single.php
< Beitrag von Tobias Schmidt

Varonis DataPrivilege – Rechte automatisiert vergeben

Tools wie Varonis DataPrivilege – das wünschen sich IT-Abteilungen, wenn sie ausnahmsweise mal nicht nur, aber natürlich auch an die Bedürfnisse des Business oder der Fachabteilungen denken.

In der IT sind wir es gewohnt, auf neue Anforderungen zu reagieren. Wir rollen neue Systeme, Technologien und Services aus, um die Arbeit der User zu unterstützen und zu vereinfachen. Damit steigen die Anforderungen an die IT-Abteilungen stetig, da wir immer mehr Systeme verwalten müssen. Doch nur selten schauen wir auch nach innen und fragen uns, wie wir unsere eigenen Aufgaben erleichtern und verbessern können.

Die Vergabe von Berechtigungen an die Data Owner zu delegieren, ist da keine schlechte Idee, aber geht das überhaupt? Der Prozess für Freigaben sieht ja im Grunde überall ähnlich aus. Beim On- und Offboarding eines Mitarbeiters kommt seit je her ein Laufzettel in der IT an, mit dem wir die Berechtigungen geradebiegen. Na gut, daraus wurde mal eine Mail. Vielleicht gibt es ein Skript, das aus den Mails die Berechtigungen und Gruppenzugehörigkeiten vergibt.

Dieser Status quo funktioniert zwar, aber ich meine, wir können die Zeit in unserem projektlastigen Geschäft mittlerweile besser nutzen. Und hier kommt Varonis DataPrivilege ins Spiel. Denn mit diesem Modul der Varonis Plattform verlagern wir das Management der Berechtigungen zu den Kolleginnen und Kollegen, die im Zweifel eh besser Bescheid wissen als wir – die Data Owner.

Berechtigung anfragen

Varonis DataPrivilege automatisiert den Prozess der Rechtebeantragung und -freigabe auf einer Intranet-Plattform. Hier können User, Authorizer und Data Owner zentral alle Aufgaben rund um die Berechtigungsvergabe steuern. Im Hintergrund werden über DatAdvantage die Verbindung zum Active Directory hergestellt und die Berechtigungen geschrieben oder entfernt. Ganz konkret funktioniert der Ablauf dann folgendermaßen:

Der Nutzer stellt eine Berechtigungsanfrage. In diesem Fall für sich selbst. Er wählt einen Ordner aus, für den er die Berechtigung benötigt. Hier ist es auch möglich, bei Bedarf sogenannte Ethical walls zu errichten, z. B.: Ein Mitarbeiter der Gruppe HR kann niemals eine Berechtigung im Bereich Finance erhalten. Ein Mitarbeiter aus der Abteilung Controlling aber schon.

Varonis DataPrivilege: Berechtigung anfragen – Operationen, Erklärung, Ablauf

Der User wählt seine benötigte Berechtigung aus: ändern, ausführen usw. Er erklärt dem Adressaten, der die Berechtigung vergeben kann, warum und wie lange er den Zugriff benötigt, und schickt seine Anfrage ab. Er erhält eine Bestätigung mit einer kleinen Zusammenfassung seiner Anfrage und kann jetzt auch noch eine Liste der Bevollmächtigten einsehen, um den Prozess auf persönlicher Ebene zu beschleunigen.

Varonis DataPrivilege: Berechtigung anfragen – Nachricht

Berechtigung erteilen

Jetzt bekommen Data Owner oder Data Authorizer eine Mailnachricht sowie einen Eintrag in ihrer Version des Portals. Hier können sie die Anfrage bestätigen:

Varonis DataPrivilege: Anfrage-Details

Außerdem kann der authorisierte Vergeber der Zugriffsrechte die Angaben, die vom User stammen, noch anpassen, also etwa doch nur Lese- statt Schreibrechte vergeben oder das Ablaufdatum ändern. In unserem Beispiel erhält Adam Nelson jetzt seine gewünschte Berechtigung. Er soll ja arbeiten können.

Berechtigung monitoren

Doch was ist, wenn sich Adam Nelson einige Tage später entschließt, das Unternehmen kurzfristig zu verlassen? Für solche Fälle bittet Data Privilege die Data Owner in regelmäßigen Abständen um eine Kontrolle der vergebenen Berechtigungen.

Mithilfe der Berechtigungsüberprüfung könnten wir unserem User die Berechtigung also direkt wieder entziehen. Varonis empfiehlt den Data Ownern anhand der Auditierung durch DatAdvantage auch User, die gefahrlos entfernt werden können, weil sie seit Längerem nicht mehr auf die Daten zugegriffen haben. Ein absolut wichtiges Feature, wenn wir an die DSGVO denken mit ihrer Forderung, Daten zu minimieren.

Das bringt Varonis DataPrivilege: Transparenz und Arbeitserleichterung

Abschließend bleibt festzustellen, dass es sich lohnt, eingefahrene und etablierte Prozesse kritisch zu prüfen, selbst wenn sie sich bewährt haben. Varonis DataPrivilege bietet einen Service, der

  • die Vergabe von Berechtigungen transparenter macht,
  • die IT-Abteilung entlastet und
  • dafür sorgt, dass wir präziser mit dem sensiblen Thema Berechtigungen umgehen.

Wir beraten Sie gerne und arbeiten mit Ihnen ein individuell passendes Konzept aus.

Folgen
X

Folgen

E-mail : *
Kategorie: IT- & Data-Security | Schlagwörter: , | Kommentare: 0

Beitrag kommentieren

CAPTCHA * Time limit is exhausted. Please reload CAPTCHA.