Sprechen Sie IAM 2.0?

Die Risiken durch unbefugte Zugriffe auf Unternehmensdaten sind heute grösser denn je. Die Einhaltung der regulatorischen Compliance, interner Governance-Anforderungen und Risikomanagement-Standards werden für Firmen daher wichtiger.

Im traditionellen Identity und Access Management stehen zwei Dinge im Vordergrund: Die automatisierte und strukturierte Verwaltung von Zugriffsberechtigungen und die Kostenreduktion. Das klassische IAM-Modell ist IT-lastig ausgelegt und verfolgt den Ansatz des Single-Point-of-Administration. Ein anderer Ansatz ist die Identity and Access Governance.

Access Governance bietet Kontrollmechanismen

Durch Access Governance erfolgt die Vergabe und die Kontrolle von Zugriffen nicht nur durch die IT. Auch die Vertreter aus den Fachbereichen steuern und überwachen den Zugriff von Mitarbeitern auf die Unternehmensdaten. Die Access Governance ist aber mehr als eine Verlagerung der Verantwortlichkeiten zurück an die Fachbereiche. Sie bietet zusätzliche Mechanismen zur Erkennung und Korrektur von Fehlverhalten und bietet Möglichkeiten, um verantwortliche Mitarbeiter im Ereignisfall zu informieren.

Die Access Governance ist mehr als eine Verlagerung der Verantwortlichkeiten zurück an die Fachbereiche.

Mitarbeiter (oder Nutzer) haben konkrete Aufgaben im Unternehmen. Damit sie diese ausführen können, benötigen sie Benutzerkonten und Zugriffsberechtigungen. Üblicherweise werden diese aufgrund von Personalinformationen wie den Funktionen, Organisationszugehörigkeiten und dem Vertragsverhältnis abgeleitet und zugewiesen. Man spricht hierbei von einem «HR-driven Provisioning». Ausser den grundsätzlich geregelten Zugriffsberechtigungen benötigt ein Mitarbeiter etwa aufgrund einer aktuellen Aufgabe zusätzliche Zugriffe. Diese können dann zeitbeschränkt erteilt werden, etwa für eine Stellvertretung oder für ein Projekt.

In diesem Fall kann der direkte Vorgesetzte und der verantwortliche Projektleiter am besten beurteilen, ob und welche Zugriffsberechtigungen notwendig sind. Mittels regelmässiger Überprüfung und Bestätigung der Einhaltung der Richtlinien durch die Verantwortlichen kann das Risiko von Regelverletzungen minimiert werden.

Access Intelligence – die Akzeptanz der Fachbereiche ist ­entscheidend

Die Mitarbeiter mit den notwendigen Zugriffsberechtigungen auszustatten und dabei das «Need-to-know-­Prinzip» möglichst einzuhalten, bleibt immer in der Verantwortung des Fachbereichs und der Linie. Damit diese ihrer Verantwortung nachkommen können, müssen geeignete Werkzeuge zur Verfügung gestellt werden. Geeignet sind Lösungen, die über Dashboards und Berichte Verantwortlichen relevante Informationen auf einen Blick anzeigen.

Aus den daraus gewonnenen Erkenntnissen können Verantwortliche businessrelevante Entscheidungen ableiten. Wichtig hierbei ist, dass IT-Verantwortliche mit ihren Kollegen in den Fachbereichen eine gemeinsame Sprache sprechen. Gelingt es nicht, die Begrifflichkeiten des IAM in eine für die Fachbereiche verständliche Form zu übersetzen, weigern sich diese womöglich, ihre Verantwortung wahrzunehmen.

Die wichtigsten Ziele der Access Governance

• Fachbereiche werden aktiv in das Berechtigungsmanagement ­involviert. Sie übernehmen die primäre Verantwortung für die ­Vergabe von Zugriffsberechtigungen.

• Die Fachbereiche attestieren periodisch die Zugriffsberechtigungen der Nutzer. Dies betrifft sowohl Rollenzuweisungen als auch deren Inhalte.

• Toxische Kombinationen von Zugriffsberechtigungen werden durch Funktionstrennungsregeln (SoD Policies) verhindert. ­Regelverletzungen werden durch die Fachbereiche aufgelöst oder genehmigt.

• Risiken sollen frühzeitig erkannt und die verantwortlichen ­Mitarbeiter darüber benachrichtigt werden.

• Informationen und Entscheidungsgrundlagen werden aufbereitet und über ein Selfservice-Portal in businessverständlicher Form ­dargestellt, etwa in Form von Dashboards, Berichten und ­Statistiken.

• Intelligente Mechanismen erkennen Abweichungen vom ­Soll-Zustand und leiten angemessene Korrekturmassnahmen ein.