Verschärfter regulatorischer Compliance-Druck


Studie analysiert die organisatorischen Rahmenbedingungen für Identity Access Management und Governance in der Finanzindustrie
Operationales Risikomanagement ist Kernthema für die Unternehmen der Finanzindustrie - Thema Compliance wird in den Organisationen zwar diskutiert, die richtige Zuordnung oft noch nicht gefunden


(15.10.12) - Eine aktuelle Studie des europäischen Analystenunternehmens KuppingerCole in Zusammenarbeit mit der Berliner Beta Systems Software AG zeigt, welche organisatorischen Rahmenbedingungen das Thema Identity Access Management (IAM) und Identity Access Governance (IAG) in der Finanzindustrie derzeit bestimmen. Laut Studie rücken IAM und IAG insbesondere durch den verschärften regulatorischen Compliance-Druck wesentlich mehr als bisher ins Blickfeld der Unternehmen. Die meisten beschäftigen sich damit sehr viel intensiver als bisher, allerdings gibt es auch noch einige offene Baustellen. Hierzu zählen insbesondere die Einbindung von IAM und IAG in die Gesamtstrukturen für Governance, Risk Management und Compliance sowie die Schaffung geeigneter organisatorischer Strukturen für dieses Themenfeld.

Bei der Untersuchung der organisatorischen Rahmenbedingungen für IAM/IAG ist laut Studie zu berücksichtigen, dass Banken und Versicherungen beim Risikomanagement - trotz der gestiegenen Bedeutung von regulatorischen Anforderungen auch für das Zugriffsmanagement - noch andere, oft wesentlich kritischere Bereiche haben.

Bei der Frage nach den priorisierten Bereichen im Risikomanagement der Finanzindustrie steht das operationelle Risikomanagement klar an der Spitze. IAM/IAG ist in diesen Bereich einzuordnen, weil die Reduzierung von IT-Risiken durch IAM/IAG auf die operationalen Risiken wirkt. Sie sind jedoch nur ein Teil des Gesamtthemas.

Ein ganz anderes Bild zeigt sich beim Blick auf die Initiativen zum Risikomanagement innerhalb der IT. Hier hat IAM die mit Abstand größte Bedeutung. Auch Access Governance und Access Intelligence sind nicht unwichtig, werden aber von vielen Unternehmen als Teil der IAM-Initiative verstanden. Ansonsten verteilen sich die Antworten über unterschiedliche Themenfelder.

Ein sehr breit gefächertes Spektrum an Antworten ergibt die Frage nach den Stakeholdern für das Thema IAM/IAG. Deutlich wird, dass es typischerweise mehrere Stakeholder gibt. Zudem kommt das Thema immer mehr auf der Leitungsebene des Unternehmens an. Bei immerhin einem Drittel der Unternehmen ist der Gesamtvorstand ein Stakeholder, bei weiteren gut 20 Prozent sind es Einzelvorstände. Auch die Konzernorganisation, die interne Revision und das Risk Management führen die befragten Unternehmen als häufig involviert an.

"Bei immerhin rund 28 Prozent der befragten Unternehmen haben sich die Stakeholder in den vergangenen zwei Jahren verändert, wobei die Erfahrungswerte aus Advisory-Projekten zeigen, dass dabei regelmäßig die Business-Organisation ein höheres Gewicht bekommt", erläutert Martin Kuppinger von KuppingerCole. "Die vergleichsweise hohe Veränderungsrate bei Stakeholdern zeigt, dass das Thema Compliance in den Organisationen diskutiert wird, die richtige Zuordnung aber oft noch nicht gefunden ist. Insgesamt ist IAM/IAG allerdings inzwischen generell auch ein Thema für die Business-Organisation und längst nicht mehr nur für die IT."

