SOX-Paragrafen 302 und 404

COSO-Komponenten

• Risikobewertung
• Kontrollaktivitäten
• Informationen und Kommunikation

SOX- Paragrafen 302 und 404

COSO-Komponenten

• Risikobewertung
• Kontrollaktivitäten
• Informationen und Kommunikation

Paragrafen 302 & 404 definieren, dass der CEO und CFO eines Unternehmens direkt für die Genauigkeit, Dokumentation und Übertragung aller Finanzberichte sowie der internen Kontrollstrukturen an die SEC verantwortlich sind. Damit ein Unternehmen diese Anforderungen sicher erfüllen kann, muss es ein klares Verständnis darüber haben, wo Daten gespeichert sind, wem diese Daten gehören, wer für sie verantwortlich ist (Steward) und wer zu deren Nutzung zugelassen ist.

Varonis DatAdvantage überwacht und speichert alle Aspekte der Datennutzung von Informationen, die auf Dateiservern und Network Attached Storage (NAS) Geräten gespeichert sind, in einem durchsuchbaren Format. Varonis bietet ein detailliertes Protokoll des Inhalts der Dateiserver und wie dieser verwendet wird; einschließlich: Dateinamen, Ordner, Zugriffsprivilegien auf Dateien und Ordner (d. h. NTFS-Berechtigungen von Benutzern oder Gruppen), Datennutzung nach Benutzer- oder Gruppennamen (d. h. Erstellen, Öffnen, Löschen, Umbenennen), einer Liste der wahrscheinlichen Business Owner dieser Daten. Die Identifizierung der Business Owner basiert auf der Varonis-Analyse zur rechtmäßigen Benutzeraktivität von bestimmten Datensätzen.

SOX- Paragrafen 302 und 404

COSO-Komponenten

• Kontrollaktivitäten
• Informationen und Kommunikation

• Sicherstellung der Systemsicherheit
• Verwaltung der Konfiguration

SOX erfordert einen internen Kontrollbericht der besagt, dass die Geschäftsführung für eine „angemessene interne Kontrollstruktur und eine Bewertung der Wirksamkeit der Kontrollstruktur durch die Geschäftsführung“ verantwortlich ist. Jegliche Mängel in diesen Kontrollen müssen gemeldet werden. Um das zu erreichen, empfiehlt COBIT Sicherheitsbeauftragten die direkte Berichterstattung an die Geschäftsführung sowie eine Trennung der folgenden Aufgabenbereiche: Datenerfassung, Computerbetrieb, Netzwerkverwaltung, Systemverwaltung, Systementwicklung und -wartung, Änderungsmanagement, Sicherheitsverwaltung und Sicherheits-Audit.

Varonis hilft dabei, diese Anforderungen auf verschiedenste Arten zu erfüllen.

• Varonis empfiehlt die Aufhebung von Datenberechtigungen für diejenigen Benutzer, die keine geschäftliche Notwendigkeit dafür haben – das sorgt dafür, dass der Benutzerzugriff auf Daten immer gewährleistet ist und auf den geringsten Rechten basiert.
• Varonis erstellt Berichte, die den Verlauf der Aufhebung von Berechtigungen anzeigen, sowie den Prozentsatz, um den die übermäßigen Zugriffsberechtigungen reduziert wurden.
• Varonis DataPrivilege bietet über eine webbasierte Anwendung einen Mechanismus, über den alle Zugriffsanfragen auf unstrukturierte Daten überwacht und verwaltet (Zugriff zulassen/verweigern) werden können. Antragsteller, Data Owner, technische und finanzielle Kontrollinstanzen sind alle an der Kommunikation und den Aktionen innerhalb des Systems beteiligt. In Bezug auf Anfragen zum Zugriff auf unstrukturierte Daten auf Laufwerken werden alle ergriffenen Maßnahmen und zugrunde liegenden Begründungen erfasst. Darüber hinaus wird auch ein Workflow erzwungen (d. h. Anfragen auf Finanzordner gehen direkt zum Business Owner).

Mit diesen Funktionen können Unternehmen einen Verlauf und eine nachhaltige Umsetzung des Zugriffs des geringsten Rechts sowie dessen Auswirkungen aufzeigen.

