Sie sind hier: Home » Markt » Hinweise & Tipps

Rollenmanagement als strategische Aufgabe


Rollenbasierte Rechteverwaltung zur Einhaltung von Compliance-Vorschriften
Transparente Benutzerverwaltung: Sieben Tipps zur praktischen Einführung

(18.03.11) - Die Beta Systems Software AG gibt sieben Tipps zur erfolgreichen Einführung einer rollenbasierten Rechteverwaltung im Rahmen der Benutzerverwaltung (Identity und Access Management, IAM). Auf dem gerade zu Ende gegangenen Gartner Identity & Access Management Summit in London zählte das Rollenmanagement zu den Top-Themen der Veranstaltung.

Die rollenbasierte Rechteverwaltung, das heißt, die Definition von Business- und IT-Rollen, trägt zur Transparenz und damit zur sicheren und kosteneffizienten Einhaltung und Kontrolle aller internen und externen regulatorischen Vorschriften und Compliance-Richtlinien bei. Role-Mining-Werkzeuge unterstützen dabei das gesamte Rollenmanagement. Beta Systems gibt im Folgenden sieben Tipps zur Einführung einer rollenbasierten Rechteverwaltung:

1) Rollenmanagement als strategische Aufgabe
Rollen bilden die Schnittstelle zwischen dem eigentlichen Business, d. h. den Geschäftsprozessen, und der IT eines Unternehmens. Das Rollenmanagement ist daher eine wichtige Organisationsaufgabe, die entsprechend zu etablieren ist. Die Geschäftsprozessverantwortlichen müssen entscheiden, welche Rechte die Rollen beinhalten und welchen Personen diese Rollen zugewiesen werden. Wichtig ist, dass die Zahl der Rollen überschaubar bleibt und ihre Definitionen verständlich und nachvollziehbar sind.

2) Aufräumen durch Data Cleansing
Die rollenbasierte Rechteverwaltung sollte mit einem grundlegenden Aufräumen beginnen. Der Cleansing-Vorgang schafft die Voraussetzung für ein sauberes Rollenmanagement und besteht aus einer Bereinigung von Informationen. Je nach Stellenbeschreibung arbeiten die Mitarbeiter mit diversen IT-Ressourcen. Daten und Anwendungen werden kombiniert und von Menschen innerhalb und außerhalb einer Organisation genutzt. Role-Mining-Werkzeuge ordnen die einzelnen Accounts den Benutzern zu, um festzustellen, welche Berechtigungen ein Benutzer im Unternehmensnetzwerk hat. Ein Bericht zeigt dann schnell blinde Flecken und "Karteileichen" auf, das heißt verwaiste Benutzerkonten oder Berechtigungen. Abgesehen von den Sicherheitsrisiken kosten nicht benötigte Anwendungslizenzen Geld.

3) Erhöhung der Automatisierung
Übergeordnetes Ziel der IT-Abteilung und Geschäftsführung sollte es sein, durch die Berechtigungsbündel, also Rollen, den Administrationsaufwand deutlich zu reduzieren und Automatisierungsprozesse zu unterstützen. Role-Mining-Werkzeuge unterstützen bei der automatisierten Definition und fortlaufenden Optimierung der Berechtigungsrollen. Die Erfahrung zeigt, dass Unternehmen durch die rollenbasierte Berechtigungsverwaltung einen Automatisierungsgrad von mehr als 90 Prozent erreichen können und damit wesentliche Kosten sparen.

4) Mix aus Top-Down und Bottom-Up
Die standardisierte Modellierung von Rollen erfordert sowohl einen Top-Down- als auch Bottom-Up-Ansatz. Organisatorische Rollen entstehen nach dem Top-Down-Prinzip. Sie sind damit vom Aufbau der Organisation und von den Funktionen der Mitarbeiter geprägt. Mit dem Bottom-Up-Ansatz werden dann auf den Zielsystemen die vorhandenen Berechtigungen hinsichtlich Gemeinsamkeiten und Standards analysiert und den Rollen zugeordnet. Durch die Analyse bestehender Benutzerberechtigungen unterstützt eine Role-Mining-Software die Bottom-Up-Entwicklung von Rollenmodellen. Erst eine Soll-Ist-Analyse deckt Abweichungen vom Soll in existierenden Rollenvergaben auf.

