Sensibilisierung

„Identity Management verstehen“

 

Bei der Sen­si­bi­li­sie­rung geht es darum, mit vie­ler­lei Miss­ver­ständ­nis­sen rund um das Thema Iden­tity Manage­ment (IdM) auf­zu­räu­men und bei allen Pro­jekt­be­tei­lig­ten ein unter­neh­mens­über­grei­fen­des, gemein­sa­mes Ver­ständ­nis ihrer Situation und von IdM zu schaf­fen. Dazu gehören folgende Elemente:

 

  • Das Ziel der Sensibilisierungsphase besteht darin, jeden Beteiligten darüber zu informieren, wie ein gutes Identity & Access Management aussieht und wie der Ablauf eines Identity- & Access-Management-Projekts mit deron gestaltet wird. Jeder kennt anschließend die ele­men­ta­ren Bestand­teile der nächs­ten Pha­sen und die entsprechenden Mei­len­stei­ne.

 

  • deron klärt die Fachbegriffe und vermittelt eine kla­res Bild davon, was auf ein Unternehmen mit dem Thema IdM zukommt.

 

  • Wir nehmen die Bedürfnisse aller Nutzer (HR, Fachbereich, Betriebsrat, IT, Compliance/Security, etc.) auf und wägen sie gemeinsam mit Ihnen ab. Versäumt man dies, weichen die Prozesse später von den Anforderungen der Nutzer ab. Sie werden dann falsch angewendet, umgangen oder abgelehnt, was zu Sicherheitslücken und Kosten führt.

 

  • deron nimmt die bereits bestehende Benutzerverwaltung unter die Lupe und dokumentiert erste Schwachstellen. Wir betrachten nicht nur die technischen Komponenten, sondern auch Kommunikationsprobleme zwischen Fachabteilungen und IT.

 

  • Dementsprechend erarbeiten wir mit Ihnen, inwiefern ein effektives IdM die Kombination mit Prozessen, die von IT und Fachabteilungen gemeinsam zu definieren sind, voraussetzt.

 

  • In der Phase „Senibilisierung“ erstellt deron Ihren individuellen Kosten-Nutzen Überblick.

 

  • Wir liefern erste Ideen und Hand­lungs­op­tio­nen eines zukünf­ti­gen Lösungs­sze­na­rios.

 

  • Der abschließende Ergeb­nis­be­richt ent­hält alle zusam­men­ge­tra­ge­nen Infor­ma­tionen und Hand­lungs­emp­feh­lun­gen. Er dient in der hausinternen Kom­mu­ni­ka­tion als roter Faden und Argu­men­ta­tionshilfe.

Unsere Leistungen im Detail

 

Bei der Sensibilisierung geht es darum, mit vielerlei Missverständnissen rund um das Thema Identity Management (IdM) aufzuräumen. Es dreht sich also darum, für alle Projektbeteiligten und „Stakeholder“ ein unternehmensübergreifendes gemeinsames Verständnis von Ausgangslage und Problematik im Hause zu schaffen. In moderierten Workshops werden sowohl das notwendige Grundlagenwissen, wie auch das tiefere Verständnis, warum heute Prozesse manchmal nicht so ablaufen wie sie es sollten, vermittelt. Unsere jahrelangen Erfahrungswerte und besondere Projektmethodik bilden die Basis dazu. Vertrauen Sie darauf, dass nach diesen ersten Schritten alle die gleiche Sprache sprechen.

 

Einführung in das Thema IdM

Identity Management, das heute zum Secure Iden­tity & Access Manage­ment (SIAM) erwei­tert wird, ist ein weitreichendes und komplexes Feld in dem es gilt, die Übersicht zu wahren. Als IdM bezeichnet man gemeinhin jene IT-Geschäftsvorfälle, bei denen Accounts, Rollen und Berechtigungen von Identitäten (Personen, aber auch Objekte) verwaltet und deren Zugriff (Access) geregelt werden. Ein Sensibilisierungsworkshop dient dazu, eine erste Orientierung zu geben und in das Thema IdM einzuführen. Begrifflichkeiten werden erläutert, Themenfelder wie SIAM, SSO, SIEM oder RBAC abgegrenzt, sodass alle Projektbeteiligten „eine gemeinsame Sprache“ sprechen und eine klares Bild davon bekommen, was auf sie mit dem Thema IdM zukommt.

 

Übersicht, Problemstellung, Ausgangslage

Es gibt viele gute Gründe, sei es als Unternehmen in Gänze oder als IT-Administrator, Organisationsentwickler, ERP-Fachbereichsverantwortlicher, Betriebsrat oder Sicherheitsbeauftragter, sich mit dem Thema IdM auseinanderzusetzen. Denn IdM ist kein alleiniges IT-Problem innerhalb der Benutzer- und Berechtigungsverwaltung des Helpdesks, also der IT. Es betrifft alle, denn nahezu jeder Beschäftigte in einem Unternehmen nutzt Ressourcen der IT, die verwaltet werden wollen, beispielsweise auch der Busfahrer, der seinen aktuellen Dienstplan online abruft. Doch hier, an der Schnittstelle zwischen Nutzer (Fachbereich) und IT (als Dienstleister), kommt es regelmäßig zu Problemen, Missverständnissen, damit zu Fehlern bzw. Sicherheitslücken und damit wiederum zu unnötigen Risiken und Kosten. Es ist daher für alle Beteiligten wichtig, zu Beginn eines Sensibilisierungsworkshops (SWS) sich über Ausgangslage und Motivation jedes einzelnen im klaren zu sein und die unterschiedlichen Anforderungen und Positionen gegeneinander abzuwägen.

 

Erörterung der Schwachstellen bei der Benutzerverwaltung

Kennt man das konkrete IST(die Ausgangslage also), lassen sich die wirklichen Schwachstellen in der derzeitigen Benutzerverwaltung leicht offenlegen. Regelmäßig zeigt sich, dass diese Probleme und Schwachstellen nicht allein durch fehlerhafte Technik hervorgerufen werden, sondern auf unzureichenden Absprachen und Kommunikationsproblemen zwischen Fachbereichen und IT beruhen.

 

IT zwischen technischer Infrastruktur und Prozesswelt der Fachbereiche

Anhand des deron 3-Schichten-Modells erläutern wir im Rahmen des Sensibilisierungsworkshops das Zusammenspiel von technischer Infrastruktur, Middleware und der Prozesswelt in Ihrer Organisation. Wichtig ist dabei zu erkennen, dass nur eine Kombination aus einem IdM und den sauber eingebundenen Prozessabfolgen den Erfolg eines Projektes garantieren können. Dabei sind die Anforderungen des Faches unbedingt zu berücksichtigen. Erfolgt die Berücksichtigung der Fachbereichsanforderungen nur unzureichend, besteht die Gefahr, die notwendige Akzeptanz im Unternehmen verweigert zu bekommen – das Projekt verkommt zum ungeliebten Kind.

 

Potentielle Lösungsansätze

Auf Basis der unternehmensspezifischen Ausgangslagen, der Motivation und den offengelegten Schwachstellen lassen sich erste Lösungsansätze im Rahmen des Sensibilisierungsworkshops skizzieren. Hier geht es darum, erste Ideen für die weiteren Gestaltungsmöglichkeiten und Handlungsoptionen eines zukünftigen Lösungsszenarios zusammenzustellen.

 

Kosten-Nutzen Überblick

Mit einem Identity- & Access-Management-Projekt geht immer auch eine Organisationsveränderung einher. Prozesse, Verantwortlichkeiten und Ressourcen werden ggfs. neu verteilt, womit natürlich auch eine Aktualisierung der Regelwerke und Policies notwendig wird. Um den nächsten Schritt in Richtung eines IdMs wagen zu können, ist es zudem wichtig zu erfahren, auf Basis welcher Kriterien sich ein IdM-Projekt monetär bewerten lässt, welche Kosten also wo und für wie lange zu erwarten sind und inwieweit sich diese Kosten mit einem Nutzen-Zugewinn, sei es nun durch eine Kostenreduktion, Vereinfachung der Prozessabläufe oder erhöhte Sicherheit, rechtfertigen lassen.

 

Ausblick

Am Ende des Workshops soll für jeden Teilnehmer klar sein, anhand welcher Kriterien ein IdM-Projekt bewertet wird und welche nachgelagerten Schritte erforderlich sind. Die elementaren Bestandteile der nächsten Phasen & ihre Meilensteine werden dabei grob skizziert und zueinander in Abhängigkeit gebracht.

 

Ergebnisbericht

Der Ergebnisbericht enthält in komprimierter Form alle wesentlichen, im Workshop-Verlauf zusammengetragenen Information, Ergebnisse und Handlungsempfehlungen. Er dient den Beteiligten in der hausinternen Kommunikation als roter Faden in der Argumentation, liefert hilfreiche Anregungen und veranschaulicht in einfacher Form komplexe Zusammenhänge.