Kontrole mitygujące – czy to lek na „całe zło” w nadmiarowych uprawnieniach w SAP?
Część #4/5 Jak zaimplementować SoD i obsługę kontroli mitygujących – warstwa narzędziowa
Ostatni etap wprowadzania kontroli mitygujących do organizacji, to implementacja w systemach i automatyzacja. W tej części artykułu przedstawimy kluczowe funkcjonalności, które powinny być zaimplementowane, aby efektywnie wspierać analizę ryzyka SoD i zarządzanie kontrolami mitygującymi.
Wyzwania
Złożoność procesów analizy ryzyka i co jest z tym powiązane, analizy konfliktów SoD (szerzej przedstawiona w poprzednich artykułach z serii) wcześniej czy później wymusza wprowadzenie mechanizmów automatyzacji. Identyfikacja konfliktu SoD czasem wymaga przeanalizowania kilkunastu (lub nawet kilkuset) permutacji uprawnień użytkownika. Dla firmy średniej wielkości, w której przetwarzane jest po kilkaset wniosków o uprawnienia miesięcznie implikuje to konieczność posiadania dedykowanego zespołu przeprowadzającego takie analizy, a także dokumentującego wyniki. Jeśli do tego dołączymy cykliczne audyty, które oczekują przedstawienia dowodów audytowych dla procesu zarządzania ryzykiem dostępu, to powstaje złożona lista zależności, nad którą trudno zapanować standardowymi narzędziami. Jest to sygnał, że procesy biznesowe są na tyle złożone, że wymagane jest wdrożenia dedykowanej platformy do obsługi całości funkcjonalności organizacji.
Automatyzacja
Podejście do automatyzacji procesu wymaga dedykowanych narzędzi. Przedsiębiorstwa radzą sobie z tym wyzwaniem na różne sposoby. Część organizacji korzysta z możliwości jakie oferuje MS Excel, tworząc zaawansowane formuły bazujące na danych o uprawnieniach z systemów SAP, część cyklicznie zrzuca dane i analizuje w bazie np. Access. Natomiast bardzo często praktyka pokazuje, że rzeczywista skala przerasta te półśrodki i firmy zaczynają analizę rynku w poszukiwaniu dedykowanego narzędzia do prowadzenia analizy i zarządzania repozytorium wyjątków i kontroli.
Narzędzia
Rynek narzędzi do zarządzania ryzykiem dostępu jest bardzo zróżnicowany, a najczęściej pojawiające się narzędzia to:
- Narzędzia oferujące gotowe rozwiązania -> najprostsze analizatory dostępów i SoD – opierające się o umieszczoną w narzędziu listę konfliktów i dostępów krytycznych do systemu. Bardzo często zdarza się, że lista ta jest niemodyfikowalna, a cała logika opiera się na sprawdzaniu tzw. krytycznych punktów, czy tzw. najlepszych praktyk. Rozwiązania te wywodzą się z systemów do zarządzania bezpieczeństwem i najczęściej warstwa analizy biznesowej czy procesowej jest w nich całkowicie pominięta. W praktyce można uruchomić raport z takiego narzędzia, tylko otwarte pozostaje pytanie: po co? Narzędzie tego typu nie zapewnia nam w żaden sposób kompletności analizy ani nie uwzględnia specyfiki systemu. Wiele lat, a co za tym idzie zrealizowanych projektów umocniło w nas przekonanie, że stosowanie takich prostych rozwiązań często prowadzi do jeszcze większych komplikacji. Wdrażanie działań naprawczych na podstawie takich standardowych raportów, nieuwzględniających specyfiki firmy i procesów biznesowych to niepotrzebne angażowanie środków, bo zazwyczaj pierwsza podstawowa analiza doświadczonego konsultanta wskaże liczne słabości i braki w takich „uniwersalnych” narzędziach.
- Narzędzia dedykowane do analiz ryzyka dostępu i SoD – na rynku dostępnych jest kilka narzędzi, które zostały opracowane przez osoby z dużym doświadczeniem w analizie procesów i ryzyka biznesowego. Narzędzia opracowane przez profesjonalistów umożliwiają dużo lepsze dostosowanie do specyfiki procesów i firm. Warto tutaj wspomnieć chociażby o rozwiązaniu z naszego lokalnego rynku – SmartGRC Oczywiście dostosowanie do specyfiki Klienta wiąże się bardzo często z dłuższym procesem wdrożeniowym połączonym z usługami doradczymi. Jednocześnie, otrzymujemy realny pogląd na ryzyka dostępowe i konflikty SoD oraz dostosowany plan działań, który będzie doskonałą odpowiedzią na potrzeby organizacji.
– pakiety klasy GRC – to złożone rozwiązania, które w ramach pakietu udostępniają narzędzia do analiz ryzyka i SoD, ale umożliwiają znacznie więcej: zapewniają dedykowane mechanizmy workflow, które automatyzują całość analiz SoD, akceptacji i przypisywania kontroli mitygujących, kompleksowo odwzorowują też cykl życia i efektywności kontroli mitygujących w organizacji oraz umożliwiają automatyzację tych kontroli. W przypadku systemów SAP, wiodącym rozwiązaniem jest dla tego obszaru pakiet SAP GRC, ale istnieje też możliwość integracji innych rozwiązań podobnej klasy z SAP.
Czego oczekiwać od narzędzia?
Implementacja narzędzia zależy od wielkości organizacji, złożoności procesów i budżetu, który firma jest zdecydowana przeznaczyć na obsługę procesów zarządzania ryzykiem dostępu. Biorąc pod uwagę te kryteria, poniżej przedstawiamy krótkie zestawienie funkcjonalności, które narzędzia do obsługi procesów powinny realizować na poszczególnych poziomach:
Poziom podstawowy:
- Możliwość definiowania listy konfliktów SoD (Matrycy SoD),
- Mapowanie czynności z matrycy do uprawnień w systemach,
- Definiowanie czynności wrażliwych i krytycznych,
- Możliwość mapowania w narzędziu z opcjami personalizacji dla danej instalacji,
- Możliwość generowania raportów (Ryzyka SoD / dostępy do czynności) – na poziomie podstawowym wystarczy tryb offline -> cykliczny zrzut danych i generowanie wyników,
Poziom zaawansowany:
-
- Funkcjonalności z poziomu podstawowego +,
- Możliwość tworzenia i zarządzania repozytorium kontroli mitygujących,
- Możliwość powiązania kontroli mitygujących z konfliktami SoD na użytkowniku,
- Mechanizmy symulacji, czyli analiza scenariuszy po nadaniu określonemu użytkownikowi wskazanych uprawnień,
- Rozszerzone raportowanie w zakresie zmitygowanie / nie-mitygowanych ryzyk SoD w systemie,
- Możliwość generowania raportów w trybie on-line na podstawie aktualnych danych z systemu,
- Możliwość ustawienia cyklicznego wysyłania raportów z systemu,
- Integracje z workflow do obiegu wniosków o dostęp (workflow wbudowany w narzędzie, lub udostępnione serwisy do integracji z innymi systemami)
Poziom expert:
- Funkcjonalności z poziomu zaawansowanego +
- Pełne zarządzanie cyklem życia kontroli mitygujących,
- Możliwość dokumentacji i testowania efektywności kontroli mitygujących z poziomu narzędzia
- Możliwość automatyzacji kontroli mitygujących (np. poprzez automatyczne cykliczne sprawdzanie wskaźników w systemie backend i przeniesienie na proces zarządzania ryzykiem)
- Możliwość dokumentowania postępowania z każdym zidentyfikowanym ryzykiem dostępu i zapewnienie pełnej dokumentacji audytowej dla podjętych działań
- Raportowanie zarządcze obejmujące wpływ ryzyk dostępu na poszczególne procesy, obszary, czy zidentyfikowane ryzyka procesowe
- Pełna automatyzacja procesów zarządzania dostępem i powiązanie całości w ramach workflow obsługiwanych przez narzędzie
Dostosowanie poziomu narzędzia do potrzeb firmy czy organizacji to sprawa indywidualna. Natomiast wymienione funkcjonalności, to z naszego doświadczenia pewne minimum, które wskazuje jakiej klasy narzędzia potrzebujemy i czego możemy oczekiwać od rozwiązań rynkowych.
Podsumowując, dobór narzędzia do implementacji SoD i kontroli mitygujących, kluczowe punkty
- nie polegajmy na tzw. uniwersalnych rozwiązaniach, to nie sprawdza się w praktyce i generuje nadmiarową pracę,
- zastanówmy się jakiej klasy narzędzia potrzebujemy i jakie funkcjonalności jesteśmy w stanie wykorzystać,
- automatyzacja – jeśli jest taka możliwość to zapewnijmy możliwość implementacji automatycznych kontroli mitygujących w narzędziu,
- nie zapominajmy o personalizacji! – jeśli nasz system był dostosowywany do naszych procesów i potrzeb, to każde narzędzie, które będzie go analizować też powinno mieć taką możliwość!
W kolejnej, piątej części artykułu przedstawimy podsumowanie, w którym odpowiemy na pytanie, dlaczego temat ryzyk i kontroli dostępów jest ważny i warto się nim w sposób uporządkowany zajmować. Dlaczego nadmiarowe uprawnienia są groźne i nie można tego problemu zostawiać na później? Dlaczego audyty finansowe tak bardzo szczegółowo analizują ten temat? Wybierzemy też najważniejsze punkty z wcześniejszych części, aby w krótkim podsumowaniu przedstawić zarówno sam problem jak i metodę postępowania z nim. Na końcu spojrzymy również na temat z perspektywy finansowej i omówimy od czego zależy koszt ‘compliance’ i jak go ograniczać. Zapraszamy do lektury!