Information Owner – eine wichtige Rolle im Unternehmen

14. Juni 2017 |

Es ist wieder an der Zeit einen Anglizismus zu beschreiben, der im Bereich der Informationssicherheit wesentlich ist. Ein Information Owner ist eine Person im Unternehmen, welcher die Rolle zu Teil wird, den Zugriff auf Informationen zu regeln.

Dabei handelt es sich um keine technische Aufgabe, sondern eine organisatorische. In der Praxis zeigt sich sehr oft, dass die Dateiablage über die Jahre hinweg „gewachsen“ ist – meist eine schöne Umschreibung für unstrukturiert und chaotisch.ERP Systeme weisen oftmals keinerlei Zugriffsregelungen auf – entweder, weil diese Funktion gar nicht existiert, oder nicht genutzt wird.

Angenommen in einem Unternehmen werden Daten auf einem Dateiserver abgelegt (meist Netzlaufwerke), gilt es auf diesem Server eine sinnvolle Ordnerstruktur einzurichten – und nun kommt das Wesentliche – zu regeln welche Benutzer auf welche Daten zugreifen dürfen.

Es ist also am Information Owner, Struktur rein zu bringen und zu erheben, wer denn welche Daten sehen darf und diese auch braucht. Die Schaffung von Gruppen an berechtigten Usern kann die Verwaltung vereinfachen, vor allem auch dann, wenn es darum geht einzelne Benutzer neu zu berechtigen oder die Berechtigungen zu ändern.
Analog zum genannten Beispiel mit dem Dateiserver kann diese Rolle auf alle möglichen Arten von Daten angewendet werden, seien es Zugriff auf Cloudportale, auf die Daten in ERP Systemen oder anderen Datenanwendungen.

Nicht selten werde ich mit der Aussage konfrontiert, dass man diese Arbeiten nicht ausführen wolle, denn im Unternehmen sollen alle Mitarbeiter vollen Zugriff auf alle Daten haben.
Nun, auch wenn dieser Wunsch tatsächlich bestehen mag, gibt es doch einige Argumente dennoch die Zugriffe zu regeln und zu beschränken:
1. Gesetzliche Regelungen – zum Beispiel Zugriff auf Personalakten, Gesundheitsdaten etc.
2. Organisatorische Anforderungen – Zugriff auf Planungen, Bilanzdaten etc.
3. Notwendige Aufstellung der Datenverwendungen im Rahmen der DSGVO
4. Sicherheit: Wenn ein User auf Daten nicht zugreifen kann, kann er diese nicht zerstören oder verbreiten (weder bewusst noch unbewusst)
5. Sicherheit Ransomware: Wird der Rechner eines Benutzers befallen, kann die Ransomware nur jene Daten zerstören, auf die der Benutzer Zugriff hat.
Diese Liste lässt sich bestimmt noch lange fortsetzen.

Mein Fazit ist also eindeutig:
Die Rolle des Information Owners macht Sinn. Ist erst einmal der Anfang gemacht und Struktur ins System gebracht worden, ist die laufende Pflege relativ einfach und schnell erledigt.
Unterstützung gefällig? Wir unterstützen gerne! Mail genügt!
info@re-systems.com

Am Laufenden bleiben – und für E-Mailinfo registrieren!

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

wer wird es?

Du willst einen coolen Job?

Du möchtest Deine Fähigkeiten in einem wachsenden Team einbringen?
Du willst in unserem aufstrebenden IT Unternehmen Geschichte schreiben?

Dann klicke hier und lies welche Stellen wir zu besetzen haben!

Hier klicken!

You have Successfully Subscribed!