Die Experten von econet sind sich einig: Das Thema Compliance wird auch in 2008 entscheidend sein. Spätestens mit der Verabschiedung der 8. EU-Richtlinie (EuroSOX) werden börsennotierte Firmen und Unternehmen öffentlichen Interesses interne Kontroll-, Revisions- und Managementsysteme aufsetzen und deren Wirksamkeit gewährleisten müssen. Die Zeit drängt, um mit guten Vorsätzen in das neue Jahr zu starten und die Compliance-Vorgaben zu erfüllen. Wichtiger Schritt dahin und Basis von IT-Compliance zugleich ist die Beherrschung der Prozesse bei der Vergabe und Verwaltung von Zugriffsrechten. Der IT-Service Management (ITSM)-Experte econet gibt Unternehmen Tipps, wie sie mit einer automatisierten Identity-Provisioning-Lösung die internen und externen Compliance-Vorgaben einhalten können.
Eine aktuelle Studie von Steria Mummert Consulting belegt, dass lediglich ein Drittel der deutschen Firmen ein Risikomanagement für IT-Sicherheit eingerichtet hat. Dabei sind die Gefahren nicht zu unterschätzen: Laut Experton Group kennt jedes zehnte deutsche Unternehmen mindestens ein Unternehmen der eigenen Branche, das durch einen Verstoß gegen relevante Regelungen mit Sanktionen oder Strafen belegt wurde.
Mit guten Vorsätzen für 2008 zur Compliance-Konformität
econet greift Unternehmen auf dem schwierigen Weg zu einer Compliance-konformen IT mit einem methodischen Ansatz unter die Arme: Der Knackpunkt ist der schrittweise Aufbau einer Management-Lösung für Benutzer, Identitätsdaten, Rechte und Ressourcen. Mit econet cMatrix lässt sich ein hoch automatisiertes System schaffen, das die Basis für regulatorische Konformitätsmaßnahmen auf dem Gebiet unternehmensweiter Zugriffsrechte bildet und sowohl deren Erteilung und Entzug als auch Nachweis und Kontrolle umfasst.
Als erstes wird ein Berechtigungs-Audit durchgeführt, das heißt, die bestehenden Berechtigungen werden aus den historisch gewachsenen Dateistrukturen ausgelesen. Damit können IT-Verantwortliche mit Sicherheit sagen, wer Rechte auf eine bestimmte Dateiablage im Unternehmen hat, oder welche Berechtigungen auf Dateiablagen sich bei einem bestimmten Mitarbeiter angesammelt haben. In einem zweiten Schritt wird die Datei- und Rechtestruktur hochautomatisiert in eine neue, frei wählbare Zielstruktur überführt. Das Ergebnis ist ein genormtes Dateisystem mit genormten Zugriffsregeln. Drittens sorgt eine regelbasierte Verwaltung von Dateistrukturen und Berechtigungen für die dauerhafte Erhaltung der sauberen Datenbasis und aller logischen Abhängigkeiten. Damit wird verhindert, dass durch erneuten Wildwuchs wieder die alten Sicherheitslücken entstehen. Der vierte und letzte Schritt ist die Einführung einer Identity-Provisioning-Lösung für die Verwaltung von Benutzern und Identitäten: Dies ermöglicht beispielsweise, dass sich Mitarbeiter mit Anwendungen, Ressourcen und Informationen selbstständig durch kontrollierte Self-Service-Funktionen versorgen können.
Entscheidend für die Einhaltung von IT-Compliance-Vorgaben ist der Einsatz einer Lösung, die folgende fünf Schlüsselmerkmale erfüllt:
(1) die Standard-IT-Prozesse bis ins Detail beherrschbar und steuerbar macht,
(2) Nachvollziehbarkeit der IT-Prozesse und Prozessschritte garantiert,
(3) manuelle Änderungen durch Automatisierung verhindert,
(4) alle Prozess- und Regeländerungen kontrolliert und revisionssicher dokumentiert,
(5) durch transparente Strukturen dafür sorgt, dass einmal vergebene Berechtigungen nicht übersehen werden, beispielsweise wenn Mitarbeiter das Unternehmen verlassen.
Weitere Informationen zu econet finden Sie unter http://www.econet.de.
X