Foto: caldera - Fotolia.com
Obwohl jede vergebene Zugangsberechtigung im Unternehmen zum Risiko werden kann, nimmt deren Zahl rasant zu. Folglich ist besonders das Management der Zugriffsrechte die hohe Kunst einer modernen Risiko-Management-Strategie. Hinzu kommt, dass etliche Compliance-Richtlinien die Steuerung und Nachvollziehbarkeit von Berechtigungsvergaben einfordern.
Daher sollten interne Zugriffsberechtigungen so eingerichtet sein, dass jeder Mitarbeiter wirklich nur auf diejenigen Systeme zugreifen kann, die seine Arbeit erfordert. Der Zugriff darf nur den Umfang haben, den der jeweilige Mitarbeiter zur Erledigung seiner Tätigkeit zwingend benötigt.
Die folgende Checkliste zeigt auf, worauf Unternehmen bei Planung, Einführung und Umsetzung eines Access-Risk-Management-Systems achten sollten – auch Dienstleister und Berater können von diesen Tipps profitieren und ihre Kunden für dieses Thema sensibilisieren.
Nutzen Sie die Möglichkeiten der intelligenten Risikoanalyse
Niemand garantiert, dass sich jedes Zugriffsrisiko erfassen lässt. Auf Business-Intelligence-Technologie aufbauende Access-Intelligence-Lösungen ermöglichen jedoch zumindest den Nachweis, dass alles für die Erfüllung der Compliance-Vorgaben Wichtige erfasst und dokumentiert wurde.
Es geht um die Beantwortung der wesentlichen Fragen der Berechtigungsverwaltung, beispielsweise darum, welcher Nutzer welche Berechtigungen besitzt und wie diese in der Vergangenheit aussahen. Unternehmen können mögliche Problemstellen identifizieren und sich maßgeschneiderte Risikoberichte erstellen, aber auch Lösungsmöglichkeiten aufzeigen lassen.
Think big, start small! Führen Sie Risiko-Management in einem Stufenmodell ein
Der Business-Intelligence-Ansatz macht weitreichende Analysen möglich. Seine Einführung bietet sich als Schritt-für-Schritt-Prozess an, der schon früh in ein ausbaufähiges System mündet. Die Technik selbst wird erst ganz am Schluss implementiert. Wichtig ist, vorab die Frage zu klären, wer die Bewertung der Risiken vornimmt.
In einem ersten Schritt werden ausschließlich die wichtigsten Risikopotenziale bewertet. Erfahrene Consultants sollten jedes Projekt begleiten und fundierte Vorschläge sowie Handlungsempfehlungen aussprechen. Um den Aufwand in Grenzen zu halten, empfiehlt sich die Konzentration auf das Wichtigste, also beispielsweise auf hochrisikobehaftete Applikationen und Systeme. Nicht relevante Fragestellungen oder sehr geringe Risiken sind derweil zu vernachlässigen. So kann das Risiko-Management-System schnell eingeführt und implementiert werden. Die Risikobewertung lässt sich später schrittweise erweitern.
Machen Sie es den Kollegen einfach, verlässliche Aussagen treffen zu können
Von der Einführung eines intelligenzbasierten Risiko-Managements sollten vor allem vier Gruppen im Unternehmen profitieren: das Auditing & Controlling, die lT bzw. IT-Security, das Management und die Anwender in den Fachabteilungen.
Für Auditoren ist es wichtig, dass ihre Anforderungen mit möglichst geringem Aufwand erfüllt werden können. Spontane (Nach-)Fragen des Auditors zum Access Management sollten flexibel, schnell und individuell beantwortet werden können. Für IT-Administratoren oder IT-Security-Verantwortliche müssen umfassende Analysen und Informationen leicht aufzufinden sein, um das Risiko aus erteilten Zugriffsberechtigungen bewerten zu können.
Auch das Management gewinnt durch die Einführung von Risikomanagement-Systemen in vielfacher Hinsicht. So steigt die Transparenz in der Berechtigungsvergabe, während gleichzeitig sichergestellt ist, dass sämtliche Veränderungen nachvollziehbar und erklärbar bleiben. Auf diese Weise stellen Sie sicher, dass die Compliance-Vorgaben eingehalten werden können. Schließlich zählen auch die Anwender in den Fachabteilungen zu den Nutznießern, vorausgesetzt die Wahl fällt auf eine einfach zu bedienende und übersichtliche Lösung. Ein intuitiv aufgebautes Tool ist hier für die Business-Nutzer von Vorteil, das über vorgefertigte Reports sowie Analyseoptionen verfügt und regelmäßige Push-Informationen versenden kann.
Auf der nächsten Seite erfahren Sie u.a., wie man Hochrisiko-Nutzer identifiziert.