Approaches to Identity and Access Management for Local Governments, Employees and Citizens (de)

Identitäts- und Zutrittsmanagement (IAM) ist oberste Priorität für IT-Abteilungen der Staats- und Gemeindebehörden wie auch anderer lokaler Bereiche. Angestellte der Regierungsbehörden benötigen autorisierten Zugang zu relevanten Informationen, damit staatliche und regionale Regierungsstellen ihre Funktion ausführen können. Gleichzeitig ist es wichtig, das Gleichgewicht zwischen problemlosem Zugriff auf Daten und der Schutzbedürftigkeit von Informationen über Personen, Organisationen und andere Parteien zu wahren.

HID Global nahm kürzlich an einem interaktiven runden Tisch mit CIOs aus Texas und New York teil, bei dem die besten Methoden für die Behandlung des Identitäts- und Zutrittsmanagements (IAM), unterstützt von relevanten Richtlinien, Schulung und Compliance, Mittelpunkt der Diskussion waren. Es freut uns, Ihnen einige der wichtigsten Gedanken vorstellen zu können.

Eine Definition des Identitäts- und Zutrittsmanagements

Identitäts- und Zutrittsmanagement ermöglicht es,

  • der richtigen Person
  • den Zugriff auf die richtigen Daten
  • zur richtigen Zeit
  • aus dem richtigen Grund zu gewähren

Dies gilt ganz besonders für Regierungsorganisationen, da die meisten Unternehmen im Vergleich zu vielen staatlichen Behörden klein erscheinen!

Das IAM der Regierungsbehörden hat sich beträchtlich weiterentwickelt

Die Zutrittskontrollvorgänge für Mitarbeiter und die Zutrittsverwaltung der Identitäten in kommunalen Behörden haben sich in den letzten Jahren bedeutend weiterentwickelt. Glücklicherweise ist die Zeit vorbei, in der Mitarbeiter auf Dokumente von anderen Organisationen und Regierungsstellen Zugriff benötigten, nur um „schnell etwas nachzusehen“. Dies ist den Chief Information Security Officers (CISO) und Chief Information Officers (CIO) zu verdanken, die in ihren Organisationen solide Richtlinien für den Zugriff integriert haben. IT-Abteilungen der Regierungsstellen nutzen ausgefeilte IAM-Plattformen, um Autorisierung und Zugriff auf empfindliche Systeme und Daten zu verwalten. Da die Methoden für die Implementierung von IAM sich sehr unterscheiden können, ist dies von Vorteil.

Jede staatliche und kommunale Regierungsstelle wählt ihren eigenen Ansatz für IAM

Eine der größten Herausforderungen für staatliche, regionale und kommunale Behörden ist die Art und Weise, wie die jeweiligen Regierungsstellen und andere Organisationen IAM umsetzen. Todd Kimball, Deputy Executive Director, Department of Information Resources und Chief Information Officer des Bundesstaates Texas sagt beispielsweise: „Wir haben einen sehr föderierten Staat und alle Regierungsstellen sind autonom. Als CIO des Bundesstaates bin ich für Richtlinien, Schulung, Vision, Führung und Technologie verantwortlich. Wir bestimmen die strategische Ausrichtung des Bundesstaates mit insgesamt 355.000 Mitarbeitern. In Texas kann jede Organisation ihre eigenen Entscheidungen treffen und bestimmen, welche Lösungen und Technologien für das Identitäts- und Zutrittsmanagement sowie für die Handhabung der Zutrittskontrolle für die staatlichen Mitarbeiter verwendet werden sollen.

Dieser Ansatz funktioniert in Texas, obwohl daran gearbeitet wird, ein neues Portal und einen digitalen Assistenten für die Bürger einzurichten. Die Einrichtung umfasst auch eine Option für die Zutrittskontrolle der Staatsangestellten zur Unterstützung des Mitarbeiteridentitätsmanagements.

Der Wunsch nach mehr IAM-Standardisierung hat auch Befürworter

Einige Organisationen streben nach mehr Ausgeglichenheit und Standardisierung von IAM für Regierungsmitarbeiter. Doug Robinson, Executive Director of the National Association of State Chief Information Officers, bevorzugt den Ansatz, der im FICAM-Bericht (Federal Identity Credential and Identity Management Report) erwähnt ist und der ein föderiertes Rahmenmodell innerhalb der Bundesstaaten, aber mit allgemeinen Standards und Attributen empfiehlt.

