360° Assessment

Im vorangegangenen Blog von Michael Makarewicz haben wir die Notwendigkeit eines erweiterten Betrachtungswinkels in IAM-Prozessen aufgezeigt. Unsere Fach-Expertin für IAM, Lydia Kopecz, erläutert nun, wie die IPG in einem «360° Assessment» Unternehmen dabei unterstützt, erfolgreich ein IAM-Projekt zu etablieren.

Identity und Access Management (IAM) ist ein interdisziplinäres Thema. Die IAM-Prozesse greifen in alle Bereiche eines Unternehmens ein, vom Personal über die Fachbereiche bis zur IT, und sind stark von den Führungsprozessen abhängig. Dabei bezieht man von Anfang an alle Stakeholder mit ein und startet gemeinsam in das Vorhaben. Dies bringt mit sich, dass verschiedene Interessen und Prioritäten sowie auch Vorstellungen aufeinandertreffen, wo die Abgrenzung des IAM-Themas liegt.

Dafür werden unter anderem diese Bereiche beleuchtet:

• Benutzerkreise – welche Personen sollen im IAM geführt und in die Prozesse integriert werden
• Zielsysteme – welche Systeme sollen an IAM angebunden werden und welche Kriterien sind dafür ausschlaggebend
• PAM – welche Benutzer mit privilegierten Zugriffsrechten müssen speziell verwaltet werden
• Organisation – welche Form der IAM-Organisation ist für das Unternehmen die beste

Das Assessment führt in mehreren Schritten zu einer definierten IAM Strategie und Roadmap.

Ein Assessment bietet sich für Unternehmen an,

• deren interne oder externe Compliance Vorgaben eine Erhöhung der IT-Sicherheit und Massnahmen zur Nachvollziehbarkeit des Zugriffsmanagements fordern.
• die zum ersten Mal mit dem Thema IAM in Berührung kommen und noch nicht abschätzen können, was eine Einführung bedeutet.
• die bereits ein IAM-Vorhaben gestartet, aber nicht zum Erfolg geführt haben.
• die ihren aktuellen IAM-Reifegrad und Weiterentwicklungsmöglichkeiten beurteilen möchten.

Eine gemeinsame Ausgangslage und ein ganzheitliches Zielbild werden mithilfe eines IAM-Assessments geschaffen. Dieses teilt sich in drei Phasen.

Im Scoping-Workshop wird ein einheitliches Verständnis über Relevanz und Soll-Zustände für die verschiedenen IAM-Themenbereiche geschaffen. Anschliessend führen die Experten vertiefende Interviews, um die aktuellen Pain Points im Zusammenhang mit IAM-Prozessen herauszuarbeiten und das im Scoping-Workshop definierte «Soll» in grobe Anforderungen umzuwandeln. Abschliessend wird eine Analyse der bestehenden Mengengerüste rund um den Mitarbeiter LifeCycle und die Systemlandschaft durchgeführt. Alle Erkenntnisse werden in Form eines Berichts zusammengefasst und erarbeitet. Dieser Bericht ist mit Empfehlungen für die strategische Ausrichtung und einer Roadmap versehen, der unter anderem eine erste Kostenindikation für das angestrebte IAM-Vorhaben angibt.

1. Der Scoping-Workshop – Ausgangslage und Zielsetzung definieren
   
   Der IAM-Consultant bespricht mit den Stakeholdern die einzelnen IAM-Themengebiete, von Mitarbeiterkreisen über Zielsysteme bis hin zu den für die Unternehmensprozesse relevanten Funktionalitäten. Jedes Gebiet wird erklärt und ein gemeinsames Verständnis geschaffen. In der Diskussion werden bereits erste mögliche Soll-Zustände gemeinsam erarbeitet. Basierend darauf legt man anschliessend das Zielbild für in drei bis fünf Jahren fest.
    
2. Die Interviews – Vertiefung nach dem Workshop
   
   Mit den Repräsentanten der unterschiedlichen Zielgruppen wie CISO, Fachbereich, HR, IT-Administration und Servicemanagement werden standardisierte Interviews geführt. In diesen erarbeitet der Consultant, wo momentan die grössten Herausforderungen rund um die IAM-Prozesse liegen. Im Vordergrund stehen die sogenannten JML-Prozesse, Joiner (Mitarbeiter Eintritt) / Mover (Mitarbeiter Wechsel) / Leaver (Mitarbeiter Austritt). Das Hauptaugenmerk liegt dabei auf der Compliance und Effizienz sowie der Datenqualität. Das im Scoping-Workshop erarbeitete Zielbild wird in den für die jeweilige Zielgruppe wichtigsten Aspekte geschärft und dokumentiert.
    
3. Bericht und Roadmap – eine kompakte Basis für die Projektplanung
   
   Sind alle Informationen vorhanden, erstellt die IPG einen zusammenfassenden Bericht des Assessments. Dieser zeigt die Ist-Situation mit bereits gut funktionierenden Prozessen ebenso auf, sowie die Pain Points mit Verbesserungspotenzial. Aufbauend darauf werden Empfehlungen für die IAM-Themengebiete ausgesprochen. Zur Umsetzung dieser dient die Roadmap. Sie ist die Basis für die Projektplanung und dient als Stütze für die Einteilung der Umsetzungsphasen. In Form von Arbeitspaketen werden die Massnahmen zur Zielerreichung in eine zeitliche Reihenfolge entsprechend der individuellen Unternehmensprioritäten und -möglichkeiten gesetzt. Zu jedem Paket wird basierend auf den Assessment-Erkenntnissen und Best Practices eine Indikation für externe Kosten und interne Aufwände gegeben.

Vorteile eines Assessments:

• Schaffung eines gemeinsamen Verständnisses für das Thema IAM und speziell im Unternehmen bei den Stakeholdern.
• Prioritäten liegen dokumentiert als Basis für die Definition einer IAM-Strategie vor.
• Mit Kostenindikation und Zeithorizont zur Umsetzung der definierten Inhalte kann eine Projektplanung aufgesetzt werden.

Damit sind die Voraussetzungen für ein erfolgreiches IAM-Vorhaben geschaffen, um strukturiert und bereichsübergreifend die gesteckten Ziele zu erreichen.

Als Business Partner bietet die IPG-Gruppe IAM-Leistungen aus einer Hand und stellt jederzeit eine Sicht aufs Ganze sicher. Wir begleiten Sie bei Ihrem Identity & Access Management Projekt von der ersten Planung, über die Implementierung bis zum Betrieb.