Post on 06-Mar-2018
Auf dem Weg zum GRC
Roland Stahl
Lutz Reinhard
2Auf dem Weg zum GRC – 27.10.2009
Agenda
Henkel weltweit
Start des User-Verwaltung
Wechsel zum IAM@Henkel
Ergebnis 2005
Weiterentwicklung des IAM zum GRC
Fragen und Diskussion
3Auf dem Weg zum GRC – 27.10.2009
Henkel weltweit 2008
14.131 Mio. Euro Umsatz 125 Länder55.000 Mitarbeiter
4Auf dem Weg zum GRC – 27.10.2009
Der Start bei Henkel
IAM?Erste Metafunktionen: Erzeugen Dateienfür andere Applikationen mit Meta-Daten
1998
GRC?
SAP R/3; Novell NDS, RACF, IMS, MEMO,Lotus Notes, Änderungs-LogNutzungsüberwachung der wichtigenSysteme (RACF, R/3)AustrittskontrolleDezentraler Passwort-Reset durch BU
1999
ProvisionierungBeginn des Ausbaus zu aktiver Verwaltungder Zielsysteme
1995DatenanzeigeStart USERADMI mit HR-Anbindung1992
5Auf dem Weg zum GRC – 27.10.2009
Ist-Analyse USERADMI 2003
Betrieb ist personenabhängig (Wenn Person nicht anwesend, keineVerarbeitung; ggf. Stillstand der USERADMI)
Externe Henkel Mitarbeiter werden über USERADMI eingepflegt
Sperrung der User ID über Merkmale steuerbar
USERADMI stößt an die Grenzen der Möglichkeiten bezüglich derMetafunktionalität und bedarf einer gründlichen Überarbeitung
Steuerung dezentraler Funktionen (DVK, Passwort)
Betrieb auf dem z/OS-Host
6Auf dem Weg zum GRC – 27.10.2009
Der Wechsel zum IAM
Erste Suche für Nachfolger der USERADMI.Informationsgewinnung
2000
Entwicklung und Einbau eines Verfahrenszur Verwaltung Externer Mitarbeiter
2001
IAMStart Metadirectory (HMD) und NachfolgerUSERADMI (HAD)
2005
MetafunktionenStarke Ausweitung der DatenlieferungenAnbindung neuer Systeme (Remote, ADS)
<2005
7Auf dem Weg zum GRC – 27.10.2009
HenkelEmployee
HR
Adr.-book
Phone-book
other
newCentral Authentication
- Intranet Apps.- Internet Access- WEB Portal- SAP Portal- Wireless-Auth.- ……
IT Adminworldwide
ADS
NDS
Oracle,UNIX,Infonet,SecureID,…
accounting,usage,access control,reports,……
pw-sync
Ergebnis der Planungen 2004
8Auf dem Weg zum GRC – 27.10.2009
Ergebnis der Installation 2005
Es sind 3 zentrale Dienste implementiert worden:
HMD: Henkel Meta DirectoryZentrale Sammelstelle für alle personenbezogenen Daten.Geschlossenes System!
HAD: Henkel Administration DirectoryZentrales Userprovisioning
HCD: Henkel Corporate Directory1. Öffentliches Adressbuch. Wird vollständig aus dem HMD gespeist, enthältaber nur ein Untermenge der HMD-Daten2. Zentrale LDAP-Authentisierung
9Auf dem Weg zum GRC – 27.10.2009
Connected systems
Henkel
Admin
Directory Workflow-Engine
User-ID‘s
LDA
P
AD Notes SAP Extend360
Henkel
Meta
Directory
Meta-Engine
Personen
User-ID‘s
Henkel
Corporate
Directory
Personen
e.g.HENKELPortal
GlobalAdressbook
HCD-
Account
GHRHR-System
RSA
Identity & Access ManagementArchitecture – Extension 2008 / 2009
Non-HR consolidated& and external
Persons (will replaceby HIM)
persons (masterdata)
...
accounts
PASS(Werk-Schutz)
TK-Open
Informer….
further process data
Henkel
Identity
Mgmt.
