Benutzer – Berechtigung – Risiko - Sicherheitsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/... · Vertriebsbeauftragter GRC für Deutschland SAP Lösungen für

Benutzer – Berechtigung – Risiko -Sicherheit

Volker LehnertConsultant CoE Security and Enterprise Risk Management

EMEA Focus Group Enterprise Risk Management

SAP Systems Integration AG

Kai GritzkeVertriebsbeauftragter GRC für Deutschland

SAP Lösungen für Governance, Risk und Compliance

SAP Deutschland AG & Co. KG

© SAP 2007 / D032615 – Volker Lehnert / Page 2

1. Einleitung: Theorie und Praxis2. Was es zu erreichen gilt

3. Wie es erreicht werden kann

1. Funktionstrennung und Risikodatenbank

2. Rollenpflege

3. Benutzerverwaltung

4. Kompensierende Kontrollen

5. Superuser Management

4. Ausblick

Gliederung


Theorie – Wie gehabt?!?

Ein/e Mitarbeiter/in erhält einen Benutzer im System, der Benutzer erhält eine oder mehrere Rollen im System, sowie ggf. ein strukturelles Berechtigungsprofil.

Theoretisch ist die/der Mitarbeiter damit in der Lage genau die Aktivitäten im System auszuführen, die sie/er ausführen soll und genau die Daten zu bearbeiten, für die sie/er zuständig ist.


Wie gehabt? – Subjektive Erfahrungen!

Tatsächlich kann davon ausgegangen werden, dass Berechtigungen, die ohne die Unterstützung eines klaren technischen Konzeptes und eine einschlägige und aussagekräftige Risikoanalyse eingerichtet und vergeben werden, viel zu weite Berechtigungen vergeben.

Die subjektive Erfahrung zeigt, dass sowohl Bund, Länder und Gemeinden, als auch private Unternehmen aller Größenordnungen teilweise mehr riskante und hochriskante Berechtigungen zuweisen, als sie Benutzer im System haben.


Die Herausforderung …

1. Technische Herausforderung:

Berechtigungskonzepte folgen häufig nicht den technischen Standards der SAP oder anderen Standards, die Berechtigungspflege und Zuweisung technisch eindeutig definieren.

2. Fachliche Herausforderung

Die Berechtigungspflege wird oft von „Technikern“ vorgenommen, die häufig nicht über das notwendige fachliche Hintergrundwissen verfügen können.

3. Herausforderung der Organisationsform

Neben der Linienorganisation bestehen in den meisten Unternehmen / Behörden weitere Organisationsformen, die zu Überschneidungen von Berechtigungen führen können. Das Nebeneinander verschiedener Organisationsformen ist häufig nicht ausdefiniert.


Statt Funktionstrennung ….

Alle Berechtigungen in einer Rolle

Kristische Kombination in der Rolle

Alle Rollen für einen Benutzer

Kritische Kombination im Benutzer

Ein Benutzer pflegt Personalstämme,

Arbeitszeiten, Reisekosten, Abrechungen

Ein Benutzer hat die Rollen für die Personaladministration,

die Zeiterfassung, die Abrechnung

Rolle SAP_ALL

Alle Rollen


1. Einleitung: Theorie und Praxis

2. Was es zu erreichen gilt3. Wie es erreicht werden kann


2. Rollenpflege




4. Ausblick

Gliederung


Die Rolle “sauber” halten …

PflegePersonalstamm��

�� Zeiterfassung


Den Benutzer “sauber” halten …

��

��

Pers. Adm.

Controller


… oder wenigstens den Benutzer kontrollieren

�� Pers. Adm.

Controller�� &


Kontrolle – Überwachung?

In vielen Organisationen ist nicht genug Personal vorhanden, um in jedem Fall eine Funktionstrennung umzusetzen. Deswegen kann der Zustand eintreten, dass ein/e Mitarbeiter/in mehr Zugriffe hat, als wünschenswert wäre.

Um eine missbräuchliche Nutzung auszuschließen, ist es notwendige geeignete Kontrollmaßnamen zu definieren, die das so entstehende Risiko minimieren.

Das Kontrollziel ist die Vermeidung des Missbrauchs.


