IAM, a purely organizational task

Identity- & Access Management (IAM) quite often is regarded as just another part of information security management (ISM).

Information Security management in turn often suffers from its not totally positive reputation. Well, everybody agrees that some level of Information Security seems to be necessary after all. But on the other hand we have to carry the heavy burden of high cost and key person effort. Most often no one in the corporation is able to prove with reasonable certainty to what degree it contributes to the corporate success. On the other hand everyone can feel in his daily life that strict security measures slow down the affected activities and introduce inconveniences. Moreover vendors in the Information security arena tend to sell their products via the fear factor – putting unsavoury pressure on the top management.

Oh my god, not a very pleasant situation – for IAM as well.

But wait a minute, there is a solution – no, even two of them.

First of all there is a way to tie Information security measures to the corporate success – if done right on top of a delivering OpsRisk (see my previous post: http://horst-walther.blogspot.com/2010/07/no-risk-no-business.html).

Second, who said IAM is integral part of ISM? Well, IT needs to implement IAM controls in order to maintain a certain security level. There is some operational pressure to be felt in the IT being the last element of the chain. “Ok, if you need it fix it. Don’t bother us with such trivial down to earth tasks. We have to keep the business running after all!” might be a typical response from the other department. So again the big finger points at the poor IT people. They are in charge now; they have to carry the burden. And quite often they fail.

But why not IT?

IT people most often are technical people. When they think of IAM they think of implementing an IAM system. And more often than not IAM projects start exactly that way – looking for a system to solve the problem. And now the trouble starts. Having a closer look to the distribution of the efforts we can easily recognise, that the major part is sunk in processes, roles & rules, policies and responsibilities – pure organisational stuff.

But who is mandated to (re-) organize to corporation? Most often IT is not in charge to tailor and optimize business processes, define roles of process actors and issue business policies. If so, who then is?

For me it was fun to ask this question again and again to different companies. Quite rarely I received a convincing answer.

1. IT as pointed out most often is not mandated for corporate change.


2. ISM has quite a narrow focus on Information Security. Well, it’s their job. But they will not be of much help to unleash IAMs true power as an enabler for business automation.


3. HR could be regarded as the natural host for identities and their attributes. But HR people quite often don’t share this view. To make things worse they typically are not know for true real time behaviour but rather think in payment cycles.


4. The business departments on the other hand tend to have a narrow focus on their LOB and the operational business. They don’t feel in charge for conceptual cross corporate activities.


5. We found a better fit when it was assigned to the COO, Corporate governance, the corporate change function or similar high level cross company functions.

IT – unless mandated otherwise - you better focus solely on the implementation. Keep your fingers off the corporate change.

But in the majority of the corporations for some high level corporate functions there is still some homework to be done. May be they end up with a new function.

No risk no business

Just recently the Gartner group reported shrinking IT security budgets – by 3 – 6%. Only identity Management makes an exception. Identity Management – or, let’s be a bit more specific: Identity- & Access Management (IAM) - part of IT security? Hmmm …

Maybe the IT security budgets ware already inflated? Gartner further writes that on the other hand the related threats to IT security have increased. But allow rising threats for a satisfactory justification already? Well, not really.

No risk no fun we once tended to respond to our parents when they were hinting us at the dangers of life. No risk no business we could translate this term into the economical space. It’s true, that we can only have total online security if we cut all lines to the cruel outside world. And if we follow the advice of the IT security professionals in our own companies we could as well shut down our business.

But is there a right measure? There must be an adequate response to IT security threats, right? But how to find it?

Well the answer is simple. But it is not as easy to follow the advice: IT security measures can only be argued to be adequate if they are defined and implemented on top of a functioning operational risk management (OpsRisk).

This is not an easy task. That’s what we can conclude from observations in market sectors where (some kind of) risk management is mandatory, e.g. banking or the insurance sector. Let’s take the compelling suggestions from the Basel II accord to introduce a sound management for credit risks, market risks and – well, if there is still time and capacity – for the 3^rd pillar: OpsRisk. Or the insurance sector: risk management is the very heart of the insurance business. This is true for the probability of damages (=risk) to the insured objects like cars, houses or living human bodies. But when it comes to OpsRisk most of them find themselves barely covered.

