Hintergrund
In Großunternehmen werden eine Vielzahl von Geschäfts- und IT-Applikationen genutzt. Für alle müssen regelmäßig Berechtigungen an neue Nutzer vergeben oder bereits zugewiesene Berechtigungen geändert oder entzogen werden. Je mehr Applikationen und je komplexer die Berechtigungsstruktur, desto mehr Aufwand entsteht für das Unternehmen.
Ausgangssituation
Ein Großteil der Business-Applikationen des internationalen Bankunternehmens wies eine unübersichtliche und lediglich technisch beschriebene Berechtigungsstruktur auf. Dies erschwerte nicht nur die Vergabe und Steuerung der Zugriffsrechte der Mitarbeiter, sondern auch verpflichtende Rezertifizierungen. Ebenfalls stellte das fristgerechte Antworten auf Audit-Anfragen bezüglich Berechtigungskonzepten und -steuerung eine große Herausforderung dar. Das Ziel des Deloitte-Projektes war es daher, die Komplexität durch die Erstellung neuer Business-Rollen erheblich zu reduzieren und gleichzeitig die Compliance zu verbessern.
Unser Projekt-Scope
Deloitte wurde aufgrund von langjährigen Geschäftsbeziehungen für ein dreimonatiges Pilotprojekt beauftragt. Unsere Aufgaben umfassten die Definition des Pilotumfangs, die Datensichtung und -bereinigung sowie die anschließende Programmierung des Codes für die Datenanalyse in Python und die Anwendung auf zwei Geschäftsbereiche der Bank.
Der Deloitte-Ansatz
Anstatt der traditionellen Bestimmung von Nutzerprofilen mit Soll-Charakter anhand von Interviews und segmentierten Analysen, die sehr zeit- und ressourcenaufwändig sind, konnten wir eine datengetriebene Methode zur Optimierung der Nutzerprofile verwenden, die auf moderne Analyseverfahren setzt und eine Abbildung der in der Praxis genutzten, applikationsübergreifenden Berechtigungsprofile liefert.
Die technische Umsetzung
Für die Analyse wurden zunächst aus der vorliegenden Datenbasis die vergebenen Berechtigungen inklusive der jeweiligen Nutzer extrahiert, in eine direkte Nutzer-Berechtigungsbeziehungsmatrix transferiert und häufige Berechtigungsmuster identifiziert. Auf dieser Grundlage wurden die am häufigsten in Kombination genutzten Berechtigungen applikationsübergreifend identifiziert. Anschließend wurden Business-Rollen aus den Berechtigungsmustern gebildet. Dies geschah unter Berücksichtigung einer möglichst hohen Zuweisungsabdeckung bei gleichzeitiger Anzahlminimierung der Business-Rollen. Abschließend wurden die Business-Rollen sortiert nach Zuweisungsabdeckung aufgelistet und konnten dann in interaktiven Grafiken, beispielsweise mit Zugriffsmustern nach Ländern, Organisationseinheiten oder Mitarbeitergruppen, dargestellt werden.
Das Ergebnis
Der Pilot wurde erfolgreich termingerecht abgeschlossen und bereits dem Kunden präsentiert. Das Ergebnis des Piloten auf rein technischer Basis zeigte ein Einsparpotenzial bei den Business-Rollen von mehr als 50% und lieferte somit das gewünschte Ergebnis für den Kunden. Aus bankenfachlicher Sicht ermöglichte die Analyse erstmalig die exakte Definition von Rollen im Front-, Middle- und Back-Office wie beispielsweise eine Trader-Rolle für bestimmte Produktgruppen.
Unser Mehrwert für den Kunden
Durch unser Pilot-Projekt konnten wir in den beiden Geschäftsbereichen ein signifikantes Einsparpotenzial bei der Anzahl der Business-Rollen aufzeigen. Wenn diese neue Rollenstruktur implementiert wird, profitieren die Fachanwender davon bei ihrer täglichen Arbeit, da Berechtigungen einfacher vergeben, geändert und entzogen werden können. Auch die zuvor erwähnte Rezertifizierung kann dann in kürzester Zeit durchgeführt werden, da weniger Rollen anstelle von umfangreichen Einzelberechtigungen zu prüfen sind. Die neu geschaffene Übersichtlichkeit erleichtert auch die Reaktion auf Audit-Anfragen und stellt termingerechte Lieferungen sicher.