Durch die weltweite Daten-Vernetzung des Internets ist es nicht nur für Privatpersonen wichtig geworden, sich Gedanken über ihre Präsenz und den Informationsgehalt der eigenen Person im Internet Gedanken zu machen. Aus dem Grund lohnt sich, besonders für Firmen, die Nutzung eines Identity Management Systems. Dabei sollten sie sorgfältig abwägen, wie man ein Identity Management Projekt am besten integriert und auch in Zukunft gepflegt werden kann. Acht Handlungsempfehlungen informieren Unternehmen über den Einsatz eines Systems.
Schritt 1: Definition des Personals
Für diesen ersten Schritt eines Identity Management Projekts ist die HR-Abteilung verantwortlich. Die Mitarbeiterdaten werden zusammen mit ihren organisatorischen Daten (z.B. Abteilung, Kostenstelle, Niederlassung…) aus dem HR System importiert. Zu jeder dieser Identitäten wird ein „Globally Unique Identifier“ (GUID) hinzugefügt, falls noch keiner vorhanden ist. Zusätzlich sollten die organisatorischen Strukturen einschließlich der Verantwortlichen importiert werden, um die Unternehmensstruktur abzubilden.
Wurden die Daten erfolgreich importiert, sollte für die Mitarbeiter ein Webfrontend zur Verfügung gestellt werden, um zusätzliche Informationen bequem einpflegen zu können. Auch für die Administration externer Mitarbeiter(z.B. Consultants), die nicht im HR System gepflegt werden, sollte ein Webfrontend zur Verfügung gestellt werden.
Als nächstes sollten die importierten Daten auf Ihre Qualität hin überprüft werden, um Fehler oder falsche Zuordnungen zu vermeiden.
Zu diesem Zeitpunkt sollten auch die verantwortlichen Mitarbeiter benannt werden, die für die weitere Pflege zuständig sind.
Schritt 2: Definition der Identitäten
Dieser Schritt ist wichtig, um ein integriertes Informationssystem zu schaffen, das es ermöglicht, sowohl die Mitarbeiter zu verwalten als auch verwaiste Accounts aufzudecken.
Hierfür ist die IT-Abteilung verantwortlich, denn verschiedene Systeme sollen integriert werden:
– das primäre NOS (Network Operating System) wie z.B. Active Directory
– das primäre Mailsystem, wie z.B. Microsoft Exchange oder Lotus Notes
– das primäre ERP System, wie z.B. SAP
Durch die Integration nur der wichtigsten Zielsysteme können schnell erste Erfolge erzielt werden, weitere Zielsysteme können zu einem späteren Zeitpunkt angeschlossen werden.
Aus jedem der nun angeschlossenen Systeme sollten Accounts, Gruppen und Mitgliedschaften geladen werden. Als nächstes werden diese neuen Accounts automatisch mit den zugehörigen Mitarbeitern verbunden. Für die Accounts, die sich nicht zuordnen lassen, sollten Prozesse zur Bereinigung definiert werden, greifen diese nicht, wird ein Webfrontend für die manuelle Zuordnung benötigt. Verantwortlich hierfür sollten die Systembetreuer und Abteilungsleiter sein. Zusätzlich sollten Mitarbeiter benannt werden, die für die weitere Pflege der Daten zuständig sind.
Schritt 3: Account Reporting
Ziel dieses dritten Schrittes ist es, unauthorisierten Zugriff auf Informationen zu verhindern und zu wissen, wer Zugriff auf welche Informationen hat. Neben der IT Abteilung sind auch die verschiedenen Organisationseinheiten zuständig.
Für das Reporting sollte ein Webfrontend eingerichtet werden, mit dem Abteilungsleiter und Systemverantwortliche Reports über bestehende Berechtigungen generieren können. So können die Rechte der Mitarbeiter auf den IT-Systemen regelmäßig überprüft und bei Bedarf korrigiert werden.
Schritt 4: Antrags- und Genehmigungsworkflows
Vorteile der Einführung von Antrags- und Genehmigungsworkflows sind, den Benutzern ein Self-Service Portal zu bieten und die Infrastruktur- und Applikationsmanagement Kosten zu senken. Dadurch wird auch die Benutzerzufriedenheit gesteigert und ein höheres Service Level geboten.
Als erstes sollte ein IT Service Katalog aufgesetzt werden, dessen Struktur und Inhalt festgelegt werden müssen. Als nächstes werden Genehmigungsworkflows für die verschiedenen Service Kategorien hinterlegt und bestimmt, welche Mitarbeiter was bestellen dürfen. Außerdem sollte festgelegt werden, welche Verantwortlichen für einen bestimmten Kreis von Mitarbeitern bestellberechtigt sind.
