Das Argument für
Komfort vs. Kontrolle

3,2 Milliarden. Das ist die Zahl der Menschen, die heute mit dem Internet verbunden sind. Ein Sicherheitsexperte könnte sich diese Zahl ansehen und sagen: „Das sind 3,2 Milliarden potenzielle Risiken.“ Und obwohl sie nicht falsch liegen würden, so verdeutlicht diese Zahl auch die rasante, digitale Welt, in der wir leben. Die digitale Technologie bestimmt die Art und Weise, wie Menschen heute arbeiten, sodass sie arbeiten können, wann und wo immer sie wollen. Zudem wurde für Sicherheitsexperten ein Komplexitätsgrad geschaffen, der nicht ignoriert werden kann.

Es ist, als hätte jeder IT-Sicherheitsmanager einen frustrierten Geschäftsanwender auf der einen Schulter, der „Komfort“ schreit (leichter Zugriff, sofort!) und einen CISO auf der anderen Schulter, der „Kontrolle“ schreit (alles dichtmachen!).

Diese gegensätzlichen Bedürfnisse werden heute von den Verantwortlichen in der IT-Sicherheit und insbesondere von Identitäts- und Berechtigungsverwaltung-Profis gleichermaßen wahrgenommen.

Das Argument für Komfort

Während die digitale Welt immer größer und komplexer wird, wächst auch die Herausforderung, Risiken im offenen Unternehmen von heute zu managen.  Wir wollen Mitarbeitern, Geschäftspartnern und Vertragspartnern jederzeit und überall einen Zugriff ermöglichen. Dieser Komfort ist schon lange kein Luxus mehr, sondern eine Notwendigkeit.

Damit Unternehmen im Wettbewerb bestehen und sich weiterentwickeln können, müssen sie einer wachsenden Anzahl von Menschen Zugriff zu immer mehr digitalen Ressourcen bieten, damit diese Menschen effektiv mit dem Unternehmen zusammenarbeiten können. Von Enterprise Cloud-Anwendungen wie Salesforce und Workday über Web-Anwendungen wie Portale und Intranets bis hin zu Legacy-Anwendungen (ja, sogar Mainframes) – die Menschen besuchen und verlassen ständig das physische Unternehmensnetzwerk, oft von ihren eigenen Geräten aus.

Die Dringlichkeit der Bekämpfung von Cyberrisiken

Die Grundbedürfnisse des Unternehmens gehen nicht verloren, aber es gibt ein wachsendes Interesse daran, die Geschäftsanforderungen besser mit den Sicherheitsbedürfnissen in Einklang zu bringen. Das IT-Sicherheitspersonal muss mit einer Flut von Cloud- und mobilen Anwendungen Schritt halten, die weit über die traditionellen lokalen Unternehmensanwendungen hinausgehen. Auch müssen sie ein globales Arbeitskräfte- und Partner-Ökosystem schaffen, das die Grenzen zwischen Mitarbeitern, Vertragspartnern, Partnern und manchmal sogar Kunden verschwimmen lässt.

Mit der Auflösung des Netzwerkperimeters müssen die Sicherheitskontrollen dieser Verschiebung Rechnung tragen. Anstatt Netzwerke und Anwendungen ins Visier zu nehmen, greifen Hacker die Menschen an, die sie betreiben – und oft gelingt das auch. Identity ist der Ort, an dem Sicherheit für das moderne Unternehmen anfängt.

Ist Single-Sign-On die Antwort?

Single Sign-On ist zwar sehr komfortabel, aber nicht gerade eine Sicherheitsmaßnahme. SSO ist eine Zugriffsmethode, die es Benutzern ermöglicht, sich einmalig anzumelden und dann Zugriff auf eine Vielzahl von Anwendungen zu erhalten. Obwohl SSO die Produktivität steigert und bei Problemen wie Log-in-Müdigkeit hilft, ist es nicht darauf ausgelegt, die Automatisierung und Steuerung bereitzustellen, die erforderlich sind, um sicherzustellen, dass Mitarbeiter den richtigen Zugriff auf die richtigen Anwendungen zur richtigen Zeit und auf eine Weise haben, die das Unternehmen sichert.  SSO ist eines der Werkzeuge in der IAM-Toolbox, aber eines, das eher auf Komfort als auf Kontrolle ausgerichtet ist.

Identity Governance – Balance zwischen Komfort und Kontrolle

Um den Komfort von SSO mit dem richtigen Maß an Kontrolle in Einklang zu bringen, benötigen Unternehmen eine robuste Identity Governance-Lösung. Identity Governance bietet die erforderlichen präventiven und investigativen Kontrollen, um den Zugriff zu steuern und Sicherheitsprobleme zu identifizieren und zu beheben.

Einige der wichtigsten Funktionen, die Identity Governance bietet, um SSO zu ergänzen und zu stärken:

  1. Benutzer-Provisioning: um definierte Prozesse zur Vergabe, Änderung und Entfernung von Benutzerzugriffsrechten zu automatisieren.
  2. Richtlinienverwaltung: um Passwörter in allen Anwendungen zu stärken und unerwünschte „toxische Kombinationen“ von Zugriffsrechten aufzudecken.
  3. Selfservice-Passwortverwaltung: um es Endbenutzern zu ermöglichen, ihre eigenen Anmeldeinformationen jederzeit und überall zu verwalten, ohne den Helpdesk in Anspruch nehmen zu müssen.
  4. Zugriffszertifizierungen: um sicherzustellen, dass der Benutzerzugriff angemessen ist, den Richtlinien entspricht und die Audit- und Compliance-Anforderungen erfüllt.

Mit Identity Governance können Sicherheitsorganisationen einen sicheren Zugriff zum offenen Unternehmen gewährleisten, da sie wissen, dass entsprechende präventive Kontrollen eingerichtet sind.

Zusammenfassung: Die schwer fassbare Balance finden

Ob es Ihnen gefällt oder nicht, die Zeiten der „Abschottung“ von Technologieumgebungen – und des Verbots personenbezogener Werkzeuge und Geräte – sind vorbei. Die offene, rotierende Tür der Technologie, der Benutzer und der Regionen stellt die Identity in den Mittelpunkt und macht das effektive Management und die Governance dieser Identitäten für jede Sicherheitsstrategie unerlässlich.

Man kann sich die digitale Bevölkerung auch anders vorstellen. Es gibt 3,2 Milliarden Identitäten. Viele von ihnen arbeiten in unserer globalisierten Wirtschaft, sie kollaborieren und bringen Unternehmen auf globaler Ebene voran. Identity Governance stärkt die Sicherheit, bietet Anwenderkomfort und gibt Organisationen die Möglichkeit, ein gesundes, nachhaltiges Gleichgewicht zwischen Komfort und Kontrolle zu erreichen.


Discussion