Vertrauliche und schützenswerte Daten verdienen einen zuverlässigen Schutz. Obwohl heute umfassende Sicherheitsmechanismen zur Verfügung stehen, gehen wir immer noch zu sorglos mit vertraulichen Daten um. Die betroffenen Unternehmen erleiden dadurch Vertrauensverluste, Imageschäden und finanzielle Einbussen.
Gastkommentar von Marco Rohrer, CEO IPG AG, Winterthur, Hamburg, Wien
Die Geschäftsprozesse sind vermehrt von den IT-Mitteln abhängig und die Informationssicherheit muss durchgehend gewährleistet sein. Dazu müssen die Zugriffe auf Applikationen und Daten aktiv unterhalten werden. Dies ist die Aufgabe der Fachbereiche. Damit ist klar, dass sich die Prozesse für die Vergabe und Bewirtschaftung der Zugriffe ausserhalb der Informatik abspielen. Diese Stellen sind oft ungenügend für das Thema sensibilisiert und wollen die Verantwortung für das Zugriffsmanagement an die Informatik delegieren. Wir spüren die gute Entwicklung, dass Projekte für Identity & Access Management verstärkt aus der Organisation heraus und nicht mehr „nur“ als reine IT-Projekte wahrgenommen werden.
Access Governance stellt das Risiko von unberechtigten Zugriffen sowie die Auditierbarkeit der Benutzerrechte verstärkt in den Mittelpunkt. Zusätzlich wird die Sicherheit individueller aufgebaut und Automatismen vereinfachen die Verwaltung der Benutzerdaten und Zugriffsrechte. Dabei sind die steigenden gesetzlichen und regulatorischen Anforderungen zu berücksichtigen. Es braucht zentral, system- und plattformübergreifende Services für Identity Management. So ist das Verwalten von Identitäten, Zugriffsrechten und privilegierter User und Accounts sicher und automatisierbar.
Die Rolle erhält eine neue Rolle
Die Rollen, welche für die Access Governance benötigt werden, müssen stärker an die tatsächlichen Aufgaben der Mitarbeiter angelehnt und verstärkt im Antrags- und Genehmigungsverfahren zugewiesen werden. Heutige Rollenmodelle müssen die „Unternehmenssicht“ wiedergeben, in denen sich dann untergeordnet die zielsystemspezifischen Berechtigungsstrukturen verbergen. Grosse Organisationen unterscheiden zwischen „Business-Rollen“ und „IT-Rollen“. Die Business-Rollen orientieren sich an funktionalen, organisatorischen oder hierarchischen Aspekten der Benutzer. Die IT-Rollen definieren den technischen Bezug der zugewiesenen Berechtigungen. So kann mit Rollen die Brücke zwischen Business und Informatik gebaut werden.
Mit Access Governance sicher in die Zukunft
Wir müssen das herkömmliche IAM „öffnen“, der Zukunft anpassen und so einen Beitrag zur besseren Penetration von Informationssicherheit in der Wirtschaft leisten. Wir machen die Erfahrung, dass „Identity Management as a Service“ (IdMaaS) von den Kunden positiv aufgenommen und geschätzt wird. IdMaaS erlaubt kleineren Unternehmen, die IKS-Anforderungen zu erfüllen und es hat den Vorteil, die Berechtigungsprüfungen mit Analyse und Verbesserungs-Vorschlägen zu kombinieren. Die gewonnenen Erkenntnisse können bei einer späteren Einführung einer umfassenden Access-Governace-Lösung verwendet werden und sie bilden eine Plattform für die Fachbereiche, um deren Zugriffe zu steuern. Die IT übernimmt dabei keine Administrationstätigkeit mehr. Die Berechtigungsverwaltung wird durch die Mitarbeiter selbst wahrgenommen.
Der Online-Stellenmarkt für ICT Professionals