benutzer – berechtigung – risiko -...
Post on 21-Jul-2018
215 Views
Preview:
TRANSCRIPT
Benutzer – Berechtigung – Risiko -Sicherheit
Volker LehnertConsultant CoE Security and Enterprise Risk Management
EMEA Focus Group Enterprise Risk Management
SAP Systems Integration AG
Kai GritzkeVertriebsbeauftragter GRC für Deutschland
SAP Lösungen für Governance, Risk und Compliance
SAP Deutschland AG & Co. KG
© SAP 2007 / D032615 – Volker Lehnert / Page 2
1. Einleitung: Theorie und Praxis2. Was es zu erreichen gilt
3. Wie es erreicht werden kann
1. Funktionstrennung und Risikodatenbank
2. Rollenpflege
3. Benutzerverwaltung
4. Kompensierende Kontrollen
5. Superuser Management
4. Ausblick
Gliederung
© SAP 2007 / D032615 – Volker Lehnert / Page 3
Theorie – Wie gehabt?!?
Ein/e Mitarbeiter/in erhält einen Benutzer im System, der Benutzer erhält eine oder mehrere Rollen im System, sowie ggf. ein strukturelles Berechtigungsprofil.
Theoretisch ist die/der Mitarbeiter damit in der Lage genau die Aktivitäten im System auszuführen, die sie/er ausführen soll und genau die Daten zu bearbeiten, für die sie/er zuständig ist.
© SAP 2007 / D032615 – Volker Lehnert / Page 4
Wie gehabt? – Subjektive Erfahrungen!
Tatsächlich kann davon ausgegangen werden, dass Berechtigungen, die ohne die Unterstützung eines klaren technischen Konzeptes und eine einschlägige und aussagekräftige Risikoanalyse eingerichtet und vergeben werden, viel zu weite Berechtigungen vergeben.
Die subjektive Erfahrung zeigt, dass sowohl Bund, Länder und Gemeinden, als auch private Unternehmen aller Größenordnungen teilweise mehr riskante und hochriskante Berechtigungen zuweisen, als sie Benutzer im System haben.
© SAP 2007 / D032615 – Volker Lehnert / Page 5
Die Herausforderung …
1. Technische Herausforderung:
Berechtigungskonzepte folgen häufig nicht den technischen Standards der SAP oder anderen Standards, die Berechtigungspflege und Zuweisung technisch eindeutig definieren.
2. Fachliche Herausforderung
Die Berechtigungspflege wird oft von „Technikern“ vorgenommen, die häufig nicht über das notwendige fachliche Hintergrundwissen verfügen können.
3. Herausforderung der Organisationsform
Neben der Linienorganisation bestehen in den meisten Unternehmen / Behörden weitere Organisationsformen, die zu Überschneidungen von Berechtigungen führen können. Das Nebeneinander verschiedener Organisationsformen ist häufig nicht ausdefiniert.
© SAP 2007 / D032615 – Volker Lehnert / Page 6
Statt Funktionstrennung ….
Alle Berechtigungen in einer Rolle
Kristische Kombination in der Rolle
Alle Rollen für einen Benutzer
Kritische Kombination im Benutzer
Ein Benutzer pflegt Personalstämme,
Arbeitszeiten, Reisekosten, Abrechungen
Ein Benutzer hat die Rollen für die Personaladministration,
die Zeiterfassung, die Abrechnung
Rolle SAP_ALL
Alle Rollen
© SAP 2007 / D032615 – Volker Lehnert / Page 7
1. Einleitung: Theorie und Praxis
2. Was es zu erreichen gilt3. Wie es erreicht werden kann
1. Funktionstrennung und Risikodatenbank
2. Rollenpflege
3. Benutzerverwaltung
4. Kompensierende Kontrollen
5. Superuser Management
4. Ausblick
Gliederung
© SAP 2007 / D032615 – Volker Lehnert / Page 8
Die Rolle “sauber” halten …
PflegePersonalstamm����
���� Zeiterfassung
© SAP 2007 / D032615 – Volker Lehnert / Page 9
Den Benutzer “sauber” halten …
����
����
Pers. Adm.
Controller
© SAP 2007 / D032615 – Volker Lehnert / Page 10
… oder wenigstens den Benutzer kontrollieren
���� Pers. Adm.
Controller���� &
© SAP 2007 / D032615 – Volker Lehnert / Page 11
Kontrolle – Überwachung?
In vielen Organisationen ist nicht genug Personal vorhanden, um in jedem Fall eine Funktionstrennung umzusetzen. Deswegen kann der Zustand eintreten, dass ein/e Mitarbeiter/in mehr Zugriffe hat, als wünschenswert wäre.