Grundsatz der Risikominimierung

1. Funktionstrennungskonflikte vermeiden.

2. Kritische Zugriffsmöglichkeiten minimieren.

3. Erst wo 1. und 2. nicht möglich sind, sind geeignete Kontrollen zu definieren und durchzuführen.



2. Was es zu erreichen gilt

3. Wie es erreicht werden kann1. Funktionstrennung und Risikodatenbank

2. Rollenpflege




4. Ausblick

Gliederung


Die Lösung: SAP Access Control

Risk Analysis and Remediation

Risikoanalyse, Risikominimierung, Risikoüberwachung

Enterprise rolemanagement

Rollenpflege und Genehmigung

Superuser privilegemanagement

Überwachung und Genehmigung kritischer

Systemzugriffe

Compliant userprovisioning

Workflow zu Beantragung von Rollen

und Benutzern

Betrieb Einführung / Umsetzung

Risiko Identifikation & Reduktion

Rollen Management

Superuser Management

Prävention


• Berechtigungen• Transaktionen• Stammdaten• Konfiguration


• Berechtigungen• Transaktionen


Berechtigungen• Transaktionen• Stammdaten• Konfiguration

Lösungsarchitektur

Netweaver

Services

Zielsysteme

batch

Oracle

Real-time Agent (RTA)


SAP Hyperion


PeopleSoft


Legacy Mainframe

WorkflowRisikodatenbankKontrolldatenbankAnalysis Engine

ReportingBusiness Process ModelingCompliance Info ProvidersJob Scheduler

� Cross-enterprise Architektur auf J2EE basierend

� Real-Time Agents –Echtzeitkonnektoren für SAP und NON SAP Lösungen

� Unterstützt bestehende „Identitätslösungen“ (IDM –Identity Management)


Berechtigung: Pflege

Lieferanten-stamm

Berechtigung: Zahlung

Lieferanten-rechnung

heterogene IT Landschaft

Unternehmensweite Compliance

Legacy Custom

Financials and

Accounting

Inventory and purchasing

!RISIKO

VIRSAunternehmensweiter/plattform

-übergreifender Regelsatz





1. Funktionstrennung und Risikodatenbank2. Rollenpflege




4. Ausblick

Gliederung


Funktionstrennung

Personal-daten

CATS Controlling

PAxx CATx S_ALR_xxx

Pers.Adm. Meister Controller


Risk Analysis and Remediation

Schlüsselfunktionalitäten

Alarm Framework

Reporting

Rep

ort

ing

Real-time Simulation

Mitigation Management

Bereinigungs-Workflow

Monitoring kritischer Transaktionen

Real-time SoD Risikoanalyse

Enterprise-Regel Framework

ApplikationsintegrationRis

k Id

enti

fica

tio

nR

emed

iati

on

Pre

ven

tio

n

24h pro Tag und 7 Tage pro Woche real-time Compliance

- stoppen von Sicherheits- und Kontrollverletzungen bevor diese passieren -

Mandatory Prevention

Risiko-identifizierung

Bereinigung

Reporting

Vorbeugung


Umfassende RisikodatenbankAutomatisierte Regelerstellung

• über 200 Risikogruppen(Risk ID’s) z.B. ausAuftragsabwicklung, Beschaffung, Finanzwesen, HR/Payroll, APO, CRM, EBP/SRM, Basis…

• Umgangssprache, keineTechnikersprache

• über 180,000 SoD Object-Level-Regeln allein für SAP

• automatisierteRegelerstellung


Zielgruppenbezogene Übersichten

Anzeige von Trends fürFunktionstrennungskonflikte über verschiedeneZeiträume

Anzeige des Funktionstrennungsstatus der gesamtenUnternehmenssoftware


Cross System Risk AnalysisDetail Report





2. Rollenpflege3. Benutzerverwaltung



4. Ausblick

Gliederung


Die Rolle “sauber” halten …

PflegePersonalstamm��

�� Zeiterfassung


Enterprise Role Management

Neue Funktionen im Enterprise Role Management halten Ihre Rollen dauerhaft sauber!

� Rollen können mit Attributen versehen werden, die eine Zuordnung zu Prozessen, Projekten und weiteren Kriterien ermöglichen.

� Detaillierte Dokumentation der Rolle, aller Änderungen und des Rollentestes

� Zwingende Risikoanalysen überprüfen die Rollen auf entstehende Risiken

� Genehmigungsworkflows gewährleisten nachhaltig dass die Regeln der Organisation eingehalten werden.

