Kontinuierliche Compliance

Die IT wirklich Audit-sicher machen

| Autor / Redakteur: Bert Skorupski* / Stephan Augsten

Zwei Wege der Problembehebung

Viele Bestimmungen fordern schriftliche Richtlinien für die Problembehebung, in denen die Maßnahmen detailliert aufgeführt sind, die im Fall eines Verstoßes gegen die Unternehmensrichtlinien ergriffen werden müssen. Dabei kann es schon ein wirkungsvolles Abschreckungsmittel sein, alle internen Benutzer über die Konsequenzen eines Verstoßes zu informieren.

Kommt es tatsächlich zum Ernstfall, lassen sich die negativen Auswirkungen minimieren, wenn alle zu unternehmenden Schritte im Voraus klar definiert sind. Auditoren untersuchen diese Richtlinien zur Problembehebung meist sehr genau; sie sind eine wesentliche Komponente externer Audits.

Bei der Problembehebung gibt es zwei grundlegende Herangehensweisen:

  • Die meisten IT-Abteilungen beheben Probleme reaktiv. So werden beispielsweise Konten im Fall eines Verstoßes oder einer unangemessenen Aktivität deprovisioniert; oder sie werden automatisch deaktiviert, wenn eine bestimmte, zuvor definierte Aktion ausgeführt wurde. Mitunter wird auch ein Server heruntergefahren, wenn eine nicht genehmigte Änderung vorgenommen wurde. Richtlinien dieser Art werden in der Regel in einem Audit akzeptiert, da keine IT-Abteilung in der Lage ist, absolute Kontrolle zu gewährleisten.
  • Eine wachsende Zahl von IT-Abteilungen setzt jedoch auf aktive Problembehebung, indem sie versuchen, nicht autorisierte oder nicht genehmigte Änderungen zu verhindern. So lässt sich beispielsweise die Modifizierung von geschäftskritischen Active-Directory-Objekten, Anwendungen oder Systemen durch entsprechende Algorithmen unterbinden. Eine solche Problembehebungsstrategie kann auch vordefinierte, rollenbasierte Verwaltungsprozesse sowie die Provisionierung und Deprovisionierung von Konten umfassen, was die Funktionstrennung unter den Administratoren erleichtert.

Die Fülle der Aufgaben und die Menge der anfallenden Daten lassen sich effizient nur mit einer umfassenden Lösung bewältigen, die in der Lage ist, weite Bereiche zu automatisieren. Mit einer solchen Lösung können Unternehmen zum Beispiel Ereignisdaten für sicherheitsrelevante Benutzeraktivitäten wie Kontoerstellung, Änderungen an der Gruppenmitgliedschaft oder Berechtigungsänderungen erfassen, sammeln und speichern sowie die entsprechenden Berichte erstellen. Auf diese Weise kann sich ein Unternehmen auch optimal auf die entsprechenden Audits vorbereiten.

Ergänzendes zum Thema
 
Was Compliance bringt

* Bert Skorupski ist Manager, Systems Consulting Dell Software, Presales.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43272329 / Compliance und Datenschutz )