5) Anwendung von diversen Analyse-Szenarien
Diverse Analyse-Szenarien sollten im Rollenfindungsprozess durchgespielt werden. Role-Mining-Werkzeuge bieten hierfür eine Vielzahl einstellbarer Parameter. Bei der Nachbearbeitung, dem sogenannten Role Engineering, werden die Rollen nach Abstimmung mit den fachlichen Anforderungen auf Basis der automatisch erstellten Analyseergebnisse definiert. Vereinzelt ist auch eine manuelle Rollendefinition nötig.

6) Rollenmanagement über den gesamten Lebenszyklus hinweg
Mit der einmaligen Rollendefinition ist es nicht getan: Permanente Änderungsprozesse verlangen, die Rollen und das übergeordnete Rollenmodell einfach und rasch an neue Stellencharakteristika oder IT-Anwendungen anzupassen. Die gewählte Role-Mining-Software sollte daher ein effizientes Role-Life-Cycle-Management unterstützen – unter Berücksichtigung der Einhaltung und Kontrolle unternehmensweiter und gesetzlicher Vorgaben (Security Policies) bei der Vergabe von Zugriffsberechtigungen.

7) Hohe Integrationsfähigkeit
Die Role-Mining-Software sollte sich leicht in eventuell vorhandene IAM-Software integrieren lassen. So ist die Implementierung eines ganzheitlichen und intelligenten User-Role-Life-Cycle-Management-Konzepts garantiert. Auch sollte sie plattformunabhängig sein, da sie auf Basis der importierten Daten (HR-Daten und bestehende Berechtigungsinformationen) Rollen vorschlägt und optimiert. Ebenso bedeutend sind Import- und Export-Schnittstellen für die Übergabe der Informationen mittels definierter Dateiformate (CSV- oder XML-Format). Wichtig ist zudem, dass das gewählte Produkt auf dem RBAC-Standard des National Institute of Standards and Technology basiert.
(Beta Systems Software: ra)

Beta Systems Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Generationenkonflikt der IT-Security

    Unternehmen sind auf die Dynamik und frischen Ideen der jungen Generation angewiesen, um dem Fachkräftemangel zu begegnen und sich weiterzuentwickeln. Es darf jedoch nicht auf Kosten der IT-Sicherheit gehen. Um diesen Spagat zu meistern, braucht es einen Security-Ansatz, der Platz für Fortschritt schafft, anstatt ihn zu behindern.

  • Ist NIS-2 zu anspruchsvoll?

    Die politische Einigung über das Gesetz zur Umsetzung der EU-Richtlinie NIS-2 und der Stärkung der Cybersicherheit noch vor der Bundestagswahl ist gescheitert. SPD, Grüne und FDP konnten sich nicht auf zentrale Punkte einigen. Damit bleibt über zwei Jahre nach der Verabschiedung der EU-Richtlinie die dringend notwendige gesetzliche Verschärfung aus. Die Umsetzungsfrist wird weiter überschritten

  • Seit 1. Januar 2025 gilt die E-Rechnungspflicht

    Stellen Sie sich vor, Ihr Unternehmen kann plötzlich Rechnungen nicht mehr rechtssicher verschicken. Verzögerte Zahlungen, rechtliche Konsequenzen und möglicherweise ein belastetes Geschäftsverhältnis könnten die Folge sein - und das alles, weil Sie die E-Rechnungspflicht ohne die richtige Software kaum einhalten können.

  • Compliance: Mehr als Datensicherheit

    Neue Regularien und Standards im Bereich Cybersicherheit sorgen dafür, dass das Thema Compliance immer stärker in den Fokus von Unternehmen rückt. Verstöße können zu hohen Bußgeldern und einem massiven Vertrauensverlust führen. Angesichts strengerer Datenschutzregulierungen wie der DSGVO und NIS-2 sowie zunehmender technischer Anforderungen müssen Unternehmen eine klare Strategie verfolgen, um sowohl gesetzliche als auch sicherheitstechnische Vorgaben einzuhalten.

  • DORA: Neue Standards für den Finanzsektor

    Nun müssen Finanzinstitute die Compliance mit der EU-DORA-Verordnung (Digital Operational Resilience Act) nachweisen. Diese Regulierung zielt darauf ab, die digitale Widerstandsfähigkeit des Finanzsektors gegen Cyber-Risiken und operative Störungen zu stärken. Dazu gehören Vorschriften und Richtlinien zu Cyber-Risikomanagement, Datensicherheit, Governance, Ausfallsicherheit und Multi-Cloud-Flexibilität.

Einsatz der elektronischen Rechnung Wann ist eine Anlageberatung falsch?

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen