IDENTITY MANAGEMENT, WIE WICHTIG SIND DIE UMSTEHENDEN PROZESSE

Einleitung

Die in den letzten Jahren steigende Benutzung von Cloud Lösungen, Mobilen Geräten und sozialen Netzwerken innerhalb der Unternehmen hat die Wichtigkeit für die korrekte Umsetzung von Identity Management Systemen erheblich erhöht. Die Öffnung der Firma an diese neuen Technologien erfordert eine gesteigerte Aufmerksamkeit in der Kontrolle der Autorisierungen auf die Systeme und Zugriffe auf die Daten des Unternehmens, egal ob diese Ressourcen innerhalb oder ausserhalb der Firma gehalten werden. Identity Management ist das zentrale System zur Steuerung und Kontrolle der Mitarbeiterautorisierungen und Ressourcenzugriffe. Die Steuerung des Identity Management Systems erfolgt durch die Ausführung der Prozesse der Personenverwaltung, welche somit indirekt eine zentrale Rolle für die korrekte Verwaltung der Autorisierungen der gesamten Unternehmung spielt.

Bild1

Oft wird bei der Implementierung von Identity Management Lösungen der grösste Aufwand in die IT Lösung gesteckt. Die Integration der Personenverwaltungsprozesse mit der Identity Management Lösung wird vernachlässigt, die Personalabteilung bei der Umsetzung wenig involviert und somit die Funktion des Identity Management Systems und die Sicherheit der Firma sehr stark gefährdet. Die Berücksichtigung der erwähnten Prozesse ist zentral für den Erfolg der gesamten Identity und Access Management Lösung. In den folgenden Kapiteln analysieren wir einige der wichtigsten Aspekte, welche für die erfolgreiche Integration dieser Prozesse mit der Identity Management Lösung durch die Zusammenarbeit der Personal-, IT- und Sicherheitsabteilungen zu Berücksichtigen sind.

Der Personen Verwaltungsprozess

Bei jedem Eintritt, Austritt oder Funktionswechsel werden Änderungen der Mitarbeiterautorisierungen auf die Firmenressourcen umgesetzt. Die Durchführung dieser Prozesse wird durch das Identity Management System unterstützt, gesteuert und getrackt. Die Abstimmung und Integration der Prozesse mit dem Identity Management System stellt eine grosse Herausforderung für die Personal-, die IT- und auch die Sicherheitsverantwortlichen dar. Die Dokumentation und Umsetzung dieser Prozesse sollte unabhängig von der gewählten Lösung erfolgen. Die beste Ausgangslage ist, wenn diese Prozesse schon vor der Einführung der Lösung etabliert, erprobt und umgesetzt sind. Wenn die Prozesse schon funktionieren, wird es viel einfacher sein, diese mit der Identity Management Lösung zu unterstützen und zu ergänzen. Unter solchen Prämissen kann die Einführung der Lösung stufenweise erfolgen: Zuerst werden die kritischsten Ressourcen / Systeme am Identity Management und Access Management angeschlossen, dies sind normalerweise die meistbenutzten und sicherheitsrelevantesten Systeme. Danach werden die weniger kritischen Systeme integriert. Für Systeme, welche nicht mit dem Identity Management verbunden werden können, sollte aber trotzdem durch Einsatz von Reports und Audits periodisch ein Soll und Ist Vergleich durchgeführt werden. So zum Beispiel eine Cloud Lösung, welche keine Schnittstellen für die Verwaltung der Autorisierungen anbietet und somit nur durch die Durchführung von periodischen Audits unter Kontrolle gehalten werden kann. In solchen Fällen sollte das Identity Management System für die Dokumentation des Soll Zustandes benutzt werden und damit für den Vergleich der erfassten Autorisierungen auf dem Endsystem beigezogen werden.

Das Rollenkonzept

Ein anderer zentraler Aspekt für die erfolgreiche Umsetzung des Identity Management System ist das Rollenkonzept. Im Rollenkonzept wird die technische Spezifikation der Zugriffe (lesend oder schreibend) auf die Ressourcen strukturiert und dokumentiert. Ein Mitarbeiter bekommt eine oder mehrere Rollen, und das Identity Management übersetzt diese in Autorisierungen und Zugriffe. Die Rollen weisen oft technische Namen auf, welche wenig über die Aufgaben aussagen und somit für die Mitarbeiter sehr schwierig zu interpretieren sind. Ein Mitarbeiter kann in diesem Fall nicht erkennen, welche Rollen er für die Ausführung seiner Aufgaben benötigt und auch nicht erkennen, ob er die richtigen Rollen bekommen hat. Dieses Problem kann nur gelöst werden, wenn die Rollennamen genau mit den Mitarbeiteraufgaben übereinstimmen. Das Identity Management stellt die Verbindung von Rolle und Zugriffrechten sicher. Wenn ein Mitarbeiter eine Funktion bekommt, übernimmt er eine Aufgabe, welche im Rollenkonzept 1:1 erkennbar ist. Jede Aufgabe ist mit den  Zugriffrechten auf verschiedenen Systemen verbunden, welche durch die Konsultation des Identity Management Systems rekonstruierbar sind.

 

Bild2

 

Die Kontrolle der umgesetzten Zugriffe und Berechtigungen

Wie wir im vorderen Abschnitt gesehen haben, sind viele Informationen über die Berechtigung und dessen Änderungsverlauf im Identity Management System abgelegt. Während der Durchführung der Prozesse werden die Änderungen durch das Identity Management System historisiert. Diese Informationen stehen Personal-, Sicherheit- und IT-Abteilung zur Verfügung, und durch gezielte Analyse und Alarmierungen können Fehler bei Manipulationen vermieden werden. Die Kontrolle der Information ist für die Sicherheit des Unternehmens von zentraler Bedeutung. Es ist daher von höchster Priorität, dass diese Kontrollen im ordentlichen Prozess verankert werden und im erforderlichen Takt durchgeführt werden.

Um diese Situation zu Verbessern ist es empfehlenswert die Aufgabe der Kontrolle  der Autorisierungen bis auf die Mitarbeiterebene weiterzuleiten. Jeder Mitarbeiter ist in erster Linie für seine Aufgaben verantwortlich und somit auch für die Kontrolle der Autorisierungen und Zugriffrechte, welche er besitzt. Wenn ein Mitarbeiter die notwendigen Rechte für die Erfüllung seiner Aufgaben nicht bekommt, dann wird er sich melden, und die Verantwortlichen werden sehr schnell merken, dass Fehler bei der Umsetzung im Rollenkonzept oder in den Prozessen vorhanden sind. Ein Mitarbeiter sollte sich auch melden, wenn er zu viele Rechte bekommt, denn diese Situation bedeutet ein erhöhtes Risiko für ihn und das Unternehmen. Für die Vermeidung dieser Fälle sollte bei der internen Ausbildung  grosse Aufmerksamkeit auf die Prozesse der Personenverwaltung und Identity Management gesetzt werden. Jeder Mitarbeiter und jede Führungskraft sollte das Rollenkonzept kennen und auf einfache Weise erkennen ob er die richtigen Autorisierungen besitzt.

 

Fazit

In diesem Artikel haben wir verschiedene wichtige Aspekte der Integration des Identity Management Systems mit den Prozessen der Personalverwaltung gezeigt. Die Integration eines solchen Systems ist in einer Firma nie eine rein technische Aufgabe, welche allein durch die IT durchgeführt werden kann. Für eine erfolgreiche Einführung des Systems sind sowohl die Prozesse der Personalverwaltung zu integrieren, als auch die Ausbildung aller Mitarbeiter zu planen und durchzusetzen. Ein Identity Management System bildet die notwendige technische Voraussetzung für eine integrierte Lösung.  Für eine erfolgreiche Planung und Umsetzung eines effizienten Identity Management Systems ist jedoch ein Vorgehen zu wählen, dass die firmenspezifischen Strukturen und Prozesse in die Lösung mit integriert.

Hinterlasse eine Antwort