Transcript
Page 1: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

Auf dem Weg zum GRC

Roland Stahl

Lutz Reinhard

Page 2: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

2Auf dem Weg zum GRC – 27.10.2009

Agenda

Henkel weltweit

Start des User-Verwaltung

Wechsel zum IAM@Henkel

Ergebnis 2005

Weiterentwicklung des IAM zum GRC

Fragen und Diskussion

Page 3: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

3Auf dem Weg zum GRC – 27.10.2009

Henkel weltweit 2008

14.131 Mio. Euro Umsatz 125 Länder55.000 Mitarbeiter

Page 4: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

4Auf dem Weg zum GRC – 27.10.2009

Der Start bei Henkel

IAM?Erste Metafunktionen: Erzeugen Dateienfür andere Applikationen mit Meta-Daten

1998

GRC?

SAP R/3; Novell NDS, RACF, IMS, MEMO,Lotus Notes, Änderungs-LogNutzungsüberwachung der wichtigenSysteme (RACF, R/3)AustrittskontrolleDezentraler Passwort-Reset durch BU

1999

ProvisionierungBeginn des Ausbaus zu aktiver Verwaltungder Zielsysteme

1995DatenanzeigeStart USERADMI mit HR-Anbindung1992

Page 5: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

5Auf dem Weg zum GRC – 27.10.2009

Ist-Analyse USERADMI 2003

Betrieb ist personenabhängig (Wenn Person nicht anwesend, keineVerarbeitung; ggf. Stillstand der USERADMI)

Externe Henkel Mitarbeiter werden über USERADMI eingepflegt

Sperrung der User ID über Merkmale steuerbar

USERADMI stößt an die Grenzen der Möglichkeiten bezüglich derMetafunktionalität und bedarf einer gründlichen Überarbeitung

Steuerung dezentraler Funktionen (DVK, Passwort)

Betrieb auf dem z/OS-Host

Page 6: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

6Auf dem Weg zum GRC – 27.10.2009

Der Wechsel zum IAM

Erste Suche für Nachfolger der USERADMI.Informationsgewinnung

2000

Entwicklung und Einbau eines Verfahrenszur Verwaltung Externer Mitarbeiter

2001

IAMStart Metadirectory (HMD) und NachfolgerUSERADMI (HAD)

2005

MetafunktionenStarke Ausweitung der DatenlieferungenAnbindung neuer Systeme (Remote, ADS)

<2005

Page 7: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

7Auf dem Weg zum GRC – 27.10.2009

HenkelEmployee

HR

Adr.-book

Phone-book

other

newCentral Authentication

- Intranet Apps.- Internet Access- WEB Portal- SAP Portal- Wireless-Auth.- ……

IT Adminworldwide

ADS

NDS

Oracle,UNIX,Infonet,SecureID,…

accounting,usage,access control,reports,……

pw-sync

Ergebnis der Planungen 2004

Page 8: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

8Auf dem Weg zum GRC – 27.10.2009

Ergebnis der Installation 2005

Es sind 3 zentrale Dienste implementiert worden:

HMD: Henkel Meta DirectoryZentrale Sammelstelle für alle personenbezogenen Daten.Geschlossenes System!

HAD: Henkel Administration DirectoryZentrales Userprovisioning

HCD: Henkel Corporate Directory1. Öffentliches Adressbuch. Wird vollständig aus dem HMD gespeist, enthältaber nur ein Untermenge der HMD-Daten2. Zentrale LDAP-Authentisierung

Page 9: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

9Auf dem Weg zum GRC – 27.10.2009

Connected systems

Henkel

Admin

Directory Workflow-Engine

User-ID‘s

LDA

P

AD Notes SAP Extend360

Henkel

Meta

Directory

Meta-Engine

Personen

User-ID‘s

Henkel

Corporate

Directory

Personen

e.g.HENKELPortal

GlobalAdressbook

HCD-

Account

GHRHR-System

RSA

Identity & Access ManagementArchitecture – Extension 2008 / 2009

Non-HR consolidated& and external

Persons (will replaceby HIM)

persons (masterdata)

...

accounts

PASS(Werk-Schutz)

TK-Open

Informer….

further process data

Henkel

Identity

Mgmt.

