Digitalisierung ist für dich #079- Informationen zum Owner
Es gibt wieder eine neue Folge des Podcasts “Digitalisierung ist für Dich!” Dieses Mal geht es um die Rolle des Information Owners. Diese Person hat einige Aufgaben und ist wichtig für jedes Unternehmen, hör also rein für alle Infos! Es bleibt spannend
Herzlich willkommen zu einer neuen Folge meines Podcasts Digitalisierung ist für Dich.
Es ist wieder an der Zeit einen Anglizismus zu beschreiben, der im Bereich der Informationssicherheit wesentlich ist. Ein Begriff bzw. eine Rolle, die auf den ersten Blick nicht zu unserem aktuellen Schwerpunkt Backup bzw. Datensicherung zu passen scheint. Und doch spielt diese Rolle im Themenbereich einen wichtigen Part. Denn heute geht es um die wichtige Rolle des Information Owner.
Ein Information Owner ist eine Person im Unternehmen, welcher die Rolle zu Teil wird, den Zugriff auf Informationen zu regeln.
Dabei handelt es sich um keine technische Aufgabe, sondern eine organisatorische. In der Praxis zeigt sich sehr oft, dass die Dateiablage über die Jahre hinweg „gewachsen“ ist – meist eine schöne Umschreibung für unstrukturiert und chaotisch. ERP Systeme weisen oftmals keinerlei Zugriffsregelungen auf – entweder, weil diese Funktion gar nicht existiert, oder nicht genutzt wird.
Daten werden auf beliebigen Cloud Speicherorten abgelegt – weil es so praktisch und schnell ist. Nur für den Moment, das löschen wir dann wieder… Du kennst das vielleicht – vom Hörensagen.
In der Dateiablage – ob nun klassisch am Netzlaufwerk, in der Cloud oder in anderen Tools – wurde möglicherweise sogar eine Berechtigungsstruktur erdacht und angelegt. Dummerweise wurde diese nicht an die Anforderungen aus der Praxis angepasst und wurde nun spontan und individuell erweitert.
Das kommt Dir möglicherweise bekannt vor – jemand hat Dir sicher schon mal erzählt von einem Unternehmen, in dem sowas vorkommt.
Aber nun der Reihe nach:
Angenommen in einem Unternehmen werden Daten auf einem Dateiserver abgelegt (meist Netzlaufwerke), gilt es auf diesem Server eine sinnvolle Ordnerstruktur einzurichten – und nun kommt das Wesentliche – zu regeln welche Benutzer auf welche Daten zugreifen dürfen.
Es ist also am Information Owner, Struktur rein zu bringen und zu erheben, wer denn welche Daten sehen darf und diese auch braucht – Du erinnerst Dich an das Need to Know Prinzip aus Folge #39.
Die Schaffung von Gruppen an berechtigten Usern vereinfacht die Verwaltung, vor allem auch dann, wenn es darum geht einzelne Benutzer neu zu berechtigen oder die Berechtigungen zu ändern, neue Mitarbeiter mit aufzunehmen oder ausgeschiedene Benutzer zu entfernen und auch Benutzerberechtigungen aufgrund neuer Aufgaben im Betrieb neu zu verteilen.
Analog zum genannten Beispiel mit dem Dateiserver kann diese Rolle auf alle möglichen Arten von Daten angewendet werden, seien es Zugriff auf Cloudportale, auf die Daten in ERP Systemen oder anderen Datenanwendungen.
Nicht selten werde ich mit der Aussage konfrontiert, dass man diese Arbeiten nicht ausführen wolle, denn im Unternehmen sollen alle Mitarbeiter vollen Zugriff auf alle Daten haben.
Nun, auch wenn dieser Wunsch tatsächlich bestehen mag, gibt es doch einige Argumente dennoch die Zugriffe zu regeln und zu beschränken:
1. Gesetzliche Regelungen – zum Beispiel Zugriff auf Personalakten, Gesundheitsdaten etc.
2. Organisatorische Anforderungen – Zugriff auf Planungen, Bilanzdaten etc.
3. Notwendige Aufstellung der Datenverwendungen im Rahmen der DSGVO
4. Sicherheit: Wenn ein User auf Daten nicht zugreifen kann, kann er diese nicht zerstören oder verbreiten (weder bewusst noch unbewusst)
5. Sicherheit und Ransomware bzw. Kryptotrojaner: Wird der Rechner eines Benutzers befallen, kann die Schadsoftware meist nur jene Daten zerstören, auf die der Benutzer Zugriff hat. Ich weiß, es gibt genügend Schadsoftware, die sich über die Zugriffsrechte hinwegsetzen kann, doch hast Du hier zumindest eine Barriere eingebaut, die Dir viel Zeit bringen kann.
Diese Liste lässt sich bestimmt noch lange fortsetzen.
Mein Fazit ist also eindeutig:
Die Rolle des Information Owners macht Sinn. Ist erst einmal der Anfang gemacht und Struktur ins System gebracht worden, ist die laufende Pflege relativ einfach und schnell erledigt.
Ernenne also eine oder einen Information Owner – gerne kannst Du zum Aufwärmen meinen Podcast hier weitergeben – und statte diese neue Rolle mit den nötigen Zeitressourcen aus. Beachte auch, dass der oder die Information Owner einen Überblick über die Organisation haben muss, die Rollen in der Organisation kennt bzw. benennen kann und vor Allem das Vertrauen braucht auf alle Unternehmensdaten zugreifen zu dürfen!
Den besten Anfang macht Ihr dann mit einer Inventur der Datenbestände.
Also wo haben wir denn welche Datenbestände liegen?
Da könnt Ihr mit dem IT-Ansprechpartner Eures Vertrauens machen – bezieht aber unbedingt auch Eure Mitarbeiter mit ein. Befragt sie, wo sie denn die Daten ablegen. Oft werden Ablageorte genutzt, von denen Eure IT-Abteilung gar nichts weiß! Hier ist also detektivisches Gespür nötig.
Wenn diese Inventur abgeschlossen ist, dann wertet Ihr die bestehenden Zugriffsrechte aus (je nach eingesetzter Technologie gibt es Tools dazu) und dann geht’s ans Aussortieren und Strukturieren.
Am Ende soll eine klare Struktur entstehen, welche Rolle welche Zugriffe haben soll, und welche Nutzerinnen und Nutzer aktuell in welcher Rolle sind.
Dieses Ergebnis könnt Ihr dann wieder an Eure IT-Ansprechpartner übergeben, zwecks Umsetzung.
Damit hat dann der oder die Information Owner die Basis für die weitere Arbeit – der Pflege der entsprechenden Rechte.
Dabei beachte bitte auch, die Nutzerinnen und Nutzer über den Sinn des Ganzen aufzuklären, um ein tiefes Verständnis dafür zu erzeugen, dass es eben nicht OK ist, irgendwelche Systeme aufzuziehen, ohne den oder die Information Owner darüber informiert zu haben.
Wenn Du Dir denkst, das klingt nach User Awareness Schulung, dann denkst Du absolut richtig! Und für den Fall, dass Du dieses Bewusstsein nicht allein bei Dir im Unternehmen schaffen willst – ich biete Dir gerne an, im Rahmen eines Awareness Workshops zu Dir ins Unternehmen zu kommen – live oder virtuell. Hole Dir gerne weitere Informationen und das Angebot ab unter info@re-systems.com mit dem Stichwort Awareness Schulung Anfrage.
Das war es auch schon von dieser Folge, sei auch wieder mit dabei, wenn es heißt Digitalisierung ist für Dich. Es bleibt spannend!
Unser Linktree: