Kontrole mitygujące – czy to lek na „całe zło” w ryzykach nadmiarowych uprawnień w SAP?

Wdrożenie dodatkowych kontroli mitygujących to częsta odpowiedź, ze strony kierownictwa, na ryzyko wynikające z nadmiarowych uprawnień w systemach ERP (SAP). Czy w ten sposób eliminujemy przyczynę problemu nadmiarowych uprawnień, czy jedynie walczymy z jego skutkiem? Czy jest to słuszne podejście? Jakie są konsekwencje takiego działania? Czy jest jedna odpowiedź, która jest dobra w każdej organizacji/każdej sytuacji? W trakcie projektu SoD (z ang. Segregation of duties / rozdział obowiązków) pojawia się też wiele mitów dotyczących nadmiarowych uprawnień użytkowników w SAP. Chęć rozwiania wątpliwości i obalenia mitów dotyczących kontroli mitygujących i SoD zainspirowały nas do napisania tego artykułu. Zapraszamy do lektury!

Poprawnie przeprowadzony projekt zbudowania lub przebudowy uprawnień użytkowników w SAP powinien być oparty o wypracowaną w trakcie warsztatów biznesowych – matrycę podziału obowiązków w procesach biznesowych. Matryca to kluczowy produkt takiego projektu, często pomijany w trakcie wdrożeń przez firmy wdrożeniowe, skoncentrowane na innych aspektach uruchomienia nowego systemu klasy ERP. W ciągu ostatnich kilku lat nasza firma przeprowadziła kilkadziesiąt takich warsztatów w różnych przedsiębiorstwach prywatnych, jak również organizacjach publicznych. Prowadziliśmy szkolenia w różnej wielkości organizacjach – średnich oraz dużych międzynarodowych korporacjach. Pośród wielu wniosków z tych warsztatów, ciekawym aspektem wydaje się być temat kontroli mitygujących. Czym są kontrole mitygujące i kiedy są stosowane? W przypadku wielu firm, z którymi mieliśmy do tej pory okazję współpracować, zdają się być najczęstszą odpowiedzią na pojawianie się nadmiarowych ryzyk związanych z nadawaniem uprawnień w SAP.

Czy słusznie?

Zapraszamy do lektury serii artykułów:

Wyzwanie dla kontroli mitygujących.
Kiedy warto tworzyć, a kiedy należy unikać kontroli mitygujących?
Przykłady i repozytorium kontroli – przegląd najlepszych praktyk budowania kontroli.
Jak zaimplementować kontrole mitygujące w systemach klasy GRC?
Podsumowanie i wnioski.

Co dwa tygodnie będziemy publikować jedną jego część. Czy obecne podejście rynkowe jest prawidłowe? Zapraszamy do zapoznania się z artykułem i dowiedzenia się