Najczęstsze błędy w przeglądzie uprawnień w systemach ERP

Źle przeprowadzony przegląd uprawnień w systemach ERP może prowadzić do wielu problemów: od irytacji w firmie i braku realizacji kluczowych decyzji, po opór ze strony osób weryfikujących oraz obszerne, trudne do analizy raporty. Specjaliści szacują, że w typowym przeglądzie od 15 do 20% decyzji dotyczy usunięcia zbędnych uprawnień. Czy jednak te decyzje są rzeczywiście wdrażane w życie? Przegląd uprawnień to więcej niż tylko formalność – to istotny element zabezpieczeń, wymagający odpowiedniego przygotowania i realizacji. W dalszej części artykułu eksperci omawiają najczęstsze błędy, które mogą zamienić ten proces w kosztowne i frustrujące doświadczenie.

Błąd #1: Brak realnego wdrożenia decyzji podjętych podczas przeglądu uprawnień

Spróbujmy sobie wyobrazić następującą sytuację: przegląd uprawnień został pomyślnie zakończony, biznes wykonał swoje zadanie, zidentyfikowano uprawnienia, które należy odebrać… i na tym się kończy. Mijają miesiące, a wskazane uprawnienia nadal funkcjonują w systemie.

Niedopatrzenie tego typu niesie ze sobą poważne konsekwencje. Po pierwsze, podważa sens całego procesu przeglądu. Dodatkowo, zwiększa ryzyko negatywnego wyniku audytu. Co gorsza, istnieje udokumentowany ślad, że osoba z biznesu zażądała odebrania danych uprawnień, ale bezskutecznie. W najgorszym wypadku, zarząd lub audytor mogą zażądać dowodu, że te nadmiarowe uprawnienia nie zostały wykorzystane do nieautoryzowanych działań.

Jak zatem uniknąć takiej sytuacji? Kluczowe jest systematyczne monitorowanie postępów we wdrażaniu zmian – najlepiej co tydzień lub co miesiąc. Sprawdzenie statusu implementacji przed rozpoczęciem kolejnego przeglądu to absolutne minimum. Warto również rozważyć wykorzystanie narzędzi GRC, które generują raporty dotyczące statusu realizacji poszczególnych decyzji.

Błąd #2: Ogromne, nieczytelne raporty uprawnień

Spróbujmy wczuć się w rolę osoby z biznesu, która otrzymuje do przeanalizowania raport liczący 20 tysięcy stron, wypełniony technicznym opisem uprawnień. Taka sytuacja jest zazwyczaj efektem nieodpowiedniego oszacowania zakresu przeglądu oraz braku odpowiedniej selekcji danych. Zamiast skupić się na uprawnieniach specyficznych i potencjalnie ryzykownych, pod lupę trafiają wszystkie możliwe uprawnienia, włącznie z tymi podstawowymi, które posiada każdy użytkownik.

Konsekwencje takiego podejścia są łatwe do przewidzenia: opór, niechęć i frustracja ze strony weryfikatorów. W najlepszym wypadku, weryfikatorzy dokonają jedynie powierzchownej analizy, bez zagłębiania się w szczegóły. W najgorszym – odmówią przeprowadzenia przeglądu. W obu przypadkach rzeczywiste zagrożenia pozostają nierozwiązane, a relacje między działem IT a biznesem ulegają pogorszeniu.

Aby tego uniknąć, warto skonsultować zakres przeglądu z audytorami (zarówno wewnętrznymi, jak i zewnętrznymi). W pierwszym roku można skoncentrować się na obszarach o wysokim lub krytycznym ryzyku, stosując metodę małych kroków. Dobrym rozwiązaniem jest również podział przeglądu na mniejsze, bardziej szczegółowe obszary oraz przygotowanie opisów uprawnień w języku zrozumiałym dla biznesu, unikając skomplikowanego żargonu IT.

Błąd #3: Przypadkowy dobór osób weryfikujących

Kolejnym, często popełnianym błędem jest brak analizy, kto powinien weryfikować konkretne dane. Jeżeli osoby odpowiedzialne za recertyfikację nie mają wiedzy na temat obszaru, który kontrolują, lub nie czują się za niego odpowiedzialne, wartość całego procesu drastycznie spada.

Taki stan rzeczy prowadzi do braku merytorycznej weryfikacji uprawnień lub znacznego wzrostu kosztów całego procesu. Każda pozycja przypisana do niewłaściwej osoby wymaga indywidualnej interwencji administratora, co w przypadku tysięcy pozycji i presji czasu staje się zadaniem niemal niemożliwym do zrealizowania.

Jak temu zaradzić? Inwestycja czasu i zasobów w odpowiednie przygotowanie przeglądu jest kluczowa. Warto spotkać się z osobami weryfikującymi, omówić zakres ich odpowiedzialności, przeszkolić nowych weryfikatorów i upewnić się, że wszyscy nadal pracują w firmie przed rozpoczęciem dystrybucji danych. Z doświadczenia ekspertów wynika, że czas poświęcony na przygotowanie może być dłuższy niż sam przegląd, ale jest to inwestycja, która się opłaca.

Błąd #4: Nieuwzględnione wyjątki – brak kompleksowości i spójności danych

Audytorzy szczególnie zwracają uwagę na brak kompletności danych w przeglądzie, czyli pominięcie istotnych ryzyk lub użytkowników. Taka sytuacja jest wynikiem braku analizy i weryfikacji danych przed przekazaniem ich do weryfikacji. Może się okazać, że jakiś użytkownik został pominięty (np. z powodu tymczasowej blokady konta) lub niektóre rodzaje ryzyka nie zostały wzięte pod uwagę.

Konsekwencje mogą być bardzo poważne. Jeżeli nie można udowodnić kompletności przeglądu, cały wysiłek może pójść na marne. Audytor może zakwestionować rzetelność przeglądu, co w rezultacie może skutkować koniecznością jego powtórzenia. Oprócz dodatkowych kosztów i nakładu pracy, opóźnia to realizację głównego celu, czyli ograniczenia ryzyk związanych z nadmiernymi uprawnieniami.

Ponownie, kluczem do sukcesu jest odpowiednie przygotowanie. Warto zaangażować kilka osób do weryfikacji kompletności danych, stworzyć listę kontrolną (checklistę) zawierającą kryteria jakościowe i zarezerwować wystarczająco dużo czasu na przygotowania.

Przykładowe kryteria (checklista):

• czy uwzględniamy wszystkich użytkowników?,
• czy bierzemy pod uwagę wszystkie rodzaje ryzyka?,
• czy dane są aktualne?.

Błąd #5: Niewystarczające wsparcie narzędziowe – brak automatyzacji

Ostatni, ale równie istotny błąd, to ręczne przygotowywanie zestawień w arkuszach Excel, które następnie trzeba dzielić, wysyłać, uzgadniać i łączyć. Gdy proces ten jest realizowany dla wielu systemów przez kilka osób, ryzyko popełnienia błędów gwałtownie wzrasta.

Skutkiem takiego podejścia są przede wszystkim błędy w zestawieniach, pominięcie istotnych ryzyk oraz frustracja osób weryfikujących. Dodatkowo, po kilku miesiącach trudno jest udowodnić, jaki był stan uprawnień w momencie rozpoczęcia przeglądu, co może prowadzić do dodatkowych problemów podczas audytu.

Rozwiązaniem jest automatyzacja procesu poprzez wdrożenie odpowiedniego narzędzia. Dobre narzędzie nie tylko upraszcza pozyskiwanie i przetwarzanie danych, ale także oferuje przydatne funkcje, takie jak historia podjętych decyzji z poprzednich przeglądów, informacje o wykorzystaniu transakcji przez danego użytkownika czy raporty ze specyfikacją techniczną dotyczącą odbierania uprawnień.

Przegląd uprawnień w systemach ERP to znacznie więcej niż tylko wymóg formalny – to kluczowy element strategii bezpieczeństwa informacji w każdej firmie. Unikając opisanych powyżej błędów, można znacząco zwiększyć efektywność tego procesu, zmniejszyć frustrację zaangażowanych osób i realnie zabezpieczyć organizację przed ryzykiem związanym z nieuprawnionym dostępem do danych.