Jede Person in einem Unternehmen, die über Berechtigungen in einem IT-System verfügt, birgt für das Unternehmen ein Sicherheitsrisiko. Beispielsweise trägt eine Person, die berechtigt ist, Finanzdaten im SAP System zu bearbeiten, ein höheres Risiko, als eine Person, die die eigenen Personenstammdaten bearbeiten darf. Um dieses Risiko zu bewerten, können Sie mit dem One Identity Manager für jede Unternehmensressource einen Risikowert erfassen. Für jede Person, der diese Unternehmensressourcen direkt oder indirekt zugewiesen sind, wird aus diesen Werten ein Risikoindex berechnet. Unternehmensressourcen umfassen Zielsystemberechtigungen (beispielsweise Active Directory Gruppen oder SAP Profile), Systemrollen, abonnierbare Berichte, Software und Ressourcen. Dadurch können alle Personen ermittelt werden, die im Unternehmen über besonders risikoreiche Unternehmensressourcen verfügen.
Im Rahmen des Identity Audits können auch Regeln mit einem Risikoindex versehen werden. Mit jeder Regelverletzung kann sich das Sicherheitsrisiko aller Personen erhöhen, die die Regel verletzen. Daher werden auch diese Risikoindizes in die Risikoberechnung der Personen einbezogen. Über risikomindernde Maßnahmen können Sie geeignete Gegenmaßnahmen definieren und an den Complianceregeln hinterlegen.
Weitere Faktoren beeinflussen den berechneten Risikoindex von Personen. Das sind unter anderem die Art der Zuweisung einer Ressource (genehmigte Bestellung im IT Shop oder Direktzuweisung), Attestierungen, Ausnahmegenehmigungen für Regelverletzungen, Verantwortlichkeiten der Person und definierte Wichtungen. Darüber hinaus kann der Risikoindex auch für alle Geschäftsrollen, Organisationen und Systemrollen berechnet werden, denen Unternehmensressourcen zugewiesen sind. Der Risikoindex von Benutzerkonten wird anhand der zugewiesenen Systemberechtigungen berechnet.
Für die im Folgenden beschriebenen Risikoindexberechnungen stellt One Identity Manager Standard-Berechnungsvorschriften bereit. Diese Berechnungsvorschriften stehen zur Verfügung, wenn die jeweiligen Module installiert sind. Darüber hinaus können Sie unternehmensspezifische Berechnungsvorschriften erstellen.
Um die Möglichkeiten der Risikobewertung zu nutzen
- Aktivieren Sie im Designer den Konfigurationsparameter QER | CalculateRiskIndex und kompilieren Sie die Datenbank.
Wenn Sie den Konfigurationsparameter zu einem späteren Zeitpunkt deaktivieren, werden die nicht benötigten Modellbestandteile und Skripte deaktiviert. SQL Prozeduren und Trigger werden weiterhin ausgeführt. Ausführliche Informationen zum Verhalten präprozessorrelevanter Konfigurationsparameter und zur bedingten Kompilierung finden Sie im One Identity Manager Konfigurationshandbuch.
In die Festlegung der Risikoindizes und die Bearbeitung der Berechnungsvorschriften für Risikoindizes sind folgende Benutzer eingebunden.
Tabelle 1: Benutzer
Verantwortliche für die einzelnen Unternehmensressourcen |
Die Benutzer werden über die verschiedenen Anwendungsrollen für Administratoren und Verantwortliche definiert.
Benutzer mit diesen Anwendungsrollen:
|
Administratoren für Complianceregeln |
Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Identity Audit | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Legen die Risikoindizes für Complianceregeln fest.
-
Legen risikomindernde Maßnahmen fest.
-
Erstellen und bearbeiten Berechnungsvorschriften. |
Administratoren für Attestierungsvorgänge |
Die Administratoren sind der Anwendungsrolle Identity & Access Governance | Attestierung | Administratoren zugewiesen.
Benutzer mit dieser Anwendungsrolle:
-
Legen die Risikoindizes für Attestierungsrichtlinien fest.
-
Legen risikomindernde Maßnahmen fest.
-
Erstellen und bearbeiten Berechnungsvorschriften. |
Administratoren für Unternehmensrichtlinien |
Die Administratoren müssen der Anwendungsrolle Identity & Access Governance | Unternehmensrichlinien | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
-
Legen die Risikoindizes für Unternehmensrichtlinien fest.
-
Legen risikomindernde Maßnahmen fest.
-
Erstellen und bearbeiten Berechnungsvorschriften. |
Administratoren für Personen |
Die Administratoren müssen der Anwendungsrolle Identity Management | Personen | Administratoren zugewiesen sein.
Benutzer mit dieser Anwendungsrolle:
|
One Identity Manager Administratoren |
Administratoren sind administrative Systembenutzer. Administrative Systembenutzer werden nicht in Anwendungsrollen aufgenommen.
