governance, risk, compliance (grc) & soa identity...
TRANSCRIPT
![Page 1: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/1.jpg)
Governance, Risk, Compliance (GRC) & SOA Identity Management
14.02.2008
Sebastian Rohr, KCP
![Page 2: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/2.jpg)
Agenda
Management von Identitäten
IAM, GRC – was ist das?
SOA – wo ist der Bezug?
© Kuppinger Cole + Partner 2007Seite 2
![Page 3: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/3.jpg)
Die Identität im Mittelpunkt
Digitale Identität
Identity Management
GRC Manage-
ment
Web und Social
Networks
SOA-Sicherheit
System-/ Security Manage-
ment
Die digitale Identität und ihre Wirkungen
Identity & Access Management
Das Management digitaler Identitäten
Compliance, Governance, RiskManagement:
Das Risiko der Nichtbeherrschung digitaler Identitäten
SOA, Anwendungssicherheit:
Digitale Identitäten richtig nutzen
© Kuppinger Cole + Partner 2007Seite 3
![Page 4: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/4.jpg)
Identity Management + IT-Sicherheit:Henne oder Ei?
Keine Sicherheit ohne Identitäten
• WER darf was machen?
• WER hat was gemacht?
• WER hat es erlaubt?
Identity Management:
• Nicht nur Sicherheit
© Kuppinger Cole + Partner 2007Seite 4
Corporate Governance
IT Governance
Compliance-Support
Identitätsmanagement
SicherheitKeine Compliance ohne Identity Management!
![Page 5: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/5.jpg)
© Kuppinger Cole + Partner 2007Seite 5
Die Grundfragen
• Klare Regelungen für das Handeln von BenutzernWer darf was
machen?
• Klare Nachvollziehbarkeit des Handelns von BenutzernWer hat was wann
gemacht?
• Klare Nachvollziehbarkeit der administrativen HandlungenWarum durfte wer
was machen?
• Auditing ohne eine einheitliche Sicht auf die Identität funktioniert nicht
• Für den Zugriff auf archivierte Daten müssen Identitäten auch langfristig nachvollziehbar sein
Das WER, also die Identität, spielt eine
zentrale Rolle
![Page 6: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/6.jpg)
© Kuppinger Cole + Partner 2007Seite 6
Die Rolle des Identity Managements für Compliance
Identity Management ist eine unverzichtbare Basis für Compliance
• Basis für Authentifizierung und Autorisierung
• Basis für zentrale, anwendungsübergreifende Sicherheitskonzepte
• Basis für Auditing
Keine Compliance ohne Identity Management!
Keine SOA ohne Identity Management!
![Page 7: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/7.jpg)
Die Rolle der SoDs
SoD: Segregation of Duties
Definierte Konflikte
Müssen von Systemen unterstützt werden
• Vordefiniert
• Definierbar
Mit Optionen für zulässige Konflikte und deren explizite Überwachung
© Kuppinger Cole + Partner 2007Seite 7
![Page 8: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/8.jpg)
Compliance
Identity
Management
Vermeidung von Kosten und
anderen Nachteilen durch
Nichteinhaltung der
Compliance (Bußgelder,
persönliche Strafen für
Führungskräfte, Image,…)
Seite 8 © Kuppinger Cole + Partner 2007
![Page 9: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/9.jpg)
© Kuppinger Cole + Partner 2007Seite 9
Die Voraussetzungen für Compliance
WER
WAS
WANN
Identitäts-management
Auditing
Archivierung
![Page 10: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/10.jpg)
Compliance wird zum Kernthema
67% sehen die Trennung von
Zuständigkeiten („Segregation-of-
Duties“) als wichtigsten Aspekt*
57% beklagen, dass es für Compliance
Management derzeit noch keine zentrale
Struktur gibt*
87% bezeichnen IAM als kritischen Erfolgsfaktor
für Compliance*
94 % der CIOs geben an, zunehmend für die Compliance-Umsetzung
in ihren Abteilungen rechenschaftspflichtig zu
sein**
69 % wollen auch andere Bereiche ihrer
Compliance-Anforderungen an die IT
herantragen**
Quellen: *Forrester Research, 03/2005, 152 US-Unternehmen
** Iluma Research, 04/2005, 100 Unternehmen D, GB, F, NL
Seite 10 © Kuppinger Cole + Partner 2007
![Page 11: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/11.jpg)
Beteiligte
•Compliance/Governance
•Extended Enterprise
•Kostentransparenz
CEOCFO
•Compliance/Governance
•Kostentransparenz
•SicherheitCIO
•Extended Enterprise
•Total Customer Experience
SalesMarketing
•Einsichtnahme in Prozesse
•Übereinstimmung mit betrieblichen Regelungen
Betriebsrat
•„Benutzer“freundlichkeit
•SicherheitIT-Admin
•BenutzerfreundlichkeitAnwender
•Total Customer ExperienceKunde
•Compliance/GovernanceRevisionPrüfer
© Kuppinger Cole + Partner 2007Seite 11
![Page 12: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/12.jpg)
© Kuppinger Cole + Partner 2007Seite 12
Herausforderung GRC
Sehr viele verschiedene Vorschriften, ständig weitere Vorschriften
Viele Regelungen sind vergleichsweise unscharf
•Risikomanagement im § 91 Abs. 2 AG und § 43 Abs. 1 und 2 GmbhG: …Etablierung eines angemessenen Risikomanagements und internen Überwachungssystems…
Viele der Regelungen sind in hohem Maße strafbewehrt:
•SOX (SarbanesOxleyAct) Bis zu 25 Jahre Freiheitsstrafe
•72 % der CIOs befürchten nicht, persönlich zur Verantwortung gezogen zu werden (Iluma Research) – eine Fehleinschätzung:
•Persönliche Haftung
•Potenzielle Freiheitsstrafen
![Page 13: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/13.jpg)
© Kuppinger Cole + Partner 2007Seite 13
Was wird gefordert?
