Geringere Kosten für das IT-Sicherheitsmanagement

Transkript

1 WHITE PAPER Geringere Kosten für das IT-Sicherheitsmanagement Februar 2012 Geringere Kosten für das IT-Sicherheitsmanagement Sumner Blount CA Security Management we can

2 Inhaltsverzeichnis Kurzdarstellung ABSCHNITT 1 Die Herausforderungen im IT-Sicherheitsmanagement 04 ABSCHNITT 2 Was ist Identity and Access Management (IAM)? 05 ABSCHNITT 3 Steigerung der betrieblichen Effizienz 07 Kostensenkung Produktivitätssteigerung Vermeidung von Sicherheitskosten ABSCHNITT 4 Die Effizienzgewinne durch IAM im Überblick 15 ABSCHNITT 5 Neue Modelle zur Effizienzsteigerung 16 ABSCHNITT 6 Fazit 17 ABSCHNITT 7 Verweise 18 ABSCHNITT 8 Informationen zum Autor 18

3 Kurzdarstellung Ausgangssituation Auf IT-Manager wird heute vielfältiger Druck ausgeübt. So müssen sie z. B. für eine sichere Umgebung zum Schutz der Ressourcen und des Rufs ihres Unternehmens sorgen, zugleich aber auch sicherstellen, dass das Unternehmen gesetzliche Auflagen erfüllt. Vor allem aber wird von ihnen verlangt, dass sie dies zu geringeren Kosten als in der Vergangenheit tun. Der Druck, mehr mit weniger erreichen zu müssen, ist sehr hoch und wird es sicher auch weiterhin sein. Neben der Forderung nach mehr Effizienz und geringeren Kosten wird zudem vermehrt verlangt, dass den Benutzern (intern wie extern) mehr und bessere Anwendungen und Services zur Verfügung gestellt werden. Diese rivalisierenden Anforderungen also Kosten senken und mehr Services bereitstellen zu müssen miteinander vereinbar zu machen, ist eine große Herausforderung. Chance Die Effizienz zu steigern und die Kosten zu senken ist zwar nicht einfach, bietet aber auch Gelegenheit, bestehende Sicherheitsprozesse zu optimieren und die IT-Organisation reaktionsfähiger zu machen. In diesem White Paper werden die verschiedenen Möglichkeiten erörtert, die es gibt, um das IT-Sicherheitsmanagement zu rationalisieren und so die Effizienz des Betriebs insgesamt zu erhöhen. Eine integrierte Lösung für das Identity and Access Management (IAM) kann nicht nur zu Effizienzsteigerungen beitragen, sondern darüber hinaus auch die Sicherheit erhöhen, Risiken minimieren, Compliance vereinfachen und dabei helfen, neue Geschäftschancen zu erschließen. In diesem Dokument geht es schwerpunktmäßig um die Effizienzgewinne und IT-Kosteneinsparungen, die sich mit IAM erzielen lassen. Nutzen Solide IAM-Verfahren und IAM-Lösungen können nicht nur dabei helfen, die Kosten für das Sicherheitsmanagement drastisch zu senken und die Produktivität zu steigern, sondern bieten außerdem eine gute Basis für das Management der Benutzeridentitäten, des Benutzerzugriffs und der Verwendung von Informationen. Dies wird erreicht durch: Automatisierung der IT-Prozesse zur Senkung der IT-Gesamtkosten Bewältigung der Systemrisiken im Zusammenhang mit Identitäten Durchsetzung konsistenter Richtlinien für den Datenzugriff und die Datennutzung im gesamten Unternehmen Vereinfachung von Compliance-Programmen und -Prüfungen Einfachere Bereitstellung neuer Online-Services zur Förderung des Unternehmenswachstums 03

4 Abschnitt 1: Die Herausforderungen im IT-Sicherheitsmanagement Die IT-Sicherheitsmanager stehen heute unter vielfältigem Druck. Sie müssen nicht nur für eine sichere Umgebung sorgen, um die Ressourcen des Unternehmens und dessen Ruf in der Branche zu schützen, sondern es wird von ihnen auch oft verlangt, dies zu geringeren Kosten als früher zu tun. Der Druck auf die IT-Sicherheit, mehr mit weniger erreichen zu müssen, ist sehr hoch und wird es aller Wahrscheinlichkeit nach auch bleiben. Die Forderung nach einer höheren IT-Effizienz geht mit dem stärkeren Bedarf nach mehr und besseren Anwendungen und Services für die große Benutzergruppe einher. Diese verstärkten Forderungen nach mehr Funktionen und Services sind in gleich mehreren neu aufkommenden Trends begründet. Hier einige der bedeutendsten dieser Trends: Stärkere Notwendigkeit von Compliance Die Einhaltung aktueller Gesetze und Regelungen wie z. B. Sarbanes- Oxley, PCI DSS, Basel II und HIPAA stellen für das IT-Sicherheitsteam eine besonders große Herausforderung dar. Die Einrichtung effektiver interner Sicherheitskontrollen für die Einhaltung dieser Vorschriften stellen an dieses Team sehr hohe Ansprüche. Vermehrte Aktivitäten im Bereich Fusionen und Übernahmen Wenn Unternehmen durch Fusionen oder Übernahmen wachsen, nimmt damit auch die Komplexität der IT-Sicherheit zu. Ganze Benutzergruppen und Anwendungen sowie die vielen heterogenen Systeme müssen in eine vorhandene IT-Infrastruktur überführt werden. Dies kann die Komplexität der daraus resultierenden IT-Infrastruktur drastisch erhöhen. Ständig wachsende Benutzerzahlen Die Tatsache, dass immer mehr Benutzer sowie deren Profile und Zugriffsrechte auf geschützte Anwendungen verwaltet werden müssen, belastet die Budgets und erhöht die Notwendigkeit, die allgemeine Effektivität und Effizienz der IT und anderer Abteilungen (z. B. Help-Desk) zu optimieren. Neue Technologien, die die IT-Sicherheitslandschaft verändern Von den vielen neuen Technologien und Servicemodellen, die in jüngster Zeit hinzugekommen sind, scheinen Virtualisierung und Cloud Computing die größten Auswirkungen auf die IT-Sicherheitsorganisationen zu haben. Interessanterweise hängt die Akzeptanz dieser Technologien zu einem großen Teil davon ab, welchen Nutzen sie in Bezug auf Betriebseffizienz und Kosteneinsparungen bieten. Also stehen die IT-Sicherheitsmanager vor der großen Herausforderung, diese neuen Modelle in ihre Strategie zu integrieren, um Nutzen aus ihren Vorteilen zu ziehen allerdings nicht auf Kosten der Sicherheitsfunktionen, die bereits in der vorhandenen Infrastruktur implementiert sind. Aufgrund dieser und anderer Faktoren sehen sich also die IT-Sicherheitsorganisationen veranlasst, Lösungen einzuführen, die das Management ihres Sicherheitsbetriebs effizienter gestalten. In diesem White Paper werden die verschiedenen Möglichkeiten erörtert, die es gibt, um das IT-Sicherheitsmanagement zu rationalisieren und so die Effizienz des Betriebs insgesamt zu erhöhen. Schwerpunkt des Dokuments sind die Effizienzgewinne, die sich durch den Einsatz einer integrierten IAM-Lösung erzielen lassen. 04

