|
Da unternehmensweites Risiko-Management immer auch das IT-Risiko-Management
umfasst, steht das Thema Compliance weit oben auf der IT-Agenda von Unternehmen.
Das bedeutet vor allen Dingen, dass die Vergabe und Änderung von Zugriffsrechten
revisionssicher dokumentiert ist und dass diese zur Risikoanalyse stets verfügbar
sind. Eine Nichteinhaltung dieser Minimalforderungen, die aus allen Standards
ableitbar sind, führt zunehmend zu Nachteilen wie z.B. Herabsetzung im Rahmen
von Bonitätsprüfungen.
Nun stellt sich dem CIO eines Unternehmens häufig die Frage, wie er die Forderung
nach Revisionierbarkeit der Zugriffsrechte erreichen kann. Als Lösung kommt hier
nur eine unternehmensweite Lösung in Betracht, die sowohl die Vergabeprozesse als
auch die aktuellen und historischen Berechtigungen abbilden kann. Ziel ist hier
häufig die Übersicht über die aktuellen Berechtigungen im Unternehmen. Durch
eine gut konzipierte IPM Lösung ist es möglich, die Berechtigungen sowohl zentral
als auch dezentral zu vergeben und zu überwachen.
Das Identity & Provisioning Management System bietet eine Vielzahl an
Funktionen, die Compliance und die Revisionierbarkeit der Berechtigungsstruktur
erheblich unterstützen.
Internes Kontrollsystem (IKS)
Um die Compliance optimal zu unterstützen, ist ein Internes Kontrollsystem
(IKS) unbedingt Voraussetzung. Mit dem IKS wird eine systeminterne Überwachung
der Einhaltung der Sicherheitsrichtlinien erreicht.
Das IKS von bi-Cube®
überwacht die Prozesse auf Zulässigkeit, steuert Sicherheits Komponenten ein und
entdeckt auf Basis eines internen Regelsystems auffällige Vorgänge. Ein integriertes
SSO unterstützt das IKS durch die Überwachungsmöglichkeit dynamischer Informationen,
z.B. eine hohe Nutzungsrate kritischer Applikationen bzw. die Nutzung dieser Systeme
zu bestimmten Tagesszeiten.
Security Classifications
Grundlage für das IKS ist die Vergabe von Security Classification (SC)
an sämtliche Objekte und Attribute. Wenn ein Nutzer neu angelegt wird,
wird ihm die Security Classification nach dem Beschäftigungsverhältnis
zugeordnet. Diese kann auch anschließen entsprechend den Tätigkeiten des
User jederzeit angepasst werden. Außerdem können für ausgewählte Rollen,
Systeme bzw. Attribute die jeweilige SC vergeben werden:
- Unmarked
- Unclassified
- Restricted
- Confidential
- Secret
- Top Secret
So kann z.B. über die Security Classification generell festgelegt
werden, dass bestimmte Rollen nur internen Mitarbeitern zugeteilt werden können
oder eine Rolle, die den Zugang zu vertraulichen Unternehmensdaten ermöglicht,
nur der Geschäftsführung mit der Classification: ‚Top Secret’,
zugänglich gemacht wird. Die Security Classification ist die Basis für das IKS,
um beispielsweise auffällige Einzelvorgänge zu ermitteln.
Mit den Security Classifications wurden die entsprechenden Sicherheitsrichtlinien
definiert. Daraus resultierend können Security Prüfungen realisiert und ein
Frühwarnsystem für auffällige Vorgänge aufgesetzt werden.
Reports
Für die Revision und das Auditing im Unternehmen ist es wichtig jederzeit
Reports zur Berechtigungsstruktur zu generieren. In bi-Cube® ist es möglich,
jederzeit über das Web einen aktuellen Überblick über die Aktivitäten im IPM
zu bekommen:
WER hat WAS für WEN WANN getan.
Mit bi-Cube®
können Reports zu Nutzern, Systemen, Rollen, zur Organisation
und zu Prozessen erzeugt werden. Jeder Report kann in CSV exportiert und somit
zur weiteren Verwendung aufbereitet werden. Darüber hinaus bietet
bi-Cube®
zahlreiche weitere Reportfunktionen wie Stichtagsreport oder User-Life-Cycle Report.
Gesichertes Betriebskonzept
Das gesicherte IPM- Betriebskonzept trennt die Modellierung von dem
Produktiv-System und fügt eine „freigebende Instanz“ ein,
die bestimmte Modellierungen freigibt, bevor diese produktiv wirksam werden
Kern dieser Struktur ist das Entwicklungssystem:
Revisionssicherheit mit bi-Cube® durch:
 saubere und transparente Verwaltung der Kompetenzen
funktionsbezogene Kompetenzen durch Rollenkonzept
Berücksichtigung auch temporärer Abwesenheiten
keine „Berechtigungsleichen“ in den Subsystemen
separate Kompetenzen beim Remote-Zugang (z.B. Web to Host)
hohe Prozesstransparenz durch vollständige Nachvollziehbarkeit der Antragsbearbeitung
|