SOX- Paragrafen 302 und 404

COSO-Komponenten

• Kontrollaktivitäten
• Informationen und Kommunikation

• Sicherstellung der Systemsicherheit
• Verwaltung der Konfiguration

Formelle Sicherheitsrichtlinien, die Kommunikation dieser Richtlinien sowie die konsistente Umsetzung der Richtlinien sind wesentlich für einen sicheren Betrieb. COBIT empfiehlt Unternehmen die Entwicklung einer „Framework-Richtlinie, die den grundsätzlichen Ansatz des Unternehmens in Bezug auf Sicherheit und interne Kontrollen definiert, um den Schutz der IT-Ressourcen und die Integrität der IT-Systeme zu bestimmen und zu verbessern.“

Varonis DataPrivilege hilft Organisationen nicht nur dabei, Richtlinien zu definieren, die bestimmen, wer Zugriff erhält und wer diesen Zugriff auf unstrukturierte Daten erteilen kann, sondern setzt auch die erforderlichen Workflows und gewünschten Aktionen um (d. h. zulassen, verweigern, für bestimmten Zeitraum zulassen). Das hat einen doppelten Effekt auf die Konsistenz und umfangreiche Kommunikation der Zugriffspolitik:

• Es beteiligt alle Parteien, einschließlich Data Owner, SOX-Compliance-Beauftragten, Prüfer, Datennutzer UND der IT, die für einen bestimmten Datensatz verantwortlich sind.
• Es ermöglicht Organisationen eine kontinuierliche Überwachung des Zugriff-Frameworks, um Änderungen und Optimierungen für die SOX-Compliance zu machen, aber auch den gewährten Zugriff dauerhaft sicherzustellen.

SOX- Paragrafen 302 und 404

COSO-Komponenten

• Kontrollaktivitäten
• Überwachung der Informationen und Kommunikation

• Sicherstellung der Systemsicherheit
• Verwaltung der Konfiguration

SOX verlangt, dass Organisationen Nachweise für deren Konformität vorlegen können. Das bedeutet kontinuierliche Bemühungen zur Dokumentation und Messung der Compliance.

Varonis ermöglicht äußerst detaillierte Berichte, einschließlich: Datennutzung (z. B. sämtliche Datenberührungen aller Benutzer); Benutzeraktivität bezüglich sensibler/vertraulicher Daten; Änderungen wie Sicherheits- und Berechtigungsänderungen, die sich auf die Zugriffsrechte von bestimmten Dateien oder Ordnern auswirken; einen detaillierten Bericht über die aufgehobenen Berechtigungen, einschließlich der Namen der Benutzer und der Datensätze, für die die Berechtigungen aufgehoben wurden. Da DatAdvantage ermöglicht, dass auch die komplexesten Anfragen der Datennutzung innerhalb der Anwendung abgespeichert und in Berichten erfasst werden können, ist die Menge und Art an Informationen, die zur SOX-Compliance dokumentiert werden können, nahezu grenzenlos.

SOX- Paragrafen 302 und 404

COSO-Komponenten

• Kontrollaktivitäten
• Überwachung

• Sicherstellung der Systemsicherheit
• Verwaltung der Konfiguration

Buchhaltung für Zugriff (insbesondere Verwaltungszugriff) auf kritische Systeme ist ein wesentlicher Aspekt der SOX-Compliance. Systeme müssen so konfiguriert werden, dass sowohl der Zugriff von Verwaltungspersonal als auch von Benutzern erfasst wird, um die Protokolle für eine spätere Durchsicht zu speichern und die Protokolle vor unbefugtem Zugriff zu schützen.

Varonis DatAdvantage pflegt einen detaillierten Verlauf aller Objekte, die mit der Varonis-Anwendung verwaltet werden, einschließlich Benutzern, Benutzergruppen und demzufolge administrative Konten innerhalb der Benutzerverzeichnisse. Benutzer von DatAdvantage können jederzeit Berichte erstellen, die aufzeigen, welche Administratoren Sicherheitseinstellungen und Zugriffsberechtigungen auf Dateiservern und deren Inhalt verändert haben. Das gleiche Maß an Detail wird auch über die Benutzer der Daten bereitgestellt und zeigt den Zugriffsverlauf sowie jegliche Änderungen an den Sicherheitseinstellungen oder Zugriffskontrollen von Dateien oder Ordnern. Darüber hinaus können für ungewöhnliche oder übermäßige Aktivitäten an wichtigen Datensätzen auch automatische Warnungen oder Berichte eingerichtet werden. All diese Funktionen sorgen dafür, dass der Zugriff auf Daten kontinuierlich auf eine angemessene Nutzung überwacht wird, und Organisationen alle Informationen zur Hand haben, die sie für forensische Analysen und verbesserte Prozesse benötigen.

