Stärkung des Kerns: GRC-Integration für mehr Projektsicherheit

von | Apr 29, 2024 | Cyber Security | 0 Kommentare

Identity Access Management

Im März begannen wir unsere Reise in Richtung verstärkte Sicherheit und Compliance mit einem Artikel, in dem wir die entscheidende Bedeutung der Ausrichtung der Bemühungen auf diese wesentlichen Ziele hervorhoben. Wir skizzierten einen fünfstufigen Ansatz für bessere Sicherheit und Compliance, und in diesem Monat gehen wir näher auf Schritt 2 ein: die Organisation des Projektteams innerhalb einer Matrixstruktur, in deren Mittelpunkt die Grundsätze von Governance, Risk und Compliance (GRC) stehen. Der Schlüssel zu diesem Ansatz ist die erfolgreiche Integration von Identity Access Management (IAM)-Strategien mit dem Ziel, Verwirrung und Beschwerden zu beseitigen und sowohl Zeit als auch Geld zu sparen. Dieser Prozess geht über blosse Rollenzuweisungen hinaus und ist ein entscheidender Schritt hin zu nahtloser Kommunikation, verbesserter Zusammenarbeit und agilen Entscheidungsprozessen.

Was ist Identity Access Management (IAM)?

Wir hören die Schlagwörter der Branche so oft, dass sie wie weisses Rauschen wirken und ihre vollständige Bedeutung in einem Nebel der Vertrautheit verschwindet. Also, im Interesse der Klarheit, lassen Sie es uns aufschlüsseln.

IAM stützt sich auf vier wichtige Säulen: Authentifizierung, Autorisierung, Verwaltung und Audit. Jede dieser Säulen spielt eine wichtige Rolle bei der Schaffung eines sicheren und effektiven Rahmens für die Zugangsverwaltung.

  • Die Authentifizierung stellt sicher, dass Sie wissen, wer jeder Benutzer ist, und dass nur legitime Benutzer Zugang zum System erhalten.
  • Die Autorisierung legt die Zugriffsstufe für jeden authentifizierten Benutzer fest und stellt sicher, dass dieser nur auf Ressourcen zugreifen kann, die er für seine Arbeit benötigt.
  • Administration rationalisiert die Komplexität von IAM für IT-Administratoren durch die effiziente Verwaltung von Benutzerkonten, Rollen und Zugriffsberechtigungen.
  • Die Prüfung umfasst die laufende Überwachung und Aufzeichnung von Zugriffsereignissen, um Sicherheitsrisiken zu erkennen, die Einhaltung von Vorschriften durchzusetzen und umfassende Aufzeichnungen über Benutzeraktivitäten zu führen.

Diesem wissenschaftlichen Artikel aus dem Jahr 2023 zufolge haben Cyberangriffe und daraus resultierende Datenschutzverletzungen häufig ihre Ursache in den IAM-Systemen von Unternehmen. Die Übernahme dieser Säulen bildet die Grundlage für eine robuste IAM-Strategie, die Unternehmen vor unbefugtem Zugriff und potenziellen Cyber-Bedrohungen schützt.

Der Artikel befasst sich mit den technologischen Aspekten von IAM-Systemen, insbesondere mit den potenziellen Vorteilen eines neuen, passwortlosen Paradigmas im Identitätsmanagement, das als Self-Sovereign Identity (SSI) bekannt ist. Dabei handelt es sich um einen Ansatz zur digitalen Identität, der Einzelpersonen die Kontrolle über die Informationen gibt, mit denen sie sich gegenüber Websites, Diensten und Anwendungen im Internet ausweisen. Sie nutzt die dezentralisierte Ledger-Technologie, ähnlich wie Blockchain, um Ihre digitale Identität zu speichern und zu verwalten. SSI kann die Verwaltbarkeit und Benutzerfreundlichkeit verbessern und dabei helfen, anerkannte Best Practices wie das Prinzip des geringsten Privilegs (PoLP) umzusetzen. Allerdings warnen die Autoren, dass „SSI kein Allheilmittel für alle Herausforderungen ist, mit denen die komplexen IAM-Systeme von heute konfrontiert sind“.