Um eine missbräuchliche Nutzung auszuschließen, ist es notwendige geeignete Kontrollmaßnamen zu definieren, die das so entstehende Risiko minimieren.
Das Kontrollziel ist die Vermeidung des Missbrauchs.
© SAP 2007 / D032615 – Volker Lehnert / Page 12
Grundsatz der Risikominimierung
1. Funktionstrennungskonflikte vermeiden.
2. Kritische Zugriffsmöglichkeiten minimieren.
3. Erst wo 1. und 2. nicht möglich sind, sind geeignete Kontrollen zu definieren und durchzuführen.
© SAP 2007 / D032615 – Volker Lehnert / Page 13
1. Einleitung: Theorie und Praxis
2. Was es zu erreichen gilt
3. Wie es erreicht werden kann1. Funktionstrennung und Risikodatenbank
2. Rollenpflege
3. Benutzerverwaltung
4. Kompensierende Kontrollen
5. Superuser Management
4. Ausblick
Gliederung
© SAP 2007 / D032615 – Volker Lehnert / Page 14
Die Lösung: SAP Access Control
Risk Analysis and Remediation
Risikoanalyse, Risikominimierung, Risikoüberwachung
Enterprise rolemanagement
Rollenpflege und Genehmigung
Superuser privilegemanagement
Überwachung und Genehmigung kritischer
Systemzugriffe
Compliant userprovisioning
Workflow zu Beantragung von Rollen
und Benutzern
Betrieb Einführung / Umsetzung
Risiko Identifikation & Reduktion
Rollen Management
Superuser Management
Prävention
© SAP 2007 / D032615 – Volker Lehnert / Page 15
• Berechtigungen• Transaktionen• Stammdaten• Konfiguration
• Berechtigungen• Transaktionen• Stammdaten• Konfiguration
• Berechtigungen• Transaktionen
• Berechtigungen• Transaktionen• Stammdaten• Konfiguration
Berechtigungen• Transaktionen• Stammdaten• Konfiguration
Lösungsarchitektur
Netweaver
Services
Zielsysteme
batch
Oracle
Real-time Agent (RTA)
Real-time Agent (RTA)
SAP Hyperion
Real-time Agent (RTA)
PeopleSoft
Real-time Agent (RTA)
Legacy Mainframe
WorkflowRisikodatenbankKontrolldatenbankAnalysis Engine
ReportingBusiness Process ModelingCompliance Info ProvidersJob Scheduler
� Cross-enterprise Architektur auf J2EE basierend
� Real-Time Agents –Echtzeitkonnektoren für SAP und NON SAP Lösungen
� Unterstützt bestehende „Identitätslösungen“ (IDM –Identity Management)
© SAP 2007 / D032615 – Volker Lehnert / Page 16
Berechtigung: Pflege
Lieferanten-stamm
Berechtigung: Zahlung
Lieferanten-rechnung
heterogene IT Landschaft
Unternehmensweite Compliance
Legacy Custom
Financials and
Accounting
Inventory and purchasing
!RISIKO
VIRSAunternehmensweiter/plattform
-übergreifender Regelsatz
© SAP 2007 / D032615 – Volker Lehnert / Page 17
1. Einleitung: Theorie und Praxis
2. Was es zu erreichen gilt
3. Wie es erreicht werden kann
1. Funktionstrennung und Risikodatenbank2. Rollenpflege
3. Benutzerverwaltung
4. Kompensierende Kontrollen
5. Superuser Management
4. Ausblick
Gliederung
© SAP 2007 / D032615 – Volker Lehnert / Page 18
Funktionstrennung
Personal-daten
CATS Controlling
PAxx CATx S_ALR_xxx
Pers.Adm. Meister Controller
© SAP 2007 / D032615 – Volker Lehnert / Page 19
Risk Analysis and Remediation
Schlüsselfunktionalitäten
Alarm Framework
Reporting
Rep
ort
ing
Real-time Simulation
Mitigation Management
Bereinigungs-Workflow
Monitoring kritischer Transaktionen
Real-time SoD Risikoanalyse
Enterprise-Regel Framework
ApplikationsintegrationRis
k Id
enti
fica
tio
nR
emed
iati
on
Pre
ven
tio
n
24h pro Tag und 7 Tage pro Woche real-time Compliance
- stoppen von Sicherheits- und Kontrollverletzungen bevor diese passieren -
Mandatory Prevention
Risiko-identifizierung
Bereinigung
Reporting
Vorbeugung
© SAP 2007 / D032615 – Volker Lehnert / Page 20
Umfassende RisikodatenbankAutomatisierte Regelerstellung
• über 200 Risikogruppen(Risk ID’s) z.B. ausAuftragsabwicklung, Beschaffung, Finanzwesen, HR/Payroll, APO, CRM, EBP/SRM, Basis…
• Umgangssprache, keineTechnikersprache
• über 180,000 SoD Object-Level-Regeln allein für SAP
• automatisierteRegelerstellung
© SAP 2007 / D032615 – Volker Lehnert / Page 21
Zielgruppenbezogene Übersichten
Anzeige von Trends fürFunktionstrennungskonflikte über verschiedeneZeiträume
Anzeige des Funktionstrennungsstatus der gesamtenUnternehmenssoftware
© SAP 2007 / D032615 – Volker Lehnert / Page 23
1. Einleitung: Theorie und Praxis
2. Was es zu erreichen gilt
3. Wie es erreicht werden kann1. Funktionstrennung und Risikodatenbank
2. Rollenpflege3. Benutzerverwaltung
4. Kompensierende Kontrollen
5. Superuser Management
4. Ausblick
Gliederung
© SAP 2007 / D032615 – Volker Lehnert / Page 24
Die Rolle “sauber” halten …
PflegePersonalstamm����
���� Zeiterfassung
© SAP 2007 / D032615 – Volker Lehnert / Page 25
Enterprise Role Management
Neue Funktionen im Enterprise Role Management halten Ihre Rollen dauerhaft sauber!
� Rollen können mit Attributen versehen werden, die eine Zuordnung zu Prozessen, Projekten und weiteren Kriterien ermöglichen.
� Detaillierte Dokumentation der Rolle, aller Änderungen und des Rollentestes
� Zwingende Risikoanalysen überprüfen die Rollen auf entstehende Risiken
� Genehmigungsworkflows gewährleisten nachhaltig dass die Regeln der Organisation eingehalten werden.
� Organizational Value Mapping erlaubt eine saubere und einfache Differenzierung der Rollen entsprechend der organisatorischen Zuordnung.
� Massenpflege von Rollen wird möglich.
© SAP 2007 / D032615 – Volker Lehnert / Page 26
1. Einleitung: Theorie und Praxis
2. Was es zu erreichen gilt
3. Wie es erreicht werden kann1. Funktionstrennung und Risikodatenbank
2. Rollenpflege
3. Benutzerverwaltung4. Kompensierende Kontrollen
5. Superuser Management
4. Ausblick
Gliederung
© SAP 2007 / D032615 – Volker Lehnert / Page 27
Den Benutzer “sauber” halten …
����
����
Pers. Adm.
Controller
© SAP 2007 / D032615 – Volker Lehnert / Page 28
Compliant User Provisioning
User provisioning in die angeschlossenen Systeme
Financialsystem
CRMsystem
Payrollsystem
Human Resources
system
Compliant user provisioningBenutzer/in beantragt
Berechtigungen
+ +
Compliant user provisioning ist eine webbasierte Lösung, die den Prozess der Rollen und Benutzervergabe entsprechend den Vorgaben der Organisation automatisiert, Risikoanalysen zwingendanbietet und im Falle auftretender Risiken gesonderte Genehmigungsverfahren einleitet.
© SAP 2007 / D032615 – Volker Lehnert / Page 29
Compliant User Provisioning: Users
Im Prozess werden drei Personengruppen beteiligt
Antragssteller/in – Beantragt Zugriff für sich oder andere in die angeschlossenen Systeme.
Genehmigende/r Sachbearbeiter/in – ist zuständig für die Risikoanalyse, Genehmigung und / oder die Zuweisung kompensierender Kontrollen
Administrator – konfiguriert die Workflows, analysiert Fehler, übernimmt regelmäßig nicht die Funktion der/des Sachbearbeiters / Sachbearbeiterin
© SAP 2007 / D032615 – Volker Lehnert / Page 30
1. Einleitung: Theorie und Praxis
2. Was es zu erreichen gilt
3. Wie es erreicht werden kann1. Funktionstrennung und Risikodatenbank
2. Rollenpflege
3. Benutzerverwaltung
4. Kompensierende Kontrollen5. Superuser Management
4. Ausblick
Gliederung
© SAP 2007 / D032615 – Volker Lehnert / Page 31
… oder wenigstens den Benutzer kontrollieren
���� Pers. Adm.
