Haben Sie schon von der Bedeutung der Multi-Faktor-Authentifizierung (MFA) gehört? Zwischen den internationalen Anforderungen, den jährlichen Kampagnen und den Ermahnungen von Cybersicherheitspersonal, MFA zu verwenden, glaube ich nicht, dass es eine Chance gibt, dass jemand in der Technik arbeitet und nicht zu schätzen wissen, wie wichtig MFA ist.
Wir stimmen zu. Doch während unsere Branche die Bedeutung von MFA und deren Umsetzung gut vermittelt hat, waren wir bei anderen, ebenso wichtigen Komponenten der Cybersicherheit nur mäßig erfolgreich. Alle haben sich so sehr darauf konzentriert, den Riegel an der Eingangstür zu installieren, dass wir vergessen haben, wer Schlüssel hat, wie er sie bekommen hat und was er damit aufschließt.
Sie brauchen MFA, um sicher zu sein. Aber Sie brauchen auch Identity Governance und Administration (IGA).
Deshalb denke ich, dass die Gartner® Report, IAM Leaders' Guide to Identity Governance and Administration (IGA) ist ein so wichtiges Hilfsmittel. Der Bericht beschreibt die Kernfunktionen, die IGA bieten muss, die Herausforderungen, denen Unternehmen bei der Implementierung begegnen können, wie sie ihr IGA-Programm bewerten können und vieles mehr.
Wichtig ist, dass es sich bei dem Bericht um eine herstellerunabhängige Empfehlung handelt, in der die Bedeutung und die Rolle der IGA erörtert werden und keine spezifischen Lösungen dokumentiert werden.
Laut der Gartner-Studie® Report, IAM Leaders' Guide to Identity Governance and Administration, "Die IGA-Disziplin existiert, um zu gewährleisten, dass die richtigen Personen zur richtigen Zeit und aus den richtigen Gründen den richtigen Zugang zu den richtigen Ressourcen erhalten."
Gartner stellt fest, dass "IGA zu einer verbesserten Reife der Identitätsprozesse, einer erleichterten Compliance und einem verringerten Risiko des unbefugten Zugriffs führt und außerdem sichtbarere und effizientere Kontrollen für die Identitätslebenszyklus-Verwaltungsprozesse bietet." Außerdem "bietet IGA auch mehrere Zusatzfunktionen, in der Regel einschließlich Passwortverwaltung, Self-Service-Funktionen für die Profilverwaltung und Fallmanagement für die Prüfung und Behebung von Richtlinienverstößen, wie z. B. SOD."
Kurz gesagt: IGA kann Unternehmen helfen, die Sicherheit zu erhöhen, Risiken zu verringern und produktiver zu sein - aber nur, wenn sie IGA richtig einsetzen.
IGA richtig zu machen ist leichter gesagt als getan. Einer der Gründe, warum die IGA so schwierig ist, ist, dass die IGA Einblick in folgende Bereiche haben muss alle Benutzer, einschließlich menschlicher Benutzer, Maschinenkonten, Dienstkonten und Geräte.
Das ist eine ganze Menge, die es abzudecken gilt. Und ich denke, gerade weil der Umfang der Daten so groß werden kann, betont der Bericht die Bedeutung von Analysen - tatsächlich stellt der Bericht Identitätsanalysen "in den Mittelpunkt jeder IGA-Initiative". Der Bericht stellt auch fest, dass Identitätsanalysen "in den letzten fünf Jahren in der IGA immer mehr an Bedeutung gewonnen haben, um Berichte zur Unterstützung menschlicher Entscheidungen zu erstellen, die traditionell zum Beispiel für das Role Mining oder die Berechnung einer Risikobewertung verwendet werden, um zu erklären, was passiert ist und warum."
Ich war schon immer der Meinung, dass es bei der Sicherheit auf den Kontext ankommt, und die Integration von Analysen in IGA-Lösungen kann den Sicherheitsteams diesen Kontext liefern: Analysen können die Berechtigungen eines einzelnen Kontos mit denen ähnlicher Benutzer in ihrem Unternehmen vergleichen. Darüber hinaus können IGA-Lösungen mit mehr Informationen Echtzeitwarnungen und -empfehlungen bereitstellen, die zu besserer Sicherheit und kontinuierlicher Compliance trotz eines wachsenden IT-Bestands beitragen. Aus diesem Grund hat RSA mehr Analysen und Visualisierungen in unsere neueste IGA-Lösung.
Sie wollen mehr Beweise dafür, dass die IGA wichtig ist? Sehen Sie sich die CISA Zero Trust Reifegradmodell, Darin heißt es, dass die Behörden "den Zugang von Nutzern und Einrichtungen zu den richtigen Ressourcen zur richtigen Zeit für den richtigen Zweck sicherstellen und durchsetzen sollten, ohne übermäßigen Zugang zu gewähren".
Das Modell besagt auch, dass eine Behörde optimale Identity-Governance-Fähigkeiten erreicht hat, wenn sie "unternehmensweite Identitätsrichtlinien für alle Benutzer und Entitäten über alle Systeme hinweg implementiert und vollständig automatisiert".
###
Gartner, IAM Leaders' Guide to Identity Governance and Administration, Brian Guthrie, David Collinson, Rebecca Archambault, Aktualisiert am 16. August 2023 | Ursprünglich veröffentlicht am 5. April 2021
GARTNER ist eine eingetragene Marke und Dienstleistungsmarke von Gartner, Inc. und/oder seinen Tochtergesellschaften in den USA und international und wird hier mit Genehmigung verwendet. Alle Rechte vorbehalten.