Die Wichtigkeit der Teamausrichtung

Die Abstimmung von Sicherheits- und Compliance-Zielen innerhalb einer Organisation ist von grösster Bedeutung. Die Organisation des Projektteams innerhalb einer Matrixstruktur bildet eine solide Grundlage für diese Abstimmung. Um effektiv zu sein, sollte die Matrix über Budget-Entscheidungsbefugnisse verfügen und in der Lage sein, nahtlos Anweisungen zu erteilen. Aus diesem Grund ist es wichtig, dass die Matrix mit GRC- und IAM-Prinzipien ausgestattet ist.

Auf CSOOnline gibt es einen fantastischen Beitrag zum Thema „Warum die Abstimmung zwischen Sicherheit und IT immer noch scheitert“. Der Autor stellt fest, dass eines der am häufigsten genannten Hindernisse für die Angleichung von IT und Sicherheit die Auffassung ist, dass das Sicherheitsteam den Fortschritt verlangsamen oder sogar aufhalten kann. Laut Sushila Nair, Senior Security Portfolio Director bei NTT Data Corp. und Vorstandsmitglied des ISACA-Ortsverbands Greater Washington, D.C:

„Die Cybersicherheit hat den Ruf einer Abteilung, in der es nichts zu holen gibt, so dass es eine Abneigung gegen Sicherheitsschleifen gibt.

Kennen Sie diese Haltung aus Ihrer eigenen Organisation?

Aber das sollte uns nicht wirklich überraschen. Noch vor wenigen Jahren war die Cybersicherheit in der Unternehmenswelt eine klar getrennte Aufgabe. Die Geschäftsabteilung und die IT-Abteilung arbeiteten am Wachstum des Unternehmens, während die Cybersicherheit die Aufgabe hatte, für die Sicherheit aller Mitarbeiter zu sorgen. Dies sind zwei sehr unterschiedliche Ziele, die zwangsläufig zu einer Fehlanpassung in Ihren Teams führen, wenn die Einstellungen nicht berücksichtigt werden.

Die Vorteile einer Matrixstruktur

Wenn Sie es richtig anpacken, geht der Matrix-Ansatz über die traditionellen Rollenzuweisungen hinaus und legt den Grundstein für nahtlose Kommunikation, verbesserte Zusammenarbeit und agile Entscheidungsprozesse. Durch die Einbettung von GRC und IAM in den Kern der Organisationsstruktur schaffen Unternehmen die Voraussetzungen für ein effektives Risikomanagement, die Sicherstellung der Compliance über alle Geschäftsfunktionen hinweg und den Schutz des Zugriffs auf sensible Daten.

In diesem Blog finden Sie einige gute Ratschläge zur rollenbasierten Zugriffskontrolle und zur Durchsetzung von Zugriffsrichtlinien, aber um es zusammenzufassen, definiert der Autor drei grundlegende Schritte:

  1. Definieren Sie rollenbasierte Zugriffskontrolle (RBAC): Legen Sie Rollen auf der Grundlage von Organisationsfunktionen fest. Weisen Sie jeder Rolle genaue Berechtigungen für eine detaillierte Zugriffskontrolle zu. Nutzen Sie Rollensammlungen für mehr Effizienz.
  2. Regelmässige Überprüfung und Aktualisierung von Rollen: Überprüfen Sie die Benutzerrollen und Berechtigungen und passen Sie sie an organisatorische Änderungen an. Entfernen Sie überflüssige Zugriffsrechte umgehend.
  3. Umsetzung des Prinzips der geringsten Privilegien (PoLP): Weisen Sie den Rollen ein Minimum an erforderlichen Berechtigungen zu, um unbefugte Aktionen zu reduzieren. Vermeiden Sie eine übermässige Bereitstellung von Rollen, um künftige Probleme abzumildern.

Die Festlegung von Rollen entsprechend den funktionalen Zuständigkeiten und die Zuweisung geeigneter Berechtigungen ermöglicht eine granulare Zugriffskontrolle, die Sie von einem Grossteil der täglichen Wartungs- und Überwachungsarbeiten befreit. Stattdessen werden die Benutzer auf die für ihre Aufgaben benötigten Ressourcen beschränkt, wodurch unbefugte Aktionen minimiert werden.

