Berechtigungsmanagement bei personellen und strukturellen Veränderungen
Die Vergabe von Berechtigungen auf Fileserver, SharePoint, Active Directory und Objekte in Drittsystemen bindet eine Vielzahl von operativen Ressourcen. Durch eine weitgehende Automatisierung des Access Managements lassen sich diese Aufwände bei gleichzeitiger Erhöhung der Datensicherheit und Transparenz erheblich reduzieren.
Personelle und strukturelle Veränderungen innerhalb einer Organisation erfordern regelmäßig die Anpassung der Berechtigungssituation in den verschiedenen IT-Systemen auf feingranularer Ebene. Dabei binden Recherche-, Abstimmungs- und Anpassungsarbeiten erhebliche Ressourcen bei der Entscheidung durch die Datenverantwortlichen und der Umsetzung im operativen Bereich. So müssen z.B. bei einem Wechsel des Aufgabengebiets regelmäßig zahlreiche Benutzerberechtigungen im Dateisystem, SharePoint oder auf verschiedensten Applikationen entzogen, gewährt oder verändert werden, um einerseits die Arbeitsfähigkeit der betroffenen Personen sowie andererseits die Einhaltung des Need-to-Know-Prinzips zu gewährleisten. Die technische Umsetzung erfolgt in vielen Organisationen durch IT-Administratoren, die manuell entsprechende Active Directory Gruppen verwalten. Als Grundlage für die Zuweisung neuer Berechtigungen kommt hier häufig statt des Need-to-Know-Prinzips das Gießkannenprinzip zum Einsatz. D. h., Berechtigungen werden großzügig, z.B. auf Abteilungsebene, vergeben oder es werden Vergleichsbenutzer mit ähnlichem Aufgabengebiet herangezogen, um den neuen Berechtigungssatz grob zu bestimmen.
Individuelle Berechtigungen des Vergleichsbenutzers werden bei diesem Vorgehen häufig unbeabsichtigt übernommen oder aber die Möglichkeit, individuelle Berechtigungen zu vergeben, wird organisationsweit unterbunden, was die Anwender mitunter zu unkonventionellen (meist unsicheren) Formen des Datenaustauschs verleitet. In der Praxis ist es für den Umsetzenden häufig schwierig zu entscheiden, welche bisher bestehenden Berechtigungen entfernt werden können. Daher unterbleibt mitunter die Entfernung nicht mehr benötigter Rechte aufgrund der aufwändigen Unterscheidung.
Bei derartigen Problemstellungen unterstützt der BAYOOSOFT Access Manager durch eine Automatisierung der Berechtigungsverwaltung. Die technische Umsetzung von genehmigten Berechtigungen wird vollständig vom System übernommen, ein Mitwirken der IT-Administration kann auf Wunsch komplett entfallen. Ein kontinuierliches Monitoring der bestehenden Berechtigungsstrukturen in Active Directory, Dateisystem und SharePoint stellt sicher, dass nur bewusst herbeigeführte, auditierte Berechtigungen in den IT-Systemen bestehen. Diese vollständige Automatisierung der technischen Umsetzung ermöglicht eine Berechtigungsverwaltung direkt durch die Datenverantwortlichen. Diese können durch eine übersichtliche und leicht verständliche Darstellung der notwendigen Informationen ohne technisches Hintergrundwissen und ohne die Unterstützung durch die IT-Administratoren transparent und revisionssicher die Zugriffsrechte auf die von Ihnen verantworteten Ressourcen verwalten.
Profilbasierte Berechtigungen
Um personelle Veränderungen optimal zu unterstützen, bietet das Profilmanagement des BAYOOSOFT Access Managers die Möglichkeit, Organisationsstrukturen, wie z. B. Abteilungs- und Tätigkeitszuordnungen, durch die Anlage von entsprechenden Benutzerprofilen im System abzubilden. Durch diese Kombination von Benutzern und Berechtigungen auf Ressourcen in einem Profil wird bei einem Wechsel des Tätigkeitsbereichs lediglich eine Anpassung eines Profils direkt durch den Vorgesetzten notwendig. Durch Angabe von Start- und Enddatum kann dabei ein langsamer Übergang ermöglicht werden, indem sich die Profilmitgliedschaften zeitweise überschneiden. Zu den definierten Stichtagen setzt das System die gewünschte Änderung automatisch um.
Zusätzlich zu den Profilberechtigungen kann jeder Benutzer individuelle Rechte über das integrierte Self Service Portal erhalten. Individuelle Berechtigungen werden, im Gegensatz zur Vorgehensweise mit Vergleichsbenutzern, durch Profilzuweisungen nicht unbeabsichtigt auf einen anderen Benutzer übertragen. So wird sichergestellt, dass der Benutzer nur die Berechtigungen erhält, die er auch wirklich benötigt. Dabei wird immer revisionssicher dokumentiert, wann er diese Berechtigung erhalten hat und durch wen diese Veränderung vorgenommen wurde.
Berechtigung für Drittsysteme
Durch das 3rd Party Management Modul des BAYOOSOFT Access Managers können neben üblichen Berechtigungen auf Verzeichnisse im Dateisystem oder SharePoint Objekte weitere organisationsspezifische, auf Active Directory Gruppen basierende, Rechte in Profilen berücksichtigt werden. So können bei Veränderungen z.B. individuell benötigte Druckerfreigaben, Laufwerksmapping oder Applikationsrechte mit Zugriffsrechten kombiniert oder als individuelle Rechte beantragt und genehmigt werden.
Diese Entwicklung hin zur automatisierten Access Management Lösung ermöglicht, alle organisationsweit notwendigen, Active Directory basierten, Berechtigungen, direkt durch die Fachbereiche organisieren zu lassen. Dabei verbleibt die Entscheidung darüber, welche Ressourcen unter Einbeziehung der Fachbereiche automatisiert verwaltet werden bei der IT-Administration. Das umfangreiche Reporting ermöglicht es, Zugriffsrechte auch für Personen ohne IT-Hintergrundwissen verständlich anzeigen zu lassen. Durch historische Berichte lässt sich so auch der Berechtigungszustand an einem Stichtag in der Vergangenheit nachvollziehen. Damit können Geschäftsprozesse bestmöglich, und für den Endanwender leicht verständlich, unterstützt und die schleichende Rechteausweitung im Unternehmen gestoppt werden.
Anbindung an HR-Systeme
Werden in Unternehmen Systeme für die Steuerung von HR-Prozessen eingesetzt, die Informationen über neue, wechselnde oder ausscheidende Mitarbeiter bereitstellen, können diese Informationen zur automatisierten Anpassung der Profilmitgliedschaften genutzt werden. Somit kann neben einer Entlastung der IT-Administratoren auch der manuelle Aufwand der datenverantwortlichen Personen reduziert werden, die durch diesen weiteren Automatisierungsschritt die Aufmerksamkeit auf die ggf. zusätzlichen individuellen Berechtigungen der Benutzer fokussieren können. Gerade diese Reduzierung des Aufwands bei gleichzeitiger Erhöhung der Transparenz über die Berechtigungssituation ermöglicht, dass in den Fachbereichen das Bewusstsein für Datensicherheit deutlich erhöht wird.
Fazit
Berechtigungsänderungen aufgrund personeller oder struktureller Veränderungen binden in Organisationen regelmäßig operative Ressourcen und bergen bei manueller Berechtigungsvergabe immer das Risiko von Fehlberechtigungen. Der BAYOOSOFT Access Manager kann diese Prozesse durch den Einsatz von Profilen erheblich vereinfachen, inklusive der automatisierten Anpassung von Berechtigungen im Dateisystem, SharePoint und Active Directory. In Kombination mit dem 3rd Party Management Modul wird es darüber hinaus möglich, weitergehende Berechtigungen, z.B. für Applikationen, Internetzugriff, Druckerzuordnungen etc., ebenfalls in Abhängigkeit von Profilzugehörigkeiten automatisiert zu verwalten. Der BAYOOSOFT Access Manager ist ein probates Mittel, um das Access Management in Ihrem Unternehmen dauerhaft revisionssicher und mit geringem operativen Aufwand zu gewährleisten und dabei die Transparenz und das Bewusstsein gegenüber der Datensicherheit deutlich zu erhöhen.
Möchten Sie mehr über die Vorteile des automatisierten Berechtigungsmanagements erfahren?
Vereinbaren Sie noch heute einen Termin für eine individuelle Produktvorstellung oder schauen Sie bei einem unserer regelmäßigen Webinare vorbei. Unsere Experten für Berechtigungsmanagement stellen Ihnen den BAYOOSOFT Access Manager gerne persönlich vor:
Svenja Winkler
