Sicherer Zugriff: Identity- und Access-Management

So klappt es mit IAM-Workflows

Was geschäftsorientierte Workflows für Identity- und Access-Management, kurz IAM, leisten müssen

Identity- und Access-Management

Wie sehen passende Workflows für das Identity- und Access-Management aus?

In Unternehmen gewinnen geschäftsorientierte Freigabeabläufe im Kontext der Erteilung, Änderung und des Entzugs von Berechtigungen zunehmend an Bedeutung. Dies liegt unter anderem daran, dass nicht zuletzt aufgrund der aktuellen Gesetzeslage die Fachabteilungen primär dafür verantwortlich sind, Mitarbeiter rechtzeitig mit den benötigten Zugriffsberechtigungen zu versorgen.

In vielen Unternehmen bilden Software-Lösungen für das Berechtigungsmanagement, sogenannte Identity-Access-Management-Systeme, heute einen wichtigen Bestandteil der Compliance-Strategie. Sie sorgen in den IT-Landschaften für Prozesssicherheit, Transparenz, Nachvollziehbarkeit, Flexibilität und Performance. Mit solchen Lösungen sind Unternehmen dazu in der Lage, ihre Daten verlässlich zu schützen und die Einhaltung aller relevanten Vorschriften aufzuzeigen. Ist die Datensicherheit besonders in den compliance-kritischen Bereichen nicht gewährleistet, ergeben sich für Unternehmen erhebliche Risiken, sowohl finanzieller Natur als auch in Bezug auf ihr Image.

Wichtig bei IAM-Workflows ist es, dass sie für den Endanwender leicht verständlich sind, sprich: seine Sprache sprechen. Auf diese Weise werden sie von der ersten Nutzung an nicht als Hindernis, sondern als Hilfe wahrgenommen, die den Nutzer intuitiv durch den Prozess führen. Sie müssen darüber hinaus eine ausgewogene Balance zwischen standardisierten Abläufen und flexiblen Möglichkeiten herstellen.

Der perfekte Freigabe-Workflow

Unternehmen erwarten von solchen Workflows:
•    Effizienz: Standardisierte Abläufe machen die Freigabeprozesse verständlicher. Dies beschleunigt die Verarbeitung und sorgt für weniger Fehler.
•    Transparenz: Einhaltung rechtlicher Vorgaben.
•    Steuerung: Schutz vor Verstößen gegen Compliance-Richtlinien.

Vor diesem Hintergrund stellt sich die Frage, wie die Anforderungen an ein modernes Berechtigungs-Workflow-System aussehen können. Ein IAM-Workflow standardisiert gleichartige Arbeitsprozesse. Dazu gehören in der Regel viele statische Anwendungen und vordefinierte Freigabestufen. Trotz dieses hohen Grads an Standardisierung müssen IAM-Workflows darüber hinaus flexibel sein, damit möglichst viele im Büroalltag auftretende Situationen berücksichtigt werden. Denn letztlich sind Ausnahmen, Eskalationen und Sonderfälle zeitaufwendiger als Standardabläufe.

Ad-hoc IAM-Workflows

Ein geschäftsorientierter Workflow muss in der Lage sein, solche Ausnahmen durch intelligente Eskalation, Delegation und schließlich anhand von Ad-hoc-Änderungen zur Laufzeit zu steuern. Diese Flexibilität und Anpassbarkeit sorgt für schnellere Abläufe, die zudem praxistauglicher sind. Unregelmäßigkeiten oder Fehler sollten indes nicht zu einem Abbruch des Workflow führen, sondern stattdessen lösungsorientiert weiterlaufen. Außerdem sollte ein IAM-System mittels automatischer, umfassender Dokumentation alle Aktionen lückenlos nachvollziehbar machen.

Steuerung von Sicherheitsprozessen

Standardisierte IAM-Workflows können Geschäftsprozesse rund um das Zugriffsmanagement transparent und einfach steuerbar machen. Verantwortliche haben über eine Prozessübersicht Einsicht in alle Aktivitäten und können bei Bedarf eingreifen. So lassen sich Prozesse effizienter steuern und überwachen, während eine digitale Prozessansicht zu kürzeren Durchlaufzeiten beiträgt. Mit Hilfe von Eskalationsregeln können Administratoren für bestimmte Aufgaben feste Zeiträume definieren, und Prozessbeteiligte werden per E-Mail-Benachrichtigung an anstehende Termine erinnert. Ausgereifte Systeme zeichnen zudem sämtliche Prozesse auf, so dass der gesamte Prozess ohne zusätzlichen Aufwand bestens dokumentiert ist. Und um Kollegen an anstehende Prozesse und Aufgaben zu erinnern, sollten Funktionen für automatisierte E-Mail-Nachrichten bereitgestellt werden. Dies verbessert den Informationsfluss zwischen Kollegen, Abteilungen und Standorten erheblich und optimiert auf diese Weise die allgemeine Prozessqualität.

Governance im Zugriffsmanagement bzw. „Access Governance“ – darunter versteht man die Verlagerung von Verantwortung von der IT in die Fachabteilungen, um wertvolle Geschäftsressourcen einzusparen. Die zugriffsbezogenen Aktivitäten der Mitarbeiter müssen nach der Zuteilung streng überwacht werden. Dazu gehört auch die regelmäßige Prüfung (Rezertifizierung) vorhandener Berechtigungen. Unternehmen, die geschäftsorientierte IAM-Workflows einführen möchten, sollten daher darauf achten, dass die Lösung viele workflowgestützte Anforderungs- und Freigabeprozesse bereitstellt, damit sie maximale Transparenz und Kontrolle über ihre GRC-relevanten Sicherheitsprozesse erhalten.

Access Governance bedeutet, die Verantwortung für und Entscheidungshoheit über die Zuteilung von Zugriffsberechtigungen in die Fachabteilungen zu verlagern. Unternehmen sollten bei einfachen, geschäftsorientierten Prozessen ansetzen und darauf aufbauend effiziente, revisionssichere Anforderungs-Workflows umsetzen. Das „Need to Know”-Prinzip und die nötigen mehrdimensionalen Freigabestrukturen sollten direkt auf Anwenderebene implementiert werden.

* Der Autor Thomas große Osterhues ist Senior Manager Product Marketing bei der Beta Systems IAM Software AG.

Bildquelle: Thinkstock/iStock

©2020Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok