Berlin, 28. Januar 2014 – Das Management der Zugriffsrechte ist zusehends ein wichtiger Baustein für ein erfolgreiches Risikomanagement: Mit jeder vergebenen Zugangsberechtigung und der Anzahl von Zugangskonten steigt das potentielle Risiko für die Unternehmens-IT. Wer bei seinem Risikomanagement die Berechtigungsstrukturen mit berücksichtigt, kann das entsprechende Gefährdungspotential wesentlich verringern und damit auch strategische und operative Bedrohungen senken. Worauf sollten Unternehmen bei der Planung, Einführung und Umsetzung eines Access Risk Management Systems achten? Der Berliner Softwarespezialist Beta Systems gibt hierfür als langjähriger Experte im Bereich Identity Access Management & Governance folgende 5 Tipps:
1) Moderne Risikomanagement-Lösungen in Verbindung mit Access Intelligence nutzen
Access-Intelligence-Lösungen, die auf BI-Technologien aufbauen, ermöglichen den Nachweis, dass “Alles” für die Compliance-Erfüllung “Wichtige” erfasst und dokumentiert wird, wie z. B. “Wer hat aktuell welche Berechtigung?” oder “Wie waren dessen Rechte in der Vergangenheit?”. Access Intelligence zeigt Unternehmen direkt auf, wo Probleme entstehen können, und sollte detaillierte Informationen liefern, mit deren Hilfe Risiken reduziert werden können. Mit einer Access-Intelligence-Lösung auf der Grundlage von BI-Technologien lassen sich maßgeschneiderte Berichte erstellen, die speziell auf die Anforderungen eines Unternehmens zugeschnitten sind. Leistungsfähige Drill-Down- und Drill-Through-Funktionalität gibt Unternehmen unmittelbar fundierte Antworten auf Ad-hoc-Fragen.
2) Risikomanagement im Stufenmodell einführen
Think big, start small! Der Business-Intelligence-Ansatz bietet ein enormes Potential für weitreichende Analysen. Deshalb sollte die Einführung Schritt für Schritt erfolgen und frühzeitig ein System zum Einsatz kommen, das ausbaufähig ist. Die Technik selbst wird dabei erst zum Schluss implementiert. In einem ersten Schritt wird idealerweise ausschließlich auf die wichtigsten Risikopotentiale fokussiert. Hier gilt es vorab die Frage zu klären, wer die Bewertung der Risiken vornimmt. Erfahrene Consultants sollten jedes Projekt begleiten und fundierte Vorschläge und Handlungsempfehlungen geben. Auf diese Weise ist eine schnelle Einführung und Implementierung des Risikomanagement-Systems möglich. Schrittweise kann später die Risikobewertung erweitert werden.
3) Aussagen zum Risikomanagement – auf allen Unternehmensebenen – schnell und verlässlich treffen
Von der Einführung eines intelligenzbasierten Risikomanagements sollten vier wesentliche Zielgruppen im Unternehmen profitieren. Der Aufwand beispielsweise für Auditoren zur Erfüllung von Audit-Anforderungen sollte sich wesentlich minimieren. Auch spontane (Nach-)Fragen des Auditors zum Access Management sollten über Drag & Drop sowie Visualisierungsoptionen flexibel, schnell und individuell beantwortet werden können. Für IT-Administratoren oder IT-Security-Verantwortliche müssen umfassende Analysen und Informationen per Drill-down- und Drill-through-Optionen in nahezu beliebiger Form verfügbar sein, um das Risiko aus erteilten Zugriffsberechtigungen bewerten zu können. Das Management sollte über Dashboards mit gewichteten Aussagen und durch die Verwendung von Key-Risk-Indikatoren einfach und schnell Anstöße für Follow-up-Aktivitäten erhalten, um Risiken unmittelbar zu minimieren. Auf diese Weise wird das Access-Risiko für das Management messbar und in Zahlen ausgedrückt. Schließlich ist für die Business User ein einfach zu bedienendes und intuitiv aufgebautes Access Risk Management Tool von Vorteil, das über vorgefertigte Reports sowie Analyseoptionen verfügt und optional regelmäßige Push-Informationen versenden kann.
