Die Kontrolle behalten durch Data Governance
Im Gespräch mit Todd Peterson von One Identity
Häufig wird Data Governance darauf reduziert, den Zugriff von Nutzern auf bestimmte Informationen zu regeln. Das ist zu kurz gedacht, so Todd Peterson, Evangelist für den Bereich Identity and Access Management bei One Identity.
Computerworld: Data Governance ist ein Begriff, der gegenwärtig einen hohen Stellenwert hat. Warum ist das so?
Todd Peterson: Dafür ist massgeblich die EU-Datenschutz-Grundverordnung verantwortlich. In der Vergangenheit hat man sich deutlich weniger Gedanken um die Governance gemacht. Das lag nicht zuletzt daran, dass man sie fälschlicherweise auf den Zugriff von Endbenutzern auf Anwendungen beschränkt hat. Jetzt liegt die Betonung gleichermassen auf den Daten selbst, und damit hat sich der Inhalt des Begriffs auf den ersten Blick vergrössert. In Wirklichkeit ist der Umfang nach wie vor der gleiche, nur die Wahrnehmung ist eine andere. Ich bin mir ziemlich sicher, dass sich niemand vollständig darüber im Klaren ist, welche Teilaspekte Governance letztlich beinhaltet.
CW: Etliche Anbieter von Lösungen für Data Governance beziehen diesen Begriff auf die Verwaltung von Zugriffsberechtigungen. Ist das nicht zu kurz gedacht?
Peterson: Es ist richtig, dass viele Anbieter von Lösungen für das Identity and Access Management unter Governance die Funktionen verstehen, die ihr eigenes Produkt abdeckt. Und das ist in aller Regel die Steuerung der Zugriffsberechtigungen des Endbenutzers auf eine Anwendung. Governance umfasst aber sehr viel mehr. Sie betrifft alle Arten von Zugriffsberechtigungen für jede Art von Ressourcen, inklusive der Daten. Folglich gibt es einen wachsenden Markt für Data-Governance-Lösungen. Dem Fokus auf die Zugriffsberechtigungen liegt allerdings eine Fehleinschätzung zugrunde.
CW: Welche ist das?
Peterson: Governance bleibt Governance, unabhängig davon, ob es sich um Anwendungen, Daten oder um die Zugriffsberechtigungen für privilegierte Konten handelt. Die Anforderungen sind immer dieselben. Man muss sicherstellen, dass den richtigen Personen die korrekten Zugriffsberechtigungen für die richtigen Ressourcen zugewiesen werden. Und es muss sich nachweisen lassen, dass dies tatsächlich in der gewünschten Weise umgesetzt wird. Wenn man sich jedoch darauf beschränkt, unterschiedliche Aspekte von Governance in ihren jeweiligen Silos zu überwachen, dann bleiben zwangsläufig Lücken. Das wiederum erhöht die Risiken.
CW: Welche Rolle spielt Cloud-Computing im Zusammenhang mit Governance?
Peterson: Die Cloud hat dafür gesorgt, dass sich der Bereich der Governance erweitert hat. Es gilt, mehr Ressourcen zu überwachen, teils wegen der vielfältigen Speicheroptionen innerhalb der Cloud, teils wegen des Einsatzes von Collaboration-Tools, mit denen sich Daten einfacher und schneller mit anderen austauschen lassen. Daten werden an unterschiedlichen Speicherplätzen vorgehalten – und deren Zahl nimmt weiter zu. Diese verschiedenen Ressourcen müssen zusätzlich berücksichtigt werden. Einfach gesagt: Die Cloud macht es schwieriger und zugleich wichtiger, die Daten sicher und angemessen zu verwalten.
CW: Wie ist Data Governance im Zusammenspiel mit Techniken und Verfahren wie der Bereitstellung von Datenbeständen zu bewerten?
Peterson: Es gibt keine Anforderungen an Data Governance, die nicht auch für alle anderen Governance-Formen gelten. Dazu zählen die Access Governance oder die Privileged Access Governance, also die Verwaltung der Zugriffsrechte von Nutzern mit erweiterten Berechtigungen. Ausserdem müssen weitere Gesichtspunkte berücksichtigt werden, beispielsweise das Feststellen der notwendigen Berechtigungen, also die Aspekte Discovery, das Anfordern von Zugriffsberechtigungen durch einen Nutzer und die anschliessende Bereitstellung. All diese Punkte sollten adressiert werden. Das erfolgt idealerweise mit Hilfe einer einzigen Lösung, die alle Aspekte und Zielsetzungen abdeckt.