linke Spalte

Identity & Access Management

Komplexität der Technologien gefährdet die Sicherheit von Informationen, Daten und Systemen. Konvergenz im Managen von Identitäten und Bauen von Zugangsplattformen löst diese Herausforderung.

Die zunehmende Zahl dezentraler Systeme im Unternehmensumfeld überschwemmt das IT-Management mit immer unübersichtlicheren Zugriffs- und Rechtestrukturen. Betriebssysteme, Datenbanken, Applikationen und Internet-Plattformen bringen ihre eigenen Identifikations- und Autorisationsmechanismen ein. Eine Standardisierung produktübergreifender Art ist nach wie vor Mangelware. Die steigende Anzahl zu verwaltender Accounts und Passwörter belastet den Anwender.

 

IAM – ein Gewinn für Ihr Unternehmen

Das Identity & Access Management (IAM) soll die Vielzahl der Kennungen und personenbezogenen Informationen, welche die Anwender für den Zugriff auf Applikationen, Ressourcen und IT-Systeme benötigen, reduzieren und nach Möglichkeit in einer einzigen digitalen Identität zusammenfassen. Ein erfolgreiches IAM wird Effizienzverbesserungen, Kostenreduktion, Produktivitätsgewinn, «Business Agility» und mehr Sicherheit bringen – bei Risikominimierung und Complianace zu Governance.

Sicherheitstechnologie muss nicht die Funktionalität einschränken oder kompliziert zu handhaben sein. Durch Automation von Tätigkeiten wie Einrichten oder Modifikation von User-Accounts etc. werden IT-Administration und User-Helpdesk entlastet und Ressourcen für anspruchsvolle Tätigkeiten freigemacht.

 

Die Strategie der 4 A’s (gemäss Gartner-Group)

ISPIN verfügt über langjährige Erfahrungen aus Identity & Access Management Projekten. Viele der Probleme in IAM-Projekten sind nicht technischer Natur, sondern betreffen organisatorische Massnahmen, betriebliche Prozesse, die Mitarbeiterkommunikation oder psychologische Aspekte. Deshalb ist für IAM-Projekte eine pragmatische Vorgehensweise im Sinne von «Think big – start small» unabdingbar.

 

Umsetzung der 4 A’s

+ Authentisierung – wer bin ich? Identifikation des Benutzers, Passwortregeln, starke Authentisierung, Single Sign-On, Mitarbeiter in- und ausserhalb des Unternehmens.

+ Autorisierung – was darf ich? Berechtigungskonzept, Grundsätze, Policies, Vertraulichkeit der Daten, Umgang mit Daten, Zugriffsdefinition, Rollenmodell, Dateneigentümer und Verantwortlichkeiten.

+ Auditierung – was ist geschehen? Nachvollziehbarkeit der Zugriffe, Reporting, Revision, Einhaltung regulatorischer Vorgaben (beispielsweise SOX oder Basel II), Incident Handling, Vulnerability Assessment.

+ Administration – wer verwaltet was und wie? Zuteilung, Berechtigung, Verantwortlichkeiten, Einrichtungs und Pflegeprozesse (Workflow), Automatisierungsgrad.

 

Das IAM-Modell

Das Vorgehensmodell von ISPIN erlaubt eine umfassende Betrachtung der IAM-Landschaft bezüglich Organisation, Prozessen und Infrastruktur. Nach einem standardisierten Raster werden bestehende IT-Systeme auf ihre IAM-Fitness untersucht. Parallel erfolgt eine Analyse der strategischen Ziele und Vorgaben aus Sicht des Business und IT-Managements sowie der derzeitigen regulativen Anforderungen. Die für IAM relevanten Vorgaben werden in gemeinsamen Workshops erarbeitet. Laufende Projekte werden dabei ebenso berücksichtigt wie bereits geplante Vorhaben. Die konkreten Umsetzungsempfehlungen sind Basis für die Erarbeitung einer IAM-Roadmap.