Risiko-Management, Corporate Governance und Compliance zählen zu den heißen IT-Themen der kommenden Jahre. Die Untersuchung von Gartner "The 2007 Compliance and Risk Management Planning Guidance: Governance Becomes Central" (erhältlich unter http://mediaproducts.gartner.com/gc/webletter/econet/index.html) sowie eine aktuelle Publikation des Münchner Provisioning-Experten econet AG belegen diesen Trend. Der Grund für die zunehmende Popularität: Sicherheitslücken durch die zunehmende Unübersichtlichkeit bei Systemen, Anwendern und Ressourcen stellt die bisherige Praxis bei der Verwaltung und Kontrolle von Zugriffsrechten in Frage. Hinzu kommen bereits bestehende und verabschiedete Richtlinien und Gesetze wie etwa das Bundesdatenschutzgesetz, die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder EuroSOX, die kommende achte EU-Richtlinie die eine striktere Einhaltung von Compliance-Vorgaben fordern.
econet greift Unternehmen auf dem schwierigen Weg zu einer Compliance-konformen IT mit einem methodischen Ansatz unter die Arme: Der Knackpunkt ist der schrittweise Aufbau einer Management-Lösung für Benutzer, Identitätsdaten, Rechte und Ressourcen. Mit cMatrix lässt sich ein hoch automatisiertes System schaffen, das die Basis für regulatorische Konformitätsmaßnahmen auf dem Gebiet unternehmensweiter Zugriffsrechte bildet. Dieses umfasst sowohl deren Erteilung und Entzug als auch Nachweis und Kontrolle.
In einem ersten Schritt erhalten IT-Abteilungen die Möglichkeit, Berechtigungen aus historisch gewachsenen Dateistrukturen per Werkzeug auszulesen. Damit lassen sich bereits erste dringliche Fragen wie etwa zu Dateiberechtigungen klären. Anschließend können Datei- und Rechtestrukturen automatisiert in eine frei wählbare Zielstruktur übernommen werden. Aus den Analysen des Ist-Zustandes und den Vorgaben über die neue Dateistruktur lassen sich so bereits frühzeitig aussagekräftige Reports über potenzielle Auswirkungen und Abläufe des zukünftigen Zielszenarios generieren. Das Resultat: Nach der Prüfung und Freigabe des Reports durch Fachabteilungen und Administration strukturiert die Transformationslösung von econet die Dateisysteme entsprechend der Vorgaben automatisch neu. Darüber hinaus werden die Dateistruktur reorganisiert und Berechtigungen aktualisiert. Unternehmen erhalten so mit wenig Aufwand ein genormtes Dateisystem mit standardisierten Zugriffsregelungen für einen effizienten IT-Betrieb.
Als nächsten logischen Schritt zur Erfüllung regulatorischer Anforderungen an die IT nennt econet die Einführung eines standardisierten und automatisierten Fileservice Managements. Damit sind IT-Administratoren in der Lage, Dateistrukturen und Berechtigungen regelbasiert zu verwalten. Klar definierte Prozesse für die Versorgung von Abteilungen, Projektgruppen und einzelne Mitarbeiter mit Projekt- und Dateiablagen sorgen dafür, einen erneuten Wildwuchs zu verhindern. Wichtig dabei: Prozesse und Prozessschritte sind bei dieser Vorgehensweise stets nachvollziehbar.
Um Risiken wie nicht gelöschte Benutzerkonten ehemaliger Mitarbeiter, inkonsistente Zugriffsbedingungen oder die Fehler bei der manuellen Administration zu vermeiden, wird ein umfassendes Management von Anwendern und Identitäten, Rechten und Ressourcen nötig. Hier helfen professionelle Provisioning-Lösungen, die die Abwicklung von Geschäftsprozessen vereinfachen und beschleunigen. Dazu gehören die Erstellung und Verwaltung digitaler Identitäten und Kennungen, die Realisierung von rollen- und mandantenbasierten Berechtigungskonzepten, Self-Service-Funktionen mit gesicherten Genehmigungs- und Freigabe-Workflows sowie umfassende Reporting- und Audit-Funktionen. Hinzu kommen die sinkende Fehleranfälligkeit bei steigendem Automatisierungsgrad, eine hohe Qualität und Aktualität der Daten sowie die Risikominimierung bei Prozessänderungen durch konsequentes Regelmanagement.
Max Peter, Vorstand und CEO der econet AG, untermauert die hohe Relevanz Compliance-konformer IT-Umgebungen mit gesetzlichen Argumenten: Die kürzlich verabschiedete achte EU-Richtlinie besagt, dass börsennotierte Unternehmen und Organisationen öffentlichen Interesses interne Kontrollsysteme und gegebenenfalls interne Revisions- und Risikomanagementsysteme aufsetzen und deren Wirksamkeit gewährleisten müssen. Diese europäische Vorschrift müsse ab dem 29. Juni 2008 in nationales Recht umgesetzt werden und nehme in hohem Maße auch Einfluss auf die IT im Unternehmen. Bei der Einhaltung der Compliance im IT-Umfeld sei ein zentraler Aspekt, wer auf welche Informationen im Unternehmensnetzwerk zugreifen könne. Dass Management und Aufsichtsrat unter Umständen persönlich haftbar gemacht werden können, sei hinlänglich bekannt. Vielen IT-Verantwortlichen fehlt es jedoch sowohl an praxisorientierten Informationen, als auch Tools, um diese Herausforderungen zeitgerecht meistern zu können, so Peters Fazit.
Weitere Informationen zu econet und Compliance finden Sie unter http://www.econet.de/about/compliance.htm.
X