Ein noch breiter gefächertes Bild zeigt sich bei den beteiligten Organisationseinheiten. Hier gibt es eine große Zahl von unterschiedlichen beteiligten Stellen in den Projekten. Die Verantwortlichkeiten sind über viele Stellen verteilt. In praktisch jedem Unternehmen sind auch mehrere Stellen involviert, was schon aus der Notwendigkeit des Zusammenspiels zwischen Fachbereichen und IT resultiert. Entsprechend nennen immerhin rund 85 Prozent der befragten Unternehmen die Fachbereiche als beteiligte Organisationseinheiten.

Bei der Frage danach, welche speziellen organisatorischen Einheiten es in den Unternehmen für IAM und IAG gibt, ergibt sich dagegen ein ernüchterndes Bild. Zwar besteht in einer großen Zahl von Unternehmen ein festes Team für IAM/IAG als organisatorische Einheit. Funktionen wie ein Governance Board oder eine unabhängige Prüfstelle, die sich in der Linienfunktion um Richtlinien, SoD-Regeln (Seggregation of Duties) oder die Festlegung von kompensatorischen Kontrollen kümmern, fehlen dagegen fast überall.

Das zeigt, dass der organisatorische Status für IAM/IAG in sehr vielen Fällen noch nicht auf dem eigentlich erforderlichen Niveau ist. Viele Unternehmen haben keine speziellen Richtlinien für IAM/IAG, SoDs oder die Rezertifizierung, sondern viel zu unspezifische IT-Sicherheitsrichtlinien.

Anmerkungen:
1) IAM steht für Identity und Access Management und bezeichnet die Technologien, mit denen die Identitäten von Benutzern und ihre Zugriffsberechtigungen verwaltet werden.

2) Identity und Access Governance (IAG) betrachtet die Governance um Identitäten (beispielsweise verwaiste Konten von Benutzern, die längst nicht mehr im Unternehmen sind) und Zugriffsberechtigungen. Hier geht es darum sicherzustellen, dass Benutzer minimale oder angemessene Berechtigungen haben, aber eben keine Berechtigungen über das hinaus, was sie sinnvollerweise in ihrer Arbeit benötigen. Die Analyse von Zugriffsberechtigungen und die regelmäßige Rezertifizierung durch manuelle Prüfprozesse sind wesentliche Funktionen der Identity und Access Governance.

3) Bei Identity und Access Intelligence geht es um analytische Funktionen, bei denen vermehrt Technologien aus dem Bereich Business Intelligence/Data Warehouse zum Einsatz kommen, um Berechtigungen analysieren und beispielsweise spezifische Risiken erkennen zu können. Im Gegensatz zu IAG werden dabei vermehrt nicht nur statische Berechtigungszuweisungen, sondern auch die aktive Nutzung von Berechtigungen einbezogen.
(Beta Systems Software: ra)

Beta Systems Software: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -




Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Studien

  • Zukunft der Arbeit spaltet Führung & Mitarbeiter

    NTT hat die 2021er-Ausgabe ihres "Global Workplace Report" veröffentlicht. Die Studie liefert detaillierte Informationen zu den Bereichen Employee Experience - also den Erfahrungen der Mitarbeiter an ihrem Arbeitsplatz -, vernetzte Digitalisierung sowie Arbeitsplatzgestaltung und bietet damit wichtige Gestaltungsansätze für die Zukunft der Arbeit, auf die sich Unternehmen auf der ganzen Welt nach der Pandemie einstellen müssen. Die Daten zeigen, dass die meisten Organisationen zwar erkannt haben, welche Maßnahmen sie für die Modernisierung ihrer Arbeitsmodelle in den einzelnen Sektoren priorisieren müssen, viele sind aber noch nicht in der Lage, diese effektiv umzusetzen. Die Befragung von weltweit 1.146 leitenden Angestellten sowie 1.400 Mitarbeitern belegt, dass eine Mehrheit der Befragten die während der Pandemie erfolgte Zunahme von Remote-Arbeit kritisch beurteilt. 74 Prozent sehen dadurch die Unternehmensleistung beeinträchtigt und 76 Prozent bezeichnen Homeoffice als Herausforderung für die Angestellten. Und für 60 Prozent der Personalchefs hat sich das Wohlbefinden der Mitarbeiter im Laufe der Pandemie verschlechtert.

