Optimierung von Genehmigungsverfahren für externe Zugriffe auf schützenswerte Daten und Anwendungen
Die Integration von örtlich verteilten Partnern in den Entwicklungsprozess nimmt gerade bei komplexen Produkten immer mehr an Bedeutung zu. Dabei kommt es zum Zugriff auf Anwendungen und Informationen, die vertraulich sind und wo Nachweispflicht über die Art, Dauer und Vergabe der jeweiligen Zugangsberechtigung besteht. Unternehmensleitung, Sicherheitsverantwortliche, IT-Projektleiter und Administratoren stehen vor neuen Herausforderungen.
Genehmigungsprozesse und Identity ManagementAbnehmende Fertigungstiefe und kürzere Produkt-Innovationszyklen erfordern bei Produktherstellern die stärkere Integration von externen Partnern. Daraus ergeben sich ganz neue Anforderungen, um die Datensicherheit zu gewährleisten. Die Sicherheit durch Firewalls und geschützte Netzwerke kann diese Anforderung nicht mehr erfüllen. Es geht vielmehr um den gezielten und kontrollierten Zugriff auf interne Anwendungen und Daten – und dies bringt teilweise sehr aufwändige Genehmigungsprozesse mit sich. Sicherheitstechnisch problematisch wird es dann, wenn die Latenzzeit dadurch so groß wird, dass der eigentliche Vorgang bereits überholt ist. Um ggf. Termine halten zu können werden Informationen dann unkontrolliert übertragen.
Es gibt weitere Anforderungen die in diesem Zusammenhang auftreten. Zugriffe sollen nur während definierter Projektphasen - zeitlich begrenzt stattfinden. Die Vorgänge bei der Vergabe von Zugriffsrechten und Änderungen bei den Berechtigungen müssen aufgezeichnet werden. Zugriffsberechtigungen müssen bei Wechsel der Position oder Ausscheiden umgehend gelöscht werden. Änderungen an Produktstrukturen erfordern ggf. andere Partner. Änderungen in der Organisation wirken sich wiederum auf die Genehmigungsverfahren aus.
Genehmigungsprozesse, aber auch die aktiven Einflussmöglichkeiten auf Berechtigungen sind groß. Nicht zuletzt auch deshalb, weil in solchen Abläufen viele Hierarchieebenen in der Organisation involviert sind. Daraus ergibt sich zum einen die Notwendigkeit, klare Strukturen und Richtlinien beim Zugriff auf schützenswerte Daten aufzustellen, zum anderen aber auch die Folge, dass automatisierte Prozesse eingeführt werden, die die Reaktionszeit bei Genehmigungsabläufen deutlich verkürzen. Von der standardisierten und optimierten Vergabe von Zugriffsrechten erhoffen sich Firmen einerseits Zeitersparnisse, andererseits aber vor allem mehr Sicherheit.
Compliance
Compliance bedeutet, dass sich Unternehmen an gesetzliche Regelungen, aber auch an die Regeln und Vorgaben des Unternehmens (Corporate Governance) halten. Das bedeutet, dass es klare Prozesse geben muss, bei denen festgelegt wird, wer was im Unternehmen machen darf. Dies fördert nicht nur die prozessorientierten Abläufe, sondern ermöglicht die Nachvollziehbarkeit von relevanten Entscheidungen.
Um den Compliance-Anforderungen zu genügen ist es wichtig, dass der gesamte Lifecycle einer Zugriffsberechtigung in einem geführten Prozess abgewickelt und alle Aktivitäten aufgezeichnet werden. Berechtigungen unterliegen über der Zeitachse erheblichen Veränderungen. Es muss gewährleistet sein, dass Mitarbeiter und externe Partner nur die ihnen zustehenden Zugriffsrechte erhalten. Die Gelegenheit zum Missbrauch vertraulicher Daten kann so erheblich verrringert werden.