Doug weiß, dass praktische Anwendbarkeit und Autonomie letztendlich gewinnen werden. „Wir müssen uns klar sein, dass sich alle in verschiedenen Regierungen befinden. Die einen werden eine sehr zentralisierte Identitäts- und Zutrittsmanagementlösung der Unternehmensklasse einsetzen, während andere dies von Regierungsstelle zu Regierungsstelle regeln werden. Im Grunde genommen benötigen wir eine Vebundarchitektur für Interoperabilität.“

Dies wurde vom Bundesstaat New York berücksichtigt. Rajeev Rao, Chief Technology Officer, Office of Information Technology Services im Bundesstaat New York erklärt: „Es war die Vision des Gouverneurs, IT zu konsolidieren. Wir begannen, unsere Kernkompetenzen zu integrieren und fassten alle unsere Regierungsstellen, ungefähr 46, in einem einzigen Rechenzentrum zusammen. Gleichzeitig begannen wir, unsere Kernkompetenzen, die standardisiert werden sollten, zu identifizieren. Eine davon war das Identitätsmanagement. Wir haben nun alles in einem einzigen Identitätsspeicher konsolidiert, der mithilfe einer einzigen Richtlinie von oben nach unten gesteuert wird.

Richtlinien und Compliance stehen für staatliche und kommunale Behörden beim IAM im Mittelpunkt

Eines ist klar, welchen Ansatz die staatlichen und kommunalen Behörden auch wählen, IAM muss von soliden staatlichen und lokalen Richtlinien gesteuert werden und strenge Compliance-Standards erfüllen. Wie Jerry Cox, Director of Business Development bei HID Global erklärte: „Beim Identitäts- und Zutrittsmanagement geht es darum, klar zu wissen, wer Zugang zu Ihren Systemen hat. Was sich geändert hat, ist die Plattform und nicht die Ideen. Dies ist im Wesentlichen eine Diskussion über Richtlinien. Bei der Zutritts- und Identitätskontrolle geht es um die Richtlinie, die eine solide Strategie und einen robusten Ansatz unterstützt.“ Jerry erklärt weiter: „Dies wird von den Anforderungen der Unternehmens-Compliance gesteuert. Die neuen Standards, die bestimmen, wie eine Regierungsstelle betrieben wird, müssen den Vorschriften entsprechen. Durch Konsolidierung kann dies schneller erreicht werden.“

Das richtige Identitäts- und Zutrittsmanagementsystem

Größenvorteile spielen für staatliche Behörden eine Rolle bei der Wahl der richtigen IAM-Plattform, um den Bedürfnisse der Regierungsstellen Rechnung zu tragen. Interoperabilität ist von großer Bedeutung. Deshalb ist es sinnvoll, Standards, Ansätze und Technologie in einer einzigen IAM-Plattform zu zentralisieren. Danach kann jede Regierungsstelle die Integration je nach Bedarf durchführen. So erhalten Sie das Beste aus beiden Welten – die Sicherheit eines konsolidierten, integrierten Ansatzes mit dem richtigen Maß an Autonomie, um Mitarbeiter in allen Regierungsstellen zu engagieren.

Welcher IAM-Ansatz ist richtig für Ihre kommunale Behörde?

Die unterschiedlichen Ansätze der verschiedenen staatlichen und kommunalen Behörden verursachen Spannungen zwischen den Regierungsstellen und den zentralen IT-Funktionen. Tatsächlich gehört IAM nun auf die Liste der wichtigsten zehn Anliegen der CIOs der Behörden. Kurz gesagt, es besteht immer noch eine Kluft zwischen „Wissen“ und „Handeln“, wenn es um IAM geht. Der Konsens ist, dass ein föderierter Ansatz am besten funktioniert. Hierbei können Regierungsstellen ihre eigenen Entscheidungen über IAM treffen, jedoch muss dies mit einer soliden Richtlinie, mit Interoperabilität und einer Grundlage von Compliance und Standards ausgeglichen werden.

Sehen Sie sich den Runden Tisch des Federal News Network in drei praktischen Segmenten an: erster Teil, zweiter Teil und dritter Teil.

Lesen Sie die neuesten Blogs über das Identitäts- und Zutrittsmanagement, das Ihnen direkt in Ihren Posteingang gesendet wird

Yves Massard ist bei HID Global für das Produktmarketing des Identitäts- und Zutrittsmanagements (IAM) für Behörden verantwortlich. Bei HID half Yves bei der Erstellung der US DoD Common Access Card, von ActivID™ CMS – dem marktführenden PIV Credential Management System – und von ActivClient™, der marktführenden Middleware mit. Yves erwarb einen Master in Computer Science vom Institut National des Sciences Appliquées de Rennes und einen MBA von Saint Mary’s College, Kalifornien.

Quellen und Kompetenzen umfassen:

  • Todd Kimball, Deputy Executive Director, Department of Information Resources und Chief Information Officer des Bundesstaates Texas
  • Rajeev Rao, Chief Technology Officer, State of NY Office of Information Technology Services
  • Doug Robinson, Executive Director, National Association of State Chief Information Officers
  • Jerry Cox, Director of Business Development, HID Global