Für ein perfektes Zusammenspiel zwischen Service Request und Access-/Identity Management

Transkript

1 Service Request und Access-/Identity Management Für ein perfektes Zusammenspiel zwischen Service Request und Access-/Identity Management Sonderdruck aus itsm Heft Nr. 25 September 2013 Peter Bergmann Klaus Kirchner Oliver Hast User Access Management ist noch immer eine ungeliebte Disziplin. Wenig integrative Abläufe und ein hoher Anteil manueller Arbeit in der Administration kennzeichnen den unbefriedigenden Status in vielen Unternehmen. Die Autoren arbeiten die organisatorischen Zusammenhänge, ausgehend von Business Rollen über ein Regelwerk bis hin zu intelligenten Implementierungen auf. Sie zeigen konzeptionell und mit einem Anwendungsbeispiel, dass die hohen regulatorischen Anforderungen durchaus bedient und die enorme Zahl von Änderungstransaktionen durch einen hohen Automatisierungsgrad bis hin zu einer Zero Administration sicher und zuverlässig bewältigt werden können. So oder so ähnlich könnte es in Ihrem Unternehmen auch sein Always online sofort und ohne Einschränkungen spiegelt aktuell die Erwartungshaltung von IT- Nutzern in Unternehmen wider. Die starke Vernetzung der Anwender mit den unterschiedlichsten Anwendungen und Unternehmensinformationen lässt fast schon keinen (Ein)-Widerspruch mehr zu. Wer da mal eben auf Rollen, Profile und Rechte besteht, stört nur; ist unverbesserlich. Dabei birgt gerade der permanente Zugriff auf digital abgelegte Datenbestände die Gefahr des Missbrauchs und der Manipulation. Um Konflikten aus dem Weg zu gehen, wird lieber mal das allumfassende Administrationsrecht ungeduldigen Anwendern eingeräumt; denn Einschränkungen durch Berechtigungsprofile bedeuten nur mehr Arbeit und endlose Diskussionen. Noch besser fühlen sich jene Anwender, die wegen der nicht vorhandenen bzw. ungeklärten Profilvorgaben gleich Ineffizienz oder die totale Arbeitsunfähigkeit reklamieren. Natürlich nur solange, bis sie endlich die umfänglichen Rechte erhalten haben. Anzutreffende Normalität ist immer noch die manuelle Vergabe von Zugängen bzw. Berechtigungen; Tippfehler inklusive. Es kann dann schon einmal vorkommen, dass Anwender sich im Unternehmen an unterschiedliche Usernames zu gewöhnen haben Schmidt mit dt (oder doch nicht?), mit ie (oder war es mit einem h?). Häufig unter Zeitdruck werden ein paar Rechte bzw. Zugänge vergeben, die weder dokumentiert noch genehmigt, potentielle Scheunentore für ungeregelten Zugriff oder gar Missbrauch werden können. Ein durchaus richtiger Umstand, der gerade in größeren Unternehmen anzutreffen ist, ist die verteilte Verantwortung in der Systemadministration. Das gilt insbesondere für das User Access Management. Auch wenn die Gewaltenteilung Missbrauch erschwert, so steckt dahinter meist keine Absicht. Denn verteilte Verantwortlichkeiten sind eher das Ergebnis einer starren Organisation und nicht von der Idee getrieben, die Vergabe von Rechten und Zugängen auf mehrere Schultern zu verteilen und damit mehr kritische Prüfungen zu erzwingen. Gerade deshalb lässt sich das User Access Management sehr häufig als unklar und intransparent beschreiben. Und was einmal eingerichtet wurde, bleibt meistens auch so: Don t touch user rights!. Wer fragt schon danach, ob Anwender mit simplen SQL-Statements sich umfassende Berichte erstellen und diese unkontrolliert weitergeben können (dürfen?). Nur in wenigen Unternehmen vor allem in regulierten Branchen wie