5 Abschnitt 2: Was ist Identity and Access Management (IAM)? In fast jedem Unternehmen gehören Benutzeridentitäten und ihre Zugriffsrechte zu den zentralen Bestandteilen der E-Business-Strategie. Hinter den Identitäten stehen Menschen, die auf irgendeine Weise an den Geschäftsprozessen beteiligt sind, z. B. Mitarbeiter, Zulieferer, Partner, Kunden und andere. Das Identity and Access Management (IAM) umfasst die Prozesse und Technologien, über die die Identitäten der Benutzer gemanagt und deren Zugriffe auf kritische Systeme, Anwendungen und Informationen kontrolliert werden. Über IAM werden auch die Richtlinien dazu erzwungen, was die Benutzer mit den Informationen, auf die sie zugreifen, tun dürfen. Der wichtigste Zweck von IAM ist, dem IT-Sicherheitsteam (sowie anderen Abteilungen im Unternehmen) Antworten auf einige ganz grundlegende Fragen zu liefern. Zu diesen Fragen gehören: Wer hat auf was Zugriff? Wann ist diese Aktion erfolgt? Was wurde gemacht? Wie können wir das belegen? Wenn Sie diese Fragen mit effizienten Methoden beantworten können, sind Sie in der Lage, wichtige Unternehmensressourcen zu schützen, den Geschäftsbetrieb effizienter zu gestalten und die Einhaltung von Vorschriften zu vereinfachen. Schauen wir uns dazu die drei wesentlichsten Probleme an, die bei der Planung einer Strategie für das Identity and Access Management angegangen werden sollten. Diese sind in folgender Grafik dargestellt: Abbildung A. 05

6 Mit einem effektiven und vereinheitlichten Sicherheitskonzept werden Sie Folgendes erreichen: Kontrolle der Identitäten Managen Sie Identitäten und Rollen, gewähren Sie Benutzern Zugriff auf Ressourcen, erleichtern Sie die Einhaltung von Vorschriften mit Identitäts- und Zugriffsrichtlinien, und erstellen Sie Berichte zu Benutzer- und Compliance-Aktivitäten. Kontrolle des Zugriffs Erzwingen Sie Richtlinien für den Zugriff auf Webanwendungen, Systeme, Systemdienste und wichtige Informationen. Darüber hinaus Benutzer mit besonderen Berechtigungen verwalten, um unzulässiges Vorgehen zu vermeiden. Kontrolle von Informationen Die unzulässige Weitergabe vertraulicher Unternehmensinformationen erkennen, klassifizieren und verhindern. Viele der herkömmlichen IAM-Lösungen beschränken sich auf die ersten beiden Punkte, also die Kontrolle der Benutzeridentitäten und des Benutzerzugriffs. Dies ermöglicht jedoch Benutzern, die Zugriffsrechte auf bestimmte Informationen haben, unbefugte Aktionen damit auszuführen, z. B. diese Informationen nach außerhalb der Unternehmensgrenzen zu übertragen, sie auf einem persönlichen Speichergerät zu speichern usw. Also sollte eine umfassende IAM-Lösung alle diese Bereiche kontrollieren können Benutzeridentitäten, Benutzerzugriff und die Verwendung der Informationen. Umfassendes Identity and Access Management Bevor wir uns anschauen, wie Sie mit IAM Ihre IT effizienter machen und Kosten senken können, führen wir uns vor Augen, wie eine umfassende IAM-Lösung aussehen sollte. So können wir herausfinden, welche Technologien diese Zugewinne an Effizienz bewirken können: Abbildung B. Modell für das Identity and Access Management 06

7 An oberster Stelle stehen die Funktionen für Identity Governance, Provisionierung und Rollenmanagement. Identity Governance unterstützt Kontrollen, die erforderlich sind, um Verstöße gegen firmeneigene oder gesetzliche Richtlinien zu verhindern (z. B. durch Aufgabentrennung), und automatisiert den Vorgang der Überprüfung des Benutzerzugriffs zur Senkung der Sicherheitsrisiken. Die Provisionierung ermöglicht die Automatisierung von Prozessen für das Hinzufügen, Ändern und Entfernen von Benutzern und deren Zugriffsrechten. Das Rollenmanagement bildet die Benutzer und den von ihnen benötigten Zugriff (z. B. Rollen, Richtlinien, Zugriffsrechte usw.) im System ab und bildet so die Grundlage für einheitliche Identitätsprozesse. An nächster Stelle folgen dann die Technologien, die die Richtlinien für den Zugriff auf und die Verwendung von Ressourcen erzwingen. Das Webzugriffsmanagement stellt einen zentralisierten Ansatz für die Erzwingung der Richtlinien bereit, die bestimmen, wer auf Ihre kritischen Online-Anwendungen zugreifen darf, und die Bedingungen definieren, unter denen dieser Zugriff gestattet ist. Erweiterte Authentifizierung bietet strenge, risikobasierte Benutzerauthentifizierung sowie Funktionen zur Erkennung und Verhinderung von Onlinebetrug. Federation ermöglicht einen sicheren Zugriff auf externe Anwendungen und Daten von Partnern. So werden Partnernetzwerke unterstützt, die das Wachstum Ihres Unternehmens fördern. Das Management von Administratorkonten ermöglicht eine differenzierte Kontrolle über die Aktionen, die Ihre Administratoren in wichtigen Systemen ausführen dürfen. So werden sowohl physische als auch virtuelle Systeme geschützt, und die Aktivitäten aller Benutzer mit erweiterten Rechten werden auf sichere Weise verfolgt, aufgezeichnet und gemeldet. Sicherheit bei der Virtualisierung dient dem Schutz der Systeme und Anwendungen in einer virtuellen Umgebung vor Angriffen oder Missbrauch, sei es von außen oder verursacht durch Aktivitäten zwischen den virtuellen Rechnern. Und schließlich können Sie mit Data Loss Prevention (Vorbeugung von Datenverlusten) Ihre sensiblen Informationen klassifizieren und Richtlinien für die Verwendung von Informationen erzwingen. So lässt sich beispielsweise eine nicht ordnungsgemäße Nutzung oder die Offenlegung dieser kritischen Informationen vermeiden. Auf unterster Ebene werden dann die Protokolle der Benutzeraktivitäten gesammelt, analysiert und ausgewertet. Durch die Zentralisierung dieses Prozesses lassen sich nicht nur die Kosten für das Einsammeln und Analysieren dieser Protokolldaten reduzieren, sondern es werden auch die Erstellung von Compliance-Berichten sowie die Compliance-Prüfungen selbst vereinfacht (und es sinken die Kosten in diesem Bereich). Solide Verfahren und Systeme für das Identity and Access Management stellen also eine sichere Basis dar, um die Benutzeridentitäten und deren Zugriff auf Systeme, Anwendungen und Informationen sowie die Verwendung sensibler Daten zu kontrollieren. Kosten für die IT-Sicherheit können aber auch durch die Automatisierung der Sicherheitsprozesse, die Abschaffung manueller oder unnötiger Vorgänge und eine höhere Produktivität aller Benutzer, die an diesen Prozessen beteiligt sind, eingespart werden. Wenden wir uns nun den speziellen Methoden zu, mit denen sich die Effizienz durch Einsatz einer IAM-Plattform steigern lässt. Abschnitt 3: Steigerung der betrieblichen Effizienz Mit der Anforderung, mehr mit weniger zu erreichen, sind zwei wichtige Aspekte verknüpft, die beide berücksichtigt werden sollten, wenn es darum geht, die allgemeine betriebliche Effizienz der IT-Infrastruktur zu erhöhen. Mehr erreichen bedeutet, durch eine Steigerung der Produktivität der einzelnen Mitarbeiter mehr konkrete Ergebnisse zu produzieren. Die Produktivität leidet oft unter ineffizienten internen Abläufen, zu vielen manuellen Vorgängen und unter der Tatsache, dass häufig Probleme gelöst werden müssen, die eigentlich nichts mit der eigentlichen Funktion eines Mitarbeiters zu tun haben. Und mit weniger heißt, dass die Gesamtkosten für das IT-Sicherheitsmanagement gesenkt werden müssen. Dies können Sie erreichen, indem Sie unnötige Prozesse abschaffen, die Eigenständigkeit der Benutzer fördern und einige der IT-Verwaltungsaufgaben automatisieren, die wegen der manuellen Ausführung jetzt noch sehr viel Zeit erfordern. 07