SOX- Paragrafen 302 und 404

COSO-Komponenten

• Kontrollaktivitäten
• Überwachung der Informationen und Kommunikation

• Sicherstellung der Systemsicherheit
• Verwaltung der Konfiguration

Wissen zum Zustand aller kritischen SOX-Systeme und -Anwendungen ist wesentlich für die Compliance. Die Änderungskontrolle ermöglicht es Organisationen, aufzuzeigen, dass ihr Zustand als unter Kontrolle gilt.

Wie oben erwähnt, pflegt Varonis detaillierte Aktivitätsberichte für alle Benutzerobjekte, einschließlich der Administratoren innerhalb von Active Directory und allen Datenobjekten innerhalb von Dateisystemen. Berichte über Änderungen werden automatisch erstellt und per E-Mail, PDA etc. an die speziell für diesen Zweck definierten Personen geschickt. Diese Berichte können in einer speziell definierten Häufigkeit erstellt und versandt werden, damit die zuständigen Parteien stets rechtzeitig und in Übereinstimmung mit den Kommunikationsrichtlinien der Organisation über Änderungen an den Zugriffskontrollen informiert werden.

SOX- Paragrafen 302 und 404

COSO-Komponenten

• Kontrollaktivitäten
• Überwachung der Informationen und Kommunikation

• Sicherstellung der Systemsicherheit
• Verwaltung der Konfiguration

SOX erfordert von Organisationen eine Zugriffskontrolle für kritische Finanzsysteme und Konten hinsichtlich aller Änderungen an Finanzdaten und den zugrunde liegenden Systemen und Anwendungen, die diese unterstützen. COBIT erfordert angemessene sichere Kontrollen zur Verhinderung von unbefugtem (und unerklärlichem) Zugriff auf Daten, Anwendungen und Systeme.

Varonis begegnet diesen Anforderungen im Wesentlichen mit zwei Verfahren:

1. Varonis empfiehlt die Aufhebung von Berechtigungen auf Laufwerkdaten, indem explizit und automatisch die Personen identifiziert werden, für die keine geschäftliche Notwendigkeit besteht auf diese Daten zuzugreifen. Die Varonis-Systemadministratoren können die Empfehlungen von Varonis über diese Anwendung „umsetzen“.

2. Varonis DataPrivilege verlagert die Verantwortlichkeit für Datenzugriffskontrollen von der IT auf die Business Owner der Daten (bei deren Identifizierung Varonis DatAdvantage hilft). Indem die Zugriffskontrolle über diese Anwendung erteilt wird, können Business Owner ihre Begründungen erfassen und die richtigen Personen über Aktionen an deren Daten informieren.

SOX- Paragrafen 302 und 404

COSO-Komponenten

• Kontrollaktivitäten
• Überwachung der Informationen und Kommunikation

• Sicherstellung der Systemsicherheit
• Verwaltung der Konfiguration

Die SOX-Compliance ist ein kontinuierlicher Prozess. Prüfer achten auf die Integration der Compliance-Prozesse in die alltäglichen Geschäftsaufgaben.

Varonis weiß, dass unstrukturierte Daten mit einer Geschwindigkeit von 70 % und mehr pro Jahr anwachsen, wodurch die SOX-Compliance, die schon jetzt kostenintensiv und beschwerlich ist, noch schwieriger wird. Varonis hat eine Suite entwickelt, die robust und umfassend genug ist, um die äußerst dynamische Natur der Verwaltung von Benutzer-zu-Daten-Zuordnungen zu behandeln. Darüber hinaus entwickelte das Unternehmen eine programmatische und automatisierte Methode, um sicherzustellen, dass der Zugriff auf Daten immer basierend auf der geschäftlichen Notwendigkeit gewährt wird, und dass die Überwachung der Nutzung kontinuierlich und für die Erhaltung der Compliance relevant ist.