Skip to content

Intranet Identity Management (Part 1)

Das Thema Identity Management wurde besonders von den Herstellern entsprechender Lösungen immer wieder in die Fachpresse gebracht. Sicherheit ist auch ein sehr wichtiges Thema, und gerade die Innerbetrieblichen Abläufe lassen sich durch entsprechende Automatisierung nicht nur beschleunigen oder kostengünstiger machen, nein insbesondere auch die Sicherheit profitiert von einem durchdachten Ansatz. Ein typisches Beispiel ist der HR Prozess bei dem ein Mitarbeiter das Unternehmen verlässt, oder dessen Zugriffsrechte kurzfristig zurückgezogen werden sollen. Je mehr Systeme an einer Synchronisation beteiligt sind, oder direkt auf die zentrale Benutzerverwaltung zugreifen, desto schneller und vollständiger ist dieser Prozess. Aber wieder zurück zum Thema IM - ich habe den Eindruck das Risiko wird zwar verstanden, aber noch immer sind Tools in dem Umfeld "Nice-to-have", oder noch schlimmer: es werden strategische Entscheidungen "angedacht" und investiert, ein Großteil der Intranet Anwendungen bleibt aber außen vor. Hier genau setzt jetzt ein Compliance und Risk Management an. Und wie allen bekannt ist, kann sich Niemand dem Thema entziehen. Spätestens mit der neuen EU Direktive zum EuroSOX (was für ein schreckliches Schlagwort) wird es hier einen Boom geben. Entsprechend gibt es auch schon eine Analysten Meinung zu dem Thema, wie gerade bei CIO.de gefunden. Zugriffsrechte sollen hier vereinheitlicht werden (und dazu muß man natürlich Produkte kaufen).
Update: fixed Braino (danke Kris).

Trackbacks

No Trackbacks

Comments

Display comments as Linear | Threaded

Oliver on :

ich glaube nicht, dass es einen Boom geben wird. Die Compliance-Vorschriften sind inzwischen so unüberschaubar und zahlreich, dass Euro Sox gar nicht mehr wirklich ins Gewicht fällt. Generell ist Compliance einer der wichtigsten Treiber für IAM-Projekte auf 'strategischer'-Ebene. Selten gelingt aber ein Unternehmens- oder Konzernweiter Top-Down Ansatz, schon gar nicht mit einem Tool. So lässt sich vermutlich auch Euro-Sox eher mit gelebten Prozessen und einem weitreichenden Strategieverständnis erfüllen.

Bernd Eckenfels on :

Ich denke auch, EuroSOX ist wesentlich "vernünftiger" als die US Schwester. Unternehmen die sich schon komplett an die Deutschen Vorgaben gehalten haben (was Buchführung, IKS, RM, Archivierung und Revision anging) werden wohl bei EuroSOX nichts überraschendes mehr finden. Gut finde ich jedoch, dass jedes Unternehmen gewisse Investitionen tätigen muss - also eigentlich kann, ohne einen Vorteil zu verlieren. Das tut der IT Sicherheit schon gut. (Auch wenn man als Insider immer wieder heulend vor einer Lückenhaften und aufgeblasenen Umsetzung steht).

Oliver// on :

dank dieses Blogposts habe ich Euro-Sox in das IAM-Wiki eingetragen. Bisher taucht Euro-Sox es nämlich nicht mal in Wikipedia auf und ich hatte es auch nicht im Fokus. Danke dafür.

Bernd Eckenfels on :

Ich hatte es gestern in die deutsche Wikipedia gepackt, aber da muss noch etwas Fleisch rein. Vielleicht sollte ich mal meine Lieblings-Controlling-Expertin mit einem Wein bestechen? :) http://de.wikipedia.org/wiki/EuroSOX Bernd

Dana on :

Whoaaaaaaaaaaaaaaaaaaaaaaaaa....... Das meinst du jetzt nicht wirklich, oder? EuroSUX. Yeh, right. Ich hab mich damals schon gewundert, was an Sarbanes Oxley so Besonders dran sein soll. Dann ist mir spontan eingefallen, dass die USA einfach noch kein KonTraG hatten. Das ist eigentlich eine Richtlinie, die sicher stellen soll, dass die Wirtschaftsprüfer keinen Mist bauen. Warum man daraus immer wieder die freie Berechtigung herleitet, über den Umweg über den schmalen Grat des Risiko-Managments beliebig Sicherheits-Management zu betreiben, das bleibt mir nach wie vor schleierhaft. Ich halte das, was von einigen Firmen da zur Generierung von Consulting-Geschäft an Panikmache verbreitet wird, völlig überzogen. Vielleicht war bei Sarbanes Oxley einfach so neu, dass öfter mal erwähnt wurde, dass man das, was man schreibt, auch auf praktische Funktion überprüfen muss, und sogar unterschreiben muss, dass man's getan hat. Wir sollten uns lieber mal wieder eine Zeit lang darauf konzentrieren, funktionierende und schlanke IT-Prozesse zu etablieren, denn schlagkräftige Unterstützung des Geschäfts tut auch dem Investor besser als ein supersicheres, hochdokumentiertes Netz, in dem sogar die Bytes schon vor lauter Angst vor dem Papierkrieg aus dem Kabel nicht mehr rausgucken wollen. Viele Grüße Dana

Add Comment

BBCode format allowed
Enclosing asterisks marks text as bold (*word*), underscore are made via _word_.
E-Mail addresses will not be displayed and will only be used for E-Mail notifications.
To leave a comment you must approve it via e-mail, which will be sent to your address after submission.

To prevent automated Bots from commentspamming, please enter the string you see in the image below in the appropriate input box. Your comment will only be submitted if the strings match. Please ensure that your browser supports and accepts cookies, or your comment cannot be verified correctly.
CAPTCHA