Transparenz über Unternehmensrisiken/Risiko-Management
Dokumentationserfordernisse, auch für eMail
Sicherheit des Unternehmens und der IT-Systeme und –Prozesse
•Verstärkte Systemprüfungen
Definierte Delegation von Verantwortlichkeiten auf allen Ebenen
Nachvollziehbarkeit/Revisionsfähigkeit
•Aufbereitung der Daten
![Page 14: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/14.jpg)
© Kuppinger Cole + Partner 2007Seite 14
Und wo ist die SOA?
Es geht um Identitäten! Früher Menschen, jetzt Services!
Services können sehr leistungsfähig sein – und mächtig!
Macht bedarf entsprechender Kontrolle
IAM ist ein Werkzeug für die Umsetzung der Kontrolle!
GRC bildet den Rahmen der Kontrollobjekte
Alle anderen Herausforderungen (Nachvollziehare Archivierung,Revisionsfähigkeit, DRM,…) sind ohne IDM nicht lösbar!
![Page 15: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/15.jpg)
Die Ebene der Services
• Definition einer Schicht von Identity Services
Neuerungen:
• Form der SAP NetWeaverIdentity Services noch unklar
• Virtual Directory Services als wichtiges Element
Bewertung:
© Kuppinger Cole + Partner 2007Seite 15
![Page 16: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/16.jpg)
SOA Sicherheit
• Früher griff ein Mensch auf einen Dienst zu
• Jetzt greift ein Dienst auf einen anderen Dienst zu
Ähnlichkeit:
• Eindeutige Identifikation
• Eindeutige Authentisierung
• Zurechenbarkeit
• Verkettung + Verschleierung
Problem:
© Kuppinger Cole + Partner 2007Seite 16
![Page 17: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/17.jpg)
Backup
© Kuppinger Cole + Partner 2007Seite 17
![Page 18: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/18.jpg)
© Kuppinger Cole + Partner 2007Seite 18
Compliance – der Begriff
(Corporate) Compliance
Wörtlich: „Befolgung, Entsprechung“
Wortsinn: „In Übereinstimmung mit geltenden Vorgaben handeln“
BaFin: „Einhaltung von gesetzlichen, aufsichtsbehördlichen und internen Vorschriften, Regelungen, Richtlinien, u.ä.“
Compliance umfasst also generell die Einhaltung von Regelungen für Unternehmen im weitesten Sinne
Ein breit gefasster Begriff!
Was genau ist gemeint?
Warum gewinnt Compliance so an Bedeutung?
Was hat die IT damit zu tun?
![Page 19: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/19.jpg)
© Kuppinger Cole + Partner 2007Seite 19
Compliance-VorschriftenEin Ausschnitt…
International•Sarbanes-Oxley Act•Consumer Privacy Protection Act•Börsenregelungen (SEC 17a-3, 17a-4)•„Winter-Report“ (Report of the High Level Group of Company Law Experts onan Modern Regulatory Framework for Company Law in Europe)
National•KonTraG•BDSG•HGB, GoBS•BVerfG•SigG (Signaturgesetz)•Corporate Governance Kodex
Branchenspezifisch•HIPAA (Gesundheitswesen)•FDA 21 CFR (Pharma)•Basel II (Kreditwesen)•Gramm-Leach-Billey Act (Kreditwesen)•MaH/MaK (Kreditwesen)
Funktionsspezifisch•US Patriot Act (eMail-Verkehr)•EU-Richtlinie über den elektronischenGeschäftsverkehr (eCommerce-Richtlinie)
•European Privacy Act (Kundendaten)
![Page 20: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/20.jpg)
© Kuppinger Cole + Partner 2007Seite 20
Beispiel KonTraG – wenig konkret
Nachweis von Maßnahmen zur Risikofrüherkennung und –abwehr
Nachweis von objektiv und subjektim pflichtgemäßem Handeln
Setzt Auditing voraus – der Nachweis kann nur erbracht werden, wenn man aufgezeichnet hat, was man getan hat
Setzt (auch) sichere IT-Systeme voraus
![Page 21: Governance, Risk, Compliance (GRC) & SOA Identity Managementsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/… · GRC Manage-ment Web und Social Networks SOA-Sicherheit](https://reader034.vdocuments.site/reader034/viewer/2022042209/5eac8169e6b6a47cb907414d/html5/thumbnails/21.jpg)
© Kuppinger Cole + Partner 2007Seite 21
Beispiel HIPAA – sehr konkret
Anforderungen durch HIPAA: Physikalischer Schutz aller
Netzwerkkomponenten und IT-Anwendungen, unter anderem durch lückenlose Zugriffskontrolle
Authentifizierung aller Nutzer über persistente Identitätsverzeichnisse
Autorisierung des Zugriffs auf Ressourcen
Wirksame Verschlüsselung und nachweisbarer Schutz vor Datenmanipulation
Überwachung und Reporting
Verbindliche Regeln für die Administration