Foto: Seen - Fotolia.com
Die sichere und kosteneffiziente Einhaltung und Kontrolle aller internen und externen regulatorischen Vorschriften und Compliance-Richtlinien hat gravierende Auswirkungen auf die IT und inbesondere auf die bestehenden und einzuführenden Softwarelösungen zur Umsetzung dieser Anforderungen.
Security ist nicht mehr nur ein IT-Thema, sondern es gilt, anstelle einer bisherigen Administrator-basierten Berechtigungsverwaltung neue Ansätze im Unternehmen zu implementieren, um das Business verstärkt mit einzubeziehen.
Insbesondere im Hinblick auf ein verbessertes Risikomanagement in den Unternehmen hat die Definition von Business- und IT-Rollen zur Einhaltung spezifischer Compliance-Anforderungen eine zentrale tragende Aufgabe.
Die Herausforderung ist es, die bestehende IT mit Business-getriebenen Berechtigungen zu versehen. Dabei helfen Rollenmanagement und der Einsatz sogenannter Role-Mining-Werkzeuge. Sie übernehmen sowohl die Analyse der Prozesse und der Organisation im Unternehmen, können darüber hinaus aber auch bestehende Berechtigungen evaluieren und analysieren. Dadurch unterstützen sie das kontinuierlich zu aktualisierende Rollenmanagement in Unternehmen sowie eine sichere und kosteneffiziente Benutzerverwaltung (Identity und Access Management). Da es sich hierbei um einen fortlaufenden Prozess handelt, sind Rollen permanent den täglichen Erfordernissen anzupassen.
Die Prozesse für die Erstellung und Pflege von Rollenmodellen werden auf diese Weise deutlich vereinfacht und kontinuierlich optimiert. Mit der Implementierung eines unternehmensweiten Rollenkonzeptes tragen Role-Mining-Werkzeuge entscheidend zur Transparenz und Prozessoptimierung im Unternehmen bei und reduzieren dabei Administrations- und Kostenaufwand.
Die Erstellung eines umfassenden Rollenkonzeptes im Rahmen der Benutzerverwaltung stellt für jedes Unternehmen tiefgreifende Veränderungen dar. Rollen strahlen nicht nur in alle IT-Systeme aus, sondern bringen auch für die Beschäftigten deutliche Veränderungen mit sich - will heißen, Erleichterungen im täglichen Umgang mit ihren IT-Anwendungen. Einige Punkte gilt es daher zu beachten, soll der Aufbau einer rollenbasierten Rechteverwaltung im Unternehmen erfolgreich verlaufen.
Was ist zu beachten
1. Rollenmanagement als strategische Aufgabe
Rollen bilden die Schnittstelle zwischen dem eigentlichen Business, das heißt den Geschäftsprozessen und der IT eines Unternehmens. Das Rollenmanagement ist deshalb eine wichtige Organisationsaufgabe und sollte entsprechend etabliert werden. Die Geschäftsprozess-Verantwortlichen müssen entscheiden, welche Rechte die Rollen beinhalten und welchen Personen diese Rollen zugewiesen werden. Wichtig ist, dass die Zahl der Rollen überschaubar bleibt und ihre Definitionen verständlich und nachvollziehbar sind.
2. Aufräumen durch Data Cleansing
Wie bei jedem Neuanfang, so sollte auch die Einrichtung einer rollenbasierten Rechteverwaltung zunächst mit einem grundlegenden Aufräumen beginnen. Dieser „Cleansing“ genannte Vorgang schafft die Voraussetzung für ein künftig sauberes Rollenmanagement und besteht aus einer Bereinigung von Informationen. Je nach Stellenbeschreibung oder Arbeitsplatzprofil arbeiten die Beschäftigten eines Unternehmens mit unterschiedlichen IT-Ressourcen. Daten und Anwendungen werden auf vielfache Weise kombiniert und von Menschen innerhalb und außerhalb einer Organisation genutzt. Role-Mining-Tools ordnen die einzelnen Accounts den konkreten Benutzern zu, um so die Frage zu beantworten, welche Berechtigungen ein Benutzer im Unternehmensnetzwerk hat. Blinde Flecken und „Karteileichen“, das heißt verwaiste Benutzerkonten oder Berechtigungen, zeigt dann ein gesonderter Bericht schnell auf. Abgesehen von den Sicherheitsrisiken kosten nicht benötigte Anwendungs-Lizenzen auch viel Geld.
3. Erhöhung der Automatisierung
Bei der anschließenden Analyse werden auf der Ebene der bestehenden Prozesse und ihrer Organisation die aktuell gültigen Zugriffsberechtigungen in Abhängigkeit zueinander gesetzt. Auf Basis der ermittelten Informationen lassen sich sowohl übergeordnete Business-Rollen als auch Systemrollen mit unterschiedlichen Detailberechtigungen erkennen. Role-Mining-Software unterstützt bei der Definition und fortlaufenden Optimierung der Berechtigungsrollen. Übergeordnetes Ziel der IT-Abteilung und der Geschäftsführung sollte es sein, durch die Berechtigungsbündel, also Rollen, den Administrationsaufwand deutlich zu reduzieren und Automatisierungsprozesse zu unterstützen. Die Erfahrung zeigt, dass Unternehmen durch das rollenbasierte Administrieren von Berechtigungen einen Automatisierungsgrad von mehr als 90 Prozent erreichen können und damit sehr hohe Kosteneinsparungen erzielen.