� Organizational Value Mapping erlaubt eine saubere und einfache Differenzierung der Rollen entsprechend der organisatorischen Zuordnung.

� Massenpflege von Rollen wird möglich.





2. Rollenpflege

3. Benutzerverwaltung4. Kompensierende Kontrollen


4. Ausblick

Gliederung


Den Benutzer “sauber” halten …

��

��

Pers. Adm.

Controller


Compliant User Provisioning

User provisioning in die angeschlossenen Systeme

Financialsystem

CRMsystem

Payrollsystem

Human Resources

system

Compliant user provisioningBenutzer/in beantragt

Berechtigungen

+ +

Compliant user provisioning ist eine webbasierte Lösung, die den Prozess der Rollen und Benutzervergabe entsprechend den Vorgaben der Organisation automatisiert, Risikoanalysen zwingendanbietet und im Falle auftretender Risiken gesonderte Genehmigungsverfahren einleitet.


Compliant User Provisioning: Users

Im Prozess werden drei Personengruppen beteiligt

Antragssteller/in – Beantragt Zugriff für sich oder andere in die angeschlossenen Systeme.

Genehmigende/r Sachbearbeiter/in – ist zuständig für die Risikoanalyse, Genehmigung und / oder die Zuweisung kompensierender Kontrollen

Administrator – konfiguriert die Workflows, analysiert Fehler, übernimmt regelmäßig nicht die Funktion der/des Sachbearbeiters / Sachbearbeiterin





2. Rollenpflege


4. Kompensierende Kontrollen5. Superuser Management

4. Ausblick

Gliederung


… oder wenigstens den Benutzer kontrollieren

�� Pers. Adm.

Controller�� &


Vorabkontrolle -Kompensierende (detektivische) Kontrolle

Angenommen durch Betriebsvereinbarung ist ausgeschlossen, dass die Daten der HR mit den Daten der Kostenstellenrechnung verbunden werden, ist das definierte Risiko z.B. Auswertung im HR Organisationsmanagement in Verbindung mit Auswertung der Istkostenrechnung.

Die entsprechenden Transaktionen werden als Funktionstrennungsrisiko kombiniert.

Wird in der Risikoanalyse deutlich, dass diese Transaktionen in einer Rolle zusammengefasst sind, so ist die Rolle zu ändern.

Wird in der Risikoanalyse deutlich, dass diese Transaktionen zwar in Rollen getrennt aber beide Rollen einer/einem Benutzer/in zugewiesen sind, ist festzustellen, ob der Benutzer tatsächlich diesen Funktionstrennungskonflikt übergehen darf.

Wenn dieser Funktionstrennungskonflikt fallweise übergangen werden darf, ist eine Kontrolle aufzusetzen. Z.B. kann festgelegt werden, dass der Benutzer halbjährlich eine Belehrung erhält, und regelmäßig dem Betriebsrat Bericht über die Datenverwendung zu erstatten hat. Generell ist zu versuchen, Kontrollen als „harte“Systemkontrollen zu hinterlegen.





2. Rollenpflege



5. Superuser Management4. Ausblick

Gliederung


… die Superuserzugriffe überwachen

�� Pers. Adm.

Controller�� &


Superuser Management






2. Rollenpflege




4. Ausblick

Gliederung


GRC Risk Management

Risikomanagement

GRC Process Control

GRC Access Control

Von der operativen zur prozessualen Sicht


Strategisch - Landscape

� Definiert, qualifiziert, quantifiziert und kompensiert Risken

Risikomanagement

Prozessual

� Definiert und kontrolliert Risken die sich aus den Geschäftsprozesse ergeben

Operativ

� Definiert, kontrolliert und kompensiert Risiken, die sich aus dem täglichen (System-) Betrieb ergeben.

Risikomanagement - IKS

IKS


� Übergreifendes Kontrollregel-Kontrollplanungs- und Kontrollüberwachungswerk

� Zentralisiertes Kontrollmanagement automatischer, teilautomatischer und manueller Kontrollen.

AssessmentsTest automatischer Kontrollen

Test manueller Kontrolle

n

Do

kum

ent

Tes

tM

on

ito

rZ

erti

fizi

eru

ng

Zertifizierung und Abstimmung

Prozess – Kontrolle – Kontrollziel -Risiko

IT Infrastructure

Business Processes

…

Ausnahmen überwachen

Aufgaben identifizieren un

ausführen

�

��

�

�

��

�

Has production been improved with

the installation and implementation

of SAP?

