Suchen

Berechtigungen steuern und nachvollziehen Access Governance als Teil von GRC-Projekten ist reif für die Praxis

| Autor / Redakteur: Martin Kuppinger / Stephan Augsten

Der Bereich Governance, Risk Management und Compliance (GRC) ist sowohl durch wachsende Sicherheitsrisiken als auch steigende interne und externe Prüferanforderungen zu einem Kernthema der IT geworden. Dabei spielen Lösungen für die Attestierung und Steuerung von Berechtigungen, die sogenannte Access Governance, eine wichtige Rolle.

Um das Management von Berechtigungen kommt man bei GRC-Projekten kaum noch herum.
Um das Management von Berechtigungen kommt man bei GRC-Projekten kaum noch herum.
( Archiv: Vogel Business Media )

Die Produktkategorie „Access Governance“ ist erst in den vergangenen fünf Jahren entstanden. Die Produkte unterstützen einige typische Kernfunktionen. Während das Marketing in der Frühphase stärker auf die rollenbasierte Steuerung von Berechtigungen abgezielt hat, war zwischenzeitlich die Attestierung und Rezertifizierung die wichtigste Teilfunktion.

Inzwischen setzt sich aber die Einsicht durch, dass diese Dinge untrennbar zusammen gehören. Man muss einerseits den Ist-Status mit dem Soll vergleichen können. Dazu muss man aber dieses Soll auch in effizienter Weise definieren und in ein Ist umsetzen können – und ebenso Abweichungen zwischen Soll und Ist korrigieren können.

Auch wenn der Einstieg in viele Projekte heute über die (oftmals initiale) Attestierung und Bereinigung von bestehenden Zugriffsberechtigungen erfolgt, steht beim Gesamtansatz doch etwas anderes im Mittelpunkt: Die Definition von Rollen und Richtlinien für die Steuerung des Zugriffsmanagements.

Das ist in erster Linie ein organisatorischer Prozess, dessen Aufwand nicht unterschätzt werden darf. Allerdings gibt es bei den Beratern und Integratoren inzwischen umfassende Erfahrungen, so dass dieser Teilbereich inzwischen gut beherrscht wird.

Diese Steuerungsmöglichkeit ist die Basis für die nachvollziehbare und gleichermaßen effiziente Vergabe von Zugriffsberechtigungen über die unterschiedlichen Anwendungen hinweg. Wesentliche Fortschritte gibt es dabei vor allem bei der Anbindung von Zielsystemen.

Seite 2: Kleine Hersteller und Kunden treiben Entwicklung voran

(ID:2047627)