Why?

1. At first risks are tied to a stochastic view of the world – rather uncommon for most of us – even the few mathematicians among us.


2. Second operational risk, as implied by its very name, refers to all operations which are performed in our day-to-day business – I dare to say often unconsciously. And those are quite a lot.


3. Third OpsRisk is a very basic discipline at the very basis of the corporate pyramid. It is hard work, touches a running business (which you should never touch) and doesn’t deliver quick wins.

But once we have established an OpsRisk Management function and made it running and – finally - delivering. When we have established a database covering all classes of damages that looks sufficiently long back to the past. When we have customized our risk model that hopefully goes beyond the common VaR approach and covers the “fat tail” of rare but high damages as well. And when business even understands the signals emitted those esoteric risk people. Well, then finally we have a valid basis to justify risk mitigation – and IT Security measures are just a part of it.

Are IAM investments then covered by this justification as well? Good question. But this post is already too long. So you better stay tuned and look for my next post.

It is different

I have been to several countries as travelling and exploring new countries, their nature and their people always was a kind of temptation and challenge for me.

Of course I tried to prepare myself as carefully as possible. I read through the available literature, interviewed people who have been there already or citizens of those countries who for any reason happened to visit my home town and so on.
So I felt quite well prepared when I started my trips. But when I came there my impression was different from what I expected to experience.

Why did this happen? And why did it happen again and again?

I think this difference is caused by our way of perceiving the world. We focus on contrast, on difference. We don’t pay much attention to the obvious commonalities. Instead all reports on foreign, “strange” countries focused on the exceptional, the sensational but quite rarely on the day-by-day life of the common people, on the little things.

I therefore quite often found myself being surprised of the quite normal bourgeois or middle class life going on where I was prepared to find extremes only.
So I learned, that in order to understand a country you have to go there and watch it from inside.

Regardless of all preparation efforts – it will look different.

radikal

Die „Politik“ hat versagt – mal wieder. Das ist – rückblickend betrachtet – schon häufiger passiert; nach Kriegen etwa (besonders verlorenen) und in Krisen.
Die „Politik“, was ist das eigentlich? Warum ist „die“ denn eigentlich so schlecht, wo wir doch gut sind? Die Politik, das ist die Summe der Überzeugungen, Äußerungen und Taten unserer Politiker. Und die haben wir selber bestimmt. Also haben wir alle, als Kollektiv, versagt ja?
Jetzt kommen gleich die wohlfeilen Einwände …

• Was sollen wir denn tun?


• Wir haben doch „eigentlich“ keine Wahl bei den Wahlen.


• Ob schwarz, grün, gelb, rot oder gar dunkelrot – in allen Parteien steigt doch immer der gleiche Menschentypus auf.

Die Liste ließe sich beliebig verlängern. Alle diese Einwände sollen entschuldigen, was unentschuldbar ist: unseren Fatalismus.
Immerhin, dass wir versagt haben ist wohl nicht mehr zu bestreiten. Wohin wir die „Schuld“ auch schieben möchten, es gibt hinreichend Indizien, um den Versagensfall ausrufen zu können.

• Erst strauchelten die (meisten) Banken, weil sie Geschäfte betrieben, die sie in ihrer vollen Wirkung nicht verstanden – oder nicht begreifen wollten. Und (fast) alle haben dazu beifällig genickt – bis es zu spät war.


• Bis auf ein paar (bereits gebrandmarkte) Außenseiter hat auch keiner aus der Kaste der Wirtschaftswissenschaftler den heraufziehenden Sturm gesehen – bis wir alle mitten drin waren.


• Jetzt gehen einzelne Länder in die Knie. Nicht weil die bösen Märkte gegen sie spekulieren – die decken die Schwächen nur gnadenlos auf. Nein, weil unsere, ach so seriösen, Staatslenker nach dem Motte „nach mir die Sintflut“ besinnungslos Schulden auf Kosten kommender Generationen gemacht haben.


