GRC-Aktivitäten integrieren und automatisieren

Zugriffsrechte einheitlich verwalten, Risiken verringern

03. Dezember 2007
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Durch neue gesetzliche Vorschriften und wachsenden Druck von Finanzmärkten rücken Themen wie Corporate Governance sowie Risiko- und Compliance-Management verstärkt in den Fokus von IT-Abteilungen. Um neue Richtlinien rasch und zu überschaubaren Kosten umsetzen zu können, müssen bislang fragmentierte Initiativen bei der Verwaltung und Kontrolle von Zugriffsrechten mithilfe integrierter Lösungen für Governance, Risk and Compliance (GRC) zusammengeführt und automatisiert werden. Zu diesem Ergebnis kommt eine Analyse des Marktforschers Gartner.

Internationale sowie nationale Richtlinien und Gesetze fordern eine striktere Einhaltung von Compliance-Vorgaben. Dazu gehören etwa der Sarbanes Oxley Act (SOX), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder EuroSOX, die kommende achte EU-Richtlinie.

Compliance im IT-Umfeld

Risiko-Management, Corporate Governance und ComplianceCompliance zählen daher zu den heißen IT-Themen der kommenden Jahre. Bei der Einhaltung der Compliance im IT-Umfeld ist ein zentraler Aspekt, wer auf welche Informationen im Unternehmensnetzwerk zugreifen kann und von wem wann welche Berechtigungen dazu erteilt wurden. Doch Sicherheitslücken durch die zunehmende Unübersichtlichkeit bei Systemen, Anwendern und Ressourcen stellen die bisherige Praxis bei der Verwaltung und Kontrolle von Zugriffsrechten in Frage. Alles zu Compliance auf CIO.de

Um Risiken wie nicht gelöschte Benutzerkonten ehemaliger Mitarbeiter, inkonsistente Zugriffsbedingungen oder die Fehler bei der manuellen Administration zu vermeiden, wird ein umfassendes Management von Anwendern und Identitäten, Rechten und Ressourcen nötig. Dieses umfasst unter anderem die Erstellung und Verwaltung digitaler Identitäten und Kennungen, die Realisierung von Rollen- und Mandanten-basierten Berechtigungskonzepten, Self-Service-Funktionen mit gesicherten Genehmigungs- und Freigabe-Workflows sowie umfassende Reporting- und Audit-Funktionen.

Fragmentierte GRC-Aktivitäten

Häufig jedoch sind GRC-Aktivitäten in Unternehmen noch nicht einheitlich und durchgängig gestaltet. Eine organisatorische Fragmentierung aufgrund unzureichend koordinierter, abteilungsbezogener oder lokaler GRC-Aktivitäten kann inkonsistente StrategienStrategien, Probleme beim Risiko-Management sowie mangelnde Transparenz und mehrfachen Arbeitsaufwand zur Folge haben. Alles zu Strategien auf CIO.de