Ist der IT Service Katalog fertig, sollte ein Frontend für Bestellungen und Genehmigungen erstellt werden. Wie zuvor, sollten auch für den IT Service Katalog Rollen zur Pflege, wie Catalog Owner, Produkt Owner, System Owner, Manager, Besteller und Genehmiger festgelegt werden.
Schritt 5: Automatisiertes Provisioning
Dieser Schritt kann durch den ständigen Bedarf, den Administrationsaufwand zu senken und das Service Level zu erhöhen, motiviert sein. Er kann auch Aufgaben wie Reorganisationen, Abteilungsumzüge oder das „least privilege“ – Prinzip (z.B. schneller Entzug von Benutzer-rechten) umfassen. Auch für diesen Schritt ist die IT-Abteilung verantwortlich.
Die wichtigsten Systeme, wie das NOS, Mail, ERP und andere sollten priorisiert werden. Dann sollte der Datenfluss zwischen dem Identity Management System und den angeschlossenen Systemen definiert werden. Dabei kann auf Attribut-Level geregelt werden, welches System der Master und welches der Slave ist.
Als nächstes sollten Accounts und Berechtigungen erstellt und verwaltet werden können. Wenn diese Prozesse erfolgreich eingeführt wurden, können weitere technische Provisioningprozesse, wie das Sperren/Entsperren, Aktivieren/Reaktivieren und Löschen von Accounts eingeführt werden. Anschließend können weitere organisatorische Prozesse wie Ortswechsel, Abteilungswechsel, Namensänderung oder Beförderungen hinzugefügt werden.
Optional kann auch ein Single-Sign-On für die angeschlossenen Systeme eingeführt werden.
Schritt 6: Regulatory Compliance
Im sechsten Schritt wird automatisierte IT Compliance eingeführt. Gründe für diesen Schritt können externe Verpflichtungen (z.B. gesetzliche Anforderungen), Reduzierung des Unternehmensrisikos oder auch die Verhinderung von Betrug sein. Verantwortlich sind in diesem Fall sowohl die IT- als auch die Abteilung für Informationssicherheit.
Für diesen Schritt müssen Rollen für die Datenpflege und Überwachung, wie auch Regel-Administratoren oder Ausnahmegenehmiger festgelegt werden. Als nächstes werden die Compliance Regeln definiert und den verantwortlichen Personen zugewiesen. Die Überprüfung der Regeln kann nahtlos in jeden Genehmigungsworkflow integriert werden und zu automatischen Berichtigungsprozessen führen, wie z.B. die Deprovisionierung von Berechtigung oder das Sperren von Accounts.
Schritt 7: Attestierung/ Rezertifizierung
Die regelmäßige Attestierung von Konten und Berechtigungen ist die Aufgabe im siebten Schritt. Gründe hierfür können sein, die Informationen für das Management zu verbessern und genau zu wissen, wer welche Berechtigungen hat. Verantwortlich sind die IT Abteilung, die Geschäftsbereiche sowie die Abteilung für Informationssicherheit.
Als erstes sollten in diesem siebten Schritt die Rollen definiert werden, um festzulegen, wer für die Rezertifizierung der Konten und Berechtigungen einer bestimmten Gruppe von Mitarbeitern zuständig ist. Dies können z.B. Systemverantwortliche, Manager oder CISOs sein.
Als nächstes werden die Objekte und Richtlinien definiert, die die Basis für die Attestierung bilden. Die Objekte definieren was attestiert werden soll, wie z.B. Rollen und Berechtigungen. Die Richtlinien spezifizieren die Verantwortlichen für die Attestierung eines bestimmten Objekts. Ist dies festgelegt, werden die entsprechenden Workflows für die Attestierung definiert und ein Webfrontend bereitgestellt.
Zum Schluss sollten auch hier wieder Rollen für die Pflege der Daten festgelegt werden.
Schritt 8: Rollen Management
Um die Administration zu vereinfachen, können in diesem achten Schritt Rollen eingeführt werden. Motive hierfür können effektivere Sicherheit und das Verhindern von unerlaubtem Zugriff auf Informationen sein. Verantwortlich sind in diesem Fall die IT-Abteilung sowie die verschiedenen Geschäftsbereiche.
Als erstes sollte Role Mining mit der Bottom-up-Methode eingesetzt werden, um vorhandene Rollen zu bestimmen. Anhand der organisatorischen Strukturen können die Rollen dann weiter verfeinert werden. Danach sollten die Rollen Lifecycle Prozesse festgelegt werden, wie aktivieren/deaktivieren, hinzufügen/entfernen, etc. Zuletzt sollten die Rollen für die Mitarbeiter bestellbar gemacht werden.
Am Schluss sollten wieder Rollen für die Administration festgelegt werden, sowohl für die Rollen als auch die Berechtigungen.