Identity Management
Sichere unternehmensübergreifende Geschäftsprozesse lassen sich nur realisieren, wenn man die Identitäten der Nutzer dieser Prozesse kennt. Die Anforderungen im Bereich der Compliance sind nur dann erfüllbar wenn man weiß, wer wann was gemacht hat – und auch Richtlinien hat, mit denen gesteuert wird. Ohne die Sicht auf die Identität von externen Benutzern, ist dieses Thema nicht zu lösen.
Auditing
Nicht nur externe Zugriffe bedeuten Gefahrenquellen für das Unternehmen. Auch intern birgt jede Zugriffsmöglichkeit auch ein Risiko. Bei beidem, intern und extern, ist es durchaus wichtig, Verantwortlichkeiten im Unternehmen zu definieren. Dabei kommt insbesondere der Dokumentation (Auditing) der Zugriffe eine große Relevanz zu, die durch ein stringentes Logging erreicht werden kann.
Die Aufzeichnung der Aktivitäten kann zwar den Datenklau nicht verhindern, aber durch das Logging kann genau nachvollzogen werden, wer auf welche Datenbestände zugegriffen hat. Mit einem durchgängigen Logging kann die undichte Stelle identifiziert werden.
Mehr Transparenz und verringerte Fehlerquote
Ein systematisches Management von Zugangsrechten und Identitäten macht die Berechtigungsstrukturen im Unternehmen transparenter. Durch Standardisierung und Automatisierung verringert sich zudem die Fehlerquote im Zulassungsprozess. Prozesse werden sicherer.
Zulassungsprozess
Beim Zulassungsprozess wird immer wieder über die Role Based Access Control (RBAC), also die Definition der Zugriffsrechte basierend auf die Rolle des Partners oder Mitarbeiters. Wenn sich die Rolle ändert, ändern sich auch die Zugriffsberechtigungen. Dieses Modell der rollenbasierten Rechte bietet die Möglichkeit der Standardisierung und ermöglicht ein stringentes Sicherheitsmodell. So setzt zum Beispiel die in-integrierte informationssyteme GmbH in Konstanz, ein auf prozessorientierte Portale spezialisiertes Unternehmen, bei seiner Lösung auf rollenbasierte Entitäten für den Zugriff externer Partner. Entsprechend der Rolle im Prozess werden die Zulassungen klassifiziert, die sich zudem am Workflow orientieren. Der gesamte Lifecycle einer Zugriffsberechtigung in einem geführten Prozess und die der Identität zugeordneten Aktivitäten werden dokumentiert. Die genehmigten Zulassungen werden in einer Lifecycle-Tabelle abgelegt. Läuft eine Zulassung aus, können Nutzer, aber auch Zulassungsverantwortliche zum Beispiel durch Erinnerungsmails informiert werden.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Für namhafte international tätige Kunden analysieren und optimieren unsere Berater bestehende Informations- und Prozessstrukturen. Darauf aufbauend erarbeiten unsere Spezialisten webbasierte Softwarelösungen für den zielgerichteten Informationsaustausch, durchgängige und flexible Abläufe und mehr Transparenz durch Visualisierung. Dies ermöglicht dem Kunden die Beherrschung und permanente Verbesserung seiner Prozesse.
Unsere Referenzen sprechen für sich – Fragen Sie uns!
in-integrierte informationssysteme GmbH
Am Seerhein 8
78467 Konstanz
Tel. 07531 / 81450
Fax 07531 / 814581
eMail: marketing(at)in-gmbh.de
Datum: 19.11.2008 - 09:39 Uhr
Sprache: Deutsch
News-ID 20
Anzahl Zeichen:
Kontakt-Informationen:
Ansprechpartner: Manja Wagner
Stadt:
Konstanz
Telefon: 07531 81450
Kategorie:
Softwareindustrie
Art der Fachartikel: Unternehmensinformation
Versandart: Veröffentlichung
Dieser Fachartikel wurde bisher 897 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Optimierung von Genehmigungsverfahren für externe Zugriffe auf schützenswerte Daten und Anwendungen"
steht unter der journalistisch-redaktionellen Verantwortung von
in-integrierte informationssysteme GmbH (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