Identityrequests

Authorization

Requests

Page 10: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

10Auf dem Weg zum GRC – 27.10.2009

Ein paar aktuelle Zahlen10/2009

78.000 Personen- 57.000 Interne aus HR, 4.300 per händischer Eingabe- 5.400 Externe

43.000 persönliche Userids+ 9.500 Zweit-Ids (für technische Belange (FTP), Tests, MailIn)

107 angebundene Zielsysteme59 AD-Domänen36 SAP Mandanten

288.000 Accounts

180 Administratoren, 200 Passwort-Resetter

Ca. 10.000 administrative Vorgänge im Monat

Page 11: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

11Auf dem Weg zum GRC – 27.10.2009

Erfahrungen Technik HMD/HAD

Trennung in Metadirectory und Provisioning hat sich als sehr guterwiesen.

Dadurch strikte Trennung der Personen- und Account-Prozesse

Zurzeit der Entscheidung gab es am Markt kein Tool welches beideAspekte zufriedenstellend beherrschte

Moderne Technologien für diese komplexen Systeme bieten einelange Nutzungsdauer

In der Technik hinterlegte Datenwege ermöglichen einenrevisionssicheren Austausch sensibler Daten (z.B. aus dem HR).

Page 12: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

12Auf dem Weg zum GRC – 27.10.2009

IAM Architecture

Authentication Management Activities for the effective governance and management of the process for determining that an entity is who or what it claimsto be.User Identity Management - Activities for the effective governance and management of the lifecycle of identities.Authorization Management - Activities for the effective governance and management of the process for determining entitlement rights that decide whatresources an entity is permitted to access in accordance with the organization’s policies.Access Management - Enforcement of policies for access control in response to a request from an entity wanting to access an IT resource within theorganization.Data Management & Provisioning - Propagation of identity and data for authorization to IT resources via automated or manual processes.Monitoring & Audit - Monitoring, auditing and reporting compliance by users regarding access to resources within the organization based on the definedpolicies.

ITBu

sine

ss

AuthorizationManagement

Authorization Model

User IdentityManagement

Authoritative SourcesUser LifecycleManagement

Data Management & Provisioning

AuthenticationManagement

EmployeesSupplier

contractual partnerContractors etc.

AccessManagement

Systems and applications

Mon

itorin

g &

Aud

its

IAM Reference Framework

General Templatebased on KPMG 2009

Page 13: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

13Auf dem Weg zum GRC – 27.10.2009

AuthenticationManagement

EmployeesSupplier

contractual partnerContractors,etc.

Services / Tools

GHRGlobal HRServices

Forms

HIPfor externals

VSDirectory

User Identity ManagementAuthoritative Sources

User Lifecycle Management

FiguresAmounts of auth. sources

AuthorizationManagement

Authorization Model

Data Management & Provisioning

AccessManagement

Identity & Access ManagementIAM @ Henkel – current Tool Landscape

Services / Tools

HMDHenkelMeta

Directory

HADfor externals

OtherCompanies, E-groups,

ext. Companies

Provisioning &Data Services / Tools

HADHenkel

AdministrationDirectory

EndraLotus NotesUser admin

SchedulerJob Monitoring

OtherSapUid Filter,BB Interface

Systems and applications

FiguresAmounts of accounts

1.687Unix

15.303Remote access

3.716Blackberry

40.888Lotus Notes

43.812Active directory

29.990SAPUsa

geC

ontr

acts

Monitoring & Audits

Monitoring Services

Auditing Services

Reporting Services

Currentstate

ServicesTools

SAPUIDKey user

process SAPother

Solutions

HIPplanned

Services / Tools

HADPW Reset

for IT-Coord.

PW SelfServices

EIDEmergency ID

HCD (Portal)Henkel Corporate

Directory

OMAChallengeQuestion

HenkelSAP

Login 32

FiguresSAPUID

Figures (online connected)• 35 SAP –Systems clients

59 Active directory domainsHenkel Corporate Directory (HCD)Henkel Lotus Notes Domain (120 Server)others like Saperion, IPMT, Remote Access, etc.

9.764Other User ID

5.509External IT User

38.902Internal IT User

79.655person objects

1.103Keyuser

11.517roles

10SAPClients

Page 14: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

14Auf dem Weg zum GRC – 27.10.2009

Was treibt GRC?

Externe Audits

Gesetzliche Anforderungen

Verschärfung existierender Regeln im Geschäftsverkehr

Einbindung der Geschäftseinheiten (BU) wird immer wichtiger

Das Potential für IAM ist weitgehend ausgeschöpft und es bedarf neuerThemen/Aufgaben

Verlagerung der IT-Verantwortung in die BU

Page 15: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

15Auf dem Weg zum GRC – 27.10.2009

IAM am Ende?GRC am Anfang?

