Tipps für Ihre Reorganisation mit IAM
Reorganisationen gibt es in vielen Formen und Ausprägungen. Manchmal beschränkt es sich auf einige Anpassungen innerhalb einer Abteilung, meist sind die Veränderungen jedoch weitreichender. Ganze Abteilungen werden aufgelöst oder zusammengeführt, die Funktionsstruktur wird neu aufgebaut oder die Geschäftsprozesse werden grundlegend überarbeitet. Unabhängig vom Ziel und Umfang einer Reorganisation steht und fällt der Erfolg mit der Vorbereitung. Sie müssen die Menschen für die Pläne gewinnen, bei größeren Veränderungen kann ein Sozialplan erforderlich sein, und es muss ein Implementierungsplan ausgearbeitet werden. Gerade bei dieser Implementierung spielt Ihre IT-Abteilung eine wichtige Rolle, und die IAM-Plattform kann dabei ein wichtiges Hilfsmittel sein.
Was ist eine Reorganisation aus IAM-Perspektive?
Erst bei der Implementierung zeigt sich, ob ein Reorganisationsplan wirklich funktioniert. Das ist der Zeitpunkt, an dem Menschen tatsächlich in einer neuen Funktion beginnen, andere Aufgaben erhalten und möglicherweise in eine andere Abteilung wechseln. Und während Organisationsberater mit dem komplexen Zusammenspiel von Menschen, Verantwortlichkeiten, Prozessen und Abteilungen arbeiten, steht Ihr IT-Team vor einer vergleichbaren Herausforderung innerhalb der IT-Landschaft.
Bis dahin hat das IT-Team Lizenzen, Accounts und Berechtigungen auf Basis des bestehenden Betriebs vergeben. Nun müssen Sie Benutzer ab einem vereinbarten Zeitpunkt mit anderen Zugriffsrechten ausstatten, passend zu ihrer neuen Funktion, Abteilung oder Niederlassung. Die Menschen erwarten einen reibungslosen Übergang, und die größte Sorge ist eine Reorganisation, die in einem massiven Strom von Anrufen und Meldungen beim Service Desk stecken bleibt, weil „einfach nichts funktioniert“.
Die Herausforderung ist noch komplexer, weil sich eine Reorganisation meist nicht als „Big Bang“ planen lässt. In der Praxis werden Teams und Abteilungen schrittweise in die neue Organisation überführt, und das bedeutet, dass die Umstellung von Accounts und Applikationsrechten nach denselben Zeitplänen erfolgen muss. Manchmal möchten Sie auch für einen gewissen Zeitraum im „Schattenbetrieb“ arbeiten; Mitarbeitenden, die bereits Zugriff auf neue Applikationen und Daten haben, möchten Sie vorübergehend auch noch Zugriff auf ihre bisherigen Systeme geben. So können Menschen die Aufgaben schrittweise voneinander übernehmen und sich weiterhin gegenseitig unterstützen. Allerdings auch nicht zu lange, um Sicherheitsrisiken zu begrenzen.
Es ist natürlich kaum zu bewältigen, all diese Änderungen manuell umzusetzen. Glücklicherweise kann eine IAM-Lösung wie HelloID hierbei erheblich unterstützen.
Wie unterstützt IAM Sie während einer Reorganisation?
HelloID automatisiert das Account- und Berechtigungsmanagement mithilfe von Role Based Access Control (RBAC)[1]. Das bedeutet, dass Sie nicht für jeden einzelnen Benutzer separat festlegen, welche Accounts und Berechtigungen jemand benötigt. Stattdessen automatisieren Sie dies anhand sogenannter „Benutzerattribute“, die in der HR-Anwendung oder einem anderen Quellsystem gepflegt werden. Beispiele für solche Attribute sind die Funktion, die Abteilung, die Niederlassung oder erworbene Abschlüsse einer Person. Anschließend verwenden wir Business Rules, um aus diesen Attributen abzuleiten, welche Accounts und Berechtigungen jemand erhalten soll. Ein Beispiel:
Benutzer mit der Funktion „Sales Manager“ erhalten einen Account im CRM-System mit dem Recht, Kundendossiers anzulegen und zu bearbeiten.
Mit einer begrenzten Anzahl solcher Regeln können Sie das Berechtigungsmanagement also weitgehend automatisieren. Die Gesamtheit dieser Business Rules einer Organisation nennen wir das Rollenmodell.
Dieses Rollenmodell ist auch bei einer Reorganisation äußerst nützlich. Dann müssen wir nicht pro Benutzer einzeln festlegen, welche Accounts und Berechtigungen angepasst werden müssen. Im Gegenteil, wir können die meisten Änderungen automatisch umsetzen, indem wir Business Rules anpassen, entfernen oder neue erstellen. So können wir die Vergabe von Berechtigungen während der Reorganisation einfach aktuell halten.
Wie nutzen Sie Business Rules in Ihren Reorganisationsplänen?
Wie funktioniert das in der Praxis? Wir geben einige Beispiele.
1. Veränderung von Funktion, Abteilung oder Niederlassung
Wenn Mitarbeitende im Rahmen einer Reorganisation in eine andere, aber bereits bestehende Funktion, Abteilung oder Niederlassung wechseln, wird dies innerhalb von HelloID automatisch verarbeitet. Im HR-System wird dann beispielsweise die Abteilung einer Person geändert, woraufhin HelloID anhand der zugehörigen Business Rule(s) automatisch die Accounts und Berechtigungen anpasst. Dieser Wechselprozess funktioniert immer auf diese Weise, unabhängig davon, ob jemand individuell eine andere Rolle erhält oder ob dies im Rahmen einer Reorganisation geschieht. Bei einer Reorganisation geht es jedoch meist um größere Mengen an Änderungen. HelloID erkennt solche Massenänderungen und bittet den Administrator dann zunächst um eine zusätzliche Bestätigung, um mögliche Fehler zu vermeiden.
2. Austritt aus der Organisation
Infolge von Reorganisationen kann es auch vorkommen, dass Kollegen die Organisation verlassen. Das ist natürlich in erster Linie eine persönliche Angelegenheit, die durch das Management und das HR-Team gut begleitet werden muss. HelloID kann jedoch anschließend die administrative Abwicklung vereinfachen. Mit einem gut konfigurierten Offboarding-Prozess stellen Sie sicher, dass Accounts rechtzeitig automatisch gesperrt werden, um Datenlecks zu verhindern. Falls erforderlich, können bestimmte Berechtigungen jedoch vorübergehend aktiv bleiben, damit ehemalige Kollegen in diesem Zeitraum noch Zugriff auf beispielsweise Gehaltsabrechnungen und Jahresübersichten haben.
3. Angepasste Aufgaben und Verantwortlichkeiten
Häufig werden im Rahmen von Reorganisationen bestehende Funktionen anders ausgestaltet oder Abteilungen erhalten andere Aufgaben. Innerhalb des HR-Systems ändert sich dann faktisch nichts, denn administrativ behält jemand dieselbe Funktion, Abteilung usw. Die Tätigkeiten ändern sich jedoch, und manchmal benötigen Sie andere IT-Funktionen. Dafür muss die betreffende Business Rule mit anderen Berechtigungen angepasst werden. Solche Änderungen lassen sich innerhalb von HelloID einfach konfigurieren. Auf Wunsch können Sie auch eine Übergangsphase in Betracht ziehen, in der Benutzer sowohl die alten als auch die neuen Berechtigungen erhalten, um den Übergang so einfach wie möglich zu gestalten.
4. Neue Funktionen, Abteilungen oder Niederlassungen
Im Rahmen der Reorganisation kann die Funktionsstruktur um neue Funktionen erweitert werden. Es können auch neue Abteilungen eingerichtet und zusätzliche Niederlassungen eröffnet werden. Mitarbeitende können im HR-System dann organisatorisch einer solchen neuen Funktion, Abteilung und/oder einem neuen Standort zugeordnet werden. Wenn damit auch spezifische Lizenzen und Berechtigungen verbunden sind, können Sie hierfür innerhalb von HelloID zusätzliche Business Rules erstellen.
Kombinationen von Änderungen
Das waren einige einfache Beispiele. In der Realität sind viele Kombinationen möglich. Menschen mit identischen Funktionen können künftig zum Beispiel leicht unterschiedliche Berechtigungen benötigen, abhängig von der spezifischen Abteilung, in der sie arbeiten. Das können wir mit Business Rules lösen, die nicht mehr nur diese Funktion als Bedingung verwenden, sondern künftig auch die Abteilung einer Person. Oder es wird eine separate Business Rule pro Niederlassung benötigt, weil wir auch die Einstellungen für Zutrittsausweise aus HelloID heraus bereitstellen. Unterm Strich bedeutet das, dass wir mithilfe des HelloID-Rollenmodells den Übergang von der alten Betriebsorganisation zur neuen so gut wie möglich unterstützen können.
