Rezertifizierung von Zugriffsrechten
Rezertifizierung von Zugriffsrechten werden die aktuellen Berechtigungen von Endanwender auf den Prüfstand gestellt, ob diese noch die internen Richtlinien und Compliance-Vorschriften der Organisation einhalten. Der Vorgang der Zugriffsrezertifizierung liegt in der Regel in der Verantwortung des CISO (Chief Information Security Officer) oder des CCO (Chief Compliance Officer) des Unternehmens. Der Prozess kann auch als Überprüfung der Berechtigungen bezeichnet werden.
Die Rezertifizierung der Zugriffe kann automatisch gesteuert oder manuell durchgeführt werden. Bei einem manuellen Ablauf besteht der erste Schritt darin, die Account-Informationen aus den IT-Systemen des Unternehmens zu extrahieren und zusammenzustellen. Diese werden dann in einem Format verteilt, dass es jedem Abteilungsleiter möglich ist, einfach zu erkennen, welche Rechte welchem seiner Mitarbeiter gewährt und eingerichtet wurden. Die Abteilungsleiter müssen dann innerhalb einer zu setzenden Frist die Informationen überprüfen, um unangemessene Zugänge zu kennzeichnen und die angemessenen Berechtigungen zu überprüfen. Bei diesem Vorgehen bestehen die Risiken, dass die Rezertifizierung nur sehr sporadisch durchgeführt wird und nicht alle Abteilungsleiter die Bedeutung der Maßnahme erkennen und unter Umständen unangemessene Berechtigungen absegnen.
In größeren Unternehmen kommt in der Regel Software für das Thema Access Governance zum Einsatz. Mit derlei Tools lässt sich der Rezertifizierungsprozess automatisieren und sicherstellen, dass regelmäßig Audits stattfinden. Sobald die Informationen extrahiert und normalisiert worden sind, verwendet die Software eine Vorlage, um Rezertifizierungsanfragen zu stellen. Wenn der Empfänger die Anforderung nicht innerhalb einer bestimmten Zeitspanne beantwortet, setzt die Software die angefragten Zugriffsrechte kurzerhand aus und benachrichtigt den Abteilungsleiter. Auch dieser automatisierte Ansatz birgt beispielsweise Herausforderungen, wie etwa die Kosten für die Software, der Aufwand und die technischen Kenntnisse für eine saubere Implementierung und Interoperabilität mit der Software von Legacy-Systemen.