In der ersten Ausgabe von „Neuland kartografieren“ behandelten wir die Auswirkungen unstrukturierter Daten auf die Identity-Governance-Programmteams, da vertrauliche Daten schnell aus Anwendungen und Plattformen verschwinden und sich in einem breiten Spektrum von Dateispeichersystemen ausbreiten. In dieser Ausgabe werde ich „Neuland“ betreten, um Ihnen einige der wichtigsten Herausforderungen aufzuzeigen, die Sie bei der Planung Ihrer Strategie für den Zugriff auf unstrukturierte, in Dateien gespeicherte Daten berücksichtigen müssen.
Lassen Sie uns damit beginnen, die Hauptgründe dafür zu skizzieren, dass die Governance von unstrukturierten Datenzugriffen einen anderen Ansatz zur Steuerung des Zugriffs erfordert als bei traditionellen Anwendungen und Plattformen:
- Mangelnde Sichtbarkeit: Das alte Sprichwort „Was ich nicht weiß, macht mich nicht heiß“ gilt nicht, wenn es um Cybersicherheit und die Compliance behördlicher Auflagen geht. Es ist sogar so, dass angesichts der DSGVO, die im Mai 2018 online geht, für viele Organisationen die Möglichkeit, Risiken zu entdecken und zu mindern, bevor sie sich in Verstöße verwandeln, noch relevanter wird, angesichts der erheblichen finanziellen Sanktionen, die drohen können. Einen Überblick darüber zu gewinnen, wo sich vertrauliche Daten in Fileshares, auf Kollaborationsplattformen und sogar in Cloud-Speichersystemen verstecken, ist eine gewaltige Herausforderung. Ein derartiger Überblick erfordert Systeme und Prozesse, die in der Lage sind, Dateien mit vertraulichen Informationen (z. B. personenbezogene Daten oder Kreditkartendaten) schnell zu identifizieren und zu referenzieren, wer (und wie) Zugriff auf die Daten hat. Wichtig ist, dass dies keine einmalige Aktivität ist. Jeden Tag erstellen und speichern Endbenutzer neue Dateien, und dies erfordert fortlaufende Kontrolle.
- Verwirrung über das Eigentum: Wir alle haben erlebt, was es bedeutet, wenn die Verantwortlichkeiten unklar sind. Jeder in der Organisation mag sich bewusst sein, dass es ein Problem gibt, aber es kann manchmal schwierig sein, jemanden dazu zu bringen, das Problem zu melden oder es zu beheben. Die Governance des Zugriffs auf unstrukturierte Daten ist eines dieser Probleme. Alle sind sich einig, dass es ein Risiko darstellt und gemanagt werden sollte, aber nur wenige Organisationen haben eine endgültige Entscheidung über die Verantwortlichkeiten getroffen. Bei SailPoint sehen wir, dass unterschiedliche Bereiche der IT-Organisation mit Aktivitäten zur Sicherung unstrukturierter Daten beauftragt werden. Manchmal ist es das Speicher-Team, manchmal ist es das Datengovernance-Team und manchmal ist es das IAM-Team. In Wirklichkeit können alle diese Gruppen die Sicherheit von vertraulichen Daten positiv beeinflussen, aber im Rahmen eines umfassenden Ansatzes sollte das IAM-Team direkt in die Entwicklung eines Governance-Zugriffs einbezogen werden. Es ist in der optimalen Position, um unternehmensweite Zugriffsrichtlinien konsequent durchzusetzen und dem Unternehmen eine nahtlose Reihe von Identity Governance-Services zur Verfügung zu stellen.
- Datenmenge: das Wachstum unstrukturierter Daten in den Unternehmen hat gewaltige Ausmaße angenommen. Ich sehe immer wieder Schätzungen, die besagen, dass ein überwiegender Teil der heute in einem Unternehmen verwendeten Daten unstrukturierte Daten sind. Die allgemein akzeptierte Schätzung ist 80 %, aber ich habe Schätzungen gesehen, wo der Anteil bis zu 90 % beträgt. Das hat zur Folge, dass Identity Governance-Teams das Problem nur dann bewältigen können, wenn sie einen anderen Ansatz verfolgen, als den, mit dem sie den Zugriff auf Anwendungen, Accounts und Berechtigungen regeln. Die Granularität der Zugriffsrechte in Kombination mit der schieren Menge an Daten, die verwaltet werden müssen, erfordert, dass Unternehmen Governance-Aktivitäten für besonders vertrauliche Dateien und Dateispeicherorte priorisieren müssen. Darüber hinaus müssen Unternehmen die Verantwortung für die Entscheidungen im Bereich Identity Governance übernehmen und stärken, indem sie die beste Person für eine zugriffsbezogene Entscheidung darüber identifizieren, wer während des Genehmigungs- oder Zertifizierungsprozesses Zugriff haben soll.
Der Schutz von vertraulichen Daten, die in Dateien gespeichert sind, gewinnt für Unternehmen jeder Größe immer mehr an Bedeutung. Eine der effektivsten Möglichkeiten, unstrukturierte Daten in all ihren verschiedenen Formen (z. B. Tabellenkalkulationen und Dokumente) und an allen verteilten Orten (z. B. Fileshares und Cloud-Speichersysteme) abzusichern, besteht darin, den Zugriff auf diese Daten nur für autorisierte Benutzer zu ermöglichen. Und das bedeutet, dass Identity-Teams ihre Arbeit intensivieren und damit beginnen müssen, den Zugriff auf Dateispeichersysteme zu regeln – und zwar unabhängig davon, ob sich diese Systeme in einem Datenzentrum oder in der Cloud befinden. Indem Sie Ihr Unternehmen dabei unterstützen, den Zugriff auf Anwendungen, Plattformen und Dateispeichersysteme umfassend zu regeln, reduzieren Sie das Risiko von Verstößen und beschleunigen gleichzeitig die Zusammenarbeit im Unternehmen.
In der nächsten Ausgabe von Neuland kartografieren werden wir uns mit einigen der innovativen Ansätze von SailPoint im Bereich der Zugriffs-Governance von Dateien und den darin enthaltenen unstrukturierten Daten beschäftigen.
Weitere Informationen über die Barrieren, denen Unternehmen bei der Bewältigung ihrer unstrukturierten Daten gegenüberstehen, finden Sie in unserem aktuellen Whitepaper „Absichern des Dateizugriffs mit Identity Governance.“