Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
© Riscomp GmbH, weg, GRC Forum 2014
Erfolgsfaktoren für GRC Access Control
Implementierungen
GRC Forum 2014 11. Juli 2014
Gerhard Wasnick
© Riscomp GmbH, weg, GRC Forum 2014
2
Erfolg
7 : 1
© Riscomp GmbH, weg, GRC Forum 2014
3
ERFOLG
Erfolg ist das Erreichen von Zielen
Selbst gesteckte Ziele (10 Kilo abnehmen, 10 km Joggen, …)
Gemeinschaftlich festgelegte Ziele (Wir werden die Marktführer beim Online-Banking, ….)
Durch Organisationen oder deren Vertreter definierte Ziele
Zeit
Kosten Qualität
Qualität ist die Güte aller, für den Kunden wahrnehmbaren Eigenschaften eines Systems
Funktionalität
Bedienbarkeit
Leistungsfähigkeit / Performance
Gesamtaufwand / Gesamtnutzen
© Riscomp GmbH, weg, GRC Forum 2014
4
Projekterfolgsfaktoren
© Riscomp GmbH, weg, GRC Forum 2014
5
Klare Strategie & Realistische Ziele
Fokus: Compliance
Focus: Effizienz
= Effektivität z.B. Zugriffsrisiken,
Genehmigungen, Audit…
= Kostennutzen z.B. Prozessautomatisierung
Vollständige Ermittlung der Arbeitspakete Customizing, AC Stammdatenaufbereitung,…
Erkennen von Eigenentwicklungen z.B. UAR – Webdynpro, UAM - Berichte, Funktionalität: Zugriffsrisiko-Minderung,…
Identifikation von Stammdatenabhängigkeiten z.B. personalisierte Firefighter, Rollen,..
Vorbereitung des Produktivsystems einplanen z.B. Transportmanagement, Befüllung Stammdaten,…
Focus: Vollständigkeit und Transparenz
Realistische Ziele Strategie
© Riscomp GmbH, weg, GRC Forum 2014
6
Stakeholder / Anspruchsgruppen
Management Unterstützung
Priorisierung, Ressourcenengpässe gegenüber anderen Projekte / Tätigkeiten
Eskalation
Bereitstellung Finanzmittel
Vorbildfunktion
Eigentümer und Verantwortliche festlegen
Herausarbeiten von Verantwortlichkeiten, Befugnissen und Aufgaben
Abgleich der Verantwortlichkeiten mit den manuellen und automatisierten Prozesse z.B. Vorgesetzte, Rollenverantwortliche. Training der Genehmiger
Abstimmung, Freigabe und Kommunikation der Kompetenzen
Nutzer und Genehmiger einbinden
Information / Weiterbildung / Tipps und Tricks
GRC
© Riscomp GmbH, weg, GRC Forum 2014
7
Erfahrene Projektmanager / Klare Organisation
Mit GRC Hintergrund
Projekt-
dokumentation
Klare Projekt-
verantwortlichkeiten
Erfahrene Projektmanager
Compliance Erfahrung
Analytisch, zielorientiert
entscheidungsbewusst
© Riscomp GmbH, weg, GRC Forum 2014
8
Projektumfang (Scope)
Standardinhalten im Projektscope
Sizing / Performance
Schulung / Dokumentation
Quick Wins -> Passwort Selbstservice ODER Regelmäßige Benutzerüberprüfungen
Fit-GAP (Funktionale Anforderungen vs. AC Standard)
Scoping: Festlegung des Projektumfangs - Systeme,
Funktionen, Prozesse, Firmen, …
Fokussierung des Projekt auf Schlüsselthemen
Prozessstandardisierung oder umfangreiches Customizing
Unternehmensgröße (Pilot und Roll-Out hat sich in großen Organisationen bewährt)
Mehrwertermittung der GRC AC Funktionen und Priorisierung nach Kostennutzen
Aufwendig oder gar nicht im Standard implementierbare Anforderungen Proof of Concept
