Vorgehensmodell für IAM Initiativen

Fachreport
Vorgehensmodell
für IAM Initiativen
Oliver Magnus
Inhalt
1 Warum eine Initiative?
2 Was ist eine IAM Initiative?
3 Auslöser und Ziele einer IAM Initiative
4 Elemente einer IAM Initiative
5 Unser Vorgehensmodell
6 Die IST-Situation und Reife des Unternehmens
7 Das Big Picture / der Bebauungsplan
8 In kleinen Schritten zum großen Ziel / der Masterplan
9 Fallstricke und Hürden
10IAM im alltäglichen Betrieb
11 Wort des Autors
Fachreport – Vorgehensmodell für IAM Initiativen
1
Ohne die Organisation und die
Prozesse kann die IT die Herausforderung nicht lösen.
Warum eine Initiative?
Die Einführung eines Identity und Access Management (IAM) ist kein normales Projekt und ins-
zung einer IAM Initiative antreibt. Um diesen zu erreichen muss die Komplexität der IT be-
besondere kein klassisches IT Projekt. Es ist die Verbindung von übergreifenden Organisations-
herrscht werden um Services schneller, direkter und kostengünstiger erbringen zu können.
änderungen mit der Einführung neuer Prozesse und Abläufe, unterstützt durch die Umsetzung
Durch eine (teil-)automatisierte Rechtevergabe werden zudem Fehler vermieden und die Effizi-
und Nutzung von technischen Verfahren der IT. Aber in dieser Reihenfolge zuletzt in der IT.
enz wie gewünscht gesteigert.
Wir nennen es eine Initiative, weil es den Entschluss zum Handeln, insbesondere in der Führung
des Unternehmens, bedarf und diesem viele einzelne Schritte folgen, ohne dass man in kurzer
Im Idealfall meistert man durch ein solches IAM Programm beide Herausforderungen, den Ge-
Zeit einen Abschluss erreichen wird. Dies setzt eine Vision voraus, welche in die Tat umgesetzt
winn an Sicherheit und Transparenz zur Erfüllung von Regularien sowie eine Steigerung der Effi-
werden soll, ohne dass ein Return on Investment (ROI) von Beginn an einen kurzfristigen Break
zienz. Zusammenfassend ist zu sagen, dass die Umsetzung einer IAM Initiative besonders größe-
Even verspricht. Eine Unterscheidung zum Vorgehen zwischen einem Programm und einem Pro-
re Unternehmen mit komplexen Infrastrukturen und hohen Compliance Anforderungen einen
jekt ist zu diesem Zeitpunkt noch nicht getroffen.
bedeutenden Mehrwert bringt, welcher die Kosten für ein solches Unterfangen schnell amortisiert. Doch auch kleinere Unternehmen mit einer weniger komplexen Infrastruktur können, durch
Letztendlich ist es das Ziel der Initiative, die erforderlichen Prozesse und Abläufe rund um den
mit in richtigem Maß geplanten Schritten, durch ein IAM Projekt einen Effizienzgewinn erreichen.
Lebenszyklus der Identitäten sowie deren Rollen, Accounts, Berechtigungen und ggf. auch Ser-
Wie so häufig kommt es darauf an, den Aufwand und den Nutzen sorgfältig abzuwiegen.
vices einzuführen, diese IT gestützt abzubilden um sie optimiert und weitgehend automatisiert
zu steuern.
Doch nicht alle Vorzüge einer IAM Initiative lassen sich monetär bewerten, so dass eine ROI basierte Argumentation nicht immer zum Ziel führt. Vielmehr ist es der Gewinn an Qualität, Infor-
2
mationssicherheit, Dokumentation, Transparenz und Geschwindigkeit, welcher interne Stake-
Was ist eine IAM Initiative?
Eine Identity und Access Management Initiative beschäftigt sich mit der Planung, Konzeption
und Umsetzung eines Identity und Access Managements, wobei die Initiative sowohl die prozes-
holder von der notwendigen Investition in eine IAM Initiative überzeugt.
Komplexität der Business Welt / IT Welt
sualen, organisatorischen und technischen Aspekte umfasst. Das häufigste Ziel einer IAM Initiative liegt zumeist in der Einführung von technischen Verfahren (Tools), welche die definierten
Prozesse optimal unterstützen. Im bestmöglichen Fall erfolgt dies durch die Verwendung der
Datenbasis zur automatisieren Provisionierung von Accounts in den IT Systemen sowie der auto-
IAM Projekt als Komplexitäts­
reduzierer und Effizienztreiber
»IT Betrieb schlank halten
und Reaktionszeit minimieren«
matisierten Zuordnung der notwendigen Berechtigungen auf Basis der Festlegungen im Access
Management. Der Kern der Initiative ist somit die Verbesserung der Qualität und Transparenz
der IT Administration, vor allem im Bereich der Account- und Berechtigungsverwaltung.
