Bee-Consult - Stefan Lindner

Identitäts- und Zugriffsmanagement ist nichts Neues und jedes Unternehmen macht dies vom ersten Tag an.

Als Privatperson stellen Sie sicher, dass Ihre Wohnung verschlossen ist und nur autorisierte Personen mit einem Schlüssel Zutritt erhalten. Die Methode ist ziemlich effektiv, da Sie normalerweise wissen, wem Sie einen Schlüssel gegeben haben oder nicht. Warum effektiv? Es ist einfach, es gibt nur wenige Leute und man kennt sie alle persönlich. Auch der Zugang zum Haus gestaltet sich effizient, da er in der Regel mit dem Schlüssel funktioniert. Neue Technologien machen dies noch effizienter und sicherer und nutzen biometrische Dienste wie Fingerabdruck- oder Gesichtserkennung.

Als Unternehmen wissen Sie auch, wer Ihr Bürogebäude, die Fabrik oder bestimmte Räume innerhalb eines Gebäudes betreten darf. Die Verwendung von Schlüsseln mit unterschiedlichem Zugang oder Ausweisen ist nichts Neues. Doch ehrlich gesagt fällt es den meisten Unternehmen schwer, den Zugriff auf ihre Anwendungen effektiv, effizient, sicher und konform zu verwalten.

Wissen Sie ad hoc:

  • Wer in Ihrem Unternehmen Zugriff auf welche Anwendungen hat?
  • ob Konten an dem Tag deaktiviert wurden, an dem eine Person das Unternehmen verließ?
  • Wie lange es dauert, bis ein neuer Mitarbeiter die erwartete Arbeit leisten kann?
  • ob der Zugriff, den eine Person hat, auch nach mehrjähriger Zugehörigkeit zum Unternehmen noch angemessen ist?
  • dass der privilegierte Zugriff nicht mit dem Standardzugriff kombiniert wird?
  • Wie viele Zugriffsverwaltungsprozesse und -tools sie verwenden?

Auch hier bin ich sicher, dass jedes Unternehmen diese Informationen erhalten kann und über Kontrollen verfügt, um das Risiko zu mindern – die Frage ist oft: Mit welchem ​​Aufwand?

Wenn Sie Schwierigkeiten haben, einige der oben genannten Fragen zu beantworten, könnte es für Sie interessant sein, weiterzulesen …

IAM-Projekte sind „Change-Management-Projekte“ und keine „Technologie-Projekte“

Wie oben erwähnt, haben Sie wahrscheinlich alles an Ort und Stelle und unter Kontrolle, und dadurch wird jedes IAM-Projekt zu einem Change-Management-gesteuerten und nicht zu einem technologiebezogenen Projekt.

Bedenken Sie, dass alle Ihre Anwendungs- und Serviceteams in der Vergangenheit eine Zugriffskontrolle für ihre Angebote einrichten mussten. Zu diesem Zweck haben sie Prozesse entworfen und Support-Tools mit großer Funktionalität eingerichtet. Diese können eine ähnliche Komplexität aufweisen wie die Anwendungen oder Dienste selbst. Es gibt Leute, die stolz auf diesen Zutrittskontrolldienst sind, und sie haben Recht – es ist ihr Verdienst, dass der Dienst bisher gute Ergebnisse geliefert hat.
Und jetzt kommen Sie und sagen ihnen, dass Sie eine bessere Wahl haben – eine neue Technologie, die ihren geliebten Service ersetzen wird, der dem Unternehmen über viele Jahre zum Überleben verholfen hat.
Ihre Herausforderung besteht darin, dass jeder von ihnen aus einer einzelnen Service-Perspektive richtig ist, aber in den meisten Fällen hat keiner von ihnen den Überblick über Ihr Unternehmen und kann die oben genannten Fragen beantworten. Möglicherweise werden Sie durch SOX, DSGVO, NIS2, ISO27001 oder andere Frameworks dazu gezwungen.
Bitte spielen Sie ein wenig mit diesem Satz im Kopf und Sie werden den Widerstand verstehen, auf den Sie möglicherweise stoßen, und verstehen, warum eine IAM-Implementierung kein technologiegetriebenes Projekt ist, aber es für ihr Unternehmen einen enormen Nutzen haben wird, der gut gemanagt werden muss.

Gibt es einen Business Case für mein IAM-Projekt?

Ja, es gibt immer einen Business Case. Einige von ihnen müssen möglicherweise während der Vorstudien für solche Projekte identifiziert werden. Sie hängen sehr oft von der Struktur Ihres Unternehmens ab und setzen auf unterschiedliche Attribute:

  • Wie ist Ihr Personalwesen organisiert?
  • Wie viele IAM-Tools nutzen Sie heute?
  • Sind Sie zentral organisiert oder verteilt?
  • Wie sehen Ihre ITSM-Dienstleistungen aus?
  • Welche Unternehmensstrukturen haben Sie?
  • Müssen Sie für die Kontrolldurchführung einen offiziellen Nachweis erbringen?

Dies sind nur einige Fragen, die von Interesse sein könnten und dabei helfen, Einsparpotenziale zu ermitteln. Diese Einsparungen könnten sein:

  • Reduzierung von # Werkzeugen
  • Vereinfachung der Kontrollen
  • Reduzierung der „Mean Time to Resolve“ (MTR) von zugriffsbezogenen Vorfällen
  • Erhöhung der Benutzerfreundlichkeit

Welche Technologie ist die Richtige?

Das ist eine einfache Frage, aber eine schwierige Antwort. Um ehrlich zu sein, gibt es viele Tools auf dem Markt und alle tun, was sie tun sollen. Im Allgemeinen ist es also nichts Falsches, sich für eines davon zu entscheiden, aber abhängig von Ihrer Umgebung und Ihren Bedürfnissen könnte das eine besser sein als das andere.

Einige zu berücksichtigende Auswahlkriterien:

  • Die Anzahl der verwalteten Identitäten
  • IT-Umgebung (On-Premise vs. Cloud)
  • SAP- und/oder Nicht-SAP-Anwendungen
  • ServiceNow-Integration sinnvoll?
  • HR-Systeme (z. B. Workday?)
  • Windows mit Single Sign On oder Unix-Umgebungen
  • Konfiguration vs. Anpassung
  • Flexibilität vs. Out-of-the-Box

Auch hier sind noch viele weitere Parameter zu berücksichtigen.

Projekt oder Reise?

IAM ist eine Reise. Abhängig von der Größe Ihres Unternehmens muss es wahrscheinlich mit einem Projekt beginnen, das in den Betrieb führt und von einer Reise vorangetrieben wird.
Innerhalb des Projekts müssen Sie die Grundlagen von IAM einrichten und die Governance etablieren, um IAM als Service auszuführen – es handelt sich nicht nur um einen der Prozesse innerhalb der ITIL- oder Cobit-Frameworks.
Solche Reisen können bis zu mehreren Jahren dauern, wobei das Projekt je nach Größe Ihres Unternehmens innerhalb eines Zeitraums zwischen einem halben und maximal zwei Jahren abgeschlossen sein sollte.

Typische Bestandteile dieser Projekte sind:

  • Aufbau der Governance innerhalb der Organisation
  • Aufbau der Ablauforganisation
  • Aufbau eines IAM Frameworks
  • Entwerfen und bauen Sie eine IAM-Organisation zur Bereitstellung des Dienstes auf
  • Überprüfung und/oder Definition von Richtlinien und Standards
  • Anforderungen und Prozesse definieren
  • Priorisierung der Anforderungen und Auswahl eines Tools
  • Implementierung des Tools
  • Kontrollrahmen einrichten und den Dienst bei Bedarf zertifizieren
  • Rollout-Pilotanwendungen
  • Projekt abschließen und in Betrieb nehmen

Sind Sie daran interessiert, mehr zu erfahren?

Kontaktieren Sie mich gerne.