Compliance und Automatisierung der IT-Prozesse
Mit "econet cMatrix" erhält die Stadt Köln entscheidende Hilfe bei der Umsetzung von Regulierungs- und Compliance-Anforderungen
Compliance und das rechtskonforme Management von IT-Service-Prozessen - Fehleranfällige, manuelle Änderungen vermeiden
(20.02.07) - Die Stadt Köln wächst – und mit ihr die Anforderungen an die zugrunde liegende IT: Änderungsaufträge mussten bisher manuell erfasst und an den rund 100 verschiedenen Standorten ausgeführt werden, das Fehlen eines "Vier-Augen- Prinzip" führte zu einem erhöhten Sicherheitsrisiko und die inkonsistenten Datensätze der mehr als 8.600 Benutzerkonten stellten die Effizienz des Systems in Frage. Mit der Provisioning-Lösung "cMatrix" von econet konnte das Amt für Informationsverarbeitung (IV) der Stadt Köln die IT-Prozesse so standardisieren, dass sämtliche Änderungen mit Hilfe von über 200 definierten Regeln automatisch in den zehn Zielsystemen umgesetzt werden. Gleichzeitig leistet "econet cMatrix" entscheidende Hilfe bei der Umsetzung von Regulierungsanforderungen.
Mit cMatrix ließen sich die Durchlaufzeiten für Änderungsaufträge von vier Stunden auf 15 Minuten verkürzen. Darüber hinaus ermöglicht die revisionssichere Protokollierung der Prozesse einen vollständigen Überblick über sämtliche Änderungsaufträge. Bisher mussten sämtliche Benutzer- und Computeränderungen nach einer Mitteilung durch die dezentralen Benutzerbetreuer (DZB) manuell durch den zentralen IV-Kundenservice umgesetzt werden. Dabei wurden jährlich mehr 18.000 als Aufträge über das HelpDesk-System abgewickelt und erst als Excel-Datei an den Kundenservice geschickt, bevor sie manuell in das jeweilige Zielsystem übertragen wurden.
Auch die Pflege der Benutzerdatenbank gestaltete sich schwierig: mehrere tausend Benutzerkonten mussten regelmäßig von Hand auf Fehler überprüft werden. Neben hohen Kosten und zeitlichem Mehraufwand konnte das IT-System die gestiegenen Sicherheitserwartungen nicht mehr erfüllen. Mit der modular aufgebauten und vollständig auf SOA-Technologie basierenden cMatrix-Lösung lassen sich jetzt IT-Ressourcen aktiv verwalten, Dateiablagen anlegen oder Berechtigungen vergeben. Diese Abläufe werden über standardisierte Web-Oberflächen angestoßen und automatisch in den Zielsystemen umgesetzt. Die Stadt Köln profitiert vom neu implementierten und automatisierten Änderungsdienst gleich mehrfach: Durch den hohen Automationsgrad und die Senkung der Durchlaufzeiten um 94 Prozent auf 15 Minuten, kann die Stadt Köln jährlich um 100 Prozent mehr Tickets bearbeiten.
Des Weiteren wurde der zentrale Helpdesk erheblich entlastet, so dass Administratoren die neu gewonnenen Kapazitäten nun für die Optimierung der zugrunde liegenden IT-Infrastruktur nutzen und somit der Stadtverwaltung einen erheblichen Mehrwert liefern können.
Compliance und das rechtskonforme Management von IT-Service-Prozessen
Die revisionssichere Protokollierung der Prozesse und der damit verbundene vollständigen Überblick über sämtliche Änderungsaufträge ist ein Compliance-Anliegene: Die Einhaltung von Gesetzen und Standards nimmt die IT allgemein in die Pflicht. Mit steigendem Anforderungsdruck durch Regulierungsbehörden wächst die Verantwortung für die Einhaltung der gesetzlichen Regelungen durch interne und externe IT-Dienstleister und Service Provider.
Insbesondere das rechtskonforme Management von IT-Service-Prozessen, beispielsweise die sichere und transparente Verwaltung von Benutzern und ihren Zugriffsrechten, rückt dabei zunehmend in den Fokus externer Aufsichtsbehörden und interner Revisions-Abteilungen.
Konkret bedeutet dies für den IT-Dienstleister einer Organisiation, ganz gleich ob intern oder extern, zum Beispiel der Verantwortung nach §11 BDSG "Auftragsdatenverarbeitung" sowie §25a KWG "Auslagerung wesentlicher Funktionen/Weisungsabhängigkeit des Dienstleisters" nachzukommen.
Compliance erzeugt Druck
Eine Forderung der Bundesaufsicht für Finanzen (BaFin) schreibt zum Beispiel vor, dass die Entwicklungsumgebungen von den Produktivumgebungen zu trennen sind. Jegliche Zugriffe sind zu beantragen und auch nur im Rahmen eines Incident zu genehmigen.
