Compliance und Governance

Die Zahl der Auflagen und Bestimmungen für Firmen ist stetig steigend, anspruchsvoll und sie reichen von der DSGVO/GDPR bis zu den entsprechenden Anforderungen der Finanzaufsichtsbehörde in der Schweiz (FINMA).

Darunter fallen auch regelmässige Überprüfungen der Zugriffsberechtigungen auf Anwendungen und IT-Systeme. Dabei muss eine klar definierte Prozess-Vorlage zur Vergabe von Berechtigungen vorliegen. Weiter ist sicher zu stellen, dass jeder mitarbeitende nur über die Rechte verfügt, über die er nach seiner Tätigkeit und Funktion im Unternehmen verfügen darf.

Regelmässige Überprüfungen müssen veränderungssicher, in einer für Auditoren lesbaren Form auswertbar sein und entsprechend nachgehalten werden.

Folgende Funktionen helfen dabei:

 Rezertifizierung

Zyklische oder durch eine Veränderung angestossene Überprüfung aus Sicht der Berechtigung.

Brauchen die hier angezeigten Benutzer weiterhin diese Berechtigung? Daraufhin kann der Vorgesetzte/Data Owner mit Ja/Nein antworten und im Anschluss löst sich die entsprechende Aktion aus.

Solche Tasks können auf mehrere verantwortliche Personen verteilt oder delegiert werden. Jedoch sollte pro Zuweisung nur eine einzelne Person die Entscheidungsbefugnis besitzen.

 Reapproval

Zyklische Überprüfung einer Berechtigungszuweisung aus Sicht von bestehenden Rechten eines Benutzers.

Braucht der Benutzer diese Berechtigung weiterhin? Daraufhin kann der Verantwortliche mit Ja/Nein antworten und löst im Anschluss die entsprechende Aktion aus.