2 2 Service Request und Access-/Identity Management Banken, Versicherungen oder in der Pharma-Industrie prüfen Dritte, also unabhängige Instanzen regelmäßig und konsequent das User Access Management. Bleibt noch der als SPoC (Single Point of Contact) installierte Service Desk: Im Sinne der Kundenzufriedenheit werden Anforderungen für Systemzugänge oder erweiterte Rechte ganz unkompliziert abgearbeitet. Wie die Erfahrungen zeigen, werden in nur wenigen Unternehmen Vorgänge, also Tickets, für Arbeiten im Berechtigungsmanagement so dokumentiert, dass nachvollziehbare Analysen über Anforderung, Genehmigung und Ausführung möglich sind. Fragen über Fragen Nicht nur in informationssensiblen Unternehmen sollten die Verantwortlichen recht genau wissen, wer in welchem Umfang Zugang zu Anwendungen bzw. Datenbeständen hat. Immer öfter werden Ausschreibungen nur dann gewonnen, Aufträge nur an Unternehmen vergeben, wenn der Nachweis der Compliance, vor allem im Identity- und Access Management, erbracht werden kann. Um es deutlich zu sagen: Die Umsetzung der regulatorischen Anforderungen obliegt nicht primär der Unternehmens-IT, sondern ist eine Aufgabe der Unternehmens-Leitung, die wiederum auf die Hilfe der IT angewiesen ist. Identity- bzw. Access Management ist kein Selbstzweck, sondern dient der rein fachlichen Umsetzung der Vorgaben aus der Geschäftstätigkeit des Unternehmens. Die Probleme in der Praxis treten oftmals genau dann auf, wenn wegen der administrativen Pflege im Rahmen des Berechtigungsmanagements auch gleich die alleinige Gesamtverantwortung für das User Access Management an die Unternehmens-IT übertragen wird. Aber eines ist gewiss: es kommt der Moment, an dem ein Auditor / Revisor oder gar ein Sicherheitsvorfall Auslöser für ganz valide Fragen ist, auf die die Verantwortlichen belastbare Antworten liefern müssen: Wissen Sie, wer sich an Ihren Systemen anmelden darf? Wer hat das genehmigt? Können Sie nachvollziehen, wer die Anforderungen ausgelöst und genehmigt hat? Kennen Sie die Rechte (Profile) aller Anwender in allen Ihren Systemen? Welche int./ext. Mitarbeiter, Praktikanten, Lieferanten usw. arbeiten für Sie? Wie viele Mitarbeiter haben aktuell bei Ihnen administrative Rechte? Welche Mitarbeiter wären das, die Kontrollen umgehen könnten? Greifen ausgeschiedene Mitarbeiter weiterhin auf Ihre Unternehmensdaten zu? Besitzen Sie mehr Lizenzen als Mitarbeiter? Ist das ein Problem für Sie? Kennen Sie einen inoffiziellen Weg, um an Berechtigungen zu kommen; verraten Sie ihn? Haben Sie geheiratet? Wie lange dauert es, bis alle Accounts aktualisiert sind? Wie viele Mitarbeiter sind an der manuellen Pflege von Berechtigungen aktiv beteiligt? Wenn Ihre Wirtschaftsprüfer danach fragen, welche Antworten haben Sie? Der Pflegeaufwand wird durch neu hinzukommende Systeme und gleichzeitig stärker werdende Fluktuation im Unternehmen exponentiell steigen. Die immer engeren Kooperationen und ständig wechselnde Geschäfts- und Outsourcingpartner führen zu einem Wirrwarr an Profilen, Berechtigungen und User- Accounts. Hinzu kommen die Generation Praktikum, immer neue Projekte mit Externen sowie regelmäßige Reorganisationen. Berücksichtigt man nun noch Berater, Interim Manager sowie Wirtschaftsprüfer und Provider mit ihren unterschiedlichen Arbeitsanforderungen, dürfen sich jene Unternehmen glücklich schätzen, die heute schon ein funktionierendes Identity- und Access Management implementiert haben. Es braucht das Bewusstsein, dass sich Berechtigungen nur in einem Lebenszyklus verwalten lassen, dass klar geregelte Verantwortungen notwendig sind und eine angemessene Automation beim Identity Access Management erforderlich ist. Mit diesem Verständnis wird es möglich, die ausufernde Komplexität zu beherrschen. Dann lassen sich Latenz- und Durchlaufzeiten zur Bearbeitung von Berechtigungsanfragen und die Dauer von Auditierungen reduzieren und schlussendlich operative Risiken durch inkorrekte Berechtigungen minimieren. Erst dann wird es möglich sein, ausufernde Komplexität zu beherrschen. Nur in diesem Gesamtverständnis lassen sich Latenz- und Durchlaufzeiten zur Bearbeitung von Berechtigungsanfragen und Vorbereitung bzw. Durchführung von Auditierungen reduzieren und schlussendlich operative Risiken durch inkorrekte Berechtigungen minimieren. itsm Heft 25 September 2013

