Compliance

Der korrekte Umgang mit Berechtigungen im Rahmen von IAM ist eine komplexe Aufgabe. Gesetzgeber, Regulatoren, Wirtschaftsprüfer und auch die Interne Revision, stellen hohe Ansprüche, fordern weitgehende Maßnahmen und drohen mit empfindlichen Sanktionen.

Gleichzeitig gibt es innerhalb des eigenen Unternehmens viele Hürden zu überwinden, die sich in den Weg stellen:

• heterogene Administrationsprozesse,
• ungeklärte oder wechselnde Verantwortlichkeiten,
• unzureichende Richtlinien und Prozesse sowie
• komplexe, historisch gewachsene Systemlandschaften.

Wie also lässt sich bei der Vielzahl der Anwendungen, Benutzer und Berechtigungen die Konformität sicherstellen? In der Praxis haben sich unterschiedliche Methoden bewährt.

Um zu gewährleisten, dass die Benutzer auf den erforderlichen Systemen stets die korrekten Berechtigungen haben empfiehlt sich die Implementierung eines Rezertifizierungsprozesses (Attestation) bei dem in regelmäßigen Abständen oder ereignisgesteuert die Berechtigungen überprüft werden. Hierbei hat ein Vorgesetzter die Berechtigungen seiner Mitarbeiter zu bestätigen. Dies geschieht idealerweise mit Hilfe einer Access Compliance-Lösung, bei der diese Abstimmung benutzerfreundlich realisiert ist. Per Checkboxen lassen sich einfach und schnell die Einzelberechtigungen oder Zuordnungen von Berechtigungen per Rollen bestätigen oder ablehnen. Die Klassifizierung von Rollen und Berechtigungen nach Kritikalität ermöglicht hierbei eine weitere Effizienzsteigerung.

Gesetzliche Vorschriften wie die EU-Datenschutz-Grundverordnung (EU-DSGVO), die Mindestanforderungen an das Risikomanagement (MaRisk) in der Finanzbranche, der Audit Trail im Rahmen der „Good Manufacturing Practice“-(GMP)-Richtlinie in der Pharma- und Lebensmittelindustrie oder interne Compliance Richtlinien fordern eine klare Trennung der Funktionen. Markt und Marktfolge bei Kreditinstituten, Erfassung von Kreditorenrechnung und Veranlassung von Kreditorenzahlungen, das Anlegen/Verändern von Bestellungen und die Vornahme von Wareneingangsbuchungen sind kritische Funktionstrennungskonflikte, bei denen toxische Kombinationen von Berechtigungen zu verhindern sind um Missbrauch auszuschließen. Die passende Access Compliance-Lösung, die genau diese SoD (Segregation of Duties) Prüfung automatisiert, ist hierfür dringend zu empfehlen.

Um die vielfältigen Access Compliance-Herausforderungen zu bewältigen benötigen Unternehmen die Unterstützung durch einen erfahrenen Partner, der über tiefgehendes Know-how verfügt und Beratung, Lösung und Umsetzung aus einer Hand erbringt. KOGIT berät und unterstützt seine Kunden mit hoher Methodenkompetenz bei der Realisierung eines maßgeschneiderten Access Compliance-Konzepts. Forderungen nach „Privacy by Design“, „Privacy by Default“ oder technisch und organisatorische Maßnahmen (TOMs) finden stets in der täglichen Arbeit Berücksichtigung.

Eine wichtige Voraussetzung, um eine fehlerfreie Vergabe sowie eine transparente Sicht auf alle Berechtigungen zu gewährleisten und sie effizient zu kontrollieren, ist die Automatisierung und Harmonisierung der damit verbundenen Prozesse. Die KOGIT Experten beraten den Kunden daher auch bei der Auswahl der passenden IT-Lösung und stehen ihm bei der Implementierung sowie der Systemanbindung beratend zur Seite.

Zugleich sorgen sie dafür, dass die Berechtigungen bzw. Berechtigungs-Workflows und Zugriffe einheitlich, übersichtlich und in leicht verständlicher Form dargestellt werden. So sind Führungskräfte in der Lage, die Vergabe falscher Berechtigungen von vornherein zu verhindern und jeden Zugriff auf kritische Informationen sowie auf unstrukturierte Daten lückenlos nachzuvollziehen und zu kontrollieren.