Auf dem allerersten Identity Management Day erläutern Experten die Schritte zu einem besseren IAM-Programm

Cyber Security News

Die Gebäude der Bostoner Bucht Back Bay, gespiegelt im Charles River. Die Stadt Boston wurde für die erfolgreiche Einführung ihres IAM-Programms “Access Boston” als Identity Management Organization of the Year ausgezeichnet. (Robbie Shade, CC BY 2.0 https://creativecommons.org/licenses/by/2.0, via Wikimedia Commons)

Die Entwicklung eines neuen Identitätsmanagement-Programms kann eine jahrelange Umstellung sein, daher ist es am besten, mit dem richtigen Fuß anzufangen. Am Dienstag, dem allerersten “Identity Management Day”, haben Experten die wichtigsten ersten Schritte identifiziert, um junge IAM-Initiativen in die richtige Richtung zu lenken: die Definition der Parameter Ihres Programms, die Etablierung eines Governance-Modells, die Kommunikation mit Stakeholdern und das Finden von Champions, die Ihre Bemühungen unterstützen.

Zunächst müssen Unternehmen definieren, was IAM innerhalb ihrer Organisation ausmacht, und dann die Mission und den Umfang des Projekts auf dieser Grundlage entwickeln.

“Als wir mit unserer Identitätsmanagement-Reise begannen, hatten wir Probleme mit der Definition”, gibt Greg McCarthy, Chief Information Security Officer der Stadt Boston, zu. “Wir wollten … eine klare Definition [so that] damit unsere Anwender verstehen, was wir tun. Wir haben uns also darauf konzentriert, es als die Sicherheitsdisziplin zu definieren, die es den richtigen Personen ermöglicht, zur richtigen Zeit und aus den richtigen Gründen auf die richtigen Ressourcen zuzugreifen.”

McCarthy sprach bei einer Online-Panelsitzung anlässlich des ersten Identity Management Day, einer gemeinsamen Veranstaltung der Identity Defined Security Alliance (IDSA) und der National Cyber Security Alliance (NCSA). Die beiden Organisationen kürten Boston zur Identitätsmanagement-Organisation des Jahres für die erfolgreiche Einführung von “Access Boston” – eine zweijährige, mehrere Millionen Dollar teure Neuimplementierung eines IAM-Programms, das die Benutzerfreundlichkeit verbessern, Identitätslebenszyklusmanagement und Zugriffskontrolle einführen und Altsysteme modernisieren soll.

McCarthy merkte an, dass Boston mit einer Reihe von Identitätsherausforderungen konfrontiert war, die sich jedoch größtenteils auf mangelnde Effizienz beschränkten. “Wir hatten eine Menge manueller Prozesse, bei denen die Mitarbeiter Konten manuell erstellt haben”, erklärte er. Außerdem “verließen wir uns nicht auf einen zentralen Identitätsspeicher. Wir hatten eine Legacy-Architektur, die nicht mehr funktionierte. Wir mussten wirklich sicherstellen, dass wir in der Lage waren, unsere Mitarbeiter und den Zugriff auf wichtige Anwendungen auf sichere Weise zu unterstützen. Wir erkannten also, dass eine Neuinvestition erforderlich war, um dies tatsächlich zu erreichen.”

Es gibt keinen Mangel an Faktoren, die zu berücksichtigen sind, wenn man ein Identitätsmanagementprogramm startet oder ein solches verjüngt, wie es Boston getan hat. Unternehmen müssen sich fragen: “Was sollte ich am besten in Angriff nehmen?”, so Tom Malta, Leiter des IAM bei der Navy Federal Credit Union, der ebenfalls an der Diskussion teilnahm. “Es könnte etwas sein, das mit der Regulierung zusammenhängt, es könnte ein Effizienzgewinn sein, es könnte ein Return on Investment für ein bestimmtes Produkt sein.”

[Blocked Image: https://www.scmagazine.com/wp-content/uploads/2021/04/Screen-Shot-2021-04-13-at-12.30.01-PM-e1618369928190.png]Greg McCarthy, CISO von Boston.

Um diese Probleme richtig anzugehen und zu bestimmen, was Priorität hat, müssen Sie sich zunächst mit Ihren Geschäftsabläufen vertraut machen, die wichtigsten Quellen für identitätsbasierte Risiken identifizieren und dann eine Governance-Struktur um diese herum aufbauen. “Es geht wirklich darum, den Geschäftsprozess kennenzulernen – und das ist der Ausgangspunkt, bevor man überhaupt darüber nachdenkt, Technologie zu implementieren, um diesen Geschäftsprozess voranzutreiben und effizienter zu machen”, so McCarthy.

Einer der wichtigsten Geschäftsprozesse, die es zu verstehen gilt, ist, “wie sich die Menschen im Unternehmen bewegen, und [how] Zugriff – ob es um die Gewährung oder den Entzug des Zugriffs geht – ändert sich, während sich Menschen durch die Organisation bewegen”, so McCarthy weiter.

Governance umfasst Fragen wie: “Verstehen Sie, wer in die Firma kommt und wer sie verlässt? Verwalten Sie überhaupt Ihre Identitäten beim Onboarding und Offboarding richtig?”, so Malta. “Oftmals rufen Manager den Helpdesk an: ‘Hey, ich habe diesen Kerl, ich brauche ihn, um heute anzufangen und um ihm Anmeldedaten zu geben.’ Aber wenn er geht, vergisst das jeder, und der Typ hat am Ende zu lange Zugriff.” Dies führt dazu, dass verwaiste Konten ehemaliger Mitarbeiter aktiv und aktiviert bleiben und ein bösartiger Akteur nur darauf wartet, sie zu übernehmen, ohne dass es jemand bemerkt.

Ein besonders riskanter Geschäftsprozess, der im Regierungssektor häufig vorkommt, ist der wiederholte Wechsel von Mitarbeitern von Abteilung zu Abteilung, von Job zu Job. Malta bezeichnete dies als das “gefährlichste Identitätsereignis, das es gibt” aufgrund der “Anhäufung von … Privilegien”. Und diese giftige Kombination von Zugängen, die einen in große Schwierigkeiten bringen kann.” Deshalb ist es sehr wichtig, dass sich die Zugriffsregeln der Mitarbeiter zusammen mit ihren Rollen ändern.

Grundlegende Governance-Fragen wie diese sollten bereits in der IAM-Planungsphase identifiziert werden.

“Beginnen Sie auf jeden Fall mit diesen Grundlagen”, sagt Malta. “Mit zunehmender Reife fügen Sie dann mehr Kontrollen und weitere Schichten hinzu. Aber das richtige Fundament ist so wichtig. Ich kann Ihnen gar nicht sagen, wie oft ich ein Unternehmen betrete und die grundlegenden Dinge nicht richtig funktionieren.”

Ein hervorragender Weg, um zu erfahren, wie die Unternehmensprozesse funktionieren und wo potenzielle Risiken bestehen, ist die regelmäßige Kommunikation mit allen wichtigen Akteuren, die von der IAM-Initiative betroffen sein werden.

“[Make] sicher, dass Sie Ihren Stakeholdern, Ihren Kunden und Ihren Mitgliedern zuhören”, damit Sie ihnen ein reibungsloses IAM-Erlebnis bieten können, so Malta. “Und wir müssen das auch für unsere Mitarbeiter öffnen.”

Stephen Lee, Vice President of Tech Strategy bei Okta, sagte, dass er als Geschäftsführer eines IAM-Anbieters versteht, dass viele verschiedene Organisationen innerhalb eines Unternehmens einen Teil des Identitätsmanagements besitzen. “Sie haben IT-Leute, Sie haben die Person, die Ihr Verzeichnis hostet, Sie haben HR, Sie haben Leute, die Dinge in Ihr Büro bringen, Ihre Stühle und Ihren Schreibtisch aufstellen und all das”, sagte Lee. “Sie alle besitzen einen kleinen Teil der Identität, und der einzige Weg, den Erfolg sicherzustellen, ist [to] sicherzustellen, dass es eine Abstimmung gibt.”

“Ich denke, es ist wichtig, all das zu identifizieren und sicherzustellen, dass niemand außen vor gelassen wird, denn letztendlich brauchen Sie die Stimme von allen und die ganze Munition, um die Anforderungen zu erfüllen”, so Lee weiter. “Viele Leute … versuchen, das Problem selbst zu lösen, nur um [be] gegen Wände zu laufen, weil andere Leute nicht einverstanden sind.”

“Wir haben viele, viele Discovery-Sitzungen mit unseren Geschäftsinteressenten durchgeführt, um zu verstehen, wo einige der Schmerzpunkte lagen”, sagte McCarthy.

Indem man den Stakeholdern im gesamten Unternehmen die Möglichkeit gibt, sich einzubringen und zusammenzuarbeiten, “werden Sie feststellen, dass die Erfolge auf diese Weise leichter zu erzielen sind, weil sie während der gesamten Reise hinter Ihnen stehen”, so Malta. IAM “ist ein drei- bis fünfjähriges Projekt, wenn man gerade erst anfängt – es ist also eine teure, langfristige Funktion, in der eine Menge Leute einen Wert sehen müssen. Und wenn man sie einbezieht, sie in der Nähe hält und sie Teil des Kernteams sind, wird man sehr erfolgreich sein.”

Finden Sie dann unter all Ihren verschiedenen Stakeholdern eine Person, die bereit ist, als Champion zu agieren, um die Initiative zu unterstützen und einen Konsens in der gesamten Organisation zu schaffen. Und das muss nicht einmal unbedingt ein Technologe sein.

“Einer unserer großen Projekt-Champions in der Stadt war unser CFO”, sagt McCarthy. “Das ist immer eine wirklich großartige Person, die man als Projekt-Champion haben sollte, weil sie das ganze Geld hat.”

Außerdem neigen IT- und Sicherheitsexperten manchmal dazu, in einer “Nerd”- oder “Techie”-Sprache zu sprechen, was sie manchmal daran hindert, die Mission dem Rest des Unternehmens zu vermitteln. Aber ein nicht-technischer Champion kann helfen, die Botschaft zu übersetzen. Ich denke also, dass es wirklich von Vorteil ist, einen Business-Stakeholder als Produkt-Champion zu haben”, so McCarthy: McCarthy abschließend.

Der Tag des Identitätsmanagements stellt sich vor

Die Gründer des Identity Management Day und andere IAM-Vordenker nannten mehrere wichtige Lehren, die sie sich von der Sensibilisierung für diesen neuen Cybersecurity-“Feiertag” erhofften.

Dazu gehört laut Kelvin Coleman, Executive Director der NCSA, die Notwendigkeit verantwortungsvoller Passwortrichtlinien, einschließlich der Verwendung längerer und stärkerer Passwörter, der nie mehr als einmaligen Verwendung desselben Passworts und der Nutzung von Passwortmanagern.

“Ein Passwort-Manager ist eine großartige Möglichkeit, um lange und starke Passwörter aufzubewahren, damit man sich nicht einloggen muss”, sagte Coleman gegenüber SC Media. “Für Unternehmen gilt das Gleiche für die Verwendung eines Passwort-Tresors, um gemeinsam genutzte administrative Passwörter zu sperren, damit sie ausgecheckt, einmal verwendet und nach dem Einchecken rotiert werden können. Die Zeiten von Passwort-Tabellen in einer Schublade sollten vorbei sein.”

Coleman empfahl auch die Verwendung von Single Sign-On, Multi-Faktor-Authentifizierung und Privileged Access Management. Die Vernachlässigung dieser Best Practices lädt schlichtweg zu Problemen ein.

“Anstatt Firewalls zu durchdringen und auf Codezeilen auf einem Bildschirm zu starren, müssen die Cyber-Angreifer von heute einfach nur Einzelpersonen und Unternehmen ausnutzen, die den Identitätsschutz falsch handhaben – ein Problem, das durch die Verlagerung auf Remote-Arbeit nur verstärkt wird”, sagte Julie Smith, Executive Director der IDSA, in einem E-Mail-Interview. “Die große Mehrheit der Datenschutzverletzungen, die Schlagzeilen machen, sind das Ergebnis eines schlechten Identitätsmanagements. Twitter, Marriott, Nintendo … die Liste geht weiter.”

“Unsere Hoffnung ist, dass der jährliche Awareness-Tag letztendlich Verletzungen verhindert und Best Practices für Organisationen und Einzelpersonen einführt, um die Verteidigung von Identitäten während des ganzen Jahres zu stärken”, so Smith weiter.

“In der Tat wird eine starke, genaue und zeitgemäße digitale Identität die Grundlage für robuste Sicherheitsarchitekturen in der Zukunft sein”, sagte Marc Rogers, Executive Director of Cybersecurity bei Okta. “Die Implementierung einer modernen, bewährten IAM-Architektur würde praktisch alle einfachen ATO [account takeover] Vektoren beseitigen und komplexere Vektoren stark reduzieren, während sie gleichzeitig viel anfälliger für die Erkennung werden.”

“Identität ist der absolute Kern, um Sicherheit, Privatsphäre und Schutz für Menschen und die digitale Welt zu gewährleisten”, ergänzt Richard Bird, Chief Customer Information Officer bei Ping Identity. “In den letzten 20 Jahren waren Unternehmen nicht in der Lage, die wichtigste Frage zu den Identitäten ihrer Mitarbeiter und Kunden zu beantworten, nämlich: Sind Sie der, der Sie vorgeben zu sein? Die Unfähigkeit, diese einfache Frage zu beantworten, hat zu Hunderten von Milliarden, möglicherweise Billionen von Dollar und zu wirtschaftlichen Verlusten und Notlagen für alle geführt.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com