3 Service Request und Access-/Identity Management 3 Gesetze, Vorgaben und Empfehlungen Auch wenn für Branchen mit hohen Sicherheitsansprüchen dedizierte Regeln und Vorgaben gelten, so lassen sich die Prinzipien einer IT-Compliance auf alle Unternehmen übertragen. Der Gesetzgeber in Deutschland hat vorgebaut und mit dem Bundesdatenschutzgesetz, dem Telekommunikationsgesetz und mit den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) für alle Branchen strikte Vorgaben erlassen. Compliance Der Begriff Compliance steht für die Einhaltung von gesetzlichen Bestimmungen, regulatorischer Standards und Erfüllung weiterer, wesentlicher und in der Regel vom Unternehmen selbst gesetzter ethischer Standards und Anforderungen. Zitat: Eberhard Krügler Quelle: wikipedia.de Das Identity und Access Management (IAM) sah sich stets wachsenden regulatorischen Anforderungen gegenüber. Und es ist weiterhin mit der Erhöhung der Frequenz loser Einzelprüfungen und komplexer Validierungen zu rechnen. Gefordert sind nun hochgradig automatisierte und durchgängig gestaltete Prozesse. Dabei dürfen sich Prozesse und die Rechtevergabe verkomplizieren. Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme Regulatorische Anforderungen für alle Branchen legt bspw. das Finanzministerium über die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) für alle Unternehmen fest. Diese sind 1995 erstmals veröffentlicht worden und werden seit 2005, geführt durch eine Projektgruppe der Arbeitsgemeinschaft für wirtschaftliche Verwaltung (AWV), regelmäßig überarbeitet. Die GoBS beschäftigen sich auch mit Verfahrenstechniken wie Scannen und Datenübernahmen und enthalten die Vorgaben für die Verfahrensdokumentation, die zum Nachweis des ordnungsmäßigen Betriebes der Systeme erforderlich sind (weitergehende Informationen findet sich unter Beispiel Banken und Finanzdienstleister Für das Identity und Access Management in Banken und bei Finanzdienstleistern macht der Gesetzgeber Vorgaben, die über Mindestanforderungen an das Risikomanagement (MaRisk) an die Unternehmen adressiert werden. Die allgemeinen und besonderen organisatorischen Pflichten für Finanzinstitute aus dem Kreditwesengesetz (KWG) sind darin konkretisiert. Besonders hilfreich für ein revisionssicheres User Access Management ist im Banken- und Finanzumfeld die Kenntnis der Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk. Diese Vorgaben sind detailliert und prüfungsfest, und sollten daher auch in anderen Branchen berücksichtigt werden. MaRisk Die Mindestanforderungen an das Risikomanagement, abgekürzt MaRisk (BA), sind Verwaltungsanweisungen, die mit einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für die Ausgestaltung des Risikomanagements in deutschen Kreditinstituten veröffentlicht wurden. Sie wurden von der BaFin erstmals mit Rundschreiben 18/2005 vom MaRisk: Relevante Auszüge aus dem Rundschreiben der BaFin AT 5: Organisationsrichtlinien [Es ist] sicherzustellen, dass die Geschäftsaktivitäten auf der Grundlage von Organisationsrichtlinien betrieben werden (z. B. Handbücher, Arbeitsanweisungen oder Arbeitsablaufbeschreibungen). AT 6 Dokumentation Geschäfts-, Kontroll- und Überwachungsunterlagen sind systematisch und für sachkundige Dritte nachvollziehbar abzufassen und [ ] aufzubewahren. Quelle: rs_1210_marisk_ba.htm AT 7.2 Technisch-organisatorische Ausstattung Die IT-Systeme [ ] und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.