Bei einer entsprechenden Unternehmensgröße schon von einigen hundert Mitarbeitern, vielen Systemen und Mandanten, ist leicht vorstellbar, dass die Anzahl der notwendigen Zugriffe außerordentlich hoch sein kann. Den Genehmigungs- und Protokollierungsweg manuell aufzusetzen ist dabei nahezu unmöglich.
Steigende Anforderungen an Sicherheit, Datenqualität und Datentransparenz aber auch die Fehlerquote durch steigende Komplexität und Individualanforderungen, fordern eine stärkere Standardisierung der Abläufe. Klar definierte Prozesse und geeignete Werkzeuge helfen diese Anforderungen zu bewältigen.
Höchstes Sicherheitsniveau beim Rechtemanagement
In den Bereichen Zugriffsschutz, Zugriffskontrolle und Prozesssicherheit bietet die econet AG mit cMatrix eine Lösung, die durch eine plattformübergreifende Durchsetzung benutzer-spezifischer Sicherheitseinstellungen aktiv das IT-Sicherheitsniveau erhöht. Reporting-Funktionen in cMatrix machen konkrete operative Risiken sichtbar und minimieren den Aufwand für das Berichtswesen.
"econet cMatrix" erlaubt die Integration organisatorischer Prozesse über durchgängig automatisierte Workflows, die klare Zuständigkeiten, definierte Verfahren und Vorgehensweisen, eindeutige Schnittstellen und transparentes Reporting abbilden.
Wie Anforderungen von Konzern-Revision und externen Aufsichtsbehörden mit "econet cMatrix" sichergestellt und Sicherheitsrichtlinien durch eine zentral abgelegte Security-Policy eingehalten werden können, zeigt das Beispiel einer großen Wirtschaftsprüfungs-Gesellschaft.
econet cMatrix: Hilfe bei der Umsetzung von Regulierungsanforderungen
Mit econet cMatrix lassen sich die Abläufe im IT Service Management entsprechend den geschäftskritischen Anforderungen standardisieren, automatisieren und revisionssicher protokollieren.
Weitere Vorteile sind:
>> Schutz unternehmenskritischer Daten
>> Sichere Bereitstellung von unternehmenskritischen Daten und Ressourcen durch rollenbasierte Rechteverwaltung
>> Einhaltung der Rechtevergabe-Richtlinien durch Provisioning-Regeln
>> Einhaltung von Sicherheits-Policies durch standardisierte und automatisierte Genehmigungs-Workflows
>> Antrags-Workflows mit Vier-Augen-Prinzip, indem das O.K. von einer weiteren Instanz eingeholt werden muss
>> Instanzen zur Qualitätssicherung, z.B. zur Prüfung der Legitimation von Anträgen und Genehmigungen
>> Zuverlässiges Löschen von Benutzerkonten und Berechtigungen in nur einer Aktion
>> Vorab definierte Administrationsprozesse und abgestufte Administrationsrechte zur Einschränkung unkontrollierter Freigaben
>> Reduzierung der Fehlerraten und Erhöhung der Datenqualität durch Standardisierung und hohen Automatisierungsgrad
>> Revision von Berechtigungen
>> Schnelle Risiko-Identifizierung durch übersichtliche Rechtestrukturen, z.B. von nicht zugeordneten bzw. "schlummernden" Accounts, Rechteanhäufungen etc.
>> Jederzeit Übersicht über alle Rechte eines Benutzers
>> Reporting über alle verwalteten Objekte und Objektverknüpfungen
>> Soll-/Ist-Abgleiche zur schnellen Erkennung und Behebung von Regelverletzungen
>> Revision von Administrationstätigkeiten
>> Jederzeit Übersicht über die Rechte eines Administrators
>> Revisionssichere Protokollierung und Archivierung aller Änderungen in den Rechtestrukturen (Wer, was, wann, wo?)
>> Lückenlose Revision aller Rechteanträge und Genehmigungsschritte
>> Einhaltung von rechtlichen und organisatorischen Vorgaben im Datenmanagement
>> Einrichtung und Gewährleistung von definierten Prozessen zur Erfüllung von Vorschriften bei der Datenhaltung z.B. zu Prüfungsmandaten
>> Automatische Sicherstellung von Archivierungsvorschriften
>> Unterstützung bei der Gewährleistung von Verfügbarkeit
>> Tagesaktuelles Reporting und proaktives Monitoring sorgen für Verfügbarkeit und Planungssicherheit bei IT-Ressourcen wie Plattenplatz, Bandbreiten etc.
(econet: ra)
Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>