Automatisierung = Kosteneinsparung ist in hohem Maße erreicht

Risiko entsteht an der Schnittstelle Business – IT durchunterschiedliches Verständnis

Minimierung des Risikos ist nur durch gemeinsames Verständnis lösbar

Weder durch technische noch organisatorische Maßnahmen alleinlösbar

GRC ist eine neue Wortschöpfung um die divergierenden Sichten aufIT-Sicherheit in der IT und dem Business zusammenzuführen

GRC ist ein organisatorisches Thema, welches mit IT-Mittelnunterstützt werden kann.

Installation von CD nicht ohne Weiteres möglich!

Page 16: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

16Auf dem Weg zum GRC – 27.10.2009

Vom IAM zum GRC

Personendaten-Erfassung für Externe durchFachabteilungen im HMD

2008

Erste Selfservices2007GRCUmfassender Ausbau der SAP R/3-

Nutzungskontrolle2008

IAMStart Metadirectory (HMD) und NachfolgerUSERADMI (HAD)

2005

Standardisierung erster GRC-Funktionen2009

Page 17: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

17Auf dem Weg zum GRC – 27.10.2009

GRC Architecture

Authentication Management Activities for the effective governance and management of the process for determining that an entity is who or what it claimsto be.User Identity Management - Activities for the effective governance and management of the lifecycle of identities.Authorization Management - Activities for the effective governance and management of the process for determining entitlement rights that decide whatresources an entity is permitted to access in accordance with the organization’s policies.Access Management - Enforcement of policies for access control in response to a request from an entity wanting to access an IT resource within theorganization.Data Management & Provisioning - Propagation of identity and data for authorization to IT resources via automated or manual processes.Monitoring & Audit - Monitoring, auditing and reporting compliance by users regarding access to resources within the organization based on the definedpolicies.

ITBu

sine

ss

AuthorizationManagement

Authorization Model

User IdentityManagement

Authoritative SourcesUser LifecycleManagement

Data Management & Provisioning

AuthenticationManagement

EmployeesSupplier

contractual partnerContractors etc.

AccessManagement

Systems and applications

Mon

itorin

g &

Aud

its

GRC Reference Framework

General Templatebased on KPMG 2009

Page 18: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

18Auf dem Weg zum GRC – 27.10.2009

Page 19: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

19Auf dem Weg zum GRC – 27.10.2009

Page 20: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

20Auf dem Weg zum GRC – 27.10.2009

Weitere Folien

Page 21: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

21Auf dem Weg zum GRC – 27.10.2009

USERADMI: Kennzahlen (12/04)

48.000 Personen, davon 27.000 Personalstamm geführt, 38.700 mit Userid(s)

44.800 Userids mit 130.000 Accounts in verschiedenen Systemen

315 dezentralen Administratoren (DV-Koordinatoren und Passwort-Reset)

23 SAP mit 13.600 Usern (insgesamt 29.000 Accounts)

20 ADS-Domänen mit 12.600 Accounts (davon zz. 7.100 aktiv verwaltet)

Novell-NDS mit 9.500 Accounts

LDAP-Authentication-Server mit 8.300 Accounts

3 Remote-Zugänge mit 3.100 Accounts

RSA-ACE-Server mit 5.800 Accounts und 8.000 Token

RACF mit 1.100 Accounts (entfiel)

2 Lotus Notes-Domänen mit 8.400 Accounts

UNIX-NIS mit 2.800 Accounts

6 weitere kleine Systeme teilweise nur als Anzeige

Page 22: Auf dem Weg zum GRC -  · PDF fileAuf dem Weg zum GRC – 27.10.2009 17 GRC Architecture ... GRC Reference Framework General Template based on KPMG 2009. Auf dem Weg zum GRC –

22Auf dem Weg zum GRC – 27.10.2009

Ist-Analyse USERADMI 2003

Werkzeug ist eine Eigenentwicklung und ist eher historisch alsstrategisch gewachsen

Betrieb, Wartung und Weiterentwicklung durch eine Person

Hohe Integration der Henkel-Anforderungen

Konnektoren in vielen Zielanwendungen sind vorhanden, aber überunterschiedliche Schnittstellen und Methoden

Betrieb der USERADMI-Konnektoren heute nicht unter einheitlicherHardware und Software.

Automatismen sind mit Einschränkungen vorhanden (Bsp.:Automatatischer Import aus SAP HR aber nur teilautomatisierteWeiterverarbeitung in Accounts)


Recommended