Auf dem Weg zum GRC - dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

  • View
    221

  • Download
    9

Embed Size (px)

Transcript

  • Auf dem Weg zum GRC

    Roland Stahl

    Lutz Reinhard

  • 2Auf dem Weg zum GRC 27.10.2009

    Agenda

    Henkel weltweit

    Start des User-Verwaltung

    Wechsel zum IAM@Henkel

    Ergebnis 2005

    Weiterentwicklung des IAM zum GRC

    Fragen und Diskussion

  • 3Auf dem Weg zum GRC 27.10.2009

    Henkel weltweit 2008

    14.131 Mio. Euro Umsatz 125 Lnder55.000 Mitarbeiter

  • 4Auf dem Weg zum GRC 27.10.2009

    Der Start bei Henkel

    IAM?Erste Metafunktionen: Erzeugen Dateienfr andere Applikationen mit Meta-Daten

    1998

    GRC?

    SAP R/3; Novell NDS, RACF, IMS, MEMO,Lotus Notes, nderungs-LogNutzungsberwachung der wichtigenSysteme (RACF, R/3)AustrittskontrolleDezentraler Passwort-Reset durch BU

    1999

    ProvisionierungBeginn des Ausbaus zu aktiver Verwaltungder Zielsysteme

    1995DatenanzeigeStart USERADMI mit HR-Anbindung1992

  • 5Auf dem Weg zum GRC 27.10.2009

    Ist-Analyse USERADMI 2003

    Betrieb ist personenabhngig (Wenn Person nicht anwesend, keineVerarbeitung; ggf. Stillstand der USERADMI)

    Externe Henkel Mitarbeiter werden ber USERADMI eingepflegt

    Sperrung der User ID ber Merkmale steuerbar

    USERADMI stt an die Grenzen der Mglichkeiten bezglich derMetafunktionalitt und bedarf einer grndlichen berarbeitung

    Steuerung dezentraler Funktionen (DVK, Passwort)

    Betrieb auf dem z/OS-Host

  • 6Auf dem Weg zum GRC 27.10.2009

    Der Wechsel zum IAM

    Erste Suche fr Nachfolger der USERADMI.Informationsgewinnung

    2000

    Entwicklung und Einbau eines Verfahrenszur Verwaltung Externer Mitarbeiter

    2001

    IAMStart Metadirectory (HMD) und NachfolgerUSERADMI (HAD)

    2005

    MetafunktionenStarke Ausweitung der DatenlieferungenAnbindung neuer Systeme (Remote, ADS)

  • 7Auf dem Weg zum GRC 27.10.2009

    HenkelEmployee

    HR

    Adr.-book

    Phone-book

    other

    newCentral Authentication

    - Intranet Apps.- Internet Access- WEB Portal- SAP Portal- Wireless-Auth.-

    IT Adminworldwide

    ADS

    NDS

    Oracle,UNIX,Infonet,SecureID,

    accounting,usage,access control,reports,

    pw-sync

    Ergebnis der Planungen 2004

  • 8Auf dem Weg zum GRC 27.10.2009

    Ergebnis der Installation 2005

    Es sind 3 zentrale Dienste implementiert worden:

    HMD: Henkel Meta DirectoryZentrale Sammelstelle fr alle personenbezogenen Daten.Geschlossenes System!

    HAD: Henkel Administration DirectoryZentrales Userprovisioning

    HCD: Henkel Corporate Directory1. ffentliches Adressbuch. Wird vollstndig aus dem HMD gespeist, enthltaber nur ein Untermenge der HMD-Daten2. Zentrale LDAP-Authentisierung

  • 9Auf dem Weg zum GRC 27.10.2009

    Connected systems

    Henkel

    Admin

    Directory Workflow-Engine

    User-IDs

    LDA

    P

    AD Notes SAP Extend360

    Henkel

    Meta

    Directory

    Meta-Engine

    Personen

    User-IDs

    Henkel

    Corporate

    Directory

    Personen

    e.g.HENKELPortal

    GlobalAdressbook

    HCD-

    Account

    GHRHR-System

    RSA

    Identity & Access ManagementArchitecture Extension 2008 / 2009

    Non-HR consolidated& and external

    Persons (will replaceby HIM)

    persons (masterdata)

    ...

    accounts

    PASS(Werk-Schutz)

    TK-Open

    Informer.

    further process data

    Henkel

    Identity

    Mgmt.

    Identityrequests

    Authorization

    Requests

  • 10Auf dem Weg zum GRC 27.10.2009

    Ein paar aktuelle Zahlen10/2009

    78.000 Personen- 57.000 Interne aus HR, 4.300 per hndischer Eingabe- 5.400 Externe

    43.000 persnliche Userids+ 9.500 Zweit-Ids (fr technische Belange (FTP), Tests, MailIn)

    107 angebundene Zielsysteme59 AD-Domnen36 SAP Mandanten

    288.000 Accounts

    180 Administratoren, 200 Passwort-Resetter

    Ca. 10.000 administrative Vorgnge im Monat

  • 11Auf dem Weg zum GRC 27.10.2009

    Erfahrungen Technik HMD/HAD

    Trennung in Metadirectory und Provisioning hat sich als sehr guterwiesen.