Ad-hoc-Anpassungen mit Service Automation
Danach beginnt eine Phase der Nachbetreuung. In der Praxis wird nach einer Reorganisation regelmäßig noch etwas fehlen, obwohl jemand es in der neuen Situation benötigt. Grundsätzlich können Sie mit Business Rules oft nur etwa 80 % aller Berechtigungen automatisieren. Die übrigen 20 % vergeben Sie meist individuell. Mitarbeitende haben beispielsweise häufig Nebentätigkeiten, etwa als Brandschutzhelfer, die sich nicht aus HR-Daten ableiten lassen. Und beim Stabspersonal hängen die IT-Anforderungen oft nicht so sehr von ihrer Funktion oder Abteilung ab, sondern von den spezifischen Projekten, an denen sie arbeiten.
Mit der Funktion HelloID Service Automation können Sie solche individuellen und Ad-hoc-Anpassungen abbilden. Über dieses Modul können Sie Online-Formulare erstellen, mit denen beispielsweise Helpdesk-Mitarbeitende die gängigsten Benutzeranfragen einfach bearbeiten können. Mitarbeitende können über ein Self-Service-Portal auch bestimmte Funktionen selbstständig anfordern, woraufhin die Prüfung und Verarbeitung automatisch erfolgt. So stellen Sie sicher, dass Mitarbeitende nach der Reorganisation schnell mit noch fehlenden Leistungen versorgt werden können.
Die Reorganisation mit Governance-Tools feinjustieren
Wenn wir einige Zeit in der neuen Organisation gearbeitet haben, haben wir wahrscheinlich viele fehlende oder fehlerhafte Einstellungen zwischenzeitlich über den Service Desk oder das Self-Service-Portal gelöst. Dann ist es an der Zeit, die bestehende Situation erneut zu bewerten. Ist das Rollenmodell noch aktuell? Müssen Business Rules angepasst oder ergänzt werden? Es kann sich im Laufe der Zeit auch Berechtigungswildwuchs entwickelt haben, weil in der Hektik der Reorganisation Berechtigungen manuell vergeben wurden, obwohl sie strukturell gar nicht erforderlich sind.
Um die aktuelle Berechtigungssituation zu evaluieren, verfügt HelloID inzwischen neben Log- und Reporting-Funktionen auch über umfangreiche Governance-Funktionen. So können Sie mithilfe von Role Mining logische Zusammenhänge zwischen Benutzern, ihrer Rolle und den vergebenen Berechtigungen erkennen. Damit können Sie das Rollenmodell weiter verfeinern und optimieren. Die Lösung Toxic Policies verhindert dabei die Vergabe konfliktbehafteter Zugriffsrechte. Und mit Reconciliation verfügen wir über ein praktisches Tool, um möglichen Berechtigungswildwuchs in Systemen einfach zu erkennen und zu korrigieren. Außerdem gibt es eine Recertification-Funktion, mit der individuell vergebene Berechtigungen periodisch erneut bewertet werden können. So verhindern wir, dass Ad-hoc-Berechtigungen unnötig lange in Ihrer IT-Umgebung aktiv bleiben.
Reorganisationsthemen nach Branche
Eine IAM-Plattform wie HelloID ist also ein Hilfsmittel bei Reorganisationen. Mit automatisierter Provisionierung stellen wir sicher, dass die angepasste Organisation, Rollenverteilung und Arbeitsweise relativ einfach in neue Accounts und Zugriffsrechte umgesetzt werden können. Service Automation hilft anschließend, das Berechtigungsmanagement individuell zu „feinjustieren“, und mithilfe der Governance-Funktionen können wir dies im weiteren Verlauf noch verbessern und optimieren.
Dabei gibt es natürlich branchenspezifische Herausforderungen. Bei einer Gesundheitseinrichtung liegen die Schwerpunkte selbstverständlich anders als, um einmal ein Beispiel zu nennen, bei einem Einzelhändler. Deshalb haben wir einige Beispiele für branchenspezifische Aufmerksamkeitspunkte zusammengestellt.
Gesundheitseinrichtungen
In Gesundheitseinrichtungen muss innerhalb des Identity and Access Management besondere Aufmerksamkeit auf die granulare Zugriffssicherheit für Patientendaten in den medizinischen Systemen gelegt werden. Ausgangspunkt ist das sogenannte Least-Privilege-Konzept, bei dem jeder nur Zugriff auf die medizinischen personenbezogenen Daten hat, die für die eigenen Tätigkeiten erforderlich sind. Besonders komplex ist dabei, dass viele externe Kräfte eingesetzt werden, Menschen häufig mehrere Verträge haben und es ständig wechselnde Dienste gibt. Die Integration von beispielsweise Dienstplansystemen erfordert dann zusätzliche Aufmerksamkeit. Auch Logging und Auditing des Zugriffs auf diese medizinischen Systeme sind entscheidend.
Bildungseinrichtungen
Bildungseinrichtungen kombinieren häufig mehrere Bildungsformen, Studiengänge oder Fakultäten. Dazu gehören verschiedene Gruppen von Mitarbeitenden, Studierenden, Schülern und Bildungsprozessen, für die spezifische Systeme und „Identity Lifecycles“ verwaltet werden. Gleichzeitig muss die Flexibilität vorhanden sein, um temporäre Lehrkräfte und Vertretungen schnell mit den richtigen Daten auszustatten, und weil Studierende und insbesondere minderjährige Schüler eine schutzbedürftige Gruppe sind, muss ihre Privatsphäre besonders gut geschützt werden. Da im Bildungsbereich jährlich oder sogar jedes Semester viele Änderungen gleichzeitig umgesetzt werden müssen, ist dies ein zusätzlicher Aufmerksamkeitspunkt.
Behörden und öffentliche Einrichtungen
Bei Behörden und öffentlichen Einrichtungen ist es entscheidend, dass auch nach Reorganisationen Compliance, Integrität und Funktionstrennung gewährleistet bleiben. Vor allem das Berechtigungsmanagement innerhalb sogenannter Fachverfahrenssysteme erfordert viel Aufmerksamkeit, damit Mitarbeitende nur Zugriff auf die Vorgänge behalten, für die sie selbst verantwortlich sind. Das ist besonders wichtig, weil in diesen Systemen häufig sensible personenbezogene Daten von Bürgern erfasst und verarbeitet werden. Um integer handeln zu können, ist eine klare Funktionstrennung sehr wichtig, und im Hinblick auf Datenschutz und Informationssicherheitsstandards muss eine Vorbildfunktion erfüllt werden.
Einzelhändler
Der Einzelhandel ist von Natur aus auf Geschwindigkeit und Dynamik in einem Markt mit oft relativ kleinen Margen ausgerichtet. Auch das Personalmanagement ist dynamisch, mit vielen temporären und Teilzeitmitarbeitenden, daher muss Ihr IAM so eingerichtet sein, dass Sie Änderungen schnell und einfach umsetzen können. Viele Mitarbeitende benötigen Zugriff auf Kassensysteme, Bestandsmanagement und logistische Anwendungen, daher ist es wichtig, Fehler und Missbrauch zu vermeiden. Da es immer häufiger zu Integrationen innerhalb der Wertschöpfungskette kommt, muss der Zugriff von Partnern und Lieferanten auf Anwendungen und Daten gut verwaltet und überwacht werden. Auch der sichere Umgang mit personenbezogenen Daten von Verbrauchern erfordert zusätzliche Aufmerksamkeit.
Non-Profit-Organisationen
Bei Non-Profit-Organisationen ist es besonders wichtig, dass personenbezogene Daten und Finanzdaten in unter anderem CRM- und Spendensystemen besonders gut geschützt werden. Außerdem ist viel Aufmerksamkeit erforderlich, um die verschiedenen Benutzertypen zu provisionieren und zu verwalten. Neben regulären Mitarbeitenden sind in der Regel viele Freiwillige und externe Parteien beteiligt, und häufig sind viele projektbezogene und temporäre Accounts im Einsatz. Die Auslagerung der IAM-Prozesse in die Cloud ist hier besonders wichtig, um die IT-Kosten zu begrenzen.
Mehr über HelloID erfahren?
Wir haben in diesem Blog einige Beispiele gezeigt, wie Sie HelloID einsetzen können, um im Rahmen einer Reorganisation bestehende Accounts und Zugriffsrechte in die neue Situation zu überführen. Gleichzeitig gibt es noch zahlreiche weitere Szenarien. Sie können beispielsweise über einen der Konnektoren relativ einfach neue Anwendungen anbinden. Auch verschiedene Fusionsszenarien sind möglich, bei denen Sie zum Beispiel HR-Daten aus zwei Organisationen kombinieren können. Und haben Sie das Berechtigungsmanagement bisher manuell organisiert? Dann ist eine Reorganisation vielleicht genau der richtige Zeitpunkt, um eine IAM-Lösung einzuführen.
Möchten Sie herausfinden, was HelloID für Ihre Organisation bedeuten kann? Besuchen Sie die HelloID-Seite oder fordern Sie direkt eine Demo an