Identity Governance
Zero Trust im Zusammenspiel mit Identitätsmanagement
Fortsetzung des Artikels von Teil 1
Der nächste Schritt: Was ist der Soll-Zustand?
Um wirklich zu funktionieren, muss die Zero-Trust-Methode auf alle Benutzer und Systeme angewendet werden, unabhängig vom Standort – ob zu Hause oder im Büro. In diesem Zusammenhang ist es für Unternehmen wichtig, zunächst einen detaillierten Plan festzulegen, wie Zero Trust im Laufe der Zeit implementiert werden soll.
Budgets dafür gibt es selten, also sollten Entscheider einen Prozess im Kontext der breiteren organisatorischen IT-Sicherheit skizzieren. Dadurch wird sichergestellt, dass alle Beteiligten im Betrieb die Vision, die Absicht und den Zeitplan für die Umsetzung verstehen. Im nächsten Schritt ist es für Verantwortliche wichtig zu wissen, wo sich alle Anwendungen und Daten des Unternehmens jetzt gerade befinden und wo sie in Zukunft sein werden. Hier wird deutlich: Die Cybersicherheit eines Betriebs zu gewährleisten, ist nichts für Einzelkämpfer – Teamgeist und Kollaboration sind essenziell. Es kann von Vorteil für Entscheider sein, sich Strategien und Methoden überlegen, um einen hohen Grad an Transparenz über Benutzer und Anwendungen, beziehungsweise Daten innerhalb der Firma zu erhalten.
Dies ist keine einfache Aufgabe, weshalb einige Unternehmen auf technische Hilfe zurückgreifen sollten. So gibt es Technologien, die Änderungen in der Sicherheitslage, bei den Jobzuweisungen und den Zugriffsrichtlinien kontinuierlich überwachen, erkennen und automatisieren. Lösungen, die sich sofort über Standardprotokolle integrieren lassen, bieten sich beispielsweise dafür an. Zentral verwaltete Authentifizierungs- und Autorisierungskontrollen sind für die Zero-Trust-Implementierung ebenfalls hilfreich. Diese beantworten die grundlegenden Fragen "Ist der Mitarbeiter derjenige, für den er sich ausgibt?" und "Darf dieser auf die von ihm angeforderten Ressourcen zugreifen?"
Kontrolle und Transparenz in Echtzeit
Der Aspekt, der Unternehmen langfristig voranbringen wird, ist die zentrale Sicht, die Kontrolle und das Management von Veränderungen in ihrer Firmenumgebung. Einfaches Access Management und Authentifizierung sind hier zwar hilfreich, greifen aber mitunter zu kurz, da hier der übergeordnete Kontext fehlt. Lösungen aus diesen Bereichen wissen zwar, was in Echtzeit passiert, aber sie wissen nicht unbedingt, wie der Soll-Zustand ist – oder konkret: Wer Zugriff auf was haben sollte. Mit Lösungen aus dem Bereich Identity Management können Betriebe regeln, wie und ob der Zugriff gewährt oder entzogen werden soll, und überwachen diesen Zugriff im Laufe der Zeit – etwa, in Fällen, in denen sich die Rolle des Mitarbeiters durch Beförderung oder Versetzung ändert.
Im Zentrum des Identitätsmanagements geht es um die Beantwortung von drei Kernfragen: "Wer hat Zugriff auf was?" (Ist-Zustand), "Wer sollte Zugriff auf was haben?" (Soll-Zustand) und "Wie wird dieser Zugriff genutzt?". Dies gilt für alle Benutzer, alle Anwendungen und alle Daten innerhalb des Unternehmens – egal, ob On-Premises oder in der Cloud. Dieser Punkt ist der strategische Dreh- und Angelpunkt, denn das Identitätsmanagement steuert die Verbindung zwischen der gesamten Benutzerpopulation und den Anwendungen und Daten inmitten der digitalen Transformation eines Betriebs.
Es gibt unzählige externe Faktoren, die dazu beitragen, dass sich Geschäftsprozesse ändern. Im Zuge dieses Wandels sollten sich CIOs mit den Auswirkungen auf Sicherheit und Compliance auseinandersetzen und sich gegebenenfalls der Herausforderung stellen, Prozesse zu automatisieren, um sicherzustellen, dass ihre Mitarbeiter produktiv sind und es langfristig bleiben. Deshalb wird das Thema Identity auch in diesem Jahr ein großes Thema bleiben.
Volker Sommer, Area Vice President DACH bei SailPoint
- Zero Trust im Zusammenspiel mit Identitätsmanagement
- Der nächste Schritt: Was ist der Soll-Zustand?
Lesen Sie mehr zum Thema