Controller���� &
© SAP 2007 / D032615 – Volker Lehnert / Page 32
Vorabkontrolle -Kompensierende (detektivische) Kontrolle
Angenommen durch Betriebsvereinbarung ist ausgeschlossen, dass die Daten der HR mit den Daten der Kostenstellenrechnung verbunden werden, ist das definierte Risiko z.B. Auswertung im HR Organisationsmanagement in Verbindung mit Auswertung der Istkostenrechnung.
Die entsprechenden Transaktionen werden als Funktionstrennungsrisiko kombiniert.
Wird in der Risikoanalyse deutlich, dass diese Transaktionen in einer Rolle zusammengefasst sind, so ist die Rolle zu ändern.
Wird in der Risikoanalyse deutlich, dass diese Transaktionen zwar in Rollen getrennt aber beide Rollen einer/einem Benutzer/in zugewiesen sind, ist festzustellen, ob der Benutzer tatsächlich diesen Funktionstrennungskonflikt übergehen darf.
Wenn dieser Funktionstrennungskonflikt fallweise übergangen werden darf, ist eine Kontrolle aufzusetzen. Z.B. kann festgelegt werden, dass der Benutzer halbjährlich eine Belehrung erhält, und regelmäßig dem Betriebsrat Bericht über die Datenverwendung zu erstatten hat. Generell ist zu versuchen, Kontrollen als „harte“Systemkontrollen zu hinterlegen.
© SAP 2007 / D032615 – Volker Lehnert / Page 33
1. Einleitung: Theorie und Praxis
2. Was es zu erreichen gilt
3. Wie es erreicht werden kann1. Funktionstrennung und Risikodatenbank
2. Rollenpflege
3. Benutzerverwaltung
4. Kompensierende Kontrollen
5. Superuser Management4. Ausblick
Gliederung
© SAP 2007 / D032615 – Volker Lehnert / Page 34
… die Superuserzugriffe überwachen
���� Pers. Adm.
Controller���� &
© SAP 2007 / D032615 – Volker Lehnert / Page 36
1. Einleitung: Theorie und Praxis
2. Was es zu erreichen gilt
3. Wie es erreicht werden kann
1. Funktionstrennung und Risikodatenbank
2. Rollenpflege
3. Benutzerverwaltung
4. Kompensierende Kontrollen
5. Superuser Management
4. Ausblick
Gliederung
© SAP 2007 / D032615 – Volker Lehnert / Page 37
GRC Risk Management
Risikomanagement
GRC Process Control
GRC Access Control
Von der operativen zur prozessualen Sicht
© SAP 2007 / D032615 – Volker Lehnert / Page 38
Strategisch - Landscape
� Definiert, qualifiziert, quantifiziert und kompensiert Risken
Risikomanagement
Prozessual
� Definiert und kontrolliert Risken die sich aus den Geschäftsprozesse ergeben
Operativ
� Definiert, kontrolliert und kompensiert Risiken, die sich aus dem täglichen (System-) Betrieb ergeben.
Risikomanagement - IKS
IKS
© SAP 2007 / D032615 – Volker Lehnert / Page 39
� Übergreifendes Kontrollregel-Kontrollplanungs- und Kontrollüberwachungswerk
� Zentralisiertes Kontrollmanagement automatischer, teilautomatischer und manueller Kontrollen.
AssessmentsTest automatischer Kontrollen
Test manueller Kontrolle
n
Do
kum
ent
Tes
tM
on
ito
rZ
erti
fizi
eru
ng
Zertifizierung und Abstimmung
Prozess – Kontrolle – Kontrollziel -Risiko
IT Infrastructure
Business Processes
…
Ausnahmen überwachen
Aufgaben identifizieren un
ausführen
�
���
�
�
����
�
Has production been improved with
the installation and implementation
of SAP?
S U R V E Y
Yes
No
11
34
5
6
910
11 12
1516
1718
19
78
1314
2223
2425
26
2021
2930
2728
2
SAP GRC Process Control
© SAP 2007 / D032615 – Volker Lehnert / Page 40
Volker Lehnert
Consultant CoE Security and Enterprise Risk ManagementEMEA Focus Group Enterprise Risk ManagementSAP Consulting
M: +49 160 908 22 338 volker.lehnert@sap.com
http://www.sap-si.com/sicherheitwww.sap.com
Was können wir für Sie tun?Kai Gritzke
Vertriebsbeauftragter GRC für DeutschlandSAP Lösungen für Governance, Risk und Compliance
SAP Deutschland AG & Co. KG
Homberger Str. 25-3340882 Ratingen
T +49-6227-7-70604kai.gritzke@sap.com
http://www.sap.com
© SAP 2007 / D032615 – Volker Lehnert / Page 41
Copyright 2007 SAP AGAll rights reserved
No part of this publication may be reproduced or transmitted in any form or for any purpose without the express permission of SAP AG. The information contained herein may be changed without prior notice.
