Top 5 Gründe um Ihr Management von einem risikoorientierten IAM zu überzeugen. Benedikt Giese Senior Business Consultant

Transkript

1 Top 5 Gründe um Ihr Management von einem risikoorientierten IAM zu überzeugen Benedikt Giese Senior Business Consultant

2 Köln Westfalen Schweiz Zürich Berlin Europa

3 Beta Systems im IAM Markt 2017: Neue IAM Suite 2015: Web-basierte Rezertifizierung 2012: Access Intelligence 2010: Cross-Plattform IAM (Windows, Unix, Z) 2008: Password Management 2003: 2 nd Generation IAM 1997: Erstes IAM Standard Produkt 1994: Erste Provisionierungsprojekte Slide 3

4 Ziele für IAM Erfüllung von Compliance Vorgaben Risikoreduzierung Operationale Effizienz Kostenreduzierung Enabler für neue Geschäftsfelder Welchen Ruf haben IAM Implementierungen?

5 Identity & Access Management IAM hilft Firmen Berechtigungen der Identitäten in allen IT-Systemen zu verwalten Governance von Benutzerrechten mit Regeln, Automatismen und Workflow-Systemen Provisioning der Benutzerrechte mindestens firmenweit auf allen Systemen und Anwendungen Reconciliation und Abgleich des aktuellen Ist- Zustandes mit dem genehmigten Soll-Zustand Identity & Access Management Analytics und Recertification der aktuellen Benutzrerrechte, der Regeln und Workflows

6 Identity & Access Management involvierte Interessenten IAM betrifft die gesamte Firmenorganisation - Viele einzubindene Interessenten Geschäftsführung Finanzierung und strategische Unterstützung Geschäftsabteilungen Muss die Governance Themen bedienen,leben Identity & Access Management IT Security Datenschutz, IT-Security und Compliance IT Operations betreibt die IT-Systeme und die IAM Installation

7 Risiko-orientiertes IAM Konzentration auf das Wesentliche Es wird ein Indikator benötigt, der die Auswirkung einer einzelnen IAM Aktivität einordnen kann Durch die Einführung des Risiko Score, des Risiko-Ratings und des Risiko-Limits kann jedes Zugriffsrecht, jede Aktivität oder jeder Antrag eines Nutzers bewertet werden. User Rolle Gruppe

8 Das Risiko aus Sicht eines IAM Systems: Rating, Scoring und Limit Risiko-Rating: Bewertung des individuellen Objekts Basieren auf eine Gefahrenanalyse und berücksichtigen Daten und Geschäftsprosse, allgemein die Assets eines Unternehmens Risiko-Scoring: Repräsentation eines aggregierten Risiko Mathematische Modell, um das Gesamt-Risko aller Entitlements die einem Benutzer zugewiesen sind darzustellen Risiko-Limit: Limit das sich eine Organisation setzt Limit des aggregierten Risikos für eine Person oder Organisation

9 Risiko Management bzgl. Benutzerrechte Beate Thomas Angelika Low { Intranet Procurement DB Time Mgnt. Medium { Customer DB Credit < High { VIP Customer DB HR DB Credit > 5.000

10 Risiko Management im Kontext des Rollenmodells (Q2 2017)

11 Identity & Access Management involvierte Interessenten IAM betrifft die gesamte Firmenorganisation - Viele einzubindene Interessenten Geschäftsführung Corporate Management Finanzierung Funding and strategic und strategische support Unterstützung Geschäftsabteilungen Muss die Governance Themen bedienen,leben Identity & Access Management IT Security Datenschutz, IT-Security und Compliance IT Operations betreibt die IT-Systeme und die IAM Installation

12 Wie überzeugt man die Geschäftsführung? Um eine IAM Einführung zu beginnen, erfolgreich umzusetzen und zu leben benötigt man die Unterstützung der Geschäftsführung Top Fünf Gründe für IAM Und welche Vorteile eine Berücksichtigung des Risikos im IAM hat.

13 Benefit #1 Speed & Kosten in der Benutzerverwaltung Erfahrungen zeigen Manuelle Administration benötigt etwa drei bis fünf Tage um die benötigten Rechte einem neuen Nutzer zu geben Identity Management teilt diese Rechte innerhalb eines Tages zu Identity & Access Management (IAM) LDAP Windows Mail-Server Mainframe Applications Directories Web-Apps Self-Made IAM manuell Tage

14 Benefit #1 Speed & Kosten in der Benutzerverwaltung Manual Administration Identity Management Neuer Mitarbeiter Mitarbeiter wartet Administrationsaufwände Abteilungswechsel Mitarbeiter wartet Administrationsaufwände 4 50% Effizienz Min jeweils 20 < 1 100% Effizienz min. - > 320 / neuer MA 0 / neuer MA 2 50% efficiency Min jeweils 20 < 1 100% Effizienz min. - > 170 / MA-Wechsel 0 / MA-Wechsel