S U R V E Y

Yes

No

11

34

5

6

910

11 12

1516

1718

19

78

1314

2223

2425

26

2021

2930

2728

2

SAP GRC Process Control


Volker Lehnert

Consultant CoE Security and Enterprise Risk ManagementEMEA Focus Group Enterprise Risk ManagementSAP Consulting

M: +49 160 908 22 338 [email protected]

http://www.sap-si.com/sicherheitwww.sap.com

Was können wir für Sie tun?Kai Gritzke

Vertriebsbeauftragter GRC für DeutschlandSAP Lösungen für Governance, Risk und Compliance

SAP Deutschland AG & Co. KG

Homberger Str. 25-3340882 Ratingen

T [email protected]

http://www.sap.com


Copyright 2007 SAP AGAll rights reserved

No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changed without prior notice.

Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors.

SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP AG in Germany and in several other countries all over the world. All other product and service names mentioned and associated logos displayed are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications may vary.

The information in this document is proprietary to SAP. This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. This document contains only intended strategies, developments, and functionalities of the SAP® product and is not intended to be binding upon SAP to any particular course of business, product strategy, and/or development. SAP assumes no responsibility for errors or omissions in this document. SAP does not warrant the accuracy or completeness of the information, text, graphics, links, or other items contained within this material. This document is provided without a warranty of any kind, either express or implied, including but not limited to the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.

SAP shall have no liability for damages of any kind including without limitation direct, special, indirect, or consequential damages that may result from the use of these materials. This limitation shall not apply in cases of intent or gross negligence.

The statutory liability for personal injury and defective products is not affected. SAP has no control over the information that you may access through the use of hot links contained in these materials and does not endorse your use of third-party Web pages nor provide any warranty whatsoever relating to third-party Web pages

Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch SAP AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.

Einige von der SAP AG und deren Vertriebspartnern vertriebene Softwareprodukte können Softwarekomponenten umfassen, die Eigentum anderer Softwarehersteller sind.

SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge und andere in diesem Dokument erwähnte SAP-Produkte und Services sowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und in mehreren anderen Ländern weltweit. Alle anderen in diesem Dokument erwähnten Namen von Produkten und Services sowie die damit verbundenen Firmenlogos sind Marken der jeweiligen Unternehmen. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. Produkte können länderspezifische Unterschiede aufweisen.

Die in diesem Dokument enthaltenen Informationen sind Eigentum von SAP. Dieses Dokument ist eine Vorabversion und unterliegt nicht Ihrer Lizenzvereinbarung oder einer anderen Vereinbarung mit SAP. Dieses Dokument enthält nur vorgesehene Strategien, Entwicklungen und Funktionen des SAP®-Produkts und ist für SAP nicht bindend, einen bestimmten Geschäftsweg, eine Produktstrategie bzw. -entwicklung einzuschlagen. SAP übernimmt keine Verantwortung für Fehler oder Auslassungen in diesen Materialien. SAP garantiert nicht die Richtigkeit oder Vollständigkeit der Informationen, Texte, Grafiken, Links oder anderer in diesen Materialien enthaltenen Elemente. Diese Publikation wird ohne jegliche Gewähr, weder ausdrücklich noch stillschweigend, bereitgestellt. Dies gilt u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einen bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts.

SAP übernimmt keine Haftung für Schäden jeglicher Art, einschließlich und ohne Einschränkung für direkte, spezielle, indirekte oder Folgeschäden im Zusammenhang mit der Verwendung dieser Unterlagen. Diese Einschränkung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.

Die gesetzliche Haftung bei Personenschäden oder die Produkthaftung bleibt unberührt. Die Informationen, auf die Sie möglicherweise über die in diesem Material enthaltenen Hotlinkszugreifen, unterliegen nicht dem Einfluss von SAP, und SAP unterstützt nicht die Nutzung von Internetseiten Dritter durch Sie und gibt keinerlei Gewährleistungen oder Zusagen über Internetseiten Dritter ab.

Alle Rechte vorbehalten.

Documents

Benutzer – Berechtigung – Risiko - Sicherheitsap-im-betrieblichen-spannungsfeld.de/wp-content/uploads/2014/03/... · Vertriebsbeauftragter GRC für Deutschland SAP Lösungen für