Wer darf eigentlich ein iPhone bestellen und gibt es dann auch Genehmigungen. Nicht immer geht es in einem Servicekatalog nur um Statussymbole, technisch Abhängigkeiten oder organisatorische Gegebenheiten im Unternehmen. Oftmals spielen auch Aspekte wie Datensicherheit und Kosten eine zentrale Rolle. Und nicht nur der Servicekatalog als zentraler Einstiegspunkt ist relevant, auch Veränderungen am Mitarbeiter oder zeitlich Vorgaben können dazu führen, dass die weitere Nutzung eines Services durch einen Mitarbeiter Regeln und zum Beispiel werden weiteren Freigabe bedarf.
- Nicht jeder Mitarbeiter darf jeden Service oder jede Berechtigung bestellen
- Serviceprozesse hängen von der Organisation ab, in der sie im Unternehmen stattfinden
- Zum Kontext eines Mitarbeiters gehört nicht nur wer er ist, welche Positionen er im Unternehmen besetzt, sondern auch welche Service er schon nutzt oder auch schon bestellt hat. Dies bestimmt, was er im Katalog sieht
- Auch wenn ein Mitarbeiter einen Service nicht bestellen kann, muss er verstehen können warum das nicht geht. Ein intelligenter Katalog hilft ihm nur, wenn ihm erklärt wird warum etwas zum Beispiel auch nicht für ihn bestellbar ist.
- Governance findet nicht nur im Katalog statt, sondern auch in den Prozessen. Was bedingt etwas anderes, was muss gegebenfalls auch gekündigt werden oder wer gibt es frei.
- Nicht alle Services und Berechtigungen dürfen auf unbestimmte Zeit genutzt werden, vieles muss nach einer gewissen Nutzungszeit aktiv verlängert werden. Nicht umsonst gibt es den Ausdruck Use-IT-or-loose-it. Neben Kosten spielt auch die Sicherheit eine entscheidende Rolle, wenn Account oder Berechtigungen auch mal aktiv verlängert werden müssen. (siehe SavvySuite Rezertifizierung)
Berechtigungen der Mitarbeiter verwalten
Wer hat welche Berechtigung, seit wann und warum? Wer kann diese Frage beantworten und wen interessiert es überhaupt, so lange nichts passiert?
- Niemand will sich darum kümmern, dass er Passierschein A38 braucht. In der modernen IT Welt, müsste man zusätzlich vermutlich noch angeben, Passierschein A38 für Account B65.C.
- Das versteht kein Mitarbeiter der eine Aufgabe erledigen soll, sondern nur die IT.
- Es müssen Lösung geschaffen werden, die entweder den Zugang, das Recht oder den Service automatisch vergeben oder der Mitarbeiter muss in die Lage versetzt werden, selbst die passenden Berechtigungen zu finden und zu bestellen.
Reconciliation – Der Soll-Ist Abgleich und die richtige Entscheidung treffen.
Wenn es um Berechtigungen, Verzeichnisdienste oder sonstige Services geht, stellt sich oft die Frage was ist denn tatsächlich vorhanden und stimmt das überhaupt. Die klassische Inventur. In jedem Warenwirtschaftssystem gibt es einen Soll Zustand, was auf Lager oder im Einsatz sein soll und einen Ist Zustand, was sich tatsächlich noch im Lager befindet. Das gleiche oftmals auch für die IT. Was sein soll, bestimmt das Identity Management System. Denn nur hier sind die Regelwerke und Automatismen abgebildet und die Freigaben erfolgt. Wenn der Ist Zustand in einem Zielsystem, wie einem Verzeichnisdienst von dem Soll Zustand abweicht, liegt ein Problem vor.
- Es gibt Accounts, die es eigentlich nicht geben dürfte. Sie sind keinem Mitarbeiter zugeordnet und im IDM System nicht bekannt. Über einen Soll-Ist Abgleich gilt es diese zu erkennen.
- Wenn eine Abweichung vom Soll Zustand festgestellt wird, kann es unterschiedlichste Maßnahmen geben
- Eine Abweichung kann nachträglich genehmigt werden, dadurch wird der Ist Zustand in den Soll Zustand überführt. Ab diesem Zeitpunkt kann die Nutzung des Services regulär verwaltet werden
- Eine Abweichung kann gemeldet werden, vermutlich wurde hier gegen einen definierten Prozess verstoßen. Gegebenenfalls kann dafür gesorgt werden, dass ein solcher Verstoß künftig nicht mehr möglich ist.
- Der Soll Zustand kann hergestellt werden, indem der Sollzustand über reguläre Prozesse korrigiert wird. Zum Beispiel wird eine Mitgliedschaft eines Accounts in einer Gruppe automatisch entfernt. Natürlich sind auch Kombinationen der Szenarien denkbar.
Rezertifizierung – Stimmt das noch
Der Auszubildende durchläuft verschiedene Abteilungen im Unternehmen und sammelt fleißig in jeder Abteilung Berechtigungen und Services ein. Wer hat noch nie von diesem Beispiel gehört. In der Realität ist es häufig nicht ganz so schlimm, allerdings ist eine Jäger- und Sammler Mentalität, gerne auch unter dem Begriff „viel hilft viel“ tatsächlich recht ausgeprägt. Doch niemand kündigt gerne etwas von sich aus und nicht alles lässt sich sinnvoll automatisch wegnehmen. Daher ist es wichtig, den Bedarf einer Berechtigung oder der Nutzung einer teuren Software von Zeit zu Zeit zu hinterfragen und davon ausgehend auch automatisch zu kündigen. Dies kann entweder beim Anwender erfolgen, oder durch jemanden, der für einen Service oder Bereich zuständig ist.
- Rezertifzierungen bestätigen, dass ein Anwender einen Service weiter nutzen kann oder darf
- Eine Rezertifizierung der Servicenutzung kann nach Zeit erfolgen. Häufig werden externe Mitarbeiter immer nur befristet eingetragen, was ein klassischer Fall im Identity Management ist. Auch Berechtigungen oder IT Services wie zum Beispiel eine teure Software, werden gerne nach Zeitintervallen rezertifiziert.
- Eine Rezertifizierung kann zum Beispiel durch den Verantwortlichen eines Services angestoßen werden um zu prüfen, wer seinen Service tatsächlich noch benötigt.
- Eine Rezertifizierung kann im Fall des Wechsels eines Mitarbeiters in der Organisation erfolgen. Oftmals will man nicht alle organisatorischen Regelwerke im Detail abbilden und lässt über eine Person im Rahmen einer Rezertifizierung entscheiden, welche Services der Mitarbeiter weiter nutzen darf.
- Natürlich gibt es noch viele weitere Situationen, die Rezertifizierungen einer Servicenutzung auslösen können. Wichtig ist, dass Rezertifizierungen helfen bestellte aber nicht mehr benötigte Services zu kündigen und Sicherheitslücken proaktiv zu vermeiden.