen. Damit diese eine wirksame und umfassende Sicherheit für die Zugriffe erhalten, sind sie zum Handeln gezwungen. Die Sicherheitsrisiken durch unbefugte Zugriffe sind heute so gross, dass die möglichen Folgekosten enorm sein können. Viel besser ist es also, durch Präventionsmassnahmen die Sicherheitsstandards zu erhöhen. Zudem verlangen Compliance-Anforderungen, Risk- Management-Standards, IKS und „Best-Practices“ umfassenderen Schutz für alle Zugriffsprozesse. Wir sprechen dann auch von „IAM 360-Grad“. Abbildung 1: Komponenten von Identity & Access Governance Die zunehmende Sensibilisierung der Sicherheitsverantwortlichen führt dazu, dass sich diese verstärkt mit der Frage beschäftigen „wer kann wie auf welche Informationen zugreifen?“ Damit der Zugriff auf die Unternehmensressourcen sicher ist, sind unterschiedliche Aspekte für eine umfassende Lösungsgestaltung zu berücksichtigen:  Zentrale, system- und plattformübergreifende Services für Identity Management zur Verwaltung von Identitäten und Zugriffsrechten, welche in der Regel auf Rollen und Regeln basieren.  Automatisierte Antragsprozesse (Workflow) für das Beantragen von Rechten und Rollen  Lösungen für Access Management zur Erhöhung der Passwortsicherheit, z.B. mit Single Sign On  Lösungen für die Verwaltung der privilegierten Usern und Accounts (oder User Accounts), damit auch die Administratoren-Tätigkeiten jederzeit nachvollziehbar sind. Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 2/8 ipg AG Tel. +41 52 245 04 74 information process group Fax +41 52 245 04 73 Jägerstrasse 2 www.ipg-ag.com CH-8406 Winterthur info@ipg-ag.com  Zentrale Governance-Services zur Überprüfung der Sicherheit, wie SoD-Prüfungen oder Access-Re-Zertifizierungen (Review einer Berechtigungsüberprüfung)  Authentifizierungsservices für die eindeutige Authentisierung und Autorisierung der User Die „klassischen“ Technologien für das Identity Management sind auf die präventive Sicherheit und damit primär auf das Erstellen und Verwalten von Benutzer-Konten und Zugriffsrechten ausgerichtet. Lösungen für die Access Governance bieten zusätzlich verschiedene Hilfsmittel für die „Echtzeitauswertung“. Damit lassen sich Abweichungen vom Soll-Zustand erkennen und beispielsweise Funktionstrennungskonflikte ausweisen oder periodisch die Mitarbeiter-Zugriffe re-zertifizieren. Abbildung 2: Access Governance in Ergänzung zu Identity Management (Quelle: Crossideas) 2. Zielsetzung von Access Governance Im klassischen Identity & Access Management standen die effiziente User-Verwaltung und die Kostensenkung im Vordergrund. Durch die wachsenden Sicherheitsrisiken spielen die Compliance-Faktoren eine zentrale Rolle. Mit den Systemen für die Access Governance erfüllen die Unternehmen nach und nach die zunehmenden Anforderungen aus Regularien und Gesetzen und können somit die gesteigerten Erwartungen an das Risikomanagement erfüllen. Damit ist Access Governance mehr als eine Erweiterung des traditionellen Identity & Access Managements. Es ist auch nicht damit erledigt, lediglich die aktuellen Berechtigungen einzusammeln und periodisch zu attestieren. Eine Lösung für Access Governance braucht zwar die regelmässigen Kontrollen, noch viel wichtiger sind jedoch Mechanismen zur Erkennung und sofortigen Korrektur von Abweichungen des Ist- vom Soll-Zustand. Damit dies effizient umgesetzt werden kann, braucht es eine Steuerung (oder ein höheres Sicherheitsniveau in Form von Berechtigungen durch Rollen und (Geschäfts-)Regeln). Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 3/8 ipg AG Tel. +41 52 245 04 74 information process group Fax +41 52 245 04 73 Jägerstrasse 2 www.ipg-ag.com CH-8406 Winterthur info@ipg-ag.com 3. Mehr Verantwortung für die Fachbereiche Auch die Access Governance baut auf Rollen, der Kernkomponente des Identity Managements, auf. Der Einsatz und Stellenwert von Rollen verändert sich jedoch. In den traditionellen Lösungen für Identity & Access Management stand der zentrale Administrationspunkt im Fokus und die Rollen hatten eine IT-lastige Administrationsaufgabe zu erfüllen. Zwar wurden mit den Rollen die Berechtigungen gekapselt und teilweise auch, auf Basis von HR-Informationen, automatisiert erstellt. Aber die Fachbereiche ausserhalb der Informatik besassen kaum Kenntnisse über diese Rollen. Sie waren ein Hilfsmittel der Informatik, um die stets wachsenden Administrationsvolumina bewältigen zu können. Die Berechtigungs- und Rollenzuweisung wurde in diesen traditionellen Systemen für das Identity & Access Management primär mit den Daten aus der Personalabteilung und den in der IT gebildeten Rollen gesteuert. Neuere Systeme sind viel stärker durch die Geschäftsanforderungen getrieben. Regulatorische und Compliance-Anforderungen verlangen, dass sich die Fachbereiche stärker mit der Zugriffsthematik auseinandersetzen. 4. Die Rolle bekommt eine neue Rolle Die Rollen, welche für die Access Governance benötigt werden, müssen stärker an die tatsächlichen Aufgaben der Mitarbeiter im Unternehmen angelehnt werden. Die alleinige Koppelung von Rollen an HR-relevante Informationen greift zu kurz. Zudem müssen die Rollen verstärkt via ein Antrags- und Genehmigungsverfahren zugewiesen werden. Eine rein system- und regelbasierende Zuweisung von Rollen ist unter dem Aspekt der Access Governance zu unterlassen. Heutige Rollenmodelle müssen die „Unternehmenssicht“ abbilden. Darin verbergen sich dann untergeordnet die zielsystemspezifischen Berechtigungsstrukturen. Heute wird in grossen Organisationen zwischen Business- und IT-Rollen unterschieden. Damit lassen sich allzu komplexe Rollenhierarchien vermeiden. Dabei definieren die IT-Rollen den technischen Bezug der zugewiesenen Berechtigungen. Die Business-Rollen orientieren sich an funktionalen, organisatorischen oder hierarchischen Aspekten der Benutzer. So kann mit geeigneten Rollen die Brücke zwischen Business und der Informatik gebaut werden. Wichtig ist, dass bei der Erstellung von Rollen die Fachbereiche den Lead übernehmen. Leider ist das in der Praxis oft noch nicht der Fall. Die Fachbereiche glauben häufig, dass sie für die Rollenbildung ungenügend qualifiziert sind und überlassen daher den Lead lieber der IT. Das ist ein fataler Trugschluss. Die Rollenbildung muss zusammen mit den Fachbereichen erfolgen. Daher müssen zwingend Wege gefunden werden, um die Fachbereiche stärker in den Rollenbildungs- aber auch in den Rollenwartungs-Prozess (Role-Lifecycle) einzubinden. Es bleibt immer in der Fachbereichs- und Linien-Verantwortung, die Mitarbeiter mit den benötigten Rechten auszustatten und dabei das „need-to-know-Prinzip“ bestmöglichst einzuhalten. Dabei gilt es für die Fachbereiche, die verlangte Verantwortung sowohl bei der Rollenerstellung und -Wartung als auch bei der Zuweisung, Pflege und Re-Zertifizierung der Berechtigungen und Rollen zu übernehmen. Fachbericht: Access Governance von Marco Rohrer, CEO ipg AG Seite 4/8 ipg AG Tel. +41 52 245 04 74 information process group Fax +41 52 245 04 73 Jägerstrasse 2 www.ipg-ag.com CH-8406 Winterthur info@ipg-ag.com 5. Access Intelligence Die Access Intelligence liefert den Fachbereichen die notwendigen Informationen, um die korrekten Entscheidungen im Hinblick auf die Kontrolle der erteilten Berechtigungen zu treffen. Damit die Fachbereiche aus der Vielzahl an Zugriffsinformationen die richtigen Schlüsse ziehen und die Berechtigungen richtig vergeben resp. re-zertifizieren, müssen die Daten vorgängig in eine Form gebracht werden, die es den Entscheidungsträgern erlaubt, ihrer Verantwortung nachzukommen. Die Risikobewertung, die etablierte Berechtigungs- und Rollen-Re-Zertifizierung sowie die Funktionstrennung (Segregation of Duties, SoD) sind daher die wichtigsten Voraussetzungen für die Fachbereiche, um die Berechtigungen der Mitarbeiter zu administrieren. Rollen können, losgelöst von einzelnen Berechtigungen, hinsichtlich ihres Risikos bewertet werden. Weiter können Rollen einem Aktivitäts- oder Prozessmodell zugeordnet werden. Auf Ebene der Prozesse und Aktivitäten lassen sich ebenfalls Risikobeurteilungen vornehmen, z.B.