Nedbank: von veralteten Identity-Tools zu modernstem Identity Management

Nedbank ist eine risikoscheue, in Südafrika ansässige Bank mit über 33.000 Mitarbeitern. Der Fokus des Unternehmens liegt darauf, Kunden dabei zu helfen, ihre Geschäftsvisionen zu realisieren und ihre Möglichkeiten durch maßgeschneiderte Lösungen zu erweitern. 2018 zeichneten wir die Nedbank mit dem SailPoint Customer Impact Award aus, der Kunden für zielgerichtete Identity-Strategien honoriert, die sich direkt auf das Unternehmen auswirken und messbare Ergebnisse liefern. Wir sind sehr stolz auf die unermüdliche Arbeit, die die Nedbank geleistet hat, um dorthin zu gelangen, wo sie sich heute befindet. Wir gratulieren zum Erfolg. Dieser Blog untersucht den Identity-Weg, auf dem sie sich befindet, und den Pfad, den sie eingeschlagen hat, um mit einer Identity-Plattform wirkungsvolle Ergebnisse zu generieren.

Veraltete Umgebungen gehen zulasten der IT-Mitarbeiter & Nutzer

Finanzinstitute verfügen oftmals über veraltete und Mainframe-Lösungen für ihre Backend-Systeme. Im Laufe der Jahre häufen sich Technologien über diese veralteten Systemen an, die zunehmend schwer zu unterhalten und zu verwalten sind. Mit der zunehmenden Anzahl an Funktionen steigen auch die Unterhaltungskosten und die Komplexität der Umgebung führt zu Ineffizienzen. Für den Aufbau eines sicheren und effizienten Identity-Programms bei der Nedbank mussten grundlegende Änderungen vorgenommen werden.

Nedbank hatte mehrere Probleme mit dem Identity Management im Unternehmen. Identity-Rollen und -Berechtigungen wurden auf Basis individueller Projektbedürfnisse hinzugefügt. Das führte dazu, dass die Anzahl der Rollen immer weiter zunahm – es kam zu einer „Rollenexplosion“. Dass der Zugriff aufgrund heterogener Systeme und der Abhängigkeit von veralteten Tools nicht eindeutig über Teams und spezifische Jobrollen hinweg eingesehen werden konnte, wurde zu einem großen Problem für die Bank. Zusätzlich wurden die Fachvorgesetzten aufgrund der technischen Komplexität, die für die Gewährung und Zertifizierung des Zugriffs erforderlich war, daran gehindert, die Verantwortung für den Zugriff ihrer Teams zu übernehmen. Die Nedbank musste den Zugriff, der für jede Rolle definiert wurde, und was dieser umfasste, besser nachvollziehen können.

Darüber hinaus wurden die Anforderungen an die beiden IT-Mitarbeiter, die sich mit den verschiedenen Systemen und deren Zusammenspiel auskannten, unüberschaubar. Das Wissen, das sie sich durch ihre jahrelange Beteiligung an Projekten und den verschiedenen Sicherheitsschichten der Anwendung angeeignet hatten, konnte nur schwer auf neue Mitarbeiter übertragen werden. „Vor einigen Jahren erweiterte ein Team eine Kundenbetreuungsplattform um Funktionen, wodurch Zugriff auf 35 zusätzliche Rollen ermöglicht wurde. Sie versuchten versehentlich, den Call-Center- Agenten Credit-Override-Funktionen zuzuweisen. Das war ein Weckruf für uns“, sagt Louise van Schalkwyk, Leiterin des Zentrums für Zugriffs-Governance bei Nedbank.

Diese komplexe IT-Umgebung sowie der immense regulatorische Druck, wertvolle Kundendaten in der Finanzdienstleistungsbranche zu sichern, brachten van Schalkwyk dazu, die Situation dem Führungsteam von Nedbank zu melden. Sie waren sich einig, dass sie aufgrund der heterogenen Systeme keine Schutzschicht hatten und dass die Standardisierung auf eine konsistente und moderne Identity Governance-Plattform eine notwendige Investition in das Sicherheitsprogramm des Unternehmens war.

