Die 2 Säulen Governance & Intelligence bei IdM
Foto: Beta Systems
Access Governance beinhaltet, dass das IdM zur Steuerung, Verwaltung und Attestierung der Zugriffsrechte das Business involviert, Self-Service-Funktionen bereitstellt und Workflow-gesteuert ist. Access Intelligence als zweite Säule liefert dem Business wiederum Informationen und Wissen, um die richtigen Entscheidungen mit Blick auf die Kontrolle bestehender Berechtigungen, die Risikobewertung oder den Umgang mit privilegierten Benutzern treffen zu können. Die strukturierten und unstrukturierten Daten werden dabei aus unterschiedlichen Quellen generiert und bereitgestellt. Informationsbausteine sind Analysen, offline Reports sowie online Dashboards mit Drilldown-Funktion, auf die das Business leicht zugreifen kann. Aber wie gelangt man von den Daten über die Informationen zur Intelligence? Was bedeutet hier Intelligence? Im Deutschen übersetzen wir es im Zusammenhang mit IdM mit ’Nachrichtendienst’. Es geht um das Sammeln sowie Aufbereiten von Informationen und Erkenntnissen, um daraus Entscheidungen und Business-relevante Aktionen ableiten zu können. Die Daten werden dabei verdichtet und in kleine Portionen aufgeteilt, damit sie das Business in intuitiven Informationsportalen, ohne großen Trainingsaufwand, besser ’konsumieren’ kann. Soll- und Schwellenwerte werden vordefiniert und das Business über kritische Zustände automatisch benachrichtigt.
Welche Grundprinzipien für die Business-Orientierung stellen Access Governance und Access Intelligence also bereit? Die Fachabteilung wird durch Workflow-basierte Antragsverfahren und durch die Zusammenarbeit mit der IT bei der Rollenerstellung eingebunden. Zudem erteilt sie Zugriffsgenehmigungen und übernimmt Rollenverantwortung auf Fachabteilungsebene. Sie erhält darüber hinaus einen vollständig transparenten Einblick in die Berechtigungen mittels Business-freundlicher Reports und Dashboards sowie Drilldown-Funktionalitäten. Durch die sogenannte Re-Zertifizierung, im Rahmen derer Berechtigungen regelmäßig zu bestätigen sind, werden Risiken verringert und eine möglicherweise unzulässige Anhäufung von Rechten vermieden.