4) Qualitative, inhaltsbezogene Bewertungen nutzen
Anstelle von einfachen, quantitativen Risikoeinschätzungen ist grundsätzlich beim Aufbau eines Risikomanagements sicher zu stellen, dass die Adressaten – wie das Top Management, Abteilungsleiter oder Auditoren – nur genau die Informationen erhalten, die ihnen auch einen tatsächlichen Mehrwert bieten. Entscheidend ist hier weniger die Quantität, sondern vielmehr die Qualität der Aussagen. Die Basis für qualitative Aussagen bilden “Key Indikatoren”, in denen große Datenmengen auf eine qualitative Aussage aggregiert werden. Damit ist es möglich, die wichtigsten Daten sofort zu erkennen und den Fokus auf Hochrisikobereiche zu lenken.
5) High Risk User identifizieren
Aufgrund des zeitlichen Aufwandes lassen sich oftmals nicht alle Gefahren des Berechtigungsmanagements erfassen und bewerten. Vor allem die stark risikobehafteten Berechtigungen sollten daher identifiziert, bewertet und im Nachgang mit geeigneten Maßnahmen belegt werden. Benutzer mit Sonderrechten müssen regelmäßig auf folgende Fragen hin überprüft werden: Wem sind sie zugeordnet und welche übergeordneten Gruppen oder Rollen nutzen sie? Welche Aktivitäten führen die zu Sonderrechten befugten Benutzer aus? Die Identifizierung privilegierter Benutzer bzw. von Hochrisiko-Berechtigungen oder -Autorisierungen hilft Unternehmen, sich verstärkt auf diese Gruppen zu konzentrieren. Eine fokussierte und schnelle Analyse, aus der sich entsprechende Maßnahmen ableiten lassen, ist so möglich.
Weitere Informationen rund um das Thema intelligenzbasiertes Access Risk Management sind abrufbar unter: www.garancy.de
Beta Systems Software AG
Die Beta Systems Software Aktiengesellschaft (BSS, ISIN DE0005224406) unterstützt seit über 30 Jahren Kunden mit großen, internationalen Organisationen und mit einer umfangreichen IT-Systemlandschaft sowie komplexen IT-Prozessen aus den Bereichen Finanzdienstleistungen, Fertigung, Handel und IT-Dienstleistungen mit Softwareprodukten und IT-Lösungen. Diese automatisieren, dokumentieren und analysieren IT-Abläufe in Rechenzentren und in der Zugriffssteuerung. Steigende Transaktionsvolumen, Datenmengen und Compliance-Standards stellen dabei höchste Anforderungen an Durchsatz, Verfügbarkeit, Nachvollziehbarkeit und Sicherheit.
Beta Systems wurde1983 gegründet, ist seit 1997 börsennotiert und beschäftigt rund 240 Mitarbeiter. Sitz des Unternehmens ist Berlin. Beta Systems ist national und international mit 15 eigenen Konzerngesellschaften und zahlreichen Partnerunternehmen aktiv. Weltweit optimieren mehr als 1.300 Kunden in über 3.200 laufenden Installationen in über 30 Ländern ihre Prozesse und verbessern ihre Sicherheit mit Produkten und Lösungen von Beta Systems. Das Unternehmen gehört zu den führenden mittelständischen und unabhängigen Softwarelösungsanbietern in Europa und erwirtschaftet die Hälfte seines Umsatzes international.
Weitere Informationen zum Unternehmen und den Produkten sind unter www.betasystems.de zu finden.
Besuchen Sie Beta Systems auch auf: www.twitter.com/BetaSystems, www.facebook.com/BetaSystems und www.xing.com/companies/betasystemssoftwareag
Kontakt
Beta Systems Software AG
Dirk Nettersheim
Alt-Moabit 90d
10559 Berlin
49 (0)30 726 118-0
pr@betasystems.com
http://www.betasystems.de
Pressekontakt:
HBI Helga Bailey PR
Alexandra Janetzko
Stefan-George-Ring 2
81929 München
+49 (0)89 99 38 87-32
alexandra_janetzko@hbi.de
http://www.hbi.de