Identityrequests
Authorization
Requests
10Auf dem Weg zum GRC – 27.10.2009
Ein paar aktuelle Zahlen10/2009
78.000 Personen- 57.000 Interne aus HR, 4.300 per händischer Eingabe- 5.400 Externe
43.000 persönliche Userids+ 9.500 Zweit-Ids (für technische Belange (FTP), Tests, MailIn)
107 angebundene Zielsysteme59 AD-Domänen36 SAP Mandanten
288.000 Accounts
180 Administratoren, 200 Passwort-Resetter
Ca. 10.000 administrative Vorgänge im Monat
11Auf dem Weg zum GRC – 27.10.2009
Erfahrungen Technik HMD/HAD
Trennung in Metadirectory und Provisioning hat sich als sehr guterwiesen.
Dadurch strikte Trennung der Personen- und Account-Prozesse
Zurzeit der Entscheidung gab es am Markt kein Tool welches beideAspekte zufriedenstellend beherrschte
Moderne Technologien für diese komplexen Systeme bieten einelange Nutzungsdauer
In der Technik hinterlegte Datenwege ermöglichen einenrevisionssicheren Austausch sensibler Daten (z.B. aus dem HR).
12Auf dem Weg zum GRC – 27.10.2009
IAM Architecture
Authentication Management Activities for the effective governance and management of the process for determining that an entity is who or what it claimsto be.User Identity Management - Activities for the effective governance and management of the lifecycle of identities.Authorization Management - Activities for the effective governance and management of the process for determining entitlement rights that decide whatresources an entity is permitted to access in accordance with the organization’s policies.Access Management - Enforcement of policies for access control in response to a request from an entity wanting to access an IT resource within theorganization.Data Management & Provisioning - Propagation of identity and data for authorization to IT resources via automated or manual processes.Monitoring & Audit - Monitoring, auditing and reporting compliance by users regarding access to resources within the organization based on the definedpolicies.
ITBu
sine
ss
AuthorizationManagement
Authorization Model
User IdentityManagement
Authoritative SourcesUser LifecycleManagement
Data Management & Provisioning
AuthenticationManagement
EmployeesSupplier
contractual partnerContractors etc.
AccessManagement
Systems and applications
Mon
itorin
g &
Aud
its
IAM Reference Framework
General Templatebased on KPMG 2009
13Auf dem Weg zum GRC – 27.10.2009
AuthenticationManagement
EmployeesSupplier
contractual partnerContractors,etc.
Services / Tools
GHRGlobal HRServices
Forms
HIPfor externals
VSDirectory
User Identity ManagementAuthoritative Sources
User Lifecycle Management
FiguresAmounts of auth. sources
AuthorizationManagement
Authorization Model
Data Management & Provisioning
AccessManagement
Identity & Access ManagementIAM @ Henkel – current Tool Landscape
Services / Tools
HMDHenkelMeta
Directory
HADfor externals
OtherCompanies, E-groups,
ext. Companies
Provisioning &Data Services / Tools
HADHenkel
AdministrationDirectory
EndraLotus NotesUser admin
SchedulerJob Monitoring
OtherSapUid Filter,BB Interface
Systems and applications
FiguresAmounts of accounts
1.687Unix
15.303Remote access
3.716Blackberry
40.888Lotus Notes
43.812Active directory
29.990SAPUsa
geC
ontr
acts
Monitoring & Audits
Monitoring Services
Auditing Services
Reporting Services
Currentstate
ServicesTools
SAPUIDKey user
process SAPother
Solutions
HIPplanned
Services / Tools
HADPW Reset
for IT-Coord.
PW SelfServices
EIDEmergency ID
HCD (Portal)Henkel Corporate
Directory
OMAChallengeQuestion
HenkelSAP
Login 32
FiguresSAPUID
Figures (online connected)• 35 SAP –Systems clients
59 Active directory domainsHenkel Corporate Directory (HCD)Henkel Lotus Notes Domain (120 Server)others like Saperion, IPMT, Remote Access, etc.
9.764Other User ID
5.509External IT User
38.902Internal IT User
79.655person objects
1.103Keyuser
11.517roles
10SAPClients
14Auf dem Weg zum GRC – 27.10.2009
Was treibt GRC?
Externe Audits
Gesetzliche Anforderungen
Verschärfung existierender Regeln im Geschäftsverkehr
Einbindung der Geschäftseinheiten (BU) wird immer wichtiger
Das Potential für IAM ist weitgehend ausgeschöpft und es bedarf neuerThemen/Aufgaben
Verlagerung der IT-Verantwortung in die BU
15Auf dem Weg zum GRC – 27.10.2009
IAM am Ende?GRC am Anfang?