Administratoren:
-
Erstellen bei Bedarf im Designer kundenspezifische Berechtigungsgruppen für Anwendungsrollen für die rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Erstellen bei Bedarf im Designer Systembenutzer und Berechtigungsgruppen für die nicht-rollenbasierte Anmeldung an den Administrationswerkzeugen.
-
Aktivieren oder deaktivieren im Designer bei Bedarf zusätzliche Konfigurationsparameter.
-
Erstellen im Designer bei Bedarf unternehmensspezifische Prozesse.
-
Erstellen und konfigurieren bei Bedarf Zeitpläne. |
HINWEIS: Die Objekttypen sind in den One Identity Manager Modulen definiert und stehen erst zur Verfügung, wenn die Module installiert sind.
Der Risikoindex kann für folgende Objekttypen erfasst werden.
Tabelle 2: Risikoindex für Objekte im One Identity Manager
Zielsystemberechtigungen, beispielsweise Active Directory Gruppen oder Google Workspace Produkte und SKUs |
Risiko für das Unternehmen, wenn die Zielsystemberechtigung an ein Benutzerkonto zugewiesen ist. |
im jeweiligen Zielsystemmodul |
Software |
Risiko für das Unternehmen, wenn die Kontendefinition, Software oder Ressource einer Person zugewiesen ist. |
Modul Softwaremanagement |
Ressourcen |
immer |
Kontendefinitionen |
Zielsystem Basismodul |
Mehrfach bestellbare Ressourcen |
Risiko für das Unternehmen, wenn die Ressource einer IT Shop Struktur zugewiesen ist. |
immer |
Mehrfach zu-/abbestellbare Ressourcen |
immer |
Zuweisungsressourcen |
immer |
Anwendungsrollen |
Risiko für das Unternehmen, wenn eine Person Mitglied dieser Anwendungsrolle ist. |
immer |
Complianceregeln |
Risiko für das Unternehmen, wenn die Regel verletzt wird. |
Modul Complianceregeln |
SAP Funktionen |
Risiko für das Unternehmen, wenn SAP Benutzerkonten die SAP Funktion treffen. |
Modul SAP R/3 Compliance Add-on |
Unternehmensrichtlinien |
Risiko für das Unternehmen, wenn die Unternehmensrichtlinie verletzt wird. |
Modul Unternehmensrichtlinien |
Attestierungsrichtlinien |
Risiko für das Unternehmen, wenn ein Attestierungsvorgang dieser Attestierungsrichtlinie abgelehnt wird. |
Modul Attestierung |
Abonnierbare Berichte |
Risiko für das Unternehmen, wenn eine Person diesen Bericht abonniert hat. |
Modul Berichtsabonnement |
Um den Risikoindex zu erfassen
-
Öffnen Sie im Manager das Stammdatenformular des Objekts, für das ein Risikoindex erfasst werden soll.
-
Stellen Sie im Eingabefeld Risikoindex den gewünschten Wert ein.
Der Risikoindex wird als Gleitkommazahl im Wertebereich 0,0 ... 1,0 angegeben. Dabei bedeuten:
-
0,0: Es liegt kein Risiko vor
-
1,0: Problem. Es ist eine Risiko eingetreten.
Auf Basis der erfassten Risikoindizes werden für Personen, Benutzerkonten und hierarchische Rollen die resultierenden Risikoindizes berechnet. Dabei werden alle direkt und indirekt zugewiesenen Objekte berücksichtigt.
Für folgende Objekttypen wird der Risikoindex berechnet.
Tabelle 3: Objekttypen mit berechnetem Risikoindex
Personen |
Wird aus den Risikoindizes aller verbundenen Benutzerkonten, den direkt und indirekt zugewiesenen Software-Anwendungen, Ressourcen, Kontendefinitionen und abonnierbaren Berichten, den Mitgliedschaften in Anwendungsrollen und den Regelverletzungen berechnet. |
immer |
Benutzerkonten, beispielsweise Active Directory Benutzerkonten oder Google Workspace Benutzerkonten |
Wird aus den Risikoindizes aller zugewiesenen Zielsystemberechtigungen berechnet. |
im jeweiligen Zielsystemmodul |
Abteilungen, Standorte, Kostenstellen |
Wird aus den Risikoindizes aller zugewiesenen Unternehmensressourcen berechnet. |
immer |
Geschäftsrollen |
Geschäftsrollenmodul |
Systemrollen |
Systemrollenmodul |
IT Shop-Strukturen |
immer |
Regelverletzungen |
Wird aus dem Risikoindex der verletzten Regel und den zugewiesenen risikomindernden Maßnahmen ermittelt. |
Modul Complianceregeln |
Der One Identity Manager liefert Standard-Berechnungsvorschriften für die Risikoindizes mit, in denen die Risikoberechnung für die hier aufgeführten Objekttypen definiert ist. Einzelne Eigenschaften der Standard-Berechnungsvorschriften können im One Identity Manager bearbeitet werden. Darüber hinaus können Sie unternehmensspezifische Berechnungsvorschriften erfassen.
Verwandte Themen