4 4 Service Request und Access-/Identity Management 20. Dezember 2005 veröffentlicht und zuletzt am 14. Dezember 2012 durch das Rundschreiben 10/2012 (BA) geändert. Quelle: Bundesanstalt für Finanzdienstleistungsaufsicht n.de Lösungsansätze in der Diskussion Vergegenwärtigt man sich mögliche Lösungsansätze, so wird schnell klar, dass vor allem organisatorische Aufgabenstellungen zu bewältigen sind. Die technische Implementierung spielt dabei eine untergeordnete Rolle. Im Folgenden konzentrieren wir uns deshalb auf wesentliche Aspekte des zu entwickelnden Fachkonzepts, welches die Herausforderungen an ein regelkonformes User Access Management in der Gesamtheit abdeckt. Zunächst muss das Anforderungsgerüst klar benannt und mit allen Beteiligten abgestimmt sein. Dazu ist ein möglichst konkretes Bild zum aktuellen User Access Management zu erarbeiten. Die folgende Checkliste unterstützt mit möglichen Fragestellungen die IST-Analyse: Unterliegt das Unternehmen regulatorischen Vorgaben? Gelten somit spezielle gesetzgeberische bzw. branchenbezogene Vorgaben, die zwingend zu berücksichtigen sind? Gibt die Unternehmensorganisation für alle Bereiche, Abteilungen oder Standorte verbindliche Organigramme, Kostenstellen- und Gebäudepläne heraus? Welche Business Rollen gibt es bereits im Unternehmen? Wie werden diese beschrieben? Organisieren und vereinfachen Sie bereits die Verwaltung von Rollen, Identitäten, Systemen und Organisationseinheiten in Entitäten (Gruppen)? Abbildung 1: Schematische Abbildung des Integrationsmodells Welche Organisationseinheiten tragen für welche Entitäten/Identitäten die Verantwortung? Wer ist für deren Pflege im Unternehmen verantwortlich? Existiert bereits ein Regelwerk zur Weitergabe bzw. Verteilung von Informationen in Bezug auf Entitäten/Identitäten? Wer ist für den Erhalt und die Entwicklung des Regelwerks verantwortlich? Verfügt die Organisation definierte Verfahren zur Pflege von Entitäten/Identitäten und Berechtigungsprofilen in Anwendungssystemen? Unterliegen diese Verfahren einem Mehraugenprinzip? Finden regelmäßig Überprüfungen zur Zuverlässigkeit des Verfahrens statt? Existieren eine direkte Kopplung zum Service Management und damit eine ticketbasierte Steuerung von allen Veränderungsvorgängen? Können Anforderungen, Genehmigungen und Veränderungen zum User Access Management historisch nachvollzogen werden? Es kristallisieren sich bereits erste Schwerpunkte einer belastbaren User Access Management Lösung heraus. Die Abbildung 1 zeigt das Integrationsmodell in der Übersicht, welches das Grundverständnis für die der folgenden Lösungsbesprechung bildet. Das Service- und das Identity-/Access Management zwei Säulen einer Lösung Auf der Seite des Service Managements setzt das Konzept auf einen ausgereiften Servicekatalog mit Geschäftsvorfällen für das IAM auf. Initiieren dürfen berechtigte Anwendergruppen Änderungsvorgänge, die über den gesamten Lebenszyklus hinweg Identitäten anlegen bzw. verändern und publizieren (provisionieren). Das jeweils dazu parallel laufende Ticket dokumentiert exakt im ITSM-System, WAS verändert wurde. Das Identity- und Access Management System beinhaltet hingegen das Regelwerk, also WIE der Informationsfluss der Veränderungen stattfindet. Unter anderem legen Vorgaben im Regelwerk fest, welche Prozesse angestoßen werden. Über Parameter erhalten Prozessinstanzen Eigenschaften, die die mit Änderungsinformationen zu versorgenden Anwendungen/Systeme festlegen. Flexibel eingerichtet kann ein Pflegevorgang von jedem der angeschlossenen Systeme aus gestartet werden. Dreh- und Angelpunkt ist das Regelwerk des Identity-/Access Management Systems, abgebildet in einem eigenen Verteilungssystem. Wahlweise kreiert dieses System per Event ein Ticket im ITSM-System oder ein Anwender einer berechtigten Gruppe startet aus einem Service Request Management (SRM) heraus per Ticket einen Änderungsvorgang. itsm Heft 25 September 2013

5 Service Request und Access-/Identity Management 5 Als Grundverständnis des Zusammenspiels dient nach dem ITIL -Framework *1) der Prozess Request Fulfillment aus der Service Operation. Nach Abbildung Nr. 2 wird jede Änderung, unabhängig der Herkunft, durch eine Anfrage (Request) gestartet und durchläuft die Phasen Genehmigung, Verteilung und Abnahme. Einzelaspekte des Lösungskonzepts Als Voraussetzung des Lösungsverständnisses verdeutlicht die Abbildung 3 die Verwurzelung in das Organisationsmanagement. Business Rollen sind hier der Ausgangspunkt für das User Access Management in den Unternehmen. Verlassen wir einmal die grundsätzliche Flughöhe und schauen wir uns die Elemente des Konzepts im Detail an. Die Einzelbetrachtungen verstehen sich als notwendige Voraussetzungen für die Gesamtlösung: Das Organisation Management ist als zentrale Plattform für Personen- und Organisationsdaten eine Grundlage für ein automatisiertes Identity und Access Management. Bestandeile können Personalstammdaten, Kostenstellen, Kommunikationsdaten oder die Unternehmensorganisation für Abteilungen, Strukturen oder Standorte sein. Hinzu kommen Kontaktinformationen für externe Mitarbeiter, Auszubildende, Praktikanten, Lieferanten und sonstige Geschäftspartner. Das Identity Management besteht zunächst aus Entitäten. Diese können zum Beispiel Personen, Organisationseinheiten, Funktionen, Rollen, Anwendungen/ Systeme, Accounts oder Standorte sein. Jede dieser Entitäten unterliegt einem eigenen Lebenszyklus. Identitäten repräsentieren jeweils eine Entität. So wird ein Mitarbeiter der Entität Person zugeordnet. Identitäten unterliegen ebenso einem eigenen Lebenszyklus. Das Access Management (neben dem Request Fulfillment und dem Event Management ein weiterer ITIL Prozess aus der Service Operation) legt fest, wie jemand zu seinen Systemrollen bzw. Berechtigungen kommt. Es setzt auf Berechtigungsprofile vorhandener Anwendungen auf und nimmt lediglich die Zuordnung, Veränderung oder Sperrung von Berechtigungen/Rollen/ Profilen zu/von Anwendern (Usern) vor. Nachhaltige Implementierungen sehen zyklische Re- Zertifizierungen für das Access Management vor und erlauben einen hohen Automationsgrad der Änderungsprozesse. Aufgrund der engen Verknüpfung mit den Business Rollen kennt das Access Management alle Accounts von Personenidentitäten. Das Regelwerk im Identity- /Accessmanagement definiert alle Verteilungsprinzipien von Identity- oder Access Informationen. Es kennt alle Entitäten sowie deren Stamm- und zusätzliche Attributinformationen sowie die hierarchischen Festlegungen für die Informationsflüsse. Insbesondere steuern die Regelwerke das Zusammenspiel der unterschiedlichen Lebenszyklen und stoßen zwischen dem Organisationsmanagement und dem Identity Management Veränderungen einzelner Identitäten an. Das Service Asset und Configuration Management (SACM) ist eine weitere Voraussetzung für das Zusammenspiel mit dem Identity-/Access Management. Intelligente Workflows zweigen in die Configuration Management Database (CMDB) ab und prüfen vor der Verteilung (Veränderung) den aktuellen Status der zu versorgenden Anwendungen/Systeme. Damit wird sichergestellt, dass keine stillgelegten Anwendungen/ Systeme mehr verändert werden. Bereits durchgeführte bzw. abgeschlossene Revisionen behalten somit ihre Gültigkeit. Der Servicekatalog als zentrales Instrument im Service Management wird mit Geschäftsvorfällen für die Abdeckung von Änderungsanforderungen für Identitäten vervollständigt. Als grundlegende Geschäftsvorfälle verstehen sich Neuanlage, Veränderung (allgemein oder attributspezifisch), Sperrung bzw. Austritt, wobei auch weitere Vorfälle zur Umsetzung geschäftlicher Anforderungen vorstellbar sind. Abbildung 2: Integration von Service Request und Access Management Für das Zusammenspiel mit dem Identity-/Access Management wird mit eigenen Geschäftsvorfällen der Bereich der Service Requests erweitert, so dass im ITSM-System Ereignisse für die Generierung von *1) ITIL ist eine registrierte Marke von Axelos Limited