15 Benefit #2 Security und Compliance 50 to 70% aller Angriffe auf IT-Systeme erfolgen mit Hilfe von internen Accounts * #1 Insider Fraud Case - Unauthorized Access ** In 87% aller Fälle werden legitime Sytem-Kommandos genutzt um die Angriff zu starten. ** Insider verursachen den zweifachen Schaden im Vergleich zu Aussenstehenden *** Die meisten Compliance Regelungen fordern daher ein effektives Kontrollsystem um Need-to-Know umzusetzen * AT Kearney Study on Information Security 2013 ** 2011 CyberSecurity Watch Survey, conducted by the U.S. Secret Service, the CERT Insider Threat Center,CSO Magazine and Deloitte *** CERT Insider Threat Study: Illicit Cyber Activity Involving Fraud in the U.S. Financial Services Sector

16 Rezertifizierung als ein Beispiel Need-to-Know umzusetzen

17 Benefit #3 Transparenz im Access Governance IT-Security und insbesondere IAM ist nicht nur eine Frage des Tools IT-Security ist vor Allem eine Frage der vorhandenen Prozesse Mit der Einführung eines IAM-Systems müssen die entsprechenden Prozesse überprüft, optimiert und dokumentiert werden.

18 Benefit #3 Transparenz im Access Governance IAM Anwendungen müssen die Fachseite konsequent unterstützen. User Lifecycle Management Prozesse für Joiner, Leaver, Mover und weitere Berechtigungen. Role Lifecyle Management Prozesse für die Anlage und Pflege des Rollenmodells Policy Lifecycle Management Pflege der Regeln und SoD Richtlinien Risk Lifecycle Management Pflege des Risiko-Ratings und Limits

19 Need-to-know und die Transparenz im Rollenmodell Die Namen von Berechtigungen und IT-Gruppen sind typischerweise nicht selbst erklärend Wie sollen Vorgesetzte deren Richtigkeit überprüfen? Durch Einführung einer sprechenden Zwischenschicht (Rollen) die die technischen Rechte in einer für die Fachseite sinnhaften Weise gruppiert und benennt. Die dabei auftretende Verschleierung der Details, kann durch die Weiterreichung der Risiko-Werte abgeschwächt werden. Rolle "Sr. Accountant"...? SAPDebtGrp02 UXHlpdsk-72 CorpOrcleMainAcc...

20 Benefit #4 Agilität bei Änderungen in der Organisationsstruktur Flexibilität in der Aufbauorganisation ist ein Unterscheidungsmerkmal erfolgreicher Firmen Umfangreiche Änderungen wie Zukäufe und Zusammenschlüsse Umstrukturierungen Zusammenarbeit / Outsourcing müssen schnell und umfassend unterstützt werden. Neue Strukturen müssen zeitnah umgesetzt werden Ohne Effizienzverlust Aufrechterhaltung des Sicherheitsniveaus

21 Benefit #4 Agilität bei Änderungen in der Organisation IAM kann bei Orga-Änderungen transparent und schnell unterstützen Akquisitionen viele Neueintritte Umstrukturierungen Mitglieder und Aufgaben wechseln Zusammenarbeit Zugriffsverwaltung für Externe Manuelle Administration Identity Management

22 Benefit #5 Neue Geschäftsfelder Ursprünglich wurde IAM entwickelt um interne Mitarbeiter und deren Berechtigungen zu verwalten. Zunehmend erhalten aber auch externe Mitarbeiter Zugriff auf die IT-Systeme. Zukünftig wird die Anzahl der Kunden und anderer Benutzer der IT-Systeme stark zu nehmen Die Berücksichtigung des Risikos erlaubt bei großen Änderungen (#4 und #5) eine Konzentration auf die kritischen Berechtigungen, dadurch eine schnellere Umsetzung. Access Intelligence bietet KPIs zur Entwicklung des Risikos, um diese Änderungen zu begleiten. Interne Mitarbeiter Externe Mitarbeiter Partner Kunden

23 Eine Berücksichtigung des Risikos bringt einen Mehwert für allentop 5 Gründe 1. Speed / Kostenreduktion in der Benutzerverwaltung 2. Erhöhung des Security & Compliance Levels 3. Transparenz in der Governance 4. Agile Reaktion auf Änderungen in der Organisation 5. Enablement neuer Geschäftsfelder

24 The largest independent and European IAM Software Provider: Beta Systems Software AG