Quest Software hat einen sechs-stufigen Prozess entwickelt, um die Datenzugriffskontrolle zu verbessern. Veröffentlichungen über Sicherheitslücken zeigen immer wieder, dass die Zugangsprozesse für wichtige Informationen oftmals nicht ausreichen. Gerade für dynamisch wachsende Firmen sind diese meist nicht effizient und flexibel genug.

Laut eines Gartner Reports über Sicherheit und Risikomanagement sollten Risiken und Nutzen bei Datenzugriffsentscheidungen genau abgewogen werden. Dies gilt auch für die dazugehörigen Prozesse und Technologien sowie die involvierten Personen.

Sechs Schritte für eine bessere Datenzugriffsverwaltung:

1. Anwender und Ressourcen analysieren: An erster Stelle steht eine Bestandsaufnahme wichtiger Daten sowie entsprechender Zugangspunkte, die häufig auf verschiedenen Plattformen, etwa auf Network-Attached Storage (NAS)-Geräten, SharePoint, Active Directory oder mobilen Geräten liegen. Ressourcen mit unstrukturierten oder verwaisten Daten sollten ebenfalls berücksichtigt werden.
    
2. Daten klassifizieren und Rechte zuweisen: Daten müssen je nach Vertraulichkeit, Übereinstimmung mit den rechtlichen Anforderungen und Richtlinien, Relevanz und Archivierungsanforderungen klassifiziert werden. Es ist sinnvoll, zudem die Dateneigentümer der jeweiligen Daten zu überprüfen, um die Einhaltung der Sicherheitsrichtlinien zu garantieren.
    
3. Dateneigentümer und Genehmiger festlegen: Die zuständigen Fachabteilungsleiter lassen sich je nach Rolle, Standort oder anderen Attributen festlegen. Um Compliance und Sicherheit zu gewährleisten, kann dabei eine Aufgabentrennung sinnvoll sein.
    
4. Zugänge prüfen: Regelmäßige, kontinuierliche Überprüfungen der Zugriffsrechte basierend auf den geschäftlichen Anforderungen gewährleisten Genauigkeit, Compliance und Sicherheit.
    
5. Automatisierte Zugangsanforderung und Problembehebung: Aus Sicherheitssicht sind automatisierte Workflowprozesse ideal. Diese sollten neue Zugriffsrechte basierend auf den bestehenden Rechten und der Rolle des Antragstellers gewähren. So lassen sich mögliche Risiken oder Sicherheitslücken verhindern.
    
6. Unautorisierte Änderungen verhindern: Das Sperren von Gruppen oder Zugangsrechten, die aus Sicherheitsgründen fest vergeben sind, gibt zusätzliche Sicherheit. Alle Änderungen sollten zudem in einem manipulationssicheren Speicherplatz archiviert werden, um forensische Analysen zu ermöglichen.

Proaktiver Schutz und Kontrolle kritischer Daten:

• Eine automatisierte Datenzugriffskontrolle für unterschiedliche Plattformen unterstützt Unternehmen dabei, Compliance-Anforderungen zu erfüllen. Außerdem verhindert sie einen nicht-autorisierten Zugriff auf sensible Daten auf physischen oder virtuellen Fileservern, NAS-Geräten, SharePoint Seiten oder Windows Fileservern.
• Eine verbesserte Zugangskontrolle reduziert oder verhindert Sicherheitslücken. Laut des Verizon Business 2011 Data Breach Investigations Report waren 86 Prozent der Sicherheitslücken schon vor dem eigentlichen Vorfall im Unternehmen bekannt.
• Eine holistische Sichtbarkeit der unternehmensweiten Nutzerzugriffe gibt der IT, den Business Managern und den Dateneigentümern die notwendigen Einblicke, um Regelungen durchzusetzen und Regularien einzuhalten – und das ohne negative Auswirkungen auf den Betriebsablauf.