Vodafone Türkei baut ein starkes Identitäts-Sicherungsprogramm auf

Vodafone ist mit der wachsenden Anzahl von Audits zur Einhaltung von Vorschriften und behördlichen Auflagen, die zur Bewertung von Schwachstellen in der Informationstechnologie, Softwareentwicklungspraktiken, Managementabläufen, Sicherheits- und Umweltpraktiken sowie einer Vielzahl von branchenspezifischen Szenarien erforderlich sind, vertraut.

Tatsächlich muss Vodafone sehr viele äußerst restriktive Vorschriften von Regierungsorganisationen, unabhängigen Organisationen und interne Vorschriften einhalten. Die Nichteinhaltung dieser Vorschriften führt nicht nur zu hohen Geldstrafen, sondern schwächt auch das Vertrauen der Kunden und die Erwartungen des Unternehmens.

Aufgrund der Compliance- und der regulatorischen Audit-Anforderungen für Vodafone Türkei entstand ein Identitätsmanagementsprogramm, das dem Unternehmen ein robustes Identitätsmanagementsystem zur Verfügung stellt, das nicht nur die heutigen, sondern auch die zukünftigen Compliance-Anforderungen erfüllt.

„Wir recherchierten also die führenden Unternehmen im Bereich der Zugriffsverwaltung, indem wir uns die Aussagen von Gartner und anderen Unternehmen ansahen, um die Marktführer und Visionäre zu finden. Außerdem sprachen wir mit anderen Unternehmen in Europa und der Türkei, die ihre Erfahrungen mit uns teilten“, erklärt Serdar Calin, Access Governance und Identity Management Architect, Vodafone Türkei.

Calins Team erstellte daraufhin eine Auswahlliste von Unternehmen, zu denen auch SailPoint gehörte, und bat diese, einen Proof of Concept (POC) zu absolvieren. Dieser enthielt mehr als 200 Fragen über komplexe Arbeitsabläufe für Zugriffsanfragen und personalisierte Zertifizierungsszenarien sowie Dinge wie angepasste Geburtsrechtzugriffe.

SailPoint-Experten richteten dann eine neue, temporäre POC-Umgebung für Vodafone Türkei ein, um die vorgeschlagenen Lösungen zu veranschaulichen.

„Die Experten von SailPoint haben diese Fragen schnell beantwortet und uns einige alternative Möglichkeiten zur Lösung verschiedener Szenarien und Probleme aufgezeigt“, so Calin. „SailPoint erhielt während des gesamten POC-Ablaufs die höchste Punktzahl und erfüllte alle unsere Anforderungen an die Zugriffssteuerung in allen Geschäftsszenarien.“

Eine Arbeitsbeziehung

Die Ergebnisse des POC waren der Grund, aus dem Vodafone Türkei SailPoint für seine Identitäts- und Zugriffsverwaltung (IAM) wählte.

„Wir nutzen alle Funktionen von SailPoint und reizen definitiv alle Grenzen aus“, sagte Calin. „SailPoint deckt etwa 95 Prozent unserer Bedürfnisse ab, es gab aber ein paar Situationen, in denen wir eine Erweiterung benötigten. Wir mussten zum Beispiel Anhänge an Zugangsanträge anhängen und haben deshalb eine maßgeschneiderte Lösung entwickelt. Mit der nächsten Version von IdentityIQ war diese Funktion bereits in die SailPoint-Basis integriert.“

Calin beschrieb seine Erfahrung als SailPoint-Architekt und -Administrator für Vodafone Türkei als „großartig“ und erklärte, dass Vodafone Türkei in den sechs Jahren, seit es sich für SailPoint entschieden hat, keine ungeplanten Serviceunterbrechungen erlebt hat.

„Bevor wir auf SailPoint umstellten, nutzten wir ein personalisiertes Ticketsystem für die Erfassung von Zugriffsanfragen“, erklärt er. „Dabei handelte es sich aber nicht um ein echtes Produkt zur Zugriffsverwaltung und der Schwerpunkt lag auf der Erfassung von Zugriffsanfragen auf einer Plattform. Die Anzahl dieser Zugriffsanfragen konnte jedoch mit dem Geburtsrechtzugriff von SailPoint um mehr als 1.000 reduziert werden. Das war ein extrem positives Ergebnis für uns.“

Calin sagt auch, dass SailPoint großen Einfluss auf die Mitarbeitereinstellung und die Onboarding-Zeiten des Unternehmens hatte.

„SailPoint reduzierte die Zeit für die Bereitstellung und das Onboarding von bis zu sechs Stunden auf weniger als 10 Minuten. Das war eine enorme Verbesserung für unser Team. Wir haben auch unsere manuellen Audit-Berichte durch die automatisch generierten Berichte von SailPoint ersetzt.”

„Vor dieser Umstellung führten wir manuelle Umstiegsvorgänge durch“, erklärt er, „SailPoint ermöglichte es uns aber, zertifizierungsbasierte Umstiegsvorgänge mithilfe der automatischen Bereitstellung anzupassen. Wir erteilen jetzt automatisch alle Berechtigungen für Umsteiger und verfügen über mehr als 230.000 Identitäten, darunter Vollzeitbeschäftigte, Auftragnehmer, Callcenter-Mitarbeiter von Drittanbietern, Vodafone-Händler und deren Mitarbeiter, Investoren und Servicekonten. Wir nutzen auch das SAP HR-Produkt als Quelle für unsere SailPoint-Umgebung. Wenn ein Benutzer das Unternehmen verlässt, können wir die alten Berechtigungen fast sofort nach dem Ausscheiden der Person entfernen.“

Laut Calin ist jedoch die größte Auswirkung für alle Beteiligten die Reduktion des Zeitaufwands für das Onboarding. „SailPoint hat einen enormen Einfluss auf unsere Betriebsleiter, da es die automatische Bereitstellung und Aufhebung der Bereitstellung ermöglicht, ohne dass sie selbst eingreifen müssen.“

In naher Zukunft plant Vodafone Türkei die Integration des SailPoint-Moduls zur privilegierte Zugriffsverwaltung (PAM) in seine CyberArk-Umgebung. Ebenso wird das Unternehmen laut Calin die Geburtsrechtzugriffe auf Grundlage von Daten der Personalabteilung und der Ruhezeitkontrolle auf alle Anwendungen ausdehnen, die in SailPoint integriert sind.
Calin hat auch Tipps für andere Unternehmen, die Lösungen für das Zugriffs- und Identitätsmanagement in Betracht ziehen.

„Diese sollten als Programm und nicht als Projekt behandelt werden“, sagt er und fügt hinzu, dass dieser Prozess, der Jahre dauern kann, Geduld erfordert. „Das Programm betrifft nicht nur die IT-Abteilung, die Datenschutzabteilung oder die Abteilung für Informationssicherheit – es geht um das gesamte Unternehmen. Als solches sollte es alle Mitarbeiter einbeziehen und die Unterstützung der Führungsebene haben, welche Unterstützung für das Programm zeigen muss, um seinen Erfolg sicherzustellen.“