4. Mix aus Top-Down und Bottom-Up
Wichtige Voraussetzung für die standardisierte Modellierung von Rollen ist sowohl eine Top-Down-Modellierung als auch eine Analyse der vorhandenen Berechtigungsstrukturen (Role Mining, Bottom-Up). Organisatorische Rollen entstehen nach dem Top-Down-Prinzip, das heißt sie sind vom Aufbau der Organisation und von den Funktionen oder Positionen der Mitarbeiter geprägt. Mit dem Bottom-Up-Ansatz werden dann die vorhandenen Berechtigungen auf den Zielsystemen auf Gemeinsamkeiten und Standards analysiert und den Rollen zugeordnet.
Mit ihrer Analyse bestehender Benutzerberechtigungen unterstützt die Role-Mining-Software die Bottom-Up-Entwicklung von Rollenmodellen und analysiert den tatsächlichen Status der Berechtigungen in Systemen. Erst eine Soll-Ist-Analyse deckt Abweichungen vom Soll in existierenden Rollenvergaben auf. Die Datenqualität der Identitätsdaten wird somit deutlich verbessert.
5. Anwendung von diversen Analyse-Szenarien
Mit Hilfe eines Role-Mining-Werkzeugs können unterschiedliche Analyse-Szenarien im Rollenfindungsprozess durchgespielt werden. Die Tools bieten hierfür eine Vielzahl einstellbarer Parameter. Beim Role Engineering werden die Rollen nach Abstimmung mit den fachlichen Anforderungen auf Basis der automatisch erstellten Analyseergebnisse definiert. Dabei muss geprüft werden, ob und für welche Anwendungsfälle sich statische und wann sich dynamische Rollen besser eignen. Statische Rollen sind allgemeine Rollen, die z. B. an eine Organisationseinheit gebunden sind und für alle Mietglieder dieser Organisationseinheit relevant sind. Die statischen Rollen haben typischerweise eine geringere Risikobewertung und können durch automatische Vergabeprozesse (Provisioning) vergeben werden. Dynamische Rollen sind dagegen optionale Rollen, die einem Mitarbeiter nur auf Antrag zugewiesen werden können. Da hier aufgrund eines Antrags- und Genehmigungsverfahren (Workflow) eine zusätzliche Kontrolle besteht, werden diese Rollen auch häufig für die Zuteilung von kritischen Berechtigungen verwendet.
Die effiziente Erstellung und Implementierung der gewünschten Rollen ergibt sich in der Regel im Rahmen eines iterativen Vorgehens.
Neben der Analyse und Definition von Rollen im Role Mining und ihrer Nachbearbeitung durch Role Engineering ist stellenweise durchaus auch eine manuelle Definition von Rollen nötig oder angebracht. So wird das Rollenmodell Schritt für Schritt und unter Berücksichtigung aller bestehenden organisatorischen Vorgaben für die Zugriffsberechtigungen optimiert.
6. Management von Rollen über deren gesamten Lebenszyklus hinweg
Mit der einmaligen Rollendefinition ist es nicht getan: Permanente Änderungsprozesse (Role-Life-Cycle) erfordern es, die Rollen und das übergeordnete Rollenmodell einfach und rasch an neue Stellencharakteristika oder IT-Anwendungen anzupassen. Die gewählte Role-Mining-Software sollte daher ein effizientes Role-Life-Cycle-Management unterstützen – unter Berücksichtigung der Einhaltung und Kontrolle unternehmensweiter und gesetzlicher Vorgaben (Security Policies) bei der Vergabe von Zugriffsberechtigungen.
7. Hohe Integrationsfähigkeit
Die Software sollte vollständig in die im Unternehmen ggf. bereits vorhandene Identity und Access-Management-Software integrierbar sein. So sind automatisierter Import, eine schnelle und kosteneffiziente Rollenoptimierung bzw. -umsetzung sowie die Implementierung eines ganzheitlichen und intelligenten User-Role-Life-Cycle-Management-Konzepts garantiert. Auch sollte auf Plattformunabhängigkeit der Software geachtet werden, die auf Basis der importierten Daten (HR-Daten und bestehende Berechtigungsinformationen) Rollen vorschlägt und optimiert. Ebenso bedeutend sind Import- und Export-Schnittstellen für die Übergabe der Informationen mittels definierter Dateiformate (CSV- oder XML-Format). Wichtig ist zudem, dass das gewählte Produkt auf dem RBAC-Standard des National Institute of Standards and Technology basiert. (ph)