Weiterte Eigenschaften von Rollen für bestes Access Governance

Die Risikobewertung, Re-Zertifizierung und Funktionstrennung (Segregation of Duties, SoD) gelten als weitere wichtige Eigenschaften von Rollen zur Business-orientierten Unterstützung im Rahmen von Access Governance. Abhängig von den gekapselten Berechtigungen und den damit geschützten Informationen beziehungsweise Aktionen können die Rollen bezüglich des Risikos bewertet werden. Zudem kann eine Risikobeschreibung erfolgen, die mit den Berechtigungen innerhalb einer Rolle verbunden ist. Die Risikobewertung dient unter anderem für eine bevorzugte Behandlung oder für ein spezielles Reporting. Für die regelmäßige Bestätigung einer Rolle, die Re-Zertifizierung, und die damit verbundene Frage, ob die Rolle noch notwendig ist oder ungewünschte Rechteanhäufungen vorliegen, müssen der Rolle bestätigende Personen zugeordnet werden. Zudem sind die Bestätigungszyklen pro Rolle zu definieren, was wiederum von der Risikobewertung abhängen kann. Bei der Funktionstrennung geht es darum, mittels einer SoD-Matrix Rollen festzulegen, die im Sinne des Policy Managements nicht gleichzeitig von einer Person wahrgenommen werden dürfen. Dies ist beispielsweise für Kreditinstitute wichtig, die eine Funktionstrennung bezüglich Vertrieb und Marktfolge bei einer Kreditentscheidung benötigen, das heißt der Mitarbeiter, der den Kredit vergibt, kann ihn nicht gleichzeitig genehmigen.

Bisher dienten Rollen vorwiegend der Kapselung von Berechtigungen und damit der Autorisierung. Sie förderten so eine effiziente Benutzeradministration (RBAC-Ansatz). Im Rahmen von Access Governance übernehmen die Rollen weitere Aufgaben, um diverse Business-orientierte Funktionen bedienen zu können. Daraus ergibt sich ein neuer Governance Layer, der durch eine Vielzahl von Beziehungen zu anderen Datenobjekten geprägt ist. Zudem werden diese Business-orientierte Funktionen zukünftig Einfluss auf die Granularität und auf das ’Schneiden’ der Rollen haben.