  • Zu geringe Breitbandgeschwindigkeit

    Am 01.12.2021 trat die Novelle des Telekommunikationsgesetzes (TKG) in Kraft. Verbraucher erhalten dann ein Minderungsrecht, wenn ihr Internet langsamer ist als vertraglich vereinbart. Der vzbv hat ausgerechnet, welche Beträge Verbraucher im Zeitraum 2019/2020 zu viel bezahlten. Mit der TKG-Novelle erhalten Verbraucher ein Minderungsrecht, wenn die Internetgeschwindigkeit langsamer ist als vertraglich vereinbart. Der Verbraucherzentrale Bundesverband e.V. (vzbv) hat mit Daten der Bundesnetzagentur ausgerechnet, wie viel Verbraucher im Zeitraum 2019/2020 in gängigen Breitband-Tarifen monatlich zu viel zahlten. Untersucht wurden die größten Breitband-Internetanbieter Telekom, Vodafone, Telefónica und 1&1.

  • Weiterhin ein Gefühl der Einsamkeit

    Eine Kaspersky-Studie hat ergeben, dass 60 Prozent der in Deutschland befragten Angestellten sich nicht isoliert fühlen, wenn sie aus der Ferne arbeiten. Mehr als ein Viertel (26 Prozent) gab sogar an, remote besser mit ihren Kollegen kommunizieren zu können. Eine große Herausforderung für Arbeitgeber: Die weit verbreitete Nutzung von Kommunikationsdiensten, die nicht zu den offiziellen Unternehmenskanälen gehören, ermöglicht bessere Verbindungen, erhöht jedoch gleichzeitig auch die Risiken, die von unkontrollierten IT-Ressourcen ausgehen. Die epidemiologische Situation und die darauf folgenden Abriegelungsmaßnahmen rund um den Globus haben den Kommunikationsaspekt im Privat- und Arbeitsleben stark beeinflusst. Soziale Isolation sowie mangelnde Kommunikation mit Kollegen gehörten zu den am meistdiskutierten Bedenken von Mitarbeitern, die unternehmensextern tätig sind.

  • Komplexität erschwert Sicherheit

    Digitalisierung, Remote-Arbeit und zunehmende Cloud-Nutzung wirken sich auf die Sichtbarkeit von Cyberbedrohungen und die Reaktion auf Cybervorfälle aus. Dabei stellen der Datenschutz sowie eine zunehmend komplexe Infrastruktur für die Hälfte der europäischen Unternehmen eine Herausforderung dar. Diese Ergebnisse gehen aus dem aktuellen "IT Security Economics Report" von Kaspersky hervor. Im Jahr 2020 haben Lockdowns und die damit verbundene Fernarbeit den Einsatz digitaler Technologien in Unternehmen gefördert. Laut McKinsey & Company haben die Digitalisierung in Kunden- und Lieferketteninteraktionen sowie der Anteil digitaler oder digital gestützter Produkte zugenommen. Damit war auch die Einführung neuer IT-Dienste und Änderungen der IT-Infrastruktur verbunden.

  • Interner Schutz von Whistleblowern

    Mitte Dezember tritt die EU-Whistleblowing-Richtlinie in Kraft und verpflichtet einen Großteil der Unternehmen zur Implementierung eines internen Meldekanals. Jedoch sind viele betroffene Unternehmen noch nicht ausreichend vorbereitet, wie aus dem Whistleblowing Report 2021 hervorgeht. Für diesen befragte die Fachhochschule Graubünden in Zusammenarbeit mit der Münchner EQS Group 1.239 Unternehmen in Deutschland, Schweiz, Frankreich und Großbritannien zur Verwendung von internen Meldekanälen.