Identitäts-Governance

Bob Griffin war als Keynote Speaker in Rom. Seine neuesten Erkenntnisse aus der Cloud Security teilt er uns hier mit. Spoiler: Es braucht Alternativen zu Passwörtern.

Auf dem Cloud Security Alliance (CSA) EMEA-Kongress wurde ich als Keynote Speaker nach Rom eingeladen, um über die Herausforderungen der Hybrid Cloud (Grand Challenges der Hybrid Cloud) zu referieren. Bei der anschließenden Diskussion über die Qualitäten einer wirksamen Identitäts-Governance wählte ich das Beispiel der Deutschen Bank, die 2013 den Identitäts Management Preis für die Verwendung eines sehr umfassenden Leitbilds für die Zugriffsregelung von Kuppinger Cole erhalten hatte. Im Speziellen ging es dabei um die Aufteilung der Verantwortlichen der „Segregation of Duties (SOD)“.

Die Diskussion über die Identitäts-Governance war besonders wichtig, weil sich ein Großteil der Debatte auf die Identität und die Cloud und deren Passwörter beschränkte. Insbesondere wurden die Probleme mit Passwörtern – wie man Passwörter verwalten kann und Alternativen zu Passwörtern – diskutiert. Die für mich spannendste Diskussionen war die Veranstaltung von Paul Simmonds zum Thema Cloud Identity “Getting Cloud Identity Right”. Sie führte zu wichtigen Erkenntnissen über risikobasierten Zugriffsentscheidungen, eine Sichtweise, die wir bei RSA seit langem vertreten.

Doch wie Paul und ich in unseren Referaten ausführten und wie auch die Erfahrung der Deutschen Bank zeigt, sind auch risikobasierte Zugriffsentscheidungen nur ein Teil der Geschichte. Sogar die Formalisierung und Rationalisierung der Regeln, die bei den SoD Zugriffsentscheidungen verwendet werden, waren größeren Absichten bei der Deutschen Bank untergeordnet. Im Mittelpunkt ihres Projektes war Identitäts-Governance, das heißt: „fortlaufend die Umsetzung in allen Anwendungen, Geschäftsabläufen oder ganzen Abteilungen in einem komplexen, heterogenen und globalen Umfeld zu überprüfen und zu überwachen.”

 

Governance diagram
© RSA 2014

Zum Schluss die Erkenntnis: „Mit diesem Programm hob die Deutsche Bank die Umsetzung von SoD-Regeln auf eine neue Ebene, die weit über die IT-Sicht hinausweist und mit vollem wirtschaftlichen Fokus für eine globale Organisation vorantreibt.” Genau das ist es, was Identitäts-Governance bieten kann: sich nicht nur der Herausforderung der Verantwortungsaufteilung, der Segregation of Duties zu stellen, sondern auch das zu werden, was Matt KaneOne Brain für IAM” nannte: ein Kopf für das gesamte Identity und Access-Managment.

Leave a Reply

Your email address will not be published. Required fields are marked *