6 6 Service Request und Access-/Identity Management Tickets abgebildet werden können. erheblich das Potential manuell verursachter Fehler. Das Event Management im Service Management definiert Ereignisse, mit denen Prozesse instanziiert werden. Ein Ereignis vereint Informationen zum Servicetyp, zum Geschäftsvorfall, zum Prozess- bzw. Tickettyp, zu möglichen Workflows und zu SLAs mit KPIs, Prioritäten und Gewichtungen. Im Zusammenspiel zwischen dem Service Request und dem Identity-/Access Management kann die Ticketeröffnung im ITSM-System oder aus einer vorgenommenen Änderung an einer Identität in einem der angeschlossenen Quellsysteme entsprechend dem Regelwerk heraus automatisiert erfolgen. Konsequent umgesetzt, werden alle Änderungsvorgänge im ITSM-System mit einem Ticket protokolliert, sodass später nachvollzogen werden kann, wer Anfragen gestellt, die Genehmigungen erteilt und die Änderungen (sofern manuell, ansonsten via Workflow) durchgeführt hat. Darüber hinaus lassen sich durch das Protokollieren (loggen) von möglicherweise unberechtigten Zugriffsversuchen leichter Sicherheitsvorfälle oder Regelverstöße identifizieren. Die Systemhierarchie/-landschaft legt mögliche Informationsflüsse fest und bindet alle relevanten Anwendungen/Systeme in die Verteilung von Identity-/Access Informationen ein. Je nach der Architektur des Verteilungssystems werden Änderungsinformationen von den Quellsystemen direkt oder von Übergabestellen abgeholt und ausgewertet. Initiiert werden kann ein Verteilungsvorgang durch eine Änderung oder durch ein Service Request Ticket aus dem Service Desk heraus. Die technische Verteilung nehmen Konnektoren vor, die hochgradig automatisiert eine nahezu Zero Administration erlauben. Damit reduziert sich Nutzenbetrachtung der Gesamtlösung IT-Organisationen verfügen inzwischen flächendeckend über ITSM-Infrastrukturen und sind so organisiert, dass fällige Erweiterungen für das Zusammenspiel mit dem Identity-/Access Management problemlos und mit geringem Aufwand bewerkstelligt werden können. Der Service Desk wird in die Lage versetzt, eingegangene Aufträge als reguläre Service Requests zu behandeln und in Tickets umzuwandeln. Gleiches trifft für Anwendergruppen mit Self Service Berechtigungen ebenfalls zu. Vollständig implementiert weist das User Access Management keine Lücken bzgl. der Bearbeitung von Anfragen auf. Die Abbildung 4 verweist auf die direkte Integration von Organisations- und sonstigen Stammdaten in die Verwaltung von Identitäten und Regeln. Neu ist in dieser Lösung die Verknüpfung über einen Service Katalog und den Berechtigungsanfragen mit dem Service Request Management. Die Interaktionen zwischen dem ITSM- und dem Verteilungssystem sichern vor Berechtigungsvergaben, dass jeder Vorgang ticketbasiert dokumentiert wird. Moderne ITSM-Systeme erlauben das automatisierte Öffnen und ggf. Schließen von Tickets, die von Veränderungen über das Verteilungssystem ausgelöst wurden. Laut den Vorgaben des Regelwerks werden automatisiert die Verteilungsszenarien gestartet. Es können Einzelaktivitäten (Änderungen) oder auch komplexe Workflows mit Genehmigungsinstanzen aufgerufen werden. Je nach Art um Umfang der aufgerufenen Ereignisse beinhalten die