Unabhängige Kompetenz-Plattform
für Integrierte Sicherheit in der Schweiz.

18.01.2013
von: Roman Schätzle

Wie Sie erreichen, dass Ihr Unternehmen wirklich compliant ist? Zugriffsschutz-Kontrolle dank der Access Control-Prüfung - ein wirksames Mittel.

Roman Schätzle IAM-Experte und Consultant IPG AG, Winterthur/Hamburg/Wien

Warum braucht es überhaupt die Maturitätsanalyse?
Regulatorien, wie beispielsweise Basel II/III, verlangen die Bewirtschaftung der operationellen Risiken der Unternehmen. Wobei es selbstverständlich auch jene Regulatorien gibt, welche auf die finanziellen Risiken abzielen. Grundsätzlich gilt es, die Unternehmensrisiken zu kennen, Massnahmen zu ergreifen und im Rahmen des Risikomanagements periodische Prüfungen durchzuführen.

Access Risiken sind ein Teil der Unternehmensrisiken
Die IT-Risiken sind grosser Bestandteil der operationellen Risiken. Darin enthalten sind auch die Access Risiken. Durch eine Überprüfung des Access Control Modells lassen sich diese eindeutig feststellen, zuordnen und bewerten. Folglich können mögliche Verstösse gegen Richtlinien und Weisungen erkannt werden und die Verantwortlichen können exakt darauf reagieren.

Access Risiken sind sehr komplex. Die Herausforderung besteht darin, verschiedene Elemente wie Prozesse, technische Berechtigungsstrukturen und schriftliche Vorgaben zu beachten und einzuhalten. Die Prüfung spielt sich deshalb auf verschiedenen Ebenen der Unternehmung ab. Es gilt, die Ziele der Prüfung präzise, verständlich und vollständig zu formulieren. Dabei muss der Brückenschlag zwischen der technischen und organisatorischen Ebene gelingen. Das Resultat einer Berechtigungsprüfung muss für alle Akteure verständlich aufgezeigt werden können.

Access Control prüft man meist im Rahmen einer ganzheitlichen IT-Revision. Man kann aber durchaus auch eine eigene Prüfung durchführen (zum Beispiel im Rahmen einer einzelnen IKS-Pendenz/Massnahme).

IPG AG auf Security-Finder Schweiz


mySecurityService

  • Consulting, Project, Education
  • Integration, Security
  • SOC-Services
  • Certifications/Standards

Security-Kompetenzen

Security-Finder Schweiz: Newsletter