8 Vergessen wir neben den Kostensenkungen und Produktivitätssteigerungen nicht die Kosten, die bei unwahrscheinlichen Ereignissen, z. B. bei Sicherheitsverstößen, entstehen können. Schauen wir uns an, wie das Identity and Access Management in diesen Bereichen Abhilfe schaffen kann: Kostensenkung Produktivitätssteigerung Kostenvermeidung Senkung der Kosten für IT-Sicherheit Bei der Kontrolle der Benutzeridentitäten, des Benutzerzugriffs und dem Reporting zu Benutzeraktivitäten und Compliance sind Kosteneinsparungen in beträchtlicher Höhe möglich. Kontrolle der Identitäten In folgenden Bereichen können Sie Effizienzgewinne erzielen: Benutzerprovisionierung, Zertifizierung von Berechtigungen, Benutzer-Self-Service, zentralisierte Kontrolle über die Benutzeridentitäten, Rollenmanagement. Benutzerprovisionierung und -deprovisionierung Ineffizienzen Eine der Aufgaben, die den Administratoren am meisten Zeit kostet, ist die Gewährung von Zugriffsrechten für Systeme oder Anwendungen für neue Benutzer. Wenn ein Benutzer z. B. Zugriff auf Anwendungen bzw. Daten in drei unterschiedlichen Systemen benötigt, kann die Erstellung der Konten oder Zugriffsrechte für diese Systeme ziemlich zeitaufwändig sein, da hier von drei verschiedenen Administratoren manuelle Formulare ausgefüllt und Einstellungen vorgenommen werden müssen. Dadurch entstehen gleich mehrere Effizienzmängel: Langsame Genehmigungsprozesse für die Erstellung von Konten und Zugriffsrechten Manueller Aufwand mehrerer Administratoren für die Erstellung von Konten auf verschiedenen Systemen Geringere Produktivität des Benutzers, bis die Provisionierung für ihn vollständig abgeschlossen ist Außerdem erstreckt sich dieses Problem auf den gesamten Lebenszyklus des Benutzers. Da die Benutzer ihre Rollen, Projekte und Zuständigkeiten regelmäßig wechseln, erhalten sie immer wieder neue Berechtigungen. Dann müssen neue Konten für die Systeme erstellt werden, auf die sie in ihrer neuen Rolle Zugriff benötigen. Werden die Identitäten und Berechtigungen nicht zentral verwaltet, müssen separate Vorgänge auf mehreren Systemen durchgeführt werden, was hohe Kosten und eine geringere Produktivität bedeutet. Das Problem lässt sich also wie folgt zusammenfassen: Das manuelle Management (Erstellen, Aktualisieren, Löschen) von Benutzeridentitäten, Konten und Berechtigungen führt zu beträchtlichen Ineffizienzen und Produktivitätseinbußen. Lösung Durch eine automatisierte Provisionierung lassen sich schon bei der ersten Erstellung der Benutzeridentitäten enorme Kosteneinsparungen für das Sicherheitsmanagement erzielen. Weiter unten in diesem Dokument wird auf den laufenden Prozess der Verwaltung dieser Identitäten und Berechtigungen eingegangen. Eine Lösung für die automatische Provisionierung ermöglicht die zentrale Erstellung von Konten und Berechtigungen, ohne dass dieselben Eingriffe auf jedem der betroffenen Systeme nötig sind. Außerdem wird der Genehmigungsprozess durch einen automatisierten Workflow unterstützt, was nicht nur den Vorgang an sich beschleunigt, sondern auch den Vorgesetzten jede Menge Zeit spart. Auch das Entfernen der Konten und Berechtigungen lässt sich automatisieren. Dies bedeutet nicht nur mehr Effizienz, sondern trägt vor allem dazu bei, dass die nicht unerheblichen Risiken im Zusammenhang mit unbefugten Systemzugriffen durch ausgeschiedene Mitarbeiter sinken. 08

9 Einsparpotenziale Die Kostenersparnisse, die durch eine automatische Provisionierung erzielt werden können, sind beträchtlich. Sie hängen ab von folgenden Faktoren: Anzahl und Ankunftsrate neuer Benutzer Anzahl der Konten und Anwendungen, für die in der Regel Zugriff bereitgestellt werden muss Zeitaufwand für die Gewährung und Einrichtung des Zugriffs auf diese Konten und Anwendungen Zeitaufwand für die Anforderung, Verfolgung und Abwicklung des Genehmigungsprozesses für Zugriffsanfragen Stundensatz für die Mitarbeiter des Sicherheitsmanagements Als Formel zur Ermittlung der erwarteten Einsparungen durch automatisierte Provisionierung dient: Vorhergesagte Einsparungen x [# Neue Benutzer x Zeit für Provisionierung + # Gelöschte Benutzer x Zeit zur Deprovisionierung] x Gehalt des IT-Admins, wobei Vorhergesagte Einsparungen den Prozentsatz der Einsparung durch Automatisierung des Provisionierungsprozesses darstellt. Diese Zahl lässt sich wie folgt schätzen: Analysieren Sie einfach einige beispielhafte Provisionierungsanforderungen, und verfolgen Sie die benötigte Zeit für jede Anforderung. Schätzen Sie dann, wie viel Zeit bei diesen Aktivitäten durch die Automatisierung eingespart werden könnte. Welche Vorteile kann die Einführung einer Provisionierungslösung bringen? Für die meisten Unternehmen sollten (eventuell sogar beträchtliche) Einsparungen in folgenden Bereichen zu erwarten sein: Durchschnittlicher Zeitaufwand für die Erstellung oder Aktualisierung eines Benutzerprofils Durchschnittlicher Zeitaufwand für die Verarbeitung einer Zugriffsanforderung Durchschnittliche Dauer bis zur Genehmigung der Anforderungen Anteil der Zugriffsanforderungen, die vom etablierten Prozess für diese Anforderungen abweichen Anteil der Zugriffsanforderungen, die von den Benutzerrollendefinitionen abweichen Zeitaufwand für die Korrektur von Diskrepanzen bei den Zugriffsrechten zwischen Systemen und Anwendungen Vor Kurzem wurde Forrester Consulting mit der Analyse von Ergebnissen beauftragt, die bei verschiedenen Kunden erzielt wurden, die CA IdentityMinder TM das Identitätsmanagement und eine automatische Provisionierung bereitstellt im Einsatz haben. 1 Diese detaillierte Studie ergab einen Investitionsertrag für die Bereitstellung des Produkts von 294 % mit einer Amortisationszeit (Gewinnschwelle) von 0,8 Jahren. Der Bericht untermauert die These, dass sich mit dieser Art von Lösung großer wirtschaftlicher Nutzen erzielen lässt. Zertifizierung von Berechtigungen Ineffizienzen Der Nachweis der Einhaltung interner und externer Vorschriften kann hohe Kosten verursachen und ist in vielen Unternehmen eine Aufgabe, die ständig wiederholt werden muss. Eine Möglichkeit, dieses Problem anzugehen, ist die regelmäßige Zertifizierung der Berechtigungen der Benutzer durch ihre jeweiligen Vorgesetzten. Dies erfolgt häufig per und über Tabellen und ist folglich ein sehr zeitaufwändiger (und fehlerträchtiger) Vorgang. Lösung Ein effektiver Ansatz wäre hier, die Zertifizierung der Berechtigungen zu automatisieren. Die Vorgesetzten erhalten dann eine Liste der Benutzer mit den zugehörigen Berechtigungen und können deren Gültigkeit zertifizieren, indem Sie einfach auf die entsprechende Schaltfläche zum Genehmigen bzw. Ablehnen klicken. Die Ergebnisse werden anschließend mit denen aller anderen Benutzer in einem umfassenden Bericht zusammengefasst, der den Status der Zertifizierung für alle Benutzer angibt. Ausnahmen (also nicht korrekte Berechtigungen) werden auf diese Weise schnell erkannt. Und es kann ein automatisierter Workflow eingerichtet werden, um den Lösungsprozess zu verfolgen. 09

10 Einsparpotenziale Die Zeitersparnisse für die Vorgesetzten durch eine automatisierte Zertifizierung von Berechtigungen basieren auf folgenden Parametern: Anzahl der Vorgesetzten, die Zertifizierungen durchführen Anzahl der Zertifizierungen pro Jahr (und Vorgesetzten) Stundensatz (inkl. Nebenkosten) dieser Vorgesetzten Zeitersparnis durch automatisierten Prozess im Vergleich zu manuellem Prozess (prozentual) Multiplizieren Sie diese Werte, um eine realistische Einschätzung der zu erwartenden Einsparungen zu erhalten. Weitere Einsparungen sind ferner für das Audit-Team zu erwarten, da dies in der Regel die Personen sind, die die zeitaufwändigen manuellen Zertifizierungsprozesse durchführen. Je nachdem, wie stark der Prozess von manuellen Vorgängen geprägt ist, können auch die Ersparnisse durch höhere Effizienz für das Audit-Team beträchtlich sein. Benutzer-Self-Service Ineffizienzen In vielen Unternehmen müssen sich die Benutzer an das Help-Desk wenden, damit einfache Änderungen an ihrem Profil vorgenommen werden. Dabei könnten sie diese doch eigentlich auch selbst erledigen. Die Zurücksetzung von Kennwörtern ist ein typisches Beispiel für diese Ausprägung an Ineffizienz. Verschiedenen Analysten zufolge betreffen 25 bis 35 % der Anrufe beim Help-Desk Anfragen zum Zurücksetzen von Kennwörtern. Jeder dieser Anrufe kostet das Unternehmen zwischen 20 und 25 US-Dollar. Bei einer sehr großen Benutzergruppe sind die Kosten für das Help-Desk bei Vorgängen, die nicht wirklich technisches Know-how erfordern, sehr hoch. Lösung Durch einen Self-Service für Benutzer, einschließlich Kennwortzurücksetzung, lassen sich diese wiederkehrenden Kosten weitestgehend vermeiden. Ein eigenständiges Management ihrer Konten ermöglicht den Benutzern, bestimmte Attribute ihres Profils selbst zu verwalten. So haben die Supportmitarbeiter mehr Zeit, um sich wichtigeren Aufgaben zuzuwenden. Dadurch werden zum einen die Kosten gesenkt und zum anderen die Produktivität der Benutzer erhöht, da diese nicht auf die benötigten Änderungen warten müssen. Einsparpotenziale Wenn wir oben genannte Schätzungen als Grundlage nehmen, so könnten sich die Einsparungen für ein Unternehmen mit Mitarbeitern auf ca US-Dollar pro Jahr belaufen. So erhalten Sie eine realistische Schätzung: Ermitteln Sie den Prozentsatz der Help-Desk-Anrufe, die die Kennwortzurücksetzung oder andere Vorgänge betreffen, die von den Benutzern selbst durchgeführt werden könnten, und die Supportkosten des Help-Desks insgesamt. Zentralisierte Kontrolle der Benutzer, Rollen und Richtlinien Ineffizienzen In vielen Unternehmen werden Identitäten in Silos gemanagt, das heißt, die Benutzerinformationen sind über verschiedene Systeme und Konten verteilt. Dies macht es sehr schwierig herauszufinden, wo sich diese Informationen befinden. Es lässt sich so außerdem schwer feststellen, ob die Berechtigungen in allen Systemen und Anwendungen konsistent sind. Und inkonsistente Berechtigungen sind nicht nur ein Effizienzproblem, sondern können auch zu Sicherheitslücken, Verstößen gegen die Aufgabentrennung sowie zu Nichtbestehen von Compliance-Prüfungen führen. Noch größer ist dieses Problem in stark heterogenen Umgebungen, die Unix- und Windows-Systeme, verteilte und Mainframe-Rechner usw. umfassen. Und im Zuge der zunehmenden Verbreitung von Cloud Computing werden verteilte Identitätsdaten zu einer noch größeren Herausforderung. 10

11 Lösung Durch ein zentrales Identitätsmanagement werden Informationen zwischen den verschiedenen Identitätssilos aggregiert und synchronisiert, um Benutzerattribute, Identitätsaufgaben und Rollen im Einklang mit den zentralen Sicherheitskontrollen zu managen. Jede Situation ist zwar anders, aber die Fähigkeit, diese Informationen zentral zu managen, sollte die Effizienz bei der Administration auf jeden Fall erhöhen. So sind keine direkten Administratoreingriffe mehr auf allen betroffenen Systemen erforderlich. Die Benutzerinformationen und -berechtigungen können zentral kontrolliert werden, und die daraus resultierenden Änderungen werden automatisch an die betroffenen Systeme verteilt. Dies spart den IT-Administratoren enorm viel Zeit und Kosten. Einsparpotenziale Die durch das zentrale Identitätsmanagement während des gesamten Benutzerlebenszyklus (nach der Ersterstellung) erzielten Einsparungen lassen sich von folgenden Faktoren ableiten: Erwartete Anzahl von Änderungen pro Benutzer (und Jahr) Zeitaufwand für die Durchführung einer durchschnittlichen Änderung Anzahl der Speicherorte für Identitäten, die Änderungen erfordern Stundensatz für die Mitarbeiter des Sicherheitsmanagements Rollenmanagement Ineffizienzen Rollen dienen dazu, den Kostenaufwand beim Identitäts- und Zugriffsmanagement zu senken, da auf vereinfachte Weise abstrahiert wird, wer auf was Zugriff benötigt. So lässt sich beispielsweise der Zugriff, der in einem Unternehmen mit Benutzern erforderlich ist, auf etwa 700 repräsentative Rollen reduzieren. Die Konzeption eines Benutzerrollenmodells kann sich als einer der schwierigsten und kostspieligsten Aspekte eines Identitätsmanagementprojekts erweisen. Wird falsch vorgegangen, werden eventuell zu viele Rollen erstellt, von denen sich viele überschneiden oder nicht gut auf die tatsächlichen Zuständigkeiten im Unternehmen abgestimmt sind. Und wenn Ihr Rollenmodell zu umfangreich ist, wird es schwieriger zu managen sein und folglich teurer. Der erste Schritt beim Entwurf eines effektiven Rollenmodells besteht darin, Zugriffsmuster unter den derzeit vorhandenen Berechtigungen auszumachen. Früher wurden dazu viele Personen befragt, um herauszufinden, über welche Berechtigungen sie verfügen. Dann wurde versucht, anhand dieser Unmengen an Informationen unterschiedliche Rollen zu definieren (was für gewöhnlich auch das Hinzuziehen teurer Berater erforderte). Lösung Die Effizienz lässt sich durch Automatisieren der Identifizierung der Zugriffsmuster vorhandener Benutzergruppen immens steigern. So ist eine Lösung für das Rollen-Mining und Rollenmanagement (CA GovernanceMinder TM ) in der Lage, die Berechtigungen Ihrer gesamten Benutzerschaft zu analysieren und (basierend auf bestimmten von Ihnen definierten Schwellenwerten) die Rollen zu identifizieren, die aktuell in Ihrem Unternehmen vorhanden sind. Indem Sie die Zugriffsmuster aus verschiedenen Perspektiven analysieren und die Kombination der Rollen in einem effizienten, konsolidierten Modell unterstützen, können Sie Ihre Organisation präzise abbilden, und zwar ohne exorbitante Kosten. Angesichts der großen Vielzahl an Rollen und der vielen Rollenüberschneidungen, zu denen es in vielen großen Unternehmen kommt, können die Einsparungen enorm sein. Einsparpotenziale Die Einsparungen, die mit Hilfe des Rollenmanagements erzielt werden können, lassen sich sehr schwer beziffern. Jedoch trägt eine effektive Rollennutzung zur Senkung des administrativen Aufwands bei, da mit Hilfe der Provisionierungstechniken das Erstellen bzw. Entfernen von Konten und Berechtigungen automatisiert wird. Außerdem ist es möglich, Änderungen (z. B. das Entfernen von Berechtigungen) an einer großen Benutzergruppe zu vereinfachen, was zugleich auch die Administration einfacher gestaltet. Und schließlich lässt sich mit Hilfe der Rollen leichter sicherstellen, dass die Benutzer nicht zu viele Berechtigungen haben. Auch dadurch wird die Verwaltung vereinfacht und das Risiko gesenkt. Die ungefähren Einsparungen lassen sich wie 11

12 folgt ermitteln: Nehmen Sie die Anzahl der Benutzer und Rollen, und schätzen Sie den Anteil der administrativen Vorgänge, die für ganze Benutzergruppen durchgeführt werden, im Vergleich zu den Aktivitäten, die nur für eine Identität erfolgen. Kontrolle des Benutzerzugriffs Ineffizienzen Wenn Zugriffsrechte in den einzelnen Anwendungen erzwungen werden, kann dies für die Anwendungsentwicklung und -wartung sehr hohe Kosten verursachen. Die Entwicklung solcher Sicherheitssilos bedeutet in der Regel einen hohen Zeit- und Kostenaufwand, unter anderem weil ähnliche oder identische Sicherheitsmodule häufig für mehrere Anwendungen implementiert werden müssen. Da so das Rad immer wieder neu erfunden werden muss, ist der Prozess natürlich äußerst ineffizient. Noch ausschlaggebender aber ist, dass ein Sicherheitsmanagement, das sich über mehrere Anwendungssilos verteilt, für die IT-Administration einen sehr hohen Verwaltungsaufwand mit sich bringt. So kann es sein, dass nur eine simple Änderung an einer Benutzerrolle die Aktualisierung mehrerer Systeme und Anwendungen erfordert, einfach um Zugriffsrechte dieses Benutzers hinzuzufügen oder zu entfernen. Und wenn das Zugriffsmanagement nicht zentral erfolgt, erweist sich die Bereitstellung neuer Unternehmensservices und -anwendungen als ein wahrlich teures Unterfangen. Dies treibt nicht nur die Kosten in die Höhe, sondern schränkt auch die Reaktionsfähigkeit des Unternehmens stark ein, sodass es unter Umständen nicht mehr rechtzeitig auf Wettbewerbs- oder Marktereignisse reagieren kann. Lösung Der wirtschaftliche Nutzen eines zentralen Webzugriffsmanagements ist enorm. Die Entwicklungskosten sinken, da die Anwendungsentwicklung durch das nach außen verlagerte Sicherheitsmanagement vereinfacht wird. Die Kosten für die IT-Administration sinken, da weniger Administratoren erforderlich sind, um die Sicherheit system- und anwendungsübergreifend zu managen. Und schließlich resultiert eine bessere und zeitnähere Servicebereitstellung in einer höheren Effizienz und besseren Nutzung der IT-Ressourcen. Einsparpotenziale Was für Einsparungen möglich sind, hängt stark von der Umgebung ab. Bei der Anwendungsentwicklung sind der Umfang des Codes, der die Umsetzung des Zugriffs in einer typischen Umgebung implementiert, und die Anzahl der Anwendungen ausschlaggebend. Ob noch andere Effizienzvorteile erzielt werden können, hängt davon ab, wie groß der Aufwand für das systemübergreifende Sicherheitsmanagement in den Silos derzeit ist. Reporting von Benutzeraktivitäten und Compliance Ineffizienzen Die Anzahl gesetzlicher und branchenspezifischer Vorgaben, die bestimmte Compliance- Anforderungen mit sich bringen, nimmt kontinuierlich zu. So auch der Zeit- und Kostenaufwand für die Unternehmen. Viele dieser Regelungen und Gesetze schreiben den Schutz von Informationen vor. So sind die Unternehmen heute gesetzlich verpflichtet, personenbezogene Daten und andere vertrauliche Daten zu schützen und nachzuweisen, dass ihre Sicherheitskontrollen angemessen und wirksam sind. Aufzeichnungen der Benutzeraktivitäten bieten den notwendigen Nachweis dafür, dass Regelungen und Vorschriften eingehalten wurden. Ohne derartige Protokolle ist es schwierig, wenn nicht gar unmöglich, Fragen wie folgende zu beantworten: Wurden diese Finanzdaten ohne entsprechende Autorisierung geändert? Wurden diese Patientendaten unbefugterweise offengelegt? Ist der Zugriff auf Daten von Kreditkarteninhabern auf die Personen mit entsprechender geschäftlicher Notwendigkeit begrenzt? Ein ganz wesentlicher Bereich, der jedoch mit vielen Herausforderungen behaftet ist, ist die Analyse und Auswertung der Benutzeraktivitäten. Die Untersuchung und das Reporting der Aktionen, die die Benutzer mit ihren Berechtigungen durchführen, sowie die Identifizierung sich abzeichnender Lücken in den Kontrollen kann die Ressourcen massiv beanspruchen. Manuelle Analysen führen unweigerlich zu Sicherheitslücken, da es quasi unmöglich ist, sich entwickelnde Sicherheitsprobleme zu erkennen oder Schwachstellen zu kontrollieren, ohne zeitnahen Zugang zu historischen Daten oder Berichtstrends bzw. allgemeine Transparenz auf die Benutzeraktivitäten für die gesamte IT zu haben. 12

13 Ein weiterer nicht zu vernachlässigender Grund für Ineffizienzen ist die Tatsache, dass diese Flut an Informationen Compliance- oder Sicherheitsprüfungen stark erschwert und sehr aufwändig gestaltet. Wenn Sie den Prüfern nicht auf einfache Weise belegen können, dass Ihre Systeme sicher sind und vorschriftsgemäß arbeiten, können sich diese regelmäßigen Audits als sehr kostspielig erweisen. Lösung Die Unternehmen brauchen einfache, automatisierte Tools, die diese riesigen Datenmengen in Berichte und Diagrammen mit verschiedenen Detailebenen zusammenführen, die nicht nur für die unterschiedlichen Abteilungen und Interessenvertreter nützlich sind, sondern auch die Prüfer zufriedenstellen. Sie müssen die Analyse der Benutzeraktivitäten beschleunigen, die Aktivitäten schneller erkennen und die täglichen Analysezyklen drastisch verkürzen. Inwieweit ein Unternehmen in der Lage ist, dieses Maß an Effizienz auch zu erreichen, hängt weitestgehend vom Grad der Automatisierung und vom Einsatz interaktiver, benutzerfreundlicher Reportingund Analysefunktionen ab. Wichtig für eine schnelle Amortisierung ist die Fähigkeit, vordefinierte Berichte zu Benutzeraktivitäten und Compliance bereitzustellen, die bereits den verschiedenen Regelwerken und Kontrollen zugeordnet sind. Tools für die visuelle Protokollanalyse ermöglichen die schnelle Suche nach Benutzer- und Zugriffsaktivitäten, während Drilldown-Analysen die juristische Untersuchung der Aktivitäten der Benutzer in den vergangenen Wochen, Monaten usw. beschleunigen. Einsparpotenziale Es ist nicht möglich, eine Kostensenkungsanalyse zu erstellen, die sich auf jede IT-Umgebung übertragen lässt. Mit einer umfassenden Lösung wie der oben beschriebenen sind Sie jedoch sicher in der Lage, den Anforderungen an das Reporting von Benutzeraktivitäten und Compliance nachkommen, was an sich schon ein großer Vorteil ist. Um die Einsparungen grob einzuschätzen, könnte man folgende zwei Parameter verwenden: Zeitaufwand der Administratoren für die Sammlung, Analyse, Untersuchung und Auswertung der Benutzeraktivitäten und Zeitaufwand für die Unterstützung der Aufbewahrungs- und Archivierungsprozesse der Aufzeichnungen. Einen Großteil dieser Zeit könnte man durch eine automatisierte Lösung einsparen. Die Einsparungen für Sicherheits- bzw. Compliance-Prüfungen könnte man durch Erfassen des gesamten Zeitaufwands für die Vorbereitung dieser Audits über einen bestimmten Zeitraum ermitteln. Ebenfalls ließe sich ein Großteil der Zeit für folgende Vorgänge beträchtlich einsparen: das Zusammentragen der überall verstreuten Informationen, das Erstellen von Berichten in dem von den Prüfern verlangten Format, das Identifizieren von Richtlinien- oder Kontrollverstößen sowie das vorgabenkonforme Speichern der Protokolle über längere Zeiträume. Fazit: Das Reporting von Benutzeraktivitäten und Compliance (durch zentralisiertes Protokollmanagement) ist ein Bereich, der großes Verbesserungspotenzial hinsichtlich der betrieblichen Effizienz aufweist. 13

14 Höhere Produktivität Neben den oben beschriebenen deutlichen Kostensenkungen kann sich eine IAM-Lösung auch signifikant auf die Benutzerproduktivität auswirken. Denn viele der bestehenden Sicherheitsprozesse sind manueller Natur und sehr zeitaufwändig und beeinträchtigen so gleichermaßen die Produktivität der Endbenutzer wie der Vorgesetzten. Hier einige der größten Potenziale für Produktivitätssteigerungen durch IAM: Verzögerungen beim Zugriff auf die erforderlichen Konten und Anwendungen Häufig braucht es Tage, manchmal auch mehr als eine Woche, bis neue Benutzer mit all ihren Konten und Zugriffsrechten wirklich produktiv arbeiten können. Während dieser Zeit sind sie bestenfalls teilweise produktiv, was sowohl Gelder verschwendet als auch Frustrationen auslöst. Der Verlust an Produktivität der Benutzer, während diese auf ihre Konten und Berechtigungen warten, kann enorm sein. Hier die Annahmen für ein einfaches Beispiel: eine 40-stündige Verzögerung bei der Erstellung von Konten und Zugriffsberechtigungen für Ressourcen ein Stundensatz des betreffenden Mitarbeiters in Höhe von 31,25 US-Dollar (entspricht einem Jahresgehalt von US-Dollar) Der daraus resultierende Produktivitätsverlust: US-Dollar für jeden neu eingestellten Mitarbeiter, mit einem etwas geringeren Verlust, wenn die Provisionierung bereits teilweise abgeschlossen ist. Folgen manueller Genehmigungsprozesse für das Management Vorgesetzte müssen die Anforderungen für Konten und Zugriffsrechte der Benutzer, für die sie zuständig sind, häufig manuell genehmigen. Ohne automatisierten Genehmigungsworkflow entzieht dieser Prozess den Vorgesetzten wichtige Zeitressourcen und hält sie von wichtigeren Aktivitäten ab. Ein Näherungswert dafür lässt sich wie folgt ermitteln: [Erwartete Einsparungen (%) x Anzahl Zugriffsgenehmigungen pro Jahr x jährliches Managergehalt]. Dabei entspricht Erwartete Einsparungen dem reduzierten Zeitaufwand für die Bearbeitung der einzelnen Anforderungen. Single Sign-On für Anwendungen Eine Schlüsselkomponente von IAM ist das anwendungsübergreifende Single Sign-On. Durch diese Funktion lässt sich die Anmeldezeit jedes Benutzers senken. Auch die Kosten für den IT-Help-Desk aufgrund verloren gegangener oder vergessener Kennwörter werden reduziert. Self-Service für Kennwörter Oben sind wir bereits auf die direkten Einsparungen für das Help-Desk eingegangen. Verloren gegangene oder vergessene Kennwörter können aber auch die Produktivität der Benutzer einschränken. Eine Self-Service- Funktion für Kennwörter beseitigt diese Einschränkung. Kostenvermeidung Die in diesem Dokument beschriebenen Kostensenkungen und Produktivitätssteigerungen dank IAM können sich auf die allgemeine Effizienz jeder IT-Organisation sehr positiv auswirken. Bei Ihrer Kosten-/Nutzenanalyse sollte jedoch noch ein weiterer Faktor Eingang finden, und zwar die Möglichkeit, größere Ausgaben aufgrund von Sicherheits- oder Compliance-Verstößen zu verhindern. Diese lassen sich nämlich durch die stärkeren Sicherheitsmechanismen von IAM vermeiden. Solche Kosten können z. B. sein: Kosten für die Wiederherstellung nach Sicherheitsverstößen Sicherheitsverstöße können in jedem Unternehmen verheerenden Schaden anrichten. Die Kosten, die hier entstehen können, betreffen die Untersuchung, Abhilfemaßnahmen, mögliche Strafgebühren und (was oft 14

15 am wichtigsten ist) die Rufschädigung des Unternehmens. Schätzungen eines Analysten zufolge betragen die Kosten für eine Sicherheitsverletzung zwischen 50 und 250 US-Dollar pro verlorenen Kundendatensatz. 2 In einem anderen Bericht 3 werden diese Kosten gar bei durchschnittlich 100 US-Dollar pro Datensatz angesetzt, wobei über die Hälfte dieser Kosten auf verloren gegangene Geschäftschancen aufgrund eines beschädigten Rufs entfallen. Eine zuverlässige IAM-Lösung, die den Zugriff auf wichtige Systeme und Daten wirksam kontrolliert, kann dazu beitragen, das Risiko derartig verheerender Sicherheitsverletzungen zu mindern. Kosten für Compliance-Verstöße Die Einhaltung von Vorschriften ist teuer. Die Nichteinhaltung von Vorschriften kann jedoch noch teurer sein. Abhilfemaßnahmen sind häufig kostspielig und ungeplant, was die Kosten beträchtlich in die Höhe treiben kann. Außerdem sind mögliche Geldstrafen für Compliance-Verstöße ein ernst zu nehmendes Risiko. Da Sie mit IAM Ihre Compliance-Prozesse vereinfachen, können Sie so auch die Wahrscheinlichkeit solch hoher Kosten für die Nichteinhaltung von Vorschriften senken. Kosten für verminderte Wettbewerbsfähigkeit Wie sehr würde es Ihrem Unternehmen schaden, wenn Sie neue Online-Services nicht so schnell oder sicher bereitstellen könnten wie Ihre Wettbewerber? Könnte dies möglicherweise die Zufriedenheit Ihrer Kunden beeinträchtigen und sogar zu Umsatzverlusten führen? Es ist schier unmöglich, die Auswirkungen einer geringeren Wettbewerbsfähigkeit genau zu beziffern. Auf jeden Fall jedoch können sie beträchtlich sein. Das Identitätsmanagement steigert das Reaktionsvermögen Ihres Unternehmens, da Sie neue Anwendungen und Services einfacher entwickeln und bereitstellen können auf sichere und zügige Weise. Folglich sind Sie flexibler und können schnell auf Ereignisse am Markt und im Wettbewerbsumfeld reagieren. Abschnitt 4: Die Effizienzgewinne durch IAM im Überblick In diesem Dokument haben wir einige der Effizienz- und Produktivitätssteigerungen dargelegt, die mit IAM möglich sind. Einige Funktionen bieten mehr Verbesserungen als andere, aber zusammengenommen sind die resultierenden Kostenersparnisse enorm. Die Bereitstellung einer einheitlichen, integrierten IAM-Lösung kann in folgenden Bereichen zur Kostensenkung beitragen: Provisionierung und Deprovisionierung von Konten und Zugriffsrechten Management von Benutzerkonten und Benutzerdaten Zertifizierung von Berechtigungen Help-Desk-Support Sicherheitsmanagement für mehrere Systeme und Anwendungen Benutzerzugriffsanforderungen Abhilfe bei Zugriffsverletzungen Kosten für die Anwendungsentwicklung und -unterstützung durch Auslagerung des Sicherheitscodes Erstellung föderierter Partnerschaften Management und Analyse von Systemprotokolldateien Vorbereitung für Sicherheits- und Compliance-Prüfungen 15

16 Und sie verbessert die Benutzerproduktivität in folgenden Bereichen: Kontenerstellung und Zugriffsanforderungen Management der Genehmigungen von Zugriffsanforderungen Anmeldung bei den Anwendungen Self-Service für Kennwörter Und schließlich ermöglicht sie Kostenvermeidungen in folgenden Bereichen: Geringeres Risiko von Sicherheitsverstößen und geringere Kosten für die Wiederherstellung nach solchen Verstößen Weniger Compliance-Verstöße, die mit Geldstrafen einhergehen Geringere Notwendigkeit von Abhilfemaßnahmen bei Compliance-Prüfungen Höheres Reaktionsvermögen des Unternehmens für eine bessere Wettbewerbsfähigkeit Abschnitt 5: Neue Modelle zur Effizienzsteigerung Da eine höhere betriebliche Effizienz für viele Unternehmen eine immer größere Motivation und Notwendigkeit darstellt, sind neue Technologien und Servicemodelle entstanden, die für Verbesserungen in diesem Bereich beträchtliches Potenzial bieten. Die Virtualisierung findet vor allem deshalb so großen Zuspruch, da diese Technologie umfassende Einsparungen der IT-Kosten ermöglicht. Die IT-Investitionskosten lassen sich durch eine höhere Auslastung der vorhandenen Server senken. Und genau das ist durch Virtualisierung möglich. Auch Cloud Computing erfreut sich einer immer größeren Beliebtheit, da es den IT-Organisationen große Flexibilität und Kosteneinsparungen ermöglicht. Die Fähigkeit, Hard- und Softwareressourcen schnell zuzuweisen und nur für das zu bezahlen, was man wirklich nutzt, ist in einer Geschäftswelt, in der eine schnelle und kostenwirksame Reaktion auf Marktgeschehnisse so wichtig ist, von sehr großem Vorteil. Ihre Herausforderung bei der Einführung dieser beiden Technologiemodelle ist, Ihre virtualisierte bzw. Cloud- Umgebung so zu rüsten, dass sie das erforderliche hohe Maß an Sicherheit bietet, das dem Ihrer nicht-virtuellen und standortbasierten Umgebungen heute entspricht. Hier kann Ihnen ein umfassendes Identity and Access Management dabei helfen, die von diesen neuen Modellen versprochenen Effizienzgewinne auch in der Praxis zu realisieren. Um noch einmal die Herausforderungen mit der Sicherheit in einer virtualisierten Umgebung deutlich zu machen: Ein Sicherheitsverstoß auf einer virtuellen Plattform kann alle Anwendungen beeinträchtigen, die auf den virtuellen Rechnern auf dieser Plattform ausgeführt werden. Und auch das Cloud Computing wartet aufgrund seiner Mehrmandantenfähigkeit beim Thema Sicherheit mit komplexen Herausforderungen auf, da hier nichtöffentliche Firmendaten und Kundeninformationen von vielen Cloud-Kunden zusammengelegt werden. Virtuelle Umgebungen erfordern eine äußerst strikte Sicherheit für die Aktionen von Benutzern mit besonderen Berechtigungen, da solche Aktionen hier extrem weitreichende Folgen haben können. Zur Sicherung virtueller Umgebungen sind insbesondere eine differenzierte Kontrolle über den administrativen Zugriff und die Verwaltung von Benutzern mit besonderen Berechtigungen erforderlich. Außerdem kann eine Lösung für das Reporting von Benutzeraktivitäten und Compliance dabei helfen, Daten von Sicherheitsereignissen aus dem virtuellen Unternehmen zu zentralisieren und zu archivieren. Sie ist darüber hinaus in der Lage, die Analyse und Auswertung von Protokollen effizienter zu gestalten, um die Kosten für die Einhaltung von IT-Vorschriften zu reduzieren. 16

17 Die Effizienzvorteile, die Cloud Computing verspricht, erfordern in puncto Sicherheit aber auch innovative Ansätze. Service-Provider müssen für mehr Sicherheit sorgen, um Bedenken potenzieller Kunden hinsichtlich Cloudbasierter Services auszuräumen. Und da Cloud-Provider grundsätzlich die Sicherheits- und Compliance- Anforderungen aller ihrer Cloud-Kunden erfüllen müssen, müssen solche Cloud-basierten Sicherheitsfunktionen äußerst solide sein, auf Standards basieren und sorgfältig getestet werden. Aber auch wenn ein Unternehmen eine eigene, interne IT-Sicherheitsinfrastruktur betreibt, muss es mit der Einführung von Cloud-Services für bestimmte Funktionen sein Sicherheitsmodell auf die Cloud-Services ausweiten. Ein Beispiel dafür ist die Bereitstellung von Benutzern oder von Single Sign-On für Cloud-basierte Dienste wie Salesforce.com. Aus all den oben genannten Gründen können Sie also mit einem integrierten Identity and Access Management eine robuste Plattform bereitstellen, um die Sicherheits- und Compliance-Anforderungen an virtuelle und Cloud Computing-Modelle zu erfüllen. Außerdem werden Sie besser in der Lage sein, die Effizienzgewinne, die sich durch diese neuen Modelle erzielen lassen, auch wirklich zu realisieren. Abschnitt 6: Schlussfolgerungen Viele Unternehmen haben bereits Lösungen für das Identity and Access Management (IAM) im Einsatz, um ihre kritischen Systeme und Anwendungen zu schützen und ihre Compliance-Programme zu vereinfachen. Dies sind die wichtigsten Vorteile, die eine IAM-Lösung bietet. Aber auch eine höhere betriebliche Effizienz ist ein sehr wichtiger Aspekt, der von einer einheitlichen IAM-Lösung bedient wird. Eine IAM-Lösung bietet folgende Vorteile: Automatisierung manueller, zeitaufwändiger (und fehlerbehafteter) Sicherheitsprozesse Zentralisierung der Identitätsdaten und des Managements der Benutzeridentitäten Vermeidung redundanter Aktivitäten Förderung der Eigenständigkeit der Benutzer (und somit Senkung der Help-Desk-Kosten) Vereinfachte Anwendungsentwicklung durch die zentralisierte Erzwingung von Sicherheitsmaßnahmen außerhalb der Anwendungen Einfachere und kostengünstigere Compliance-Aktivitäten und -prüfungen Höhere Produktivität, damit sich Vorgesetzte auf ihre eigentlichen Tätigkeiten konzentrieren können Vermeidung von Kosten durch Geldstrafen, Abhilfemaßnahmen bei Verstößen oder infolge einer Rufschädigung Die Forderungen an die IT-Sicherheit, mehr mit weniger zu erreichen, werden weder aufhören noch zurückgehen. Eine integrierte Lösung für das Identity and Access Management aber kann Ihnen dabei helfen, dieses Ziel durch eine höhere betriebliche Effizienz zu erreichen. 17

18 Abschnitt 7: Verweise User Provisioning: The Business Imperatives Role Management and Identity Compliance: The Business Imperatives CA SiteMinder: An ROI Analysis (Ovum Butler Group) CA Solutions for Secure Web Business Enablement (SiteMinder) Abschnitt 8: Informationen über den Autor Sumner Blount ist seit mehr als 25 Jahren in der Entwicklung und Vermarktung von Softwareprodukten tätig. Er hat bei Digital Equipment und Prime Computer große Entwicklungsgruppen für Betriebssysteme geleitet und bei Digital Equipment die Distributed Computing Product Management Group geführt. In jüngster Zeit hatte er eine Reihe von Posten im Produktmanagement inne, z. B. war er bei Netegrity als Produktmanager für die SiteMinder-Produktfamilie zuständig. Derzeit befasst er sich bei CA mit Sicherheits- und Compliance-Lösungen Copyright 2011 CA. Alle Rechte vorbehalten. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier verwiesen wird, sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken. CA übernimmt für die Genauigkeit oder Vollständigkeit der Informationen keine Haftung. Soweit nach anwendbarem Recht erlaubt, stellt CA dieses Dokument im vorliegenden Zustand ohne jegliche Gewährleistung zur Verfügung; dazu gehören insbesondere stillschweigende Gewährleistungen der Markttauglichkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Rechten Dritter. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde. CS1987_