Dieser Artikel wurde maschinell übersetzt.
Eines der größten Probleme für viele Unternehmen ist die Sicherstellung der Compliance. Einfacher wird diese Arbeit mit Identity and Access Management (IAM) Software. IAM ermöglicht es Administratoren, strenge Zugriffsprotokolle festzulegen, um zu steuern, welche Netzwerke und Ressourcen Benutzer verwenden können und wie sie verwendet werden können. Kurz gesagt, die Software bietet Einblick und Kontrolle darüber, was Mitarbeiter tun können und was nicht.
Sehen wir uns vier verschiedene Compliance-Anforderungen – SOX, HIPAA, HITECH und PCI – genauer an, um zu bewerten, wie IAM die Compliance vereinfacht.
SOX
Im Jahr 2002 wurde nach Finanzskandalen der Sarbanes-Oxley Act, Sarbox oder kurz SOX genannt, in Kraft gesetzt. Ziel der IT war es, das Vertrauen der Investoren zu stärken, indem die Unternehmenspraktiken transparenter gemacht werden. Zu den Anforderungen gehören unter anderem Maßnahmen für:
- Durchsetzung der Richtlinie
- Risiko-Bewertung
- Reduzierung von Betrug
- Compliance-Prüfung
Ein Hauptzweck von SOX besteht darin, Unternehmensabschlüsse zuverlässiger zu machen. Das Gesetz sieht zivil- und strafrechtliche Sanktionen bei Nichteinhaltung vor, daher ist es sehr wichtig, die IT zu beachten.
Die IT ist offensichtlich entscheidend für SOX. Schließlich werden die meisten Daten, aus denen sich Unternehmensabschlüsse zusammensetzen, von IT-Systemen erstellt. Aber insbesondere IAM können die Einhaltung von Sarbanes-Oxley unterstützen.
So können IAM beispielsweise das Zugriffsrecht des Benutzers genau dann ändern, wenn sich die Aufgaben ändern. Wenn ein Mitarbeiter die Position wechselt und sein Netzwerkzugang nicht an die neue Rolle angepasst wird, steigt das Compliance-Risiko für das Unternehmen, da es zu Verstößen gegen die Aufgabentrennung (SoD) kommen kann. Aber mit IAM sind chirurgische Veränderungen des Zugangs durchaus möglich. Ein ähnliches Beispiel wäre die Beendigung des Zugriffs, nachdem ein Mitarbeiter das Unternehmen verlassen hat.
HIPAA
HIPAA, der Health Insurance Portability and Accountability Act, wurde 1996 erlassen. Eines der IT-Ziele bestand darin, einen nationalen Standard für den Schutz der Privatsphäre geschützter Gesundheitsinformationen zu etablieren. Das Gesetz soll unter anderem einen Ausgleich zwischen dem individuellen Bedürfnis nach Privatsphäre und der Notwendigkeit für medizinisches Fachpersonal schaffen, Gesundheitsinformationen zum Schutz der Patienten und der Öffentlichkeit weiterzugeben. Die Leser sind möglicherweise mit dem Einwilligungsformular und anderen Dokumenten vertraut, die teilweise auf dem HIPAA-Standard basieren.
IAM kann es Unternehmen erheblich erleichtern, die HIPAA-Konformität sicherzustellen. Beispielsweise kann eine Identität, die auf Kategorien der informierten Einwilligung basiert, wie etwa diejenigen, die sich dafür entschieden haben, und diejenigen, die sich dagegen entschieden haben, streng durchgesetzt werden. Wenn ein Patient der Weitergabe von Informationen eines medizinischen Fachpersonals an ein anderes medizinisches Fachpersonal widerspricht, kann das Unternehmen sicher sein, dass dem letztgenannten Fachpersonal der Zugriff auf die eingeschränkten Daten verweigert wird.
IAM können solche Richtlinien auch über eine breite Palette unterschiedlicher Systeme hinweg umsetzen. Das gibt den Führungskräften die Gewissheit, dass die Einhaltung der Vorschriften trotz der Vielfalt der verwendeten Informationen erfolgen wird. Die HIPAA-konforme Zelle von Okta wurde speziell entwickelt, um die HIPAA-Anforderungen für Service Provider zu erfüllen.
HITECH
Der Health Information Technologie for Economic and Clinical Health Act (HITECH) wird oft in einem Atemzug mit HIPAA diskutiert, aber IT stellt andere Anforderungen. HITECH wurde 2009 als Teil des Konjunkturprogramms in Kraft gesetzt. Einer der IT-Zwecke war die Einführung öffentlicher Investitionen in ein landesweites Netzwerk elektronischer Patientenakten (EHRs).
HITECH verlangt unter anderem eine bundesweite Benachrichtigung über Sicherheitsverletzungen für gespeicherte Gesundheitsinformationen, die nicht verschlüsselt sind. Darüber hinaus hat HITECH bestimmte HIPAA-Anforderungen auf Unternehmen ausgeweitet, die in der Vergangenheit abgedeckt waren – Kostenträger, Anbieter und Clearingstellen – auf ihre Geschäftspartner.
Was bedeutet das alles für IAM? Ein Vorteil, den IAM hier bietet, ist, dass die Software einen Identitätsverbund liefern kann. Der Zugriff muss nicht nur innerhalb eines einzigen Unternehmens bestehen. Die IT kann über die Grenzen eines Unternehmens hinaus föderiert werden, um einen sicheren Zugriff auf die elektronische Patientenakte durch mehr als eine Gruppe zu ermöglichen. Dies hilft bei den erweiterten Anforderungen von HITECH.
PCI
PCI ist die Abkürzung für PCI DSS oder Payment Card Industry Data Security Standard. Im Gegensatz zum oben genannten Compliance-Standard ergibt sich PCI nicht aus staatlichen Gesetzen. IT ist ein proprietärer Informationssicherheitsstandard für Unternehmen, die gängige Kreditkarten verwalten. Vollständige Compliance bedeutet, dass Unternehmen Zahlungskartendaten während der Übertragung verschlüsseln, Penetrationstests unterziehen und vieles mehr. PCI schreibt keine spezifische Technologie vor, sondern erläutert Best Practices der Branche.
IAM-Software kann dazu beitragen, die PCI-Konformität zu erreichen, indem sie die Vertraulichkeit von Zahlungskartendaten wahrt. Zum Beispiel gibt es bestimmte PCI-Anforderungen, die die Anzahl der Mitarbeiter, die auf Zahlungskartendaten zugreifen können, auf das absolute Minimum beschränken, die diese Informationen kennen müssen. Und natürlich glänzt IAM hier. Die IT-Abteilung kann z. B. sicherstellen, dass privilegierte Benutzer nur die geringsten Berechtigungen erhalten, die für die Erledigung ihrer Arbeit erforderlich sind. Dies verhindert unnötige Eskalationen von Berechtigungen, die zu Datenschutzverletzungen führen können.
IAM für Compliance
Unabhängig davon, ob Ihr Unternehmen die Einhaltung einer der vier oben beschriebenen Vorschriften oder anderer branchenspezifischer Standards sicherstellen muss, können Identity and Access Management (IAM) Lösungen die Aufgabe vereinfachen, indem sie eine bessere Governance über die Identität des Benutzers und dessen Zugriff in den Unternehmensnetzwerken bieten und worauf nicht. Okta unterhält eine sichere Audit-Infrastruktur und -Prozesse, die unseren Service hochsicher und verfügbar halten, um Ihre Compliance-Initiativen zu unterstützen.
