Inhalt 1 ZIELE IM IT SICHERHEITSMANAGEMENT...2 2 IT-SICHERHEIT IST EIN KOMPLEXES SCHICHTENMODELL...3 2.1 System-übergreifendes Access-Management...3 2.2 Aufgabenbezogenes Berechtigungsmanagement...3 2.3 Integriertes Rollen- und Prozessmodell...4 2.4 Separation of Duties...4 2.5 Reporting und Compliance Sicherung...4 2.6 Automatisierung als Beitrag zur Sicherheit...4 3 SCHUTZ VOR DATENDIEBSTAHL...5 4 IDENTITY MANAGEMENT ZUR KOSTENREDUZIERUNG...6 E-Mail: info@secu-sys.de Web: www.secu-sys.de - 1 -
1 Ziele im IT Sicherheitsmanagement Die Organisationsstruktur großer spiegelt sich oftmals in einer komplexen IT-Landschaft wider. Die IT-Sicherheit ist dabei nicht weniger komplex und beschränkt sich nicht nur auf Firewalls, Antivirenprogramme oder Absicherung der USB-Ports. IT-Sicherheit ist eine vielschichtige Herausforderung des IT-Managements. Eine Identity Management Lösung bietet dabei in Funktionalität und Architektur ebenso vielschichtige Lösungsansätze mit strategischer Ausrichtung. Die Ziele des IT-Managements im Bereicht Sicherheit hinsichtlich der Sicherheit in großen lassen sich erfahrungsgemäß folgendermaßen zusammenfassen: Reduzierung der Risiken in Bezug auf Missbrauch von Daten Durchgehende Nachweisbarkeit durch teilweise Automatisierung der Administrationsprozesse in der IT Qualifizierung der IT-Services von Dienstleistern gegenüber deren Kunden (intern und extern) Alle diese Ziele werden anteilig durch verschiedene Methoden und Organisationslösungen in jeweils unterschiedliche Richtungen beeinflusst. E-Mail: info@secu-sys.de Web: www.secu-sys.de - 2 -
2 IT-Sicherheit ist ein komplexes Schichtenmodell Die IT-Systeme erlauben einen Eingriff eines Nutzers auf verschiedenen Ebenen: Von unten nach oben: 1. Zugang über allgemeine Portale 2. Zugang zu Fachapplikationen 3. Zugang zu technischen Tools 4. Zugang direkt gespeicherten Daten Der normale IT-Anwender bewegt sich dabei in den beiden untersten Ebenen. Dafür werden ihm selektiv Funktionen zur Verfügung gestellt, die er für die Erfüllung seiner Aufgaben in den unternehmensspezifischen Geschäftsprozessen benötigt. Diese selektive und aufgabenbezogene Bereitstellung von IT-Funktionen innerhalb von Anwendungen wird am besten von zentralen Lösungen aus dem Bereich des Identity und Provisioning Managements (IPM) übernommen. Diese Systeme erlauben gleichzeitig einen deutlichen Automatisierungseffekt und sichern die hohen Anforderungen an Sicherheit und Compliance. 2.1 Systemübergreifendes Access-Management Innerer Kern eines IdM-Systems ist die gesicherte Authentifizierung der Person. Dies geschieht in der überwiegenden Anzahl der Fälle immer noch mit der Kombination Benutzername und Kennwort. Obwohl seit langem bekannt ist, dass dieses Verfahren in den meisten Fällen den Anforderungen an Zuverlässigkeit der Identifikation der Person nicht ausreichend entspricht. Für geschäftskritische bzw. schutzbedürftige Anwendungen ist eine duale Authentifizierung erforderlich. Entsprechende Verfahren sind verfügbar. Ihr Einsatz scheitert oft noch an dem damit verbundenen Aufwand und oft auch an den direkten Kosten, obwohl es durchaus kostengünstige Verfahren gibt (wie z.b. das bi-cube Secutoken) 2.2 Aufgabenbezogenes Berechtigungsmanagement Nach der gesicherten Authentifikation eines Nutzers ist die Bereitstellung der für ihn erforderlichen Kompetenzen (IT-Berechtigungen im Prozess der Autorisierung) erforderlich. Dieses aufgabenbezogene Berechtigungsmanagement ist vornehmlich über ein Fachrollenmodell in Verbindung mit den erforderlichen Prozessmodellen effektiv lösbar. E-Mail: info@secu-sys.de Web: www.secu-sys.de - 3 -
2.3 Integriertes Rollen- und Prozessmodell Von, denn die Eigenschaften der Rollen bedingen den Ablauf der Prozesse besonderer Bedeutung ist die technologische Integration beider Modelle (Rollen und Prozesse). Wichtig ist die Integration des Rollenmodells mit standardisierten Modellen zur Nachvollziehbarkeit der Antrags- und Genehmigungsprozesse: Wechselprozesse am Nutzer: o Automatische Berechtigungsvergabe für neue Mitarbeiter (Mitarbeitereintritt) o Berücksichtigung gleitender Übergänge / Wechselprozesse (insb. OE Wechsel) o Automatisches Mitarbeiteraustrittsverfahren (regulärer und sofortiger Austritt) o sofortiges Usersperren (Sperren der Zugangsysteme für längere Abwesenheiten) Antrags- und Provisioningverfahren: o Automatische regelbasierte Rollenzuteilung o Antragsverfahren Rollen (für Rollenzuteilung, Änderung und Entzug) o Systemantrag (Antrag für Applikationen mit und ohne Strukturierung der Berechtigungen, Änderung, Entzug) o Richtlinien-Bestätigung und Richtlinien-Verwaltung o allgemeiner dokumentenbasierten Antrags-Prozess o Antragsverfahren Team/Projektrollen Service-Prozesse: o Self Service für Nutzer, z.b. Passwordself Service o Antrag auf einen Arbeitsplatz bzw. Änderung der Arbeitsplatzausstattung o Rollenbasierter Antrag auf eine Zutrittsberechtigung Wiederholungsfreigaben: o Re-Lizenzierung (regelmäßige Bestätigung einer bereits erteilten Lizenz) o Re-Zertifizierung (regelmäßige Bestätigung eines bereits erteilten Nutzungsrechts) o Re-Validierung (regelmäßige Bestätigung eines kompletten Nutzers, z.b. für Externe Interne Prozesse: o Antrag für neue Rollen (über dokumentenbasierten Antrag) o Antrag für Rollen-Änderung o Antrag für allg. Modellierungsänderungen (über dokumentenbasierten Antrag) 2.4 Separation of Duties Diese wichtige Vorraussetzung der Trennung unzulässiger Berechtigungen (bezogen auf eine Person) lässt sich nur in einem IdM-System umfassend lösen, da nur in einem zentralen System, das alle Berechtigungen auf allen (wichtigen) Systemen verwaltet, diese Trennungsbedingungen einhalten kann. 2.5 Reporting und Compliance Sicherung Ebenfalls nur auf Basis der systemübergreifenden Kenntnis aller Berechtigungen und vor allem auch der Nachweisbarkeit der Freigaben sind die Compliance-Anforderungen erfüllbar. 2.6 Automatisierung als Beitrag zur Sicherheit Jeder automatisierte IdM-Prozess ist ein Beitrag zur Sicherheit, da jeglicher manuelle Eingriff mit gewollten oder ungewollten Verstößen gegen die Security-Richtlinien vermieden wird. E-Mail: info@secu-sys.de Web: www.secu-sys.de - 4 -
3 Schutz vor Datendiebstahl Dem Schutz vor Verlust von Kunden- oder auch Personaldaten kommt aus aktuellem Anlass (Verlust von Kontodaten bei Banken oder Kundedaten bei Telekomunternehmen) eine hohe Bedeutung zu. Datendiebstahl erfolgt in der Regel durch direkten Zugriff auf die Datenbanken Diese Zugriffsebene steht in der Regel nur Administratoren zur Verfügung über direkten Zugriff auf die DB Zugriff über unkontrolliertes Absetzen von SQL-Statements Zugriff über konfigurierbare Report-Tools Maßnahmen zur Verhinderung wären: Verschlüsselung relevanter String-Daten Trennung der Personen-Identifikationsdaten von den Business-Daten (spezifische bi-cube - Verfahren) Tokengeschützter Zugriff E-Mail: info@secu-sys.de Web: www.secu-sys.de - 5 -
4 Identity Management zur Kostenreduzierung In der aktuellen Wirtschaftssituation gerät auch das IT Management unter Kostendruck. Umso stärker sind nun Lösungen gefragt, die nicht nur eine Erhöhung der Sicherheit und Optimierung der Geschäftsprozesse bewirken sondern auch einen merklichen ROI aufweisen. So auch die Meinung von Prof. Dr. Dr. August-Wilhelm Sheer (Präsident der BITKOM) in seiner Umsatzprognose für das Jahr 2009: ( ) Die Informationstechnik leistet in einer wirtschaftlich schwierigen Situation einen Beitrag zur Sanierung und Restrukturierung von. ( ) Einen positiven Effekt in den Bereichen Sicherheit, Kostensenkung, GPO und zukunftssichere IT- Strategie kann insbesondere die unternehmensweite Einführung eines IdM-Systems haben: Kostensenkung wird realisiert durch Automatisierung der Administrationsprozesse auf Basis einer Business-Engine (Rollen- und Prozessmodell) und durch die Vermeidung von Opportunitätskosten (z.b. weil die Nutzer zeitgerecht alle erforderlichen Berechtigungen erhalten) sowie durch eine Lizenzoptimierung und eine Optimierung der IT-Prozesse (GPO). Geringe Projektkosten werden verwirklicht z.b. durch ein 20 Tage-IdM-Projekt (vom ism mit bi- Cube realisiert), das auf Basis von bewährten Vorgehensmodellen, einem Rollen-Referenzmodell und generischen d.h. vorkonfigurierten Standard-Prozessen erfolgreich umgesetzt werden kann. Eine zukunftssichere IT-Strategie unter Einbeziehung eines IdM-Konzeptes ist langfristig gesehen ein wesentlicher Faktor, um die IT-Kosten für die IT-Administration zumindest auf gleichem Niveau zu halten. Dabei müssen auch die ständig steigenden Ansprüche an diesen Bereich durch neue Compliance-Anforderungen und wachsende Komplexität der IT Berücksichtigung finden. Einsparungen sind weiterhin durch Rationalisierung der im IdM als nebengelagert bezeichneten Prozesse möglich. Dazu gehören Komponenten, wie interne Kostenrechnung aller genutzten IT- Ressourcen, der eindeutigen Verwaltung personenbezogener Ausstattungen (Handy, Notebook, usw. ) sowie ein umfassend nutzbares SSO, das allerdings in das IdM integriert sein sollte (kein Drittprodukt). Letztlich sind Sicherheit und Compliance ein direkter und indirekter Kostenfaktor. Durch die Nutzung einer effizienten IdM Lösung können z.b. die direkten Kosten für Wirtschaftsprüfer deutlich verringert werden. Außerdem ersparen verhinderte Sicherheitsverstöße den dann erforderlichen Aufwand in Analyse und Nachverfolgung bis hin zu dem Fakt, dass jeder automatische Prozess das Risikopotential deutlich verringert. E-Mail: info@secu-sys.de Web: www.secu-sys.de - 6 -