Some software products marketed by SAP AG and its distributors contain proprietary software components of other software vendors.
SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge and other SAP products and services mentioned herein as well as their respective logos are trademarks or registered trademarks of SAP AG in Germany and in several other countries all over the world. All other product and service names mentioned and associated logos displayed are the trademarks of their respective companies. Data contained in this document serves informational purposes only. National product specifications may vary.
The information in this document is proprietary to SAP. This document is a preliminary version and not subject to your license agreement or any other agreement with SAP. This document contains only intended strategies, developments, and functionalities of the SAP® product and is not intended to be binding upon SAP to any particular course of business, product strategy, and/or development. SAP assumes no responsibility for errors or omissions in this document. SAP does not warrant the accuracy or completeness of the information, text, graphics, links, or other items contained within this material. This document is provided without a warranty of any kind, either express or implied, including but not limited to the implied warranties of merchantability, fitness for a particular purpose, or non-infringement.
SAP shall have no liability for damages of any kind including without limitation direct, special, indirect, or consequential damages that may result from the use of these materials. This limitation shall not apply in cases of intent or gross negligence.
The statutory liability for personal injury and defective products is not affected. SAP has no control over the information that you may access through the use of hot links contained in these materials and does not endorse your use of third-party Web pages nor provide any warranty whatsoever relating to third-party Web pages
Weitergabe und Vervielfältigung dieser Publikation oder von Teilen daraus sind, zu welchem Zweck und in welcher Form auch immer, ohne die ausdrückliche schriftliche Genehmigung durch SAP AG nicht gestattet. In dieser Publikation enthaltene Informationen können ohne vorherige Ankündigung geändert werden.
Einige von der SAP AG und deren Vertriebspartnern vertriebene Softwareprodukte können Softwarekomponenten umfassen, die Eigentum anderer Softwarehersteller sind.
SAP, R/3, mySAP, mySAP.com, xApps, xApp, SAP NetWeaver, Duet, Business ByDesign, ByDesign, PartnerEdge und andere in diesem Dokument erwähnte SAP-Produkte und Services sowie die dazugehörigen Logos sind Marken oder eingetragene Marken der SAP AG in Deutschland und in mehreren anderen Ländern weltweit. Alle anderen in diesem Dokument erwähnten Namen von Produkten und Services sowie die damit verbundenen Firmenlogos sind Marken der jeweiligen Unternehmen. Die Angaben im Text sind unverbindlich und dienen lediglich zu Informationszwecken. Produkte können länderspezifische Unterschiede aufweisen.
Die in diesem Dokument enthaltenen Informationen sind Eigentum von SAP. Dieses Dokument ist eine Vorabversion und unterliegt nicht Ihrer Lizenzvereinbarung oder einer anderen Vereinbarung mit SAP. Dieses Dokument enthält nur vorgesehene Strategien, Entwicklungen und Funktionen des SAP®-Produkts und ist für SAP nicht bindend, einen bestimmten Geschäftsweg, eine Produktstrategie bzw. -entwicklung einzuschlagen. SAP übernimmt keine Verantwortung für Fehler oder Auslassungen in diesen Materialien. SAP garantiert nicht die Richtigkeit oder Vollständigkeit der Informationen, Texte, Grafiken, Links oder anderer in diesen Materialien enthaltenen Elemente. Diese Publikation wird ohne jegliche Gewähr, weder ausdrücklich noch stillschweigend, bereitgestellt. Dies gilt u. a., aber nicht ausschließlich, hinsichtlich der Gewährleistung der Marktgängigkeit und der Eignung für einen bestimmten Zweck sowie für die Gewährleistung der Nichtverletzung geltenden Rechts.
SAP übernimmt keine Haftung für Schäden jeglicher Art, einschließlich und ohne Einschränkung für direkte, spezielle, indirekte oder Folgeschäden im Zusammenhang mit der Verwendung dieser Unterlagen. Diese Einschränkung gilt nicht bei Vorsatz oder grober Fahrlässigkeit.
Die gesetzliche Haftung bei Personenschäden oder die Produkthaftung bleibt unberührt. Die Informationen, auf die Sie möglicherweise über die in diesem Material enthaltenen Hotlinkszugreifen, unterliegen nicht dem Einfluss von SAP, und SAP unterstützt nicht die Nutzung von Internetseiten Dritter durch Sie und gibt keinerlei Gewährleistungen oder Zusagen über Internetseiten Dritter ab.
Alle Rechte vorbehalten.
top related