Einzelaufgaben letztlich nur die zum jeweiligen Zeitpunkt notwendigen Interaktionen, typischerweise als Webservices ausgelegt, mit dem ITSM-System. Als problematisch, und dem Anspruch einer weitgehenden Zero Administration zuwider, erweisen sich Anwendungen/Systeme, die Pflegearbeiten an Berechtigungen von außen (z. B. toolunterstützt) gar nicht zulassen. Schon aus architektonischen Gründen sollten Überlegungen einer Konsolidierung angestellt werden. Berücksichtigt man die konsequente Umsetzung aller Handlungsempfehlungen, erntet das Unternehmen die Früchte der Anstrengungen. Die Vorteile liegen auf der Hand: Abbildung 3: Logischer Aufbau/Ablauf von Business-Rollen bis zu Systemberechtigungen itsm Heft 25 September 2013

7 Service Request und Access-/Identity Management 7 Abbildung 4: Prinzipielles Schichtenmodell Zugriffe bzw. Zugänge für jede/s Anwendung/System sind geregelt, bekannt und können jederzeit und hochgradig automatisiert verändert werden; zyklische Re-Zertifizierungen sorgen dafür, dass die unternehmensspezifischen Anforderungen an die Compliance erfüllt werden; die Unternehmens-IT bzw. die Verantwortlichen für das Berechtigungswesen werden stark entlastet; die Zugänge und die Benutzerkonten ausscheidender Mitarbeiter werden vollständig und automatisiert deaktiviert; alle Änderungsvorgänge werden protokolliert und sind nachträglich auswertbar; die Einhaltung der Compliance und spezifischer Vorgaben kann lückenlos nachgewiesen werden. Anwendungsbeispiel mit der syscovery Savvy Suite Insbesondere die Finanzbranche, ITK Anbieter und Energieversorger unterliegen strengen gesetzlichen Rahmenbedingungen und haben daher besondere Anforderungen an ein zuverlässiges Identity-/Access Management. Dieses muss einer hohen Dynamik, resultierend aus inhomogenen Landschaften und einer großen Fluktuation der Identitäten und ihrer Berechtigungen Rechnung tragen. hinweg geht. Das Integrationsmodell für IAM Lösungen ist daher an unabhängigen, aber gleichzeitig über Regeln miteinander verknüpfbaren Lebenszyklus-Prozessen ausgerichtet. Im Rahmen des Integrationsmodells vergleicht die Savvy Suite Soll-Bestände aus den gesetzten Personalsystemen (HR) mit den im eigenen Organisationsmanagement geführten Identitäten, erkennt Änderungen und löst die mit dem Kunden konzeptionierten Identity-Prozesse aus. Neben den automatisch ausgelösten Life-Cycle-Prozessen bieten Webmasken den Anwendern zusätzliche Einstiegspunkte für Änderungsprozesse, die sich aus HR Systemen nicht automatisch ableiten oder nicht in anderen führenden Systemen verwaltete Personen, wie zum Beispiel externe Mitarbeiter, betreffen. Über Regelwerke leiten sich SRM-Prozesse für Accounts oder sonstige IT Services sowie Access Management Prozesse automatisch aus dem Identity Life-Cycle-Prozess ab. Nicht alle Änderungsabläufe lassen sich aufgrund von Regelwerken abbilden. Die Savvy Suite stellt dazu intelligente Kataloge bereit. Für den nicht IT-affinen Anwender bieten die Kataloge und Bestandssichten die Einstiegspunkte in entsprechende SRM und Access Management Prozesse. Die Abbildung 5 zeigt einen Assistenten zur Bestellung neuer Rollen für verwaltete Anwendungen. Je nach Kundeszenario, Services und Automatisierungsgrad erfolgt die Provisionierung (Verteilung) direkt in die entsprechenden Zielsysteme über systemnahe Fulfillment-Systeme oder über angebundene ITSM-Systeme. Ausgangspunkt aller in der Savvy Suite abgebildeten Lebenszyklen, Regeln und Prozesse sind die Entitäten und somit das verwaltete und transparente einzelne Viele Unternehmen setzen hierbei zur Abbildung regelkonformer Service Request Management (SRM) und Identity-/Access Management (IAM) Prozesse auf Basis standardisierter Servicekataloge das Produkt syscovery Savvy Suite der syscovery Business Solutions GmbH ein. Die Savvy Suite kommt insbesondere auch dann zum Einsatz, wenn es um ein sicheres Access Management und die Verknüpfung von Identity- und Access-Prozessen über den gesamten Lebenszyklus Abbildung 5: Savvy suite Anwenderfrontend