Revisionsfähigkeit der Implementierung (Compliance, IT Prüfungsfeststellungen)
Kundenindividuelle Entwicklungen (Komplexität, Aufwandschätzung, Nutzen
© Riscomp GmbH, weg, GRC Forum 2014
9
Einsatz von Softwarestandards
Standardmethoden
Accellerated Deployment / Standardeinführung
Nur in einfachen Umgebungen
Nur GRC AC Standard wird implementiert
Keine Entwicklungen / Keine kundeneigenen Felder
Riscomp Ansatz (Stufenmethode)
Standardinhalte
Entwicklung
Customizing
Standardinhalte
SAP Standard Zugriffsrisiken (SOD)/(Kritische Berechtigungen)
Standard SAP Antragsprozess (Vorgesetzter - Role Owner)
Standard Rollenmethodologie
Standardprozesse für Anträge, HR OM Provisionierung, beim Emergency Access Management
© Riscomp GmbH, weg, GRC Forum 2014
10
Einsatz von Standardsoftware
Standard System für die Provisionierung
SAP ERP / SAP Enterprise Portal
SAP BI / Industrielösungen z.B. IS-H, IS-U
SAP HANA ab 10.1
SPML / Webservice
Standards für den Endanwenderzugriff (SAP Portal, Netweaver Business Client, Internet Browser)
Standardsoftware für die Identität von Benutzern (LDAP, SAP HR OM)
Validierung von Benutzern gegen spezifische Systeme ( Architekturthema – keine fiktiven Benutzer)
Systeme ohne
Standardschnittstelle
(KOSTEN und ZEIT Risiko)
© Riscomp GmbH, weg, GRC Forum 2014
11
Die Erfolgskarte
© Riscomp GmbH, weg, GRC Forum 2014
Regelmässige Kontrolle von Rollen und Zuweisungen
Definition, Massenpflege und Ableitung von Rollen, Benutzer-/Businessrollen
Automatisierte Berechtigungsvergabe
Zugriffsrisikoidentifikation, Behandlung und Minderung
Überwachung von Benutzern mit erweiterten Berechtigungen
12
Beispiel: Implementenierung Risikoanalyse - Anträge
© Riscomp GmbH, weg, GRC Forum 2014
13
Beispiel: Projekterfolgsfaktoren
Audit & Compliance Audit & Compliance
Anpassung Zugriffsrisikomatrix
Benutzeranträge
SAP ERP, CRM, …
GRC AC
Ablösung eigenentwickelter Antragsworkflow
Sponsor: CFO
IT Abteilung
Poweruser
SAP Zugriffsrisikomatrix
GRC AC Standardprozesse (MSMP) Integration IKS - AC
!
© Riscomp GmbH, weg, GRC Forum 2014
Sta
y C
lean
Get
Cle
an
Tim
e T
o C
om
pli
ance
A
ccess
Govern
ance
Anpassung Zugriffs-
risiken
Zuordnung
Mindernde Kontrollen
Rollenbereinigung
(Zugriffsrisiken)
Benutzerbereinigung
Implementierung
GRC AC
Implementierung
Risk Terminator
Aufbau AC Risiko Reporting
Festlegung: Access Governance Policy
Beispielansatz: Access Governance Framework
© Riscomp GmbH, weg, GRC Forum 2014
15
Aus der Praxis
Umfang
GRC Access Control
Erfahrung
Scope Creep / Anforderungsverschiebung
Lange Projektdauer (niedrige Prio)
Viele Sonderfälle
-> Niedrige Effizienz im Projekt & erhöhte Kosten
Zugriffsrisikodefinition
Drift zu Kritischen Berechtigungen
Teamweise Mitigierung von Risiken
-> Eigenentwicklung: Autom. Mitigierung
Methodik
Schwer oder nicht
Implementierbare Blueprints
-> Hoher Entwicklungsaufwand
© Riscomp GmbH, weg, GRC Forum 2014
16
Fragen
© ZDF
© Riscomp GmbH, weg, GRC Forum 2014
17
Viel Erfolg!
© ZDF