Verbesserung der Zusammenarbeit und der Kommunikationskanäle

Die Einführung einer Projektorganisationsmatrix mit GRC- und IAM-Prinzipien ist ein wichtiger Meilenstein für die Verbesserung der Zusammenarbeit und der Kommunikationskanäle innerhalb des Teams. Diesem Artikel des Schulungsanbieters KnowledgeHut zufolge:

„Unternehmen mit einer Matrix-Organisationsstruktur haben eine dynamische Berichtsstruktur für ihre Mitarbeiter, bei der ein Mitarbeiter zwei Manager hat – einen Funktions- und einen Projektmanager. Der Funktionsmanager ist für sein Fachgebiet oder seine Abteilung zuständig, der Projektmanager für das spezifische Projekt, an dem er arbeitet.“

Wie kann man also die Kommunikation verbessern und eine bessere Zusammenarbeit fördern?

  • Klare Rollen und Zuständigkeiten: In einer Matrixstruktur hat jedes Teammitglied eine klare Rolle und eine Reihe von Aufgaben. Diese Klarheit verringert die Verwirrung und steigert die Effizienz.
  • Straffe Kommunikation: Die Matrixstruktur fördert optimierte Kommunikationswege und stellt sicher, dass die Beteiligten in Bezug auf die Sicherheits- und Compliance-Ziele immer auf derselben Seite stehen. Durch klarere Kommunikationskanäle wird die Zusammenarbeit gefördert.
  • Effiziente Entscheidungsfindung: Durch die verbesserte Zusammenarbeit und Kommunikation werden effizientere Entscheidungsprozesse gefördert. Jedes Teammitglied wird zu einem integralen Bestandteil der kohäsiven Einheit und arbeitet mit Klarheit und Zielstrebigkeit auf gemeinsame Ziele hin.
  • Kontrollierter Zugang zu sensiblen Informationen: Die IAM-Prinzipien stellen sicher, dass nur autorisierte Personen Zugang zu sensiblen Informationen haben. Dies erhöht nicht nur die Sicherheit, sondern stellt auch sicher, dass die Teammitglieder über die Informationen verfügen, die sie benötigen, um ihre Aufgaben effektiv zu erfüllen.
  • Gemeinsame Ziele: Die GRC-Grundsätze stellen sicher, dass alle Teammitglieder auf die gleichen Compliance- und Risikomanagementziele hinarbeiten. Dieser gemeinsame Fokus kann die Zusammenarbeit und Kommunikation verbessern, da jeder die Ziele versteht und weiss, wie seine Rolle dazu beiträgt, diese zu erreichen.

Mit diesen Schritten wird jedes Teammitglied zu einem integralen Bestandteil einer zusammenhängenden Einheit, die mit Klarheit und Zielstrebigkeit auf gemeinsame Ziele hinarbeitet und gleichzeitig einen kontrollierten Zugriff auf sensible Informationen gewährleistet.

Dieser Artikel des Rekrutierungsspezialisten BorderlessHR zeigt 20 Möglichkeiten auf, wie Sie diese positiven Veränderungen in Ihrem eigenen Unternehmen umsetzen können. Er weist darauf hin, dass:

„Wenn Teammitglieder effektiv zusammenarbeiten, können sie bessere Ergebnisse erzielen, komplexe Probleme lösen und Innovationen vorantreiben. Die Verbesserung der Teamarbeit innerhalb eines Teams erfordert jedoch bewusste Anstrengungen und die Umsetzung von Strategien, die Kommunikation, Vertrauen und gemeinsame Ziele fördern.“

Dies alles führt natürlich zu einem effizienteren Arbeitsablauf. Redundanzen werden beseitigt, Prozesse werden gestrafft und die Risiken von kostspieligen Sicherheitsverletzungen oder Verstössen gegen die Vorschriften werden minimiert. Und das wiederum führt zu höherer Rentabilität. Es ist erstaunlich, was ein wenig Teamarbeit bewirken kann!

Weiche Faktoren angehen und vor Sabotage schützen

Während technologische Lösungen eine entscheidende Rolle bei der Verstärkung von Sicherheitsmassnahmen spielen, fügen weiche Faktoren wie die Organisationskultur und das Bewusstsein der Mitarbeiter eine nicht zu unterschätzende Komplexität hinzu. Laut dem Data Breach Investigations Report 2023 von Verizon sind 19 % der Datenschutzverletzungen auf interne Akteure zurückzuführen. Diese Sicherheitsverletzungen können auf zwei Arten kategorisiert werden:

  • Böswillig – verursacht durch die Absicht, einer Organisation zu schaden.
  • Nicht böswillig – verursacht durch menschliches Versagen oder Fahrlässigkeit.

Die gute Nachricht ist, dass sich 62 % der internen Sicherheitsverletzungen als nicht böswillig herausstellen, und das ist ein Problem, das wir leichter angehen können.

Dieser Beitrag von Deloitte enthält einige gute Ratschläge zur Verbesserung des Bewusstseins der Mitarbeiter. Es lohnt sich, ihn zu lesen, aber wir haben ein paar Highlights herausgegriffen, um den Punkt hier zu verdeutlichen:

  • Es können zwar physische und technische Sicherheitsmassnahmen ergriffen werden, aber wenn die Mitarbeiter nicht ausreichend über die Risiken informiert sind, werden diese Massnahmen überflüssig.
  • Deloitte ist der Ansicht, dass das wirksamste Mittel zur Bekämpfung von Insider-Risiken darin besteht, dass sich die Mitarbeiter einem konzertierten Vorhaben zur Verhinderung von Sicherheitsbedrohungen zugehörig fühlen, bei dem persönliche Verantwortung die Norm ist.
  • Es ist unmöglich, für jede Situation zu trainieren, aber wenn die Mitarbeiter in einer Sicherheitskultur arbeiten, die das individuelle Bewusstsein und die Einstellung fördert, dann kann eine Organisation ihre Widerstandsfähigkeit ausbauen, um mit noch nie dagewesenen Veränderungen fertig zu werden.
  • Die Kulturen werden gezüchtet, nicht installiert oder gekauft.

Reden wir über AI

Wenn wir über die Komplexität des modernen Risikos sprechen, dürfen wir den Boom der generativen KI-Tools nicht ausser Acht lassen, die in allen Unternehmen eingesetzt werden.  Sie wird bereits in alltägliche Tools wie E-Mail, Textverarbeitungsprogramme und Konferenzsoftware integriert. Wie auch immer Sie persönlich darüber denken – und es ist ein Thema, das immer noch ziemlich polarisiert -, diese Technologie wird in der täglichen Arbeit Ihrer Mitarbeiter nur eine wachsende Rolle spielen.

„Generative KI kann den Menschen helfen – aber nur, wenn die Führungskräfte die Möglichkeiten der KI umfassend betrachten und ihre Auswirkungen auf das Unternehmen gründlich abwägen.“

Dies ist ein guter Rat von McKinsey.

Wenn es um GRC und IAM geht, wird das Thema noch stärker polarisiert.

Die ultimative Funktion der generativen KI besteht darin, dass Computer lernen, sich anpassen und neue Daten erstellen können – und diese Daten müssen genauso streng geschützt werden wie Ihre eigenen Daten. Aber wie kann man etwas schützen, von dem man nicht weiss, dass es existiert?

Aus diesem Grund sollte die Einführung aller GRC- und Identitätszugriffsmanagement-Prinzipien, die wir in diesem Artikel erörtert haben, bei der strategischen Planung des Einsatzes generativer KI an erster Stelle stehen. Dann müssen Sie sicherstellen, dass alle Mitarbeiter mit diesen Sicherheitsmassnahmen einverstanden sind. Wenn Sie jetzt eine Grundlage für KI-gesteuerte Lösungen schaffen, schützen Sie sich vor potenzieller Sabotage oder Missbrauch dieser Technologien in der Zukunft und können gleichzeitig die Vorteile voll ausschöpfen, die sie mit sich bringen. Das muss gut fürs Geschäft sein.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert