Antworten auf Sicherheitsaudits
Der Kontext
Olivier ist der IT-Leiter bei HealthData, einem Unternehmen, das Gesundheitsdaten verarbeitet. Ein externer Auditor überprüft die ISO 27001- und DSGVO-Konformität. Er fordert den Nachweis: Wer hat Zugriff auf was, wie werden die Zugriffe kontrolliert, wie werden Abgänge verwaltet und ob die Passwörter bewährten Praktiken entsprechen.
Das Problem ohne SmartLink
- Zugriffsrechte sind auf jede Anwendung verteilt
- Kein zentrales Tool zur Erstellung eines vollständigen Inventars
- Unmöglich nachzuweisen, dass die Zugriffe ehemaliger Mitarbeiter widerrufen wurden
- Das Passwortrichtlinie ist theoretisch - keine Möglichkeit, die Anwendung zu überprüfen
- Das Audit erfordert wochenlange manuelle Datensammlung
Mit SmartLink
Schritt 1 — Zugriffsinventar (sofortig)
Olivier öffnet das SmartLink-Dashboard. Der Auditor kann sehen:
- Die vollständige Liste der Benutzer und ihren Status
- Referenzierte Anwendungen und Sicherheitsordner
- Wer auf was zugreift, organisiert nach Ordner und Team
Schritt 2 — Sicherheitsrichtlinien (überprüfbar)
Olivier präsentiert die konfigurierten Zugriffsrichtlinien:
- Die Gerätezugriffsrichtlinien definieren die Zugriffsbedingungen pro Anwendung
- Das Anti-Phishing ist global aktiviert
- Die Sicherheitsstufen von VaultysID werden für sensible Anwendungen vorgeschrieben
Schritt 3 — Ereignisnachverfolgung (nachweisbar)
SmartLink liefert ein Ereignisprotokoll:
- Hinzufügen und Entfernen von Mitarbeitern
- Änderungen an Zugriffsrechten
- Erkennung von Schatten-IT und Korrekturmaßnahmen
- SCIM-Benachrichtigungen (Bereitstellung/Deaktivierung)
Schritt 4 — Passwortverwaltung (nachweisbar)
Olivier zeigt, dass:
- Passwörter in einem verschlüsselten Safe gespeichert sind
- Benutzer kennen die Passwörter für kritische Anwendungen nicht
- Die Authentifizierung erfolgt über VaultysID (ohne Passwort) oder SSO
Auswirkungen
| Ohne SmartLink | Mit SmartLink |
|---|---|
| Wochenlange Datensammlung | Sofort verfügbare Daten |
| Schwierige Nachweise | Vollständiges und exportierbares Protokoll |
| Theoretische Richtlinien | Angewandte und überprüfbare Richtlinien |
| Stressiges und teures Audit | Reibungsloses und dokumentiertes Audit |
Verwendete Funktionen
- 📊 Dashboard — Überblick über Benutzer, Anwendungen und Sicherheit
- 🛡️ Zugriffsrichtlinien — Überprüfbare Zugriffsregeln
- 🔒 Anti-Phishing — Schutz vor Phishing
- 📬 Nachrichten und Ereignisse — Historie von Aktionen und Benachrichtigungen
- 🔗 SCIM — Bereitstellung und Benutzer-Nachverfolgbarkeit