8 8 Service Request und Access-/Identity Management Business Objekt. Dieses kann ein(e) System/Anwendung, ein Mitarbeiter, ein Account, eine Organisationseinheit, ein Standort, eine Rolle oder Berechtigung sein. Berechtigungen, die nicht auf Grund von Regeln vergeben werden können, müssen dort beantragt und freigegeben werden, wo der Bedarf auftritt, ohne das durch Rückfragen oder manuelle Eingriffe zusätzlicher Aufwand entsteht. Während mehrstufige Genehmigungsprozesse gängige Praxis sind, nutzen viele Kunden weitere Mechanismen zur Einhaltung von Sicherheitsrichtlinien, wie zum Beispiel Re-Zertifizierungsprozesse. Um neben der Umsetzung der Sicherheitsrichtlinien auch Kostensenkungen durch effizientere Verwendung von Lizenzen und Accounts zu realisieren, werden organisatorische und zyklische Re-Zertifizierungsprozesse eingesetzt. Je nach Service sind die Mitarbeiter selbst, ihre Vorgesetzten, Applikation-Owner oder andere Rolleninhaber in diese Re-Zertifizierungen eingebunden. Die Erfahrungen aus abgeschlossenen Projekten zeigen, dass sich mit der Savvy Suite das skizzierte Lösungskonzept für ein regelkonformes User Access Management trotz hoher Individualität mit einer am Markt erhältlichen seit mehreren Jahren im Einsatz befindlichen Standardsoftware umsetzen lässt. Der Erfolg liegt hierbei in den Faktoren Automatisierung, Compliance und Transparenz. Bei Kunden zwischen 800 und über internen/externen Mitarbeitern und mit teilweise mehr als SRM und Access Management Transaktionen pro Monat, liegt ein wesentlicher Implementierungsschwerpunkt in den Schnittstellen zum Anwender. Elektronische Workflows unterstützen einen hohen Automatisierungsgrad und sorgen für weniger manuelle und fehleranfällige Abläufe. SPONSOR itsmf LIVE! Managed User Mehr Informationen unter: Tel Die Aretas GmbH und der Savvy Hersteller syscovery Business Solutions GmbH präsentieren Ihre Lösungen beim itsmf LIVE! Event Managed User am bei der Commerzbank in Frankfurt/Main Peter Bergmann führt als Experte und Ideenlieferant IT-Organisationen zu einer Anwender-orientierten Sicht-, Arbeits- und Denkweise. Im Mittelpunkt seiner Arbeit steht die Orientierung an systemischen Arbeitsformen und Prozessen. Ausgestattet mit einer Vision, Business Support Services ohne starre IT-Organisationen für Unternehmen greifbar zu machen, stärkt er vor allem Handlungsebenen im IT-Management und begeistert Mitarbeiter für neue Formen und Rollen im Service Management. Peter Bergmann, Geschäftsführender Gesellschafter der aretas München GmbH. Klaus Kirchner ist mit seiner branchenübergreifenden Erfahrung in den Themen IT Architektur und Service Lifecycle Management bei der syscovery Business Solutions GmbH als Business Architect tätig. Aktuell und im Rahmen verschiedener Vorträge beschäftigt er sich schwerpunktmäßig mit den Themen IT Governance und Service Lifecycle Management im Outsourcing. Seine berufliche Karriere startete er bei der syscovery im Jahr 2007 nach seinem Abschluss zum Diplom-Wirtschaftsinformatiker an der TU Darmstadt. Oliver Hast ist seit 1996 Unternehmensberater mit Schwerpunkten in der Entwicklung und der Anwendung von Organisationsmodellen in IT Organisationen. Zuletzt unterstützte er die Einführung von Verbesserungen im Projektmanagement nach CMMI in der Konzern IT der Volkswagen AG. Ausbildung, Zertifizierungen und Praxiserfahrung aus internationalen Projekten runden sein P r o fi la b. itsm Heft 25 September 2013