Intranet Identity Management (Part 1)

Geschrieben von Bernd Eckenfels am

Das Thema Identity Management wurde besonders von den Herstellern entsprechender Lösungen immer wieder in die Fachpresse gebracht. Sicherheit ist auch ein sehr wichtiges Thema, und gerade die Innerbetrieblichen Abläufe lassen sich durch entsprechende Automatisierung nicht nur beschleunigen oder kostengünstiger machen, nein insbesondere auch die Sicherheit profitiert von einem durchdachten Ansatz. Ein typisches Beispiel ist der HR Prozess bei dem ein Mitarbeiter das Unternehmen verlässt, oder dessen Zugriffsrechte kurzfristig zurückgezogen werden sollen. Je mehr Systeme an einer Synchronisation beteiligt sind, oder direkt auf die zentrale Benutzerverwaltung zugreifen, desto schneller und vollständiger ist dieser Prozess. Aber wieder zurück zum Thema IM - ich habe den Eindruck das Risiko wird zwar verstanden, aber noch immer sind Tools in dem Umfeld "Nice-to-have", oder noch schlimmer: es werden strategische Entscheidungen "angedacht" und investiert, ein Großteil der Intranet Anwendungen bleibt aber außen vor. Hier genau setzt jetzt ein Compliance und Risk Management an. Und wie allen bekannt ist, kann sich Niemand dem Thema entziehen. Spätestens mit der neuen EU Direktive zum EuroSOX (was für ein schreckliches Schlagwort) wird es hier einen Boom geben. Entsprechend gibt es auch schon eine Analysten Meinung zu dem Thema, wie gerade bei CIO.de gefunden. Zugriffsrechte sollen hier vereinheitlicht werden (und dazu muß man natürlich Produkte kaufen).

Update: fixed Braino (danke Kris).

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Oliver am :

ich glaube nicht, dass es einen Boom geben wird. Die Compliance-Vorschriften sind inzwischen so unüberschaubar und zahlreich, dass Euro Sox gar nicht mehr wirklich ins Gewicht fällt. Generell ist Compliance einer der wichtigsten Treiber für IAM-Projekte auf 'strategischer'-Ebene. Selten gelingt aber ein Unternehmens- oder Konzernweiter Top-Down Ansatz, schon gar nicht mit einem Tool. So lässt sich vermutlich auch Euro-Sox eher mit gelebten Prozessen und einem weitreichenden Strategieverständnis erfüllen.

Bernd Eckenfels am :

Ich denke auch, EuroSOX ist wesentlich "vernünftiger" als die US Schwester. Unternehmen die sich schon komplett an die Deutschen Vorgaben gehalten haben (was Buchführung, IKS, RM, Archivierung und Revision anging) werden wohl bei EuroSOX nichts überraschendes mehr finden. Gut finde ich jedoch, dass jedes Unternehmen gewisse Investitionen tätigen muss - also eigentlich kann, ohne einen Vorteil zu verlieren. Das tut der IT Sicherheit schon gut. (Auch wenn man als Insider immer wieder heulend vor einer Lückenhaften und aufgeblasenen Umsetzung steht).

Oliver// am :

dank dieses Blogposts habe ich Euro-Sox in das IAM-Wiki eingetragen. Bisher taucht Euro-Sox es nämlich nicht mal in Wikipedia auf und ich hatte es auch nicht im Fokus. Danke dafür.

Bernd Eckenfels am :

Ich hatte es gestern in die deutsche Wikipedia gepackt, aber da muss noch etwas Fleisch rein. Vielleicht sollte ich mal meine Lieblings-Controlling-Expertin mit einem Wein bestechen? :) http://de.wikipedia.org/wiki/EuroSOX Bernd

Dana am :

Whoaaaaaaaaaaaaaaaaaaaaaaaaa....... Das meinst du jetzt nicht wirklich, oder? EuroSUX. Yeh, right. Ich hab mich damals schon gewundert, was an Sarbanes Oxley so Besonders dran sein soll. Dann ist mir spontan eingefallen, dass die USA einfach noch kein KonTraG hatten. Das ist eigentlich eine Richtlinie, die sicher stellen soll, dass die Wirtschaftsprüfer keinen Mist bauen. Warum man daraus immer wieder die freie Berechtigung herleitet, über den Umweg über den schmalen Grat des Risiko-Managments beliebig Sicherheits-Management zu betreiben, das bleibt mir nach wie vor schleierhaft. Ich halte das, was von einigen Firmen da zur Generierung von Consulting-Geschäft an Panikmache verbreitet wird, völlig überzogen. Vielleicht war bei Sarbanes Oxley einfach so neu, dass öfter mal erwähnt wurde, dass man das, was man schreibt, auch auf praktische Funktion überprüfen muss, und sogar unterschreiben muss, dass man's getan hat. Wir sollten uns lieber mal wieder eine Zeit lang darauf konzentrieren, funktionierende und schlanke IT-Prozesse zu etablieren, denn schlagkräftige Unterstützung des Geschäfts tut auch dem Investor besser als ein supersicheres, hochdokumentiertes Netz, in dem sogar die Bytes schon vor lauter Angst vor dem Papierkrieg aus dem Kabel nicht mehr rausgucken wollen. Viele Grüße Dana

Kommentar schreiben

Name

E-Mail

Homepage

Kommentar

Antwort zu

BBCode-Formatierung erlaubt

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.

Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um einen Kommentar hinterlassen zu können, erhalten Sie nach dem Kommentieren eine E-Mail mit Aktivierungslink an ihre angegebene Adresse.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA