Rollen als Voraussetzung zur Einhaltung des Need-to-know Prinzips

In Unternehmen sollte gemäß dem Need-to-know-Prinzip stets sichergestellt sein, dass alle Mitarbeiter die richtigen und notwendigen Berechtigungen besitzen, um ihre Tätigkeiten ausüben zu können. Verschiedene betriebliche Anforderungen, beispielsweise ein Abteilungswechsel oder temporäre Projekte, führen jedoch oftmals dazu, dass bestimmte Rechte neu vergeben werden müssen. Dabei wird allerdings oft vergessen, die »alten« Berechtigungen oder temporär vergebene Berechtigungen wieder zurückzunehmen.

Um Berechtigungschaos zu vermeiden und sämtliche Änderungen einsehen sowie bewerten zu können, eignet sich der Einsatz einer Access-Governance-Lösung, die ein effizientes Tool zur Rollenbildung enthält. Damit lassen sich die Berechtigungen, die ein Mitarbeiter haben soll (Soll-Rollenmodell), mit den tatsächlich vergebenen Rechten (Ist-Zustand) vergleichen. Fallen hierbei Missstände auf, ist es möglich, diese unmittelbar zu bereinigen und damit IT-Sicherheitslücken zu schließen.

Je nach Abteilung und Position benötigen Mitarbeiter gewisse Rechte. So muss zum Beispiel der Leiter der Personalabteilung auf andere Informationen zugreifen können als seine Kollegen in der Fertigung oder im Marketing. In Anbetracht dessen gilt es zu vermeiden, dass Arbeitnehmer falsche oder zu viele Rechte erhalten. Denn durch fehlerhafte Berechtigungen steigt das Risiko, Cyberangriffen zum Opfer zu fallen. Um dies zu verhindern, sollten alle Rollen und Rechte innerhalb der Firma eindeutig festgelegt und zentral einsehbar sein. Hierbei ist es ratsam, eine Access-Governance-Lösung mit einem integrierten Werkzeug zum Aufbau eines Rollenmodells einzusetzen.

Großreinemachen durch effizientes Werkzeug zur Rollenbildung

Häufig gibt es in Betrieben Mitarbeitergruppen, darunter etwa Personen aus derselben Abteilung, die die identischen Rechte haben sollten. In diesem Fall bietet es sich an, die diversen Rechtekombinationen mit Hilfe einer intelligenten Lösung zu Rollen und Rollenstrukturen zusammenzufassen. Wird dies für das komplette Unternehmen ausgeführt, erhält man ein unternehmensweites Soll-Rollenmodell. Beim Vergleich des Rollenmodells mit dem derzeitigen Ist-Zustand lässt sich so auf einen Blick erkennen, an welchen Stellen aufgrund von Abweichungen Handlungsbedarf besteht.

Ein derartiges Tool zur Rollenbildung erweist sich vor allem dann als sinnvoll, wenn neue Mitarbeiter eingestellt werden. Denn damit ist es nicht länger erforderlich, dem jeweiligen Arbeitnehmer die Rechte separat zuzuweisen. Stattdessen lässt sich die jeweilige Rolle – inklusive aller essenziellen Berechtigungen – ganz einfach per Knopfdruck vergeben. Auf diese Weise wird der Prozess deutlich vereinfacht und das Risiko von Sicherheitslücken durch nicht korrekt vergebene Berechtigungen minimiert.

Intelligente Rollenmodellierung

Für eine effiziente Rollenmodellierung sollte das Tool eine übersichtliche Darstellung der Mitarbeiter und deren Berechtigungen nach Organisationseinheiten enthalten. So lassen sich bestimmte Personenkreise auswählen und auf ähnliche Rechtekombinationen überprüfen, die dann zu Rollen gebündelt werden können. Eine Übersicht über die prozentuale Verteilung eines Rechts, beispielsweise innerhalb einer Abteilung, bietet bei der Rollenbildung zusätzliche Unterstützung. Schließlich können die entstandenen Rollen bestimmten Personen oder Personenkreisen zugeordnet werden.

Erklärfilm

Als CISO perfekt für das Audit vorbereitet

Als CISO kennen Sie die gesetzlichen Anforderungen an die IT-Compliance sicher ganz genau. Aber wissen Sie auch, wie Sie mit einer rollenbasierten Rezertifizierung deutlich Zeit, Kosten und Nerven sparen können? Und wie einfach es sein kann, ein eigenes Rollenmodell zu entwickeln?

Unser Erklärfilm zeigt die wesentlichen Vorteile für Sie als CISO. Schauen Sie doch mal rein!

FILM STARTEN

Zurück

Kontakt

info@daccord.de
+49 (0) 69 85 00 02-0
Kontaktformular