    Dadurch strikte Trennung der Personen- und Account-Prozesse

    Zurzeit der Entscheidung gab es am Markt kein Tool welches beideAspekte zufriedenstellend beherrschte

    Moderne Technologien fr diese komplexen Systeme bieten einelange Nutzungsdauer

    In der Technik hinterlegte Datenwege ermglichen einenrevisionssicheren Austausch sensibler Daten (z.B. aus dem HR).

  • 12Auf dem Weg zum GRC 27.10.2009

    IAM Architecture

    Authentication Management Activities for the effective governance and management of the process for determining that an entity is who or what it claimsto be.User Identity Management - Activities for the effective governance and management of the lifecycle of identities.Authorization Management - Activities for the effective governance and management of the process for determining entitlement rights that decide whatresources an entity is permitted to access in accordance with the organizations policies.Access Management - Enforcement of policies for access control in response to a request from an entity wanting to access an IT resource within theorganization.Data Management & Provisioning - Propagation of identity and data for authorization to IT resources via automated or manual processes.Monitoring & Audit - Monitoring, auditing and reporting compliance by users regarding access to resources within the organization based on the definedpolicies.

    ITBu

    sine

    ss

    AuthorizationManagement

    Authorization Model

    User IdentityManagement

    Authoritative SourcesUser LifecycleManagement

    Data Management & Provisioning

    AuthenticationManagement

    EmployeesSupplier

    contractual partnerContractors etc.

    AccessManagement

    Systems and applications

    Mon

    itorin

    g &

    Aud

    its

    IAM Reference Framework

    General Templatebased on KPMG 2009

  • 13Auf dem Weg zum GRC 27.10.2009

    AuthenticationManagement

    EmployeesSupplier

    contractual partnerContractors,etc.

    Services / Tools

    GHRGlobal HRServices

    Forms

    HIPfor externals

    VSDirectory

    User Identity ManagementAuthoritative Sources

    User Lifecycle Management

    FiguresAmounts of auth. sources

    AuthorizationManagement

    Authorization Model

    Data Management & Provisioning

    AccessManagement

    Identity & Access ManagementIAM @ Henkel current Tool Landscape

    Services / Tools

    HMDHenkelMeta

    Directory

    HADfor externals

    OtherCompanies, E-groups,

    ext. Companies

    Provisioning &Data Services / Tools

    HADHenkel

    AdministrationDirectory

    EndraLotus NotesUser admin

    SchedulerJob Monitoring

    OtherSapUid Filter,BB Interface

    Systems and applications

    FiguresAmounts of accounts

    1.687Unix

    15.303Remote access

    3.716Blackberry

    40.888Lotus Notes

    43.812Active directory

    29.990SAPUsa

    geC

    ontr

    acts

    Monitoring & Audits

    Monitoring Services

    Auditing Services

    Reporting Services

    Currentstate

    ServicesTools

    SAPUIDKey user

    process SAPother

    Solutions

    HIPplanned

    Services / Tools

    HADPW Reset

    for IT-Coord.

    PW SelfServices

    EIDEmergency ID

    HCD (Portal)Henkel Corporate

    Directory

    OMAChallengeQuestion

    HenkelSAP

    Login 32

    FiguresSAPUID

    Figures (online connected) 35 SAP Systems clients

    59 Active directory domainsHenkel Corporate Directory (HCD)Henkel Lotus Notes Domain (120 Server)others like Saperion, IPMT, Remote Access, etc.

    9.764Other User ID

    5.509External IT User

    38.902Internal IT User

    79.655person objects

    1.103Keyuser

    11.517roles

    10SAPClients

  • 14Auf dem Weg zum GRC 27.10.2009

    Was treibt GRC?

    Externe Audits

    Gesetzliche Anforderungen

    Verschrfung existierender Regeln im Geschftsverkehr

    Einbindung der Geschftseinheiten (BU) wird immer wichtiger

    Das Potential fr IAM ist weitgehend ausgeschpft und es bedarf neuerThemen/Aufgaben

    Verlagerung der IT-Verantwortung in die BU

  • 15Auf dem Weg zum GRC 27.10.2009

    IAM am Ende?GRC am Anfang?

    Automatisierung = Kosteneinsparung ist in hohem Mae erreicht

    Risiko entsteht an der Schnittstelle Business IT durchunterschiedliches Verstndnis

    Minimierung des Risikos ist nur durch gemeinsames Verstndnis lsbar

    Weder durch technische noch organisatorische Manahmen alleinlsbar

    GRC ist eine neue Wortschpfung um die divergierenden Sichten aufIT-Sicherheit in der IT und dem Business zusammenzufhren

    GRC ist ein organisatorisches Thema, welches mit IT-Mittelnuntersttzt werden kann.

    Installation von CD nicht ohne Weiteres mglich!

  • 16Auf dem Weg zum GRC 27.10.2009

    Vom IAM zum GRC

    Personendaten-Erfassung fr Externe durchFachabteilungen im HMD

    2008

    Erste Selfservices2007GRCUmfassender Ausbau der SAP R/3-

    Nutzungskontrolle2008

    IAMStart Metadirectory (HMD) und NachfolgerUSERADMI (HAD)

    2005

    Standardisierung erster GRC-Funktionen2009

  • 17Auf dem Weg zum GRC 27.10.2009

    GRC Architecture

    Authentication Management Activities for the effective governance and management of the process for determining that an entity is who or what it claimsto be.User Identity Management - Activities for the effective governance and management of the lifecycle of identities.Authorization Management - Activities for the effective governance and management of the process for determining entitlement rights that decide whatresources