|
Letzte Woche wurde offiziell, dass Novell die Firma e-Security übernimmt, und es gab reichlich Reaktionen auf die entsprechende Meldung in diesem Newsletter. Nun wissen unsere Leser ja, dass e-Security keineswegs der einzige Anbieter ist, der verspricht, das leidige Thema Compliance an der Wurzel zu packen. Gartner listet einige von ihnen im Magic Quadrant ?Security Information and Event Management? auf, spiegelt aber damit nur einen Teilbereich des Marktes wieder. Einige ganz wichtigen Anbieter tauchen darin überhaupt nicht auf, zum Beispiel Sun, das mit dem Identity Auditor ein spezialisiertes Produkt für die Verarbeitung von Auditing-Informationen seiner Identity Management-Produkte im Portfolio hat. Andere Hersteller wie Netvision konzentrieren sich auf Compliance-Management (CM) und versuchen ? ähnlich wie e-Security ? Compliance-Richtlinien zu definieren und die Ereignisse in den verschiedenen Systemen damit abzugleichen.
Das Angebot ist also reichlich diffus, was meines Erachtens daran liegt, dass es im Grunde noch gar keinen richtigen CM-Markt gibt. Offenbar ist man sich in der Branche noch nicht einig darüber, was CM überhaupt ist oder sein soll. Es fehlt eine Definition, auf die sich alle einigen können. Compliance ist ja auch ein weit gespanntes Feld, das sich teils spezifisch mit Finanzprozessen und der Erstellung von zu veröffentlichenden Dokumenten wie Bilanzen beschäftigt, das aber auch die generische Ebene der allgemeinen ?access controls? und ?process controls? umfasst.
Ich will mich mal weit aus dem Fenster lehnen und meine eigene Definition für ein CM-System auf dieser generischen Ebene wagen. Es handelt sich dabei um zehn Grundanforderungen, die meines Erachtens jedes CM-System erfüllen muss, um den Namen zu verdienen, nämlich:
- Compliance Management muss auf verbindlichen Richtlinien basieren, in denen genau festgelegt ist, was erlaubt ist und was nicht und was in welchen Prozessschritten und mit welchen Genehmigungsstufen gemacht werden muss.
- Diese Richtlinien müssen mit anderen Systemen austauschbar sein. Eine Kennwort-Richtlinie im CM muss sich automatisch mit der entsprechenden Richtlinie beim Provisioning-System synchronisieren lassen.
- Die Richtlinien müssen sich an regulatorischen Rahmenbestimmungen wie dem deutschen Datenschutzgesetz, Sarbanes-Oxley, 8. EU-Richtlinie oder Basel II orientieren und sie müssen vorkonfiguriert sein.
- CM muss viele Datenquellen unterstützen, von Betriebssystemen über Anwendungssysteme wie SAP oder Peoplesoft und IAM-Lösungen bis hin zu Firewalls und anderen Sicherheitskomponenten ? aber auch Schnittstellen zu Workflows, um beispielsweise ausstehende Genehmigungen erkennen zu können.
- Die Systeme müssen Analysen in Echtzeit liefern, um auftretende Probleme rechtzeitig zu erkennen.
- Die Benutzerkonsole muss einen Überblick über den aktuellen Compliance-Status auf hoch aggregierter Ebene liefern - als Dashboard. Zusätzlich müssen auch (Bedenklichkeits-)Berichte automatisch generiert, an die Verantwortlichen verteilt und die Kenntnisnahme von diesen bestätigt werden.
- CM-Systeme müssen Ex-Post-Analysen auf Basis der archivierten Logs liefern, damit beispielsweise die Fragen der Wirtschaftsprüfer auch nach etlichen Monaten oder Jahren beantwortet werden können.
- Erkannte Abweichungen von den Richtlinien müssen sofort definierte Aktionen auslösen, zum Beispiel Provisioning-Prozesse, Konfigurationsprozesse im Systemmanagement oder Anpassungen in SAP-Systemen.
- Die im Protokoll festgehaltenen Informationen müssen zuverlässig sein, was zwingend eine digitale Signatur der Daten voraussetzt.
- CM-Systeme müssen Workflows für die Bearbeitung von erkannten Compliance-Verletzungen unterstützen und den Status der Bearbeitung nachvollziehbar machen.
So, und nun sind Sie dran: Sagen Sie mir, was Sie von dieser Liste halten oder machen Sie mir einen besseren Vorschlag. Auf jeden Fall wird Kuppinger Cole + Partner in Zukunft die Meßlatte bei der Beurteilung von Compliance-Lösungen sehr viel höher legen. Dazu ist dieses Thema einfach viel zu wichtig.
Created: 05.05.06, modified: 22.05.06
|