Automatisierung = Kosteneinsparung ist in hohem Maße erreicht
Risiko entsteht an der Schnittstelle Business – IT durchunterschiedliches Verständnis
Minimierung des Risikos ist nur durch gemeinsames Verständnis lösbar
Weder durch technische noch organisatorische Maßnahmen alleinlösbar
GRC ist eine neue Wortschöpfung um die divergierenden Sichten aufIT-Sicherheit in der IT und dem Business zusammenzuführen
GRC ist ein organisatorisches Thema, welches mit IT-Mittelnunterstützt werden kann.
Installation von CD nicht ohne Weiteres möglich!
16Auf dem Weg zum GRC – 27.10.2009
Vom IAM zum GRC
Personendaten-Erfassung für Externe durchFachabteilungen im HMD
2008
Erste Selfservices2007GRCUmfassender Ausbau der SAP R/3-
Nutzungskontrolle2008
IAMStart Metadirectory (HMD) und NachfolgerUSERADMI (HAD)
2005
Standardisierung erster GRC-Funktionen2009
17Auf dem Weg zum GRC – 27.10.2009
GRC Architecture
Authentication Management Activities for the effective governance and management of the process for determining that an entity is who or what it claimsto be.User Identity Management - Activities for the effective governance and management of the lifecycle of identities.Authorization Management - Activities for the effective governance and management of the process for determining entitlement rights that decide whatresources an entity is permitted to access in accordance with the organization’s policies.Access Management - Enforcement of policies for access control in response to a request from an entity wanting to access an IT resource within theorganization.Data Management & Provisioning - Propagation of identity and data for authorization to IT resources via automated or manual processes.Monitoring & Audit - Monitoring, auditing and reporting compliance by users regarding access to resources within the organization based on the definedpolicies.
ITBu
sine
ss
AuthorizationManagement
Authorization Model
User IdentityManagement
Authoritative SourcesUser LifecycleManagement
Data Management & Provisioning
AuthenticationManagement
EmployeesSupplier
contractual partnerContractors etc.
AccessManagement
Systems and applications
Mon
itorin
g &
Aud
its
GRC Reference Framework
General Templatebased on KPMG 2009
18Auf dem Weg zum GRC – 27.10.2009
19Auf dem Weg zum GRC – 27.10.2009
20Auf dem Weg zum GRC – 27.10.2009
Weitere Folien
21Auf dem Weg zum GRC – 27.10.2009
USERADMI: Kennzahlen (12/04)
48.000 Personen, davon 27.000 Personalstamm geführt, 38.700 mit Userid(s)
44.800 Userids mit 130.000 Accounts in verschiedenen Systemen
315 dezentralen Administratoren (DV-Koordinatoren und Passwort-Reset)
23 SAP mit 13.600 Usern (insgesamt 29.000 Accounts)
20 ADS-Domänen mit 12.600 Accounts (davon zz. 7.100 aktiv verwaltet)
Novell-NDS mit 9.500 Accounts
LDAP-Authentication-Server mit 8.300 Accounts
3 Remote-Zugänge mit 3.100 Accounts
RSA-ACE-Server mit 5.800 Accounts und 8.000 Token
RACF mit 1.100 Accounts (entfiel)
2 Lotus Notes-Domänen mit 8.400 Accounts
UNIX-NIS mit 2.800 Accounts
6 weitere kleine Systeme teilweise nur als Anzeige
22Auf dem Weg zum GRC – 27.10.2009
Ist-Analyse USERADMI 2003
Werkzeug ist eine Eigenentwicklung und ist eher historisch alsstrategisch gewachsen
Betrieb, Wartung und Weiterentwicklung durch eine Person
Hohe Integration der Henkel-Anforderungen
Konnektoren in vielen Zielanwendungen sind vorhanden, aber überunterschiedliche Schnittstellen und Methoden
Betrieb der USERADMI-Konnektoren heute nicht unter einheitlicherHardware und Software.
Automatismen sind mit Einschränkungen vorhanden (Bsp.:Automatatischer Import aus SAP HR aber nur teilautomatisierteWeiterverarbeitung in Accounts)