3
Auslöser und Motivation für eine IAM Initiative
Die Auslöser und die Motivation für eine IAM Initiative sind vielfältig. Zum einen führen externe
IAM Projekt als
Komplexitäts­reduzierer
»IT handhabbar halten«
Faktoren, wie regulatorische Auflagen und Gesetze, dazu, dass ein IAM Projekt umgesetzt wird,
was besonders in stark regulierten Branchen und öffentlich kontrollierten Unternehmen von
hoher Relevanz ist. Die Frage „warum hat welcher Nutzer welche Berechtigungen auf welchem
System“ muss stets beantwortet werden können.
IAM Projekt als Effizienztreiber
»IT Betrieb schlank halten«
Zum anderen ist es der Wunsch nach „Effizienzgewinn“, welcher viele Unternehmen zur Umset-
IAM Projekt
unwirtschaftlich
Größe der
Unternehmung
Fachreport – Vorgehensmodell für IAM Initiativen
4
Elemente einer IAM Initiative
IAM Initiativen sind in unseren Augen Organisationsprojekte, welche in der Regel in die Einfüh-
Insbesondere ist es wichtig, potenzielle Schnittstellen mit einem zukünftigen IAM zu beleuch-
rung einer IT Lösung zur Unterstützung der Prozesse und Abläufe münden. Die wichtigsten Ele-
ten und diese in die Initiative mit einzubinden. Ebenfalls ist es essentiell, die Prozesse zur aktuel-
mente sind hierbei…
len und ggf. geplanten Datenpflege zu kennen und die Anzahl der Geschäftsvorfälle, z.B. Anlage
eines neuen, internen Mitarbeiters im Personalsystem oder die Löschung eines Accounts auf ei-
–– die Definition von Prozessen für die Abbildung, Veränderung und Zuordnung von Identitä-
ner Datenbank, benennen zu können.
ten
–– die Modellierung und Dokumentation von Business Rollen als Abbild der Tätigkeitsprofile
Unsere Erfahrung zeigt, dass die frühzeitige und offene Einbindung der verschiedenen, betroffe-
–– die Aggregation von Rechten und Accounts zu Technischen Rollen
nen Organisationseinheiten und Fachbereiche in die geplante Initiative hilft, Unterstützer zu ge-
–– die Festlegung von notwendigen Berechtigungen in IT-Systemen je Business Rolle und die
winnen und Vorbehalte von Beginn an zu vermeiden.
Eine IAM Initiative ist erfolgreich, wenn das Verständnis für
die Notwendigkeit besteht und
entsprechende Mitarbeit aller
Parteien erwartet werden kann.
Zuordnung von Technischen Rollen zu Business Rollen
–– die Einführung von Prozessen zur Beantragung, Genehmigung, Entzug und Rezertifizierung
von Rollen und Rechten sowie die Einführung von Verfahren und Werkzeugen, welche diese
Schritte integriert unterstützt.
7
Das Big Picture / der Bebauungsplan
Nach einer detaillierten Analyse der Ausgangssituation können nun die Vision sowie die lang-
5
fristigen Ziele der Initiative erarbeitet werden. Entwickeln Sie konkrete, erreichbare Ziele und
Unser Vorgehensmodell
fen Sie so die notwendige Motivation für die Umsetzung Ihrer Ziele. Lassen Sie zudem genug
Angelehnt an etablierte Projektmanagementmethoden, wie
viduell wie das Unternehmen und die Personen die dies durch-
Platz für Anforderungen und Wünsche. Je nach Programmumfang steht das Identity und Access
Prince 2 und PMBOK sowie unsere langjährige Erfahrung bei der
führen. Ein, jeweils an die individuellen Bedürfnisse angepasstes,
Management nach der Inbetriebnahme als Datendrehscheibe im Zentrum Ihrer Informationsar-
Planung, Konzeption, Umsetzung und Begleitung von IAM Pro-
Vorgehensmodell, das sich in unserer Arbeit mit unseren Kunden
chitektur. Entsprechend wichtig ist es, in einer frühen Projektphase einen Bebauungsplan zu
jekten, haben wir unser eigenes Best Practice Vorgehen für IAM
bewährt hat, möchten wir Ihnen im Folgenden gerne vorstellen.
entwickeln und diesen mit der Unternehmensstrategie und geplanten oder bereits laufenden
Initiativen entwickelt. Selbstverständlich ist jedes Projekt so indi-
6
eine zukunftsweisende Vision gemeinsam mit den Personen beteiligter Fachbereiche und schaf-
Projekten in Einklang zu bringen.
Das Big Picture soll dabei wie die Pläne eines Stadtplaners das langfristige Ziel als Idealvorstel-
Die IST Situation und Reife des Unternehmens
Bevorr eine IAM Initiative in ein konkretes IAM Programm oder Projekt mündet, ist eine umfassende Analyse der IST Situation des Unternehmens notwendig. Hierbei gilt es, die vorhandene IT
Landschaft sowie die Organisation und auch die Kultur des Unternehmens zu verstehen. Dabei
sollten folgende Fragen beantwortet werden:
–– Wie zentral oder dezentral werden IAM relevante Abläufe organisiert?
–– Wer ist für welche Informationen verantwortlich / wer hat die Hoheit worüber?
–– Wo im Unternehmen sind welche Daten zu finden / wer pflegt diese?
–– Reicht die Datenqualität um darauf ein erfolgreiches IAM Programm aufzusetzen?
–– Gilt es spezielle Regularien und gesetzliche Vorgaben zu erfüllen?
–– Wie sind die derzeitigen Prozesse bezüglich Rechtevergabe und des -entzugs?
–– Welches Ziel steht „wirklich“ im Vordergrund der Initiative?
lung mit allen wichtigen Ausprägungen darstellen. Jeder sollte sich und seine Anforderungen in
diesem wiederfinden. Das Big Picture zeigt somit wohin die Reise geht. Die Initiative hat nun ein
Ziel, die folgenden Projekte zu deren Umsetzung sind Etappen auf dem Weg dorthin.
Ihr Big Picture bildet Ihre Vision ab
Fachreport – Vorgehensmodell für IAM Initiativen
8
In kleinen Schritten zum großen Ziel / ein Masterplan
Bei der Planung der tatsächlichen Umsetzung der Ziele, sollte ein entsprechendes Programm mit
mehreren, kleineren Einzelprojekten geplant werden. Hier kann auch zunächst mit Projekten zur
Verbesserung der Datenqualität oder zur Harmonisierung von Prozessen begonnen werden, um
die Einführung eines effektiven IAM vorzubereiten. Verlieren Sie dabei die Gesamtkoordination
im IT Projektportfolio nicht aus den Augen.
Die Gliederung der Initiative in kleine Projekte ermöglicht es unter anderem, in relativ kurzer Zeit
mit konkreten Mehrwerten für Stakeholder und Fachseiten aufzuwarten.
Chronologischer Ansatz – 10 Punkte Plan
– Analyse der Ausgangssituation
– Aufnahme strategischer Ziele und des internen IT Geschäftsmodells
– Analyse der aktuellen Schmerzpunkte / Quick Wins /Bedürfnisse
– Gemeinsame Entwicklung eines Big Pictures (Programm)
– Stufenkonzept – vom Big Picture bis zur Lösung (Projekte)
– Ggf. Schaffung der organisatorischen Voraussetzungen (Reife)
– Reflektion der Anforderungen mit Lösungen am Markt
3) Flexibel bleiben! IAM Initiativen oder Projekte laufen in der Regel über Monate und Jahre hinweg. Während der Laufzeit ist es essentiell, flexibel auf Veränderungen in der Organisation
oder in Prozessen reagieren zu können. Die Weiterentwicklung des Unternehmens stoppt
nicht, nur weil ein IAM Projekt läuft. Daher empfiehlt es sich, die Einführung in sinnvolle Teilschritte zu unterteilen. Nur sehr wenige Unternehmen schaffen es, IAM mit einem Big Bang
zu etablieren.
IAM im alltäglichen Betrieb
10
Beachten Sie, dass Identity und Access Management nach der Einführung zu einem Teil der täglichen IT Prozesse wird. Neben der Einführung von IAM und dem Ausbau vorhandener Systeme
müssen die Veränderungen im Unternehmen weiter verfolgt und berücksichtigt werden. Die
weiterhin geplanten Projekte im Rahmen der IAM Initiative müssen stets an die aktuelle Situation und die gegebenenfalls geänderten Anforderungen der Fachseiten angepasst werden, ohne
dabei die bereits etablierten Teile zu beeinträchtigen oder ad absurdum zu führen.
Im Rahmen der Weiterentwicklung des Unternehmens werden weitere Wünsche und Potenziale
auftauchen, welche mit Hilfe eines IAM optimal unterstützt werden können. Solche Visionen
können von einem ganzheitlichen Self-Service-Portal für Endbenutzer, über eine verursachergerechte Leistungsverrechnung (oder einem durchgängigen Order-to-Cash Prozess, wenn beide
Komponenten umgesetzt werden), über optimales Lizenzmanagement und Asset Management, bis hin zur Steuerung von Telefonanlagen reichen.
– Erarbeitung eines produktneutralen Gesamtkonzeptes
– Auswahl Technologie, Produkt- und ggf. Implementierungspartner
– Umsetzungsprojekt
Wort des Autors
„Identity und Access Management Initiativen sind spannende, herausfordernde Projekte, bei denen viele Aspekte zu berücksichtigen sind, um zum gewünschten Projektergebnis zu gelangen.
Als Berater ist es für mich eine besondere Herausforderung Kunden auf diesem Weg zu beglei-
9
ten und mit meinem Fach- und Methodenwissen zu unterstützen. Diskussionen zum richtigen
Fallstricke und Hürden
Ansatzpunkt oder zur Ausrichtung einer IAM Initiative sind für mich eine Herzensangelegenheit
– sprechen Sie mich gerne per E-Mail an [email protected] dazu an.“
Im Laufe unserer Projekte haben wir einige Gründe ausgemacht welche dazu führen, dass IAM
Initiativen vor Problemen stehen. Nachfolgend stellen wir drei unserer wesentlichen Erkenntnisse dar:
1) IAM Initiativen sind keine reinen IT- oder Technologie-Projekte. So ringen IAM Einführungsprojekte am häufigsten mit der Organisation und den Prozessen und in zweiter Linie mit der
Komplexität oder der Datenqualität.
2) Ein Tool löst kein Problem. Die zu frühe Fokussierung auf ein bestimmtes Tool oder Produkt,
ohne reflektiert zu haben, welche Daten dort hineinlaufen, was mit ihnen passieren soll und
welche Ergebnisse am Ende erwartet werden, führt häufig zum Scheitern der Initiative.
Ihr Oliver Magnus
11
Dierichsweiler Unternehmens- und Prozessberatung
Die Dierichsweiler Unternehmens- und Prozessberatung GmbH unterstützt seit dem Jahr 2007 Kunden aus Privatwirtschaft sowie der öffentlicher Hand bei der Realisierung komplexer IT Projekte. Dabei liegt die Kernkompetenz auf der herstellerneutralen, unabhängigen Beratung der Unternehmen zur Effizienzsteigerung in der IT. Langjährige Erfahrung und fundiertes Fachwissen gepaart mit hoher Methoden- und Sozialkompetenz zeichnen die Berater der Dierichsweiler Unternehmens- und Prozessberatung aus.
In der Arbeit mit unseren Kunden verstehen wir uns als langfristiger Partner auch über die Grenzen eines Projektes hinaus. Dabei sehen wir Prozesse stets ganzheitlich und nehmen verschiedene Perspektiven ein, um unseren Kunden alle
wichtigen Aspekte umfassend zu beleuchten und Entscheidungen zu erleichtern. Was unsere Arbeit auszeichnet ist die
Flexibilität, mit welcher wir in jeder Projektphase die passende Rolle einnehmen und im Sinne unseres Kunden ausfüllen.
So agieren wir als Analyst, der die Erhebung von Anforderungen und eine Analyse der IST-Situation vornimmt und als
IT-Architekt, der einen Bebauungsplan erarbeitet. Aber auch als Lotse, der auch in schwierigem Fahrwasser den Überblick behält und die Richtung weist und als Qualitätsmanager, der an der Schnittstelle zwischen Kunde und Lieferant die
Implementierung überwacht, die Leistungserbringung prüft und bei der Abnahme unterstützt. Egal in welcher Phase
wir Sie unterstützen sollen, wir stehen Ihnen mit unserem fachlichen und menschlichen Know-How zur Seite.
Dierichsweiler Unternehmens- und Prozessberatung GmbH
V.i.S.d.P.: Marc A. Dierichsweiler
Alexander-Diehl-Straße 2a, 55130 Mainz
Telefon: +49 6131 27 70 29-0
E-Mail: [email protected]
www.dup.de