Investition in die Zukunft

SailPoint wurde zur Grundlage ihres Identity Governance-Programms, das schon bald die Erteilung von Zugriffsrechten erleichtern, einen eindeutigen Pfad und eine Historie der Zugriffsgenehmigungen bereitstellen sowie dem Unternehmen eine Lösung zum Aufbau und zur Weiterentwicklung seines digitalen Fußabdrucks zur Hand geben sollte. Aus diesem Programm ergab sich auch das Centre for Access Governance (CAG) bei Nedbank, eine Abteilung, die van Schalkwyk leitet. Das CAG bildet die Brücke zwischen der geschäftlichen und technischen Konfiguration für das Identity-Programm. Van Schalkwyk regte die Integration mit SAP an, dem HR-System der Firma, um alle nachgelagerten Aktivitäten zu unterstützen und als Grundlage der Identity Governance-Strategie, die mit ihnen wachsen würde, Provisionierungs- und Stilllegungsfunktionen zu implementieren. Vor der Nutzung von SailPoint führte Nedbank manuelle Zertifizierungskampagnen in seiner Legacy-Umgebung durch, die nun durch automatisierte vierteljährliche Zugriffsüberprüfungen in SailPoint ersetzt wurden. Seit der Implementierung hat es eine Abschlussquote von 92 % bei zur Überprüfung vorgelegten Berechtigungen, die genehmigt oder widerrufen werden müssen, erreicht. „Die Zugriffsprüfer sind beeindruckt, wie schnell und einfach Zertifizierungen mit SailPoint sind“, so van Schalkwyk. Monatlich ändert sich bei etwa 200 Nutzern der Zugriff – wobei in der Regel der Zugriff auf bestimmte Anwendungen und Daten entzogen wird.

„Indem wir den Zugriff über SailPoint bereitstellen, konnten wir die Einrichtungszeit für den ersten Mitarbeiterzugriff auf Systeme und Daten drastisch verbessern. Früher hat es 6 Wochen gedauert, bis die Mitarbeiter einsatzbereit waren, und nun schaffen wir das an einem Tag. Dies bringt enormen wirtschaftlichen Nutzen.“ Da die Anzahl der Anwendungen steigt, die in SailPoint eingebunden sind, können Mitarbeiter und Kapazitäten anderen Sicherheitsfunktionen zugewiesen werden. Nedbank hat nun eine klarere Vorstellung davon, welchen Zugriff seine Mitarbeiter haben, und arbeitet weiter daran, präziser zu identifizieren, was für die einzelnen Jobfunktionen erforderlich ist, um ein „Least-Privilege“-System sicherzustellen.

Durch das Programm hat sich außerdem die Benutzerfreundlichkeit verbessert. „Die Benutzeroberfläche von SailPoint ist simpel, übersichtlich und leicht zu bedienen. Wir wussten, dass es die Erfahrung der Mitarbeiter und Manager sofort verbessern würde, insbesondere bei der direkten Provisionierung“, so van Schalkwyk.

In Bezug auf die Sicherheit hat sich der Terminierungsprozess bei Nedbank deutlich in Richtung der vollständigen Automatisierung verbessert. Seit der Implementierung von SailPoint gibt es immer weniger manuelle Skripte und es muss kein Bericht mehr erstellt und der Zugriff dann manuell für die Mitarbeiter entfernt werden.

Unter van Schalkwyks Leitung entwickelt sich das CAG weiter und verbessert die End- to-End-Prozesse. „Mein Team hat viel Zeit in das Änderungsmanagement und die Entwicklung von Schulungsmaterialien investiert, um den Mitarbeitern und Managern die Bedeutung des Identity-Programms zu vermitteln und sie bei der Einführung des Tools zu unterstützen. Im Unternehmen als Ganzen hilft das CAG dabei, den Fokus auf Risiken und die Risikominderung zu halten, insbesondere in Bezug auf unbefugten Zugriff“.

Schutz von Daten im Unternehmen

Die Datenverwaltung und -sicherheit sind in letzter Zeit zu einem großen Schwerpunkt bei der Nedbank geworden. „Wir müssen unstrukturierte Daten in Fileshares und anderen Standorten im Unternehmen schützen. Wir haben unser Identity Governance-Programm ausgeweitet, um Dateneigentümer bei der Verwaltung des sicheren Zugriffs auf ihre Daten zu unterstützen. Ich sehe einen enormen Nutzen darin, den Datenzugriff als Teil unserer zentralen, integrierten Identity-Plattform zu steuern.“ SailPoint ermöglicht es der Nedbank, den Zugriff auf Fileshares und Dateien aktiv zu verwalten und diesen Zugriff nicht veralten zu lassen.