Auf einem Meeting in London mit einer Reihe von CISOs internationaler Konzerne wurde unter anderem die Frage gestellt, welche Prioritäten – gerade in der angespannten Situation – Investitionen in das Identity und Access Management hätten, im Vergleich beispielsweise zu Data Leakage Prevention (DLP).
Das Ergebnis war interessant: Eine knappe Mehrheit der CISOs nannte die „Information Protection“ als ein Thema, das doch deutlich über punktuelle DLP-Lösungen hinausgeht, als den für sie wichtigsten Bereich. Unmittelbar dahinter folgte das Identity und Access Management (IAM). Fast jeder der CISOs, bei denen Information Protection derzeit im Fokus steht, betonte aber, dass IAM ein sehr knapper Zweiter sei. Die Begründung dafür wurde auch gleich mitgeliefert: IAM ist das Fundament, auf dem erfolgreiche Initiativen zur Data Leakage Prevention, aber auch Initiativen für die einfachere Einbindung von Partnern und Kunden, GRC-Initiativen (Governance, Risk Management, Compliance) und viele andere Bereiche der IT basieren.
Ebenso deutlich wurde in den Antworten, dass einzelne DLP-Lösungen nicht im Fokus stehen. Der Blick der CISOs ist klar auf strategische Ansätze zum Schutz von Informationen gerichtet. Dass man dafür auch spezialisierte Lösungen in manchen Bereichen benötigt, steht außer Frage. Sinn machen diese aber nur, wenn sie Teil eines Ganzen sind.
Dabei richtet sich der Blick auch immer mehr darauf, Daten in allen Situationen („at rest“, „in motion“, „in use“) zu schützen. Die logische Lösung dafür ist Information Rights Management (IRM), wobei die aktuellen Lösungen hier noch nicht die nötige Flexibilität für heterogene IT-Umgebungen mit unterschiedlichsten Anwendungen und Datenformaten bieten – und auch IRM keineswegs alle Herausforderungen lösen kann. Dennoch ist das ein Bereich, der bei den CISOs großes Interesse weckt.
Gerade für IRM, aber auch für andere Bereiche des Schutzes von Informationen, benötigt man aber effiziente Ansätze für den Umgang mit Identitäten und für die Steuerung der Zugriffsberechtigungen. Und genau deshalb treiben auch alle Unternehmen die Projekte in diesen Bereichen voran. Immer wichtiger wird dabei ein Blick auf externe Benutzergruppen. Damit die IT die Flexibilisierung von Wertschöpfungsketten in Unternehmen unterstützen kann, muss sie eben auch die externen Identitäten und deren Zugriffsberechtigungen beherrschen.
Wenn man sich als CIO oder CISO in Unternehmen Gedanken über die Bereiche macht, in denen man in Zeiten knapper Kassen investieren soll, dann sollte IAM auf der Liste nicht fehlen. Nicht nur, weil es das Fundament für viele andere IT-Initiativen ist – bis hin zum Cloud Computing und der Sicherheit und Governance in der Cloud – sondern auch, weil man damit unmittelbar einige der drängenden Herausforderungen adressieren kann: Definierte Lebenszyklen für Identitäten, die Attestierung von Zugriffsberechtigungen oder der Schutz vor Insider-Angriffen über den Missbrauch von privilegierten Benutzerkonten mit höheren Berechtigungen sind nur einige Beispiele.
Wer also beispielsweise seine Matrix erstellt, in der für die Kernbereiche der IT wie Sicherheit und Governance, Service-Management oder Anwendungsinfrastruktur die drei Kerninvestitionsbereiche definiert sind, auf die man das Augenmerk richtet, sollte dort nicht nur Hype-Themen wie DLP haben, sondern vor allem auch IAM selbst. Denn ohne das richtige Fundament wird es nie ein stabiles Bauwerk geben.