• Und natürlich ist unter den jetzigen Bedingungen die so schöne Euro-Währungsunion nicht mehr zu retten. Es wird zwar niemand hergehen und sie beenden wollen. Nein, es wird überhaupt niemand etwas tun. Alle werden hoffen, dieses Gewitter zöge vorbei. Es wird aber stationär bleiben. Offen ist nur, ob die Eurozone mit einem großen Knall in tausend Stücke zerbirst. Oder ob nicht – wenn es schon fast zu spät ist – einzelne Staaten, vermutlich aus den Reihen der Nettozahler, schnell die Notbremse ziehen und aussteigen werden. Dann müssen sich ganz schnell auch die übrigen schlamperten Staats- und Wirtschaftsgebilde ihre alten Weichwährungen wieder zurück holen. Alles wäre wie früher, nur mit tiefen Narben. Und keiner hat etwas daraus gelernt.

Schöne Szenarien, nicht wahr?
Es sind offenbar nicht hektische Reparaturmaßnahmen, die wir jetzt benötigen. Wir brauchen neue Grundlagen: ein Fundament aus wenigen und radikal einfachen, dafür aber uneingeschränkt gültigen Regeln, an die wir uns alle halten müssen.

Wer soll das denn tun?
Nun, diese Frage ist einfach zu beantworten: wir alle. „Alle Macht geht vom Volke aus“ steht so schon in unserem Grundgesetz, dem besten, das wir je hatten. Klar, müssen wir uns organisieren, um unseren gemeinsamen Willen heraus zu bilden, zu zeigen und um wahrgenommen zu werden. Dafür gibt es Parteien. Per se auch nicht die schlechteste Idee. Aber danach wird es interessant: Die gedankliche Grundausstattung muss eine radikal andere sein, als bei unseren heutigen Parteien.
Radikal? Nein, wir wollen keine Radikalinskis auf die Straßen schicken, die Fahnen verbrennen, hasserfüllte Parolen brüllen, Barrikaden bauen und sich mit anderen Polit-Straßengangs Straßenschlachten liefern.
Es geht um die Radikalität des Denkens, gedanklich wieder zurück zur Wurzel (Radix) gehen und einige wesentliche Komplexe unseres gesellschaftlichen Lebens noch einmal neu durchdenken – ein re-boot also. Das wäre schon radikal genug.
Eins jedenfalls ist klar, es gibt Niemanden sonst, der das tun kann, außer uns allen. Die Bewegung muss von der Basis kommen.

Und was ist zu tun?
Es muss einiges radikal anders werden. Klar doch, aber was? Und wie? Etwa so:

1. Ein radikal Europäischer Ansatz, weil Deutschland, dieser Zwergstaat am Rande des Universums, nicht allein eine heile Welt für sich bauen kann. Die Einigung Europas ist eine der besten Ideen, die dieser blutgetränkte Kontinent je hervorgebracht hatte. Nur leider haben wir bei der Umsetzung „das Pferd vom Schwanz aufgezäumt“. Erst muss die Verfassung kommen, dann die Entscheidungsorgane und dann die Entscheidungen. Schluss mit dem absurden Versuch, im vielstimmigen Chor aus Polit-Egomanen und Nationalprofil-Neurotikern in einer Vielzahl von Detailfragen Einstimmigkeit erzielen zu wollen.


2. Ein radikaler Säkularismus der jegliche Religion und andere, Absolutheit beanspruchende, Irrationalismen in den Privatbereich zurück drängt und jegliches Ausbrechen in den öffentlichen Raum verhindert. Religionen mögen für das persönliche Seelenheil ja nützlich sein. Im Privatbereich sollten wir ihnen ein geschütztes Refugium zuweisen. Wenn wir unsere Geschichte aber nicht wieder mit unserem Blute schreiben wollen, müssen wir sehr genau darauf achten, dass sie ihre Reservate nicht verlassen können.


3. Eine radikale Nachhaltigkeit in allen Lebensbereichen: In den Finanzen, damit wir unseren Kindern nicht unerträgliche Schuldenberge hinterlassen, in der Umwelt, damit die Nachwelt noch eine lebenswerte und intakte Lebensumwelt vorfindet, in der Wirtschaft, damit wir weder Müll anhäufen und noch mehr Ressourcen verbrauchen, als wieder nachwachsen.


4. Ein radikal einfaches Steuersystem, eine flat tax von, sagen wir mal, 25% ohne viele Zusatzregelungen und Ausnahmen. Steuererklärungen müssen wieder ohne Steuerberater möglich werden – von mir aus auch auf einem Bierdeckel.


5. Das Ende des Berufsbildes „Politiker“: Wir, die wir unsere Meinung gebildet haben und verwirklichen wollen, wollen nicht von Karrierepolitikern unterwandert werden, die Ihre Meinung aus Umfragewerten synthetisieren. Mit „Führern“, die von ihrer Mission besessen sind, haben wir auch keine guten Erfahrungen gemacht. Wir sollten mehr Energie auf ein gutes politisches System verwenden - „A system made by geniuses to be run by idiots“ – und sollten weniger auf unsere selbst gewählten Vertreter vertrauen.


6. Eine Art Gewaltentrennung zwischen Staat und Wirtschaft, indem der Staat die Spielregeln festlegt und Wirtschaft die Spieler stellt und spielt. Dabei brauchen wir wenige, einfache und klare Regelungen, die dafür aber auch strikt eingehalten werden müssen. Keinesfalls darf der Staat als Spieler auftreten oder die Wirtschaftslobby die Regeln beeinflussen.


7. Piratenziele, also die Wahrung der Bürgerrechte auch im Internetzeitalter, wie sie von der „Piratenpartei“ - hinreichend radikal - zu den Punkten Bürgerrechte, Informationelle Selbstbestimmung, Transparenz, Open Access, Urheberrecht, Patentrecht und Bildung formuliert worden sind. Wer noch auf einem Dorf aufgewachsen ist, weiß, dass dort jeder Alles über das Leben der Anderen weiß. Eine perfekte Überwachung. Alle sind Opfer und Täter zugleich – und keiner glücklich dabei. Erst Stadtluft machte frei. Dank neuer Überwachungstechniken könnte unser von frühen Visionären erträumtes global village wieder genau dort enden. – Das gilt es zu verhindern!

Übrigens, was ich hier mache, nämlich auf Deutsch zu schreiben, ist natürlich ganz großer Mist. Denn genau das werden wir uns nicht mehr erlauben können. Global kann es für die nächsten 30 Jahre – bis wir alle Mandarin sprechen – nur eine sinnvolle Sprachwahl geben: Englisch.
Und da die skurrilen Insulaner, die uns da ihre Sprache leihen, ohnehin bei all dem hier geforderten nicht mitmachen werden, wird auch Niemand seinen einseitigen Vorteil aus dieser Sprachstandardisierung ziehen. Ganz im Gegenteil diese kühle, nüchterne common language, derer wir uns dann alle bedienen müssen wird mit der reichen gewachsenen Sprache der Muttersprachler nicht mehr viel gemein haben – gewissermaßen ein inverser Sprachimperialismus.
So Leute, jetzt müssen wir nur noch ganz einfach und ganz schnell ganz Viele werden, die dieser Meinung sind. Dann können wir an den Stellschrauben der Politik ein wenig nachjustieren.
Ganz schön radikal, was?

Erfolgreicher 1. Mittelstandsdialog Informationssicherheit

In der Zeit vom 5. bis zum 7. Mai wurde in München im Rahmen der European Identity Conference 2010 der 1. Mittelstandsdialog Informationssicherheit abgehalten. Fachliche Leitung und Moderation lagen bei Herrn Dr. Horst Walther, Senior Analyst, Kuppinger Cole und Leiter des NIFIS Arbeitskreises „Identity Management“.

Das neue mittelstandsgerechte Konzept „preisgünstiger, praktischer und auf Deutsch“ hat sich als erfolgreich erweisen und eine kleine aber sehr engagierte Gruppe angesprochen.

Der überwiegende Teil der Beiträge wurde von Anwendern für Anwender vorgetragen. Darunter waren Stadtwerke München, P3 Ingenieurgesellschaft, Berliner Stadtreinigung, AMAG Austria Metall AG, Kassenärztliche Vereinigung Bayerns, Henkel AG & Co. KGaA und SAP Deutschland.

Inhaltlich befassten sich die Beiträge mit Themen rund um IAM (Identity- & Access Managment), GRC (Governance, Risk & Compliance), DLP (Data Leak Prevention) und Cloud Computing.

Viel Beachtung fanden auch der Vortrag „Identity Management und das Gesetz - Entscheidungshilfen im Spannungsfeld von Datenschutz und Compliance-Anforderungen“ von dem Rechtsanwalt und NIFIS-Mitglied Dr. Michael Karger und die anschließende Forumsdiskussion.

Eingebunden war das Mittelstandsprogramm in die teils visionären key note Veranstaltungen der international ausgerichteten EIC2010.

Nach diesem gelungenen Auftakt soll die Veranstaltung im kommenden Jahr nach dem gleichen Konzept mit aktuellen Themen und einer verbesserten Sichtbarkeit weiter geführt werden.

Ein Mann des Apparats - einfach widerlich

Wulff wird (vermutlich) Deutscher Bundespräsident. Christian Wulff, ein aalglatter Machtpolitiker, ein hyperaggressiver Jurist von der unangenehmen Sorte, der sprichwörtliche Wolf im Schafstall wird mitten aus dem niedersten Parteien-Hickhack auf das höchste Deutsche Staatsamt gehievt – einfach widerlich.

Klar, Ursula von der Leyen war aus gleich drei Gründen ebenfalls nicht für dieses Amt geeignet. Aber sie hatte wenigstens einige Sympathien. Immerhin hatte sie in ihrer Amtszeit als Familienministerin, wo alle von ihr erwartet hatten, brav den Mund zu halten, in bewundernswerter Weise den Laden aufgemischt.

Die drei Gründe, warum sie nicht tragbar ist, sind:

1. Eine Mutter von sieben Kindern mag ja erstaunliche Leistungen vollbracht haben, sie sendet aber schlicht die falschen Signale in diese überbevölkerte Welt. Wer sich so ungehemmt vermehrt, lässt einfach das nötige globale Verantwortungsbewusstsein vermissen.


2. Ihr vormodernes Staatsverständnis, in dem (Beten im Kindergarten als Pflicht), Staat und Kirche nicht sauber getrennt sind, ist mit einem modernen, also säkularen Staat nicht vereinbar.


3. Und dann ist da noch die frische, bitter schmeckende, Erinnerung an die „Zensursula“ die, unter dem herzzerreißenden Vorwand, damit die Kinderpornographie zu beseitigen, durch die Hintertür eine Staatszensur in unser aller zentrales Kommunikationsmedium, das Internet einführen wollte.

Von ihren Kollegen wurde sie allerdings aus drei ganz anderen Gründen nicht als Kandidatin geduldet: Weil sie 1. eine Frau ist (noch eine neben der Merkeline, wo kommen wir denn da hin?), weil sie 2. evangelisch ist (ein Argument aus dem Mittelalter) und weil sie 3. ihre Kollegen in einer früheren Legislaturperiode schon zu sehr geärgert hatte (rachsüchtig sind sie ja allesamt).

Joachim Gauck hingegen ist integer, nicht aus dem aktuellen Parteiengezänk, ganz im Gegensatz zu allen anderen gehandelten Kandidaten hat er Zivilcourage, ja regelrecht persönlichen Mut, bewiesen. Jedenfalls ist er kein opportunistischer Karrierist, wie der jetzige Topfavorit der machthabenden Politkaste. Aber es stimmt schon, was die die Linkspartei einwendet: Er ist ein Mann des Gestern, nicht des Morgen.

Waren wir dann mit unserem tapsigen, aber irgendwie menschlich wirkenden, Horst Köhler am Ende nicht doch besser bedient?

Möglicherweise können wir aber sogar noch froh sein, dass Roland Koch schon in der politischen Versenkung verschwunden ist, sonst wäre sich die kriselnde schwarz-gelbe Koalition wohl nicht zu blöde gewesen, sogar diesen Brandstifter in den höchsten Sessel des Staates zu hieven.

Was zunächst bleibt, ist das würgende Gefühl im Hals – einfach widerlich!