Checkliste

Empfehlungen für ein intelligenzbasiertes Risikomanagement

Wissen Sie, wer in Ihrem Unternehmen mit Sonderrechten ausgestattet ist? Wer auf kritische Daten und Systeme zugreifen darf und entsprechend als "Hochrisikonutzer" einzustufen ist? Unsere Checkliste verschafft Ihnen den Durchblick.

Obwohl jede vergebene Zugangsberechtigung im Unternehmen zum Risiko werden kann, nimmt deren Zahl rasant zu. Folglich ist besonders das Management der Zugriffsrechte die hohe Kunst einer modernen Risikomanagementstrategie. Hinzu kommt, dass etliche Compliance-Richtlinien die Steuerung und Nachvollziehbarkeit von Berechtigungsvergaben einfordern. Daher sollten interne Zugriffsberechtigungen so eingerichtet sein, dass jeder Mitarbeiter wirklich nur auf diejenigen Systeme zugreifen kann, die seine Arbeit erfordert. Der Zugriff darf lediglich den Umfang haben, den der jeweilige Mitarbeiter zur Erledigung seiner Tätigkeit zwingend benötigt.

Diese Checkliste zeigt auf, worauf Unternehmen bei Planung, Einführung und Umsetzung eines Access-Risk-Management-Systems achten sollten.

Nutzen Sie die Möglichkeiten der intelligenten Risikoanalyse

Niemand garantiert Ihnen, dass sich jedes Zugriffsrisiko erfassen lässt. Auf Business-Intelligence-Technologie aufbauende Access-Intelligence-Lösungen ermöglichen jedoch zumindest den Nachweis, dass alles für die Erfüllung der Compliance-Vorgaben Wichtige erfasst und dokumentiert wurde.

Es geht um die Beantwortung der wesentlichen Fragen der Berechtigungsverwaltung, beispielsweise darum, welcher Nutzer welche Berechtigungen besitzt und wie diese in der Vergangenheit aussahen. Unternehmen können mögliche Problemstellen identifizieren und sich maßgeschneiderte Risikoberichte erstellen, aber auch Lösungsmöglichkeiten aufzeigen lassen.

Think big, start small! Führen Sie Risikomanagement in einem Stufenmodell ein

Der Business-Intelligence-Ansatz macht weitreichende Analysen möglich. Seine Einführung bietet sich als Schritt-für-Schritt-Prozess an, der schon früh in ein ausbaufähiges System mündet. Die Technik selbst wird erst ganz am Schluss implementiert. Wichtig ist, vorab die Frage zu klären, wer die Bewertung der Risiken vornimmt.

In einem ersten Schritt werden ausschließlich die wichtigsten Risikopotenziale bewertet. Erfahrene Consultants sollten jedes Projekt begleiten und fundierte Vorschläge sowie Handlungsempfehlungen aussprechen. Um den Aufwand in Grenzen zu halten, empfiehlt sich die Konzentration auf das Wichtigste, also beispielsweise auf hochrisikobehaftete Applikationen und Systeme. Nicht relevante Fragestellungen oder sehr geringe Risiken sind derweil zu vernachlässigen. So kann das Risikomanagementsystem schnell eingeführt und implementiert werden. Die Risikobewertung lässt sich später schrittweise erweitern.