Direkt zum Hauptinhalt

Austrittsprozess für Externe

Diese Funktion ist eine kostenpflichtige Zusatzoption, die nicht allen Portalanwendern zur Verfügung steht.

Einleitung

Für eine stringente Governance in Bezug auf externe Personen, die im Unternehmen eingesetzt werden, haben wir bei items einen automatischen Austrittsprozess etabliert, der sich in der Praxis bewährt hat.  Wir bieten unseren Kunden an, diesen Prozess ebenfalls zu nutzen.  Ein Teil davon muss organisatorisch im Unternehmen verankert werden, die tatsächliche Überwachung und Prozessausführung erfolgt Tool-gestützt im metis-System. 

Der Prozess im Überblick

Das wesentliche Ziel des Prozesses ist es, keine veralteten Zugriffsberechtigungen für Externe aktiv zu belassen, wenn diese nicht mehr für das Unternehmen tätig sind.  Dies wird dadurch sichergestellt, dass Externe grundsätzlich maximal sechs Monate in die Zukunft berechtigt werden dürfen.  Das Austrittsdatum wird zudem überwacht, sodass die notwendigen Verlängerungen rechtzeitig erfolgen können.  Wird keine Verlängerung für eine externe Person angefordert, so wird diese automatisch zum Austritt vermerkt.

Technisch gibt es zwei Elemente in unserer ITSM-Suite, mit deren Hilfe wir sicherstellen, dass es keine veralteten Zugriffsberechtigungen für Externe mehr gibt.

  1. Einerseits ist dies die Festlegung des Austrittsdatums als Pflichtfeld bei Externen: Es können keine externen Kontakte in metis zum Kunden angelegt werden, wenn diese nicht auch ein Austrittsdatum innerhalb der nächsten sechs Monate zugewiesen bekommen.
  2. Andererseits gibt es einen Automatismus bei Erreichen des Austrittsdatums: Damit soll sichergestellt werden, dass zu jeder externen Person rechtzeitig ein Ticket für die Verlängerung oder den Austritt erzeugt wird.

Die Einrichtung der technischen Aspekte im System ist recht einfach.  Anspruchsvoller ist die organisatorische Vorbereitung und Umsetzung der Maßnahme.  Sprechen Sie uns gerne an, um von unseren Erfahrungen bei der Umsetzung in verschiedenen Unternehmen zu profitieren.

Die Umsetzung der Befristung in den jeweiligen Wirksystemen ist natürlich abhängig von den jeweiligen technischen Möglichkeiten.  Im Active Directory und in der SAP-Berechtigung ist es beispielsweise ohne Probleme möglich, die Berechtigungen mit entsprechenden End-Daten zu pflegen.

Automatismus für Verlängerung oder Austritt

Im Wesentlichen besteht der Austrittsprozess aus drei Schritten:

  • Vier Wochen vor dem angegebenen Austrittsdatum erhält der zugeordnete Vorgesetzte eine Info per E-Mail, in der er darüber informiert wird, dass die Gültigkeit der Berechtigungen ausläuft. Der Vorgesetzte wird darin aufgefordert, ein Verlängerungsticket zu erstellen, falls der Externe weiter beschäftigt wird. Andernfalls ist nichts zu tun.
  • Eine Erinnerung – also eine zweite, inhaltlich analoge E-Mail – wird zwei Wochen vor Austrittsdatum erneut verschickt.
  • Sieben Tage vor Erreichen des Austrittsdatums wird automatisch ein Ticket zum Austritt des Externen (inkl. Löschung sämtlicher Berechtigungen) erstellt. Das Ticket muss vom zuständigen Vorgesetzten genehmigt werden.

Wenn zu einem Zeitpunkt entschieden wird, dass die externe Person verlängert werden soll, weil sie weiter für das Unternehmen tätig ist, so wird vom zuständigen Vorgesetzten ein Verlängerungsticket erstellt.  Dadurch wird der Prozess beendet und zum neuen Austrittsdatum erneut gestartet.

Einfach dargestellt sieht der Prozess also wie folgt aus:

austrittsprozess-schematisch.png

Controlling des Prozesses

Die bisherige Erfahrung hat gezeigt, dass der Prozess recht gut funktioniert.  Externe werden zuverlässig beendet und in den meisten Fällen wird die Verlängerung bzw. Beendigung reibungslos durchgeführt. 

Nichtsdestotrotz ist eine Überwachung des Prozesses auf Kundenseite notwendig.  Hier sind vor allem zwei Aspekte wichtig:

  1. Es muss sichergestellt werden, dass alle Externen über den Prozess verwaltet werden.
  2. Punktuell sollte geprüft werden, dass die Berechtigungen in den Wirksystemen auch den erwarteten Befristungen entsprechen.
  3. Die Abläufe im ITSM-System müssen gemäß den organisatorischen Vorgaben befolgt werden.

In Bezug auf den ersten Punkt muss das Unternehmen durch geeignete organisatorische Maßnahmen sicherstellen, dass es keine „Schattenwelt“ gibt, in der Externe am Prozess vorbei berechtigt werden. 

Eine Prüfung, ob die Befristung auch zuverlässig in den Wirksystemen eingetragen wird, kann in der Regel in Zusammenarbeit mit unseren Kollegen aus der Zugriffsberechtigung erfolgen.  Je nach konkreter technischer Situation ist ein sinnvoller Rhythmus festzulegen.  Beispielsweise ist eine Prüfung sehr viel seltener notwendig, wenn die Befristung durch Automatismen in die Wirksysteme übertragen wird (z. B. ein automatisches Setzen des End-Datums aus metis heraus).

Hinsichtlich des dritten Punktes müssen Personen im Unternehmen, beispielsweise im IT-Management, damit beauftragt werden, die Prozessausführung zu überwachen.  Es kann zu verschiedenen Problemfällen kommen, wenn mutwillig oder unwissentlich gegen die organisatorischen Vorgaben gearbeitet wird.  Nicht alle Fälle lassen sich technisch erkennen und abfangen.

Beispielsweise kommt es gelegentlich vor, dass trotz der Erinnerungen kein Verlängerungsticket erstellt wird und stattdessen dann das automatisch generierte Austrittsticket abgebrochen wird.  Auf diese Weise wird das Austrittsdatum des Externen nicht aktualisiert, da dies nur mit Verlängerungsticket möglich ist. Das verhindert auch eine zukünftige automatische Überprüfung des Austrittsdatums.

Speziell zur Überwachung dieses Falls haben wir eine Suche Externe ohne Verlängerung vorbereitet.  Diese zeigt die betroffenen Externen an, damit für diese im Nachgang ein Verlängerungsticket erstellt werden kann. Die Suche ist für IT-Koordinatoren im Menüpunkt Kontakte unternehmensweit aufrufbar.

vivaldi_Ip8VXv2VuH.png

Customizing-Möglichkeiten

Der Prozess an sich lässt sich nicht anpassen.  Wir sind überzeugt, dass er eine gute Lösung darstellt, die auf viele Unternehmen passt.  Wenn es sehr grundsätzliche Abweichungen bei den Anforderungen gibt, können wir diese vermutlich leider nicht berücksichtigen.

Einige Aspekte des Prozesses lassen sich aber im Rahmen von Customizing anpassen.  Zwei besonders prominente Beispiele beschreiben wir im Folgenden.

E-Mails

Die E-Mails, die im Rahmen des Prozesses an die Anwender verschickt werden, lassen sich anpassen, damit diese auf die organisatorischen Eigenheiten Ihres Unternehmens zugeschnitten sind.  Beispielsweise ergibt es Sinn, die relevanten Vorschriften bzw. Regelungsdokumente zu benennen und die Ansprechpartner im Unternehmen zu identifizieren.

Diese Anpassungen können wir problemlos im Rahmen der Einführung des Prozesses in Ihrem Unternehmen vornehmen.

Unbefristete Externe

Einige Kunden möchten den Prozess ein wenig aufweichen, ohne eine „Schattenwelt“ von Externen neben dem Prozess aufzubauen.  Insbesondere wird es manchmal gewünscht, für ausgewählte Externe eine unbefristete Berechtigung zu vergeben.  Unser Prozess bietet diese Möglichkeit, sodass man auch unbefristete berechtigte Externe im selben Prozess sehen und verwalten kann – natürlich ohne den Automatismus zum Austritt.  Wir raten allerdings dazu, diese Fälle gut zu überdenken.  Nicht zuletzt ist es ein Problem, wenn man die Regel „Alle Externe maximal sechs Monate in die Zukunft berechtigen“ aufweicht; dadurch erfährt die Regel unter Umständen deutlich weniger Akzeptanz im Unternehmen.

Keine Kommentare
nach oben