Ziele
Ziel des Projekts ORKA ist eine Symbiose von organisatorischer Kontrolle, die im professionellen Bereich notwendig ist, beispielsweise bei der Umsetzung von Geschäftsprozessen auf IT-Systeme, und digitalem Berechtigungsmanagement. Dies beinhaltet die Entwicklung und Implementierung von ganzheitlichen Sicherheitskonzepten für rollenbasierte Sicherheitspolitiken unter Berücksichtigung organisatorischer Richtlinien – die organisatorische Kontrollarchitektur.
Ganzheitliche Betrachtung von Sicherheitspolitiken
ORKA betrachtet Sicherheitspolitiken in einer ganzheitlichen Weise, d.h. von der Spezifikation und Administration der Sicherheitspolitik über die kontinuierliche Überprüfung der Einhaltung von Sicherheitszielen bis hin zu deren Durchsetzung in den angeschlossenen Systemen.
Sichere Workflows und organisatorische Kontrollprinzipien
Ein weiteres Ziel von ORKA ist es, die Sicherheit von Workflow-basierten Systemen zu erhöhen. Dies geschieht unter anderem durch die Anwendung organisatorischer Kontrollprinzipien beim dynamischen Berechtigungsmanagement. Die ORKA- Architektur wird verschiedenste Arten von organisatorischen Regeln unterstützen, überprüfen und automatisiert durchsetzen. Dabei können die Regeln als Berechtigungen, Verpflichtungen, Verboten, Beschränkungen oder Delegationen formuliert werden.
Spezifikation, Administration und Überprüfung
Das ORKA-Berechtigungsmanagement zeichnet sich dadurch aus, dass bereits bei der Spezifikation von Sicherheitspolitiken organisatorische Kontrollprinzipien integriert werden. Hierfür wird eine geeignete Beschreibungssprache für Sicherheitspolitiken entwickelt, die es erlaubt, organisatorische Kontrollprinzipien in Form von sog. Authorization Constraints zu modellieren. Durch geeignete Benutzungsschnittstellen können Administratoren jederzeit Zugriff auf alle notwendigen Informationen der Sicherheitspolitik erlangen und die im jeweiligen Kontext notwendigen Operationen ausführen. Analyse-Werkzeuge erlauben es dem Administrator, Fehler und Inkonsistenzen in der Beschreibung der Sicherheitspolitik aufzudecken und zu beheben.
Flexibilität bei der Durchsetzung von Sicherheitspoliken
ORKA entwickelt eine generische Architektur für die Integration in existierende Enterprise Resource Planning (ERP) Systeme. Hierbei liegt der Fokus auf der Flexiblität und der einfachen Integrierbarkeit der ORKA-Architektur. Die Durchsetzungskomponente muss hierbei insbesondere mit den hoch-dynamischen Änderungen der Sicherheitspolitik und des Anwendungskontextes umgehen können, welche die Anpassung der Sicherheitspolitiken an das organisatorische Umfeld mittels Workflows und organisatorischer Prinzipien mit sich bringt.
Für wen sollte ORKA interessant sein?
ORKA will Unternehmen zeigen, dass Werkzeuge zur Modellierung von Berechtigungen auf Basis der organisatorischen Struktur unter Einbeziehung organisatorischer Kontrollprinzipien höhere IT-Sicherheit bringen können. Durch die Vereinfachung bei der Spezifikation und Administration werden Fehler und Inkonsistenzen vermieden bzw. automatisch korrigiert. Hierdurch kann es zu einem positiven Return of Security Invest (ROSI) kommen. Der verringerte Aufwand für Berechtigungsmanagement und Revision kann Unternehmen überzeugen, Projekte zur Verbesserung der Prozesse in der IT-Sicherheit mit höherer Priorität anzugehen.