Die meisten Unternehmen richten dies auf der Grundlage einer RBAC-Lösung ein, wobei das „R“ für verschiedene Ansätze der R-basierten Zugriffskontrolle stehen kann. Dies sind die verschiedenen Ansätze:
Unternehmen versuchen verständlicherweise, ihre Zugangskontrolle so weit wie möglich zu automatisieren. Das bedeutet, dass für eine wirksame Zugangskontrolle jederzeit die richtigen Daten verfügbar sein müssen, um zu entscheiden, ob einer Identität Zugangsrechte gewährt werden oder nicht. Bei Informationssystemen bedeutet „Garbage in“ bekanntlich auch „Garbage out“. Das trifft auch auf die Zugangskontrolle zu. Unabhängig davon, welche Variante Sie als Unternehmen verwenden: Wenn die zugrunde liegenden Daten nicht die richtige Qualität haben, wird die Zugangskontrolle schon bald „rubbish-based“ sein. Und das führt nicht zu dem gewünschten Ergebnis, nämlich die Kontrolle darüber zu haben, wer Zugang zu welchen Daten hat und warum. Um die Qualität der benötigten Daten zu verbessern und zu gewährleisten, muss bei der Anwendung von RBAC auf Data Governance geachtet werden.
Data Governance als Grundlage für die Datenqualität (richtig, vollständig, rechtzeitig, relevant und zuverlässig) für RBAC-Systeme umfasst die folgenden Aspekte:
Wenn eine Data Governance vorhanden ist und ein Unternehmen davon überzeugt ist, dass die Daten, die in ein RBAC-System eingespeist werden sollen, brauchbar sind, kann ein Berechtigungsmodell mit einem hybriden Ansatz eingerichtet werden. Damit meinen wir, dass wir sowohl die Perspektive des Unternehmens (auch bekannt als „Top-down“) als auch die der Anwendung („Bottom-up“) einbeziehen. Bei der Top-Down-Analyse geht es um Fragen wie „Wer macht was?“, „Welche Anwendungen werden verwendet?“ und „Welche Funktionen werden von diesen Anwendungen genutzt?“ Bei der Bottom-up-Analyse dreht es sich um Fragen wie „Was kann jemand mit dieser Anwendung tun?“, „Welche Unterschiede gibt es bei den Zugriffsrechten?“ und „Welche Rechte haben die Mitarbeiter derzeit?“
Dabei ist es wichtig, dass eine Organisation für das Genehmigungsmanagement eingerichtet wird. Das bedeutet, dass Menschen benötigt werden, die für die verschiedenen Prozessschritte verantwortlich sind, wie etwa in den folgenden Prozessen:
– Verwaltung des Genehmigungsmodells
– Zuweisung von Rollen durch Genehmigung
– (Regelmäßige) Neubewertung der gewährten Rechte
– Überprüfung der Aufgabentrennung
– Einrichtung eines Genehmigungsmodells und von Genehmigungsverwaltungsprozessen in der unterstützenden Technologie
Auf dieser Grundlage kann das Genehmigungsmodell einschließlich der Regeln für die Erteilung von Genehmigungen und der Antragsprozesse (in geeigneter Technologie) eingerichtet werden, sodass das Unternehmen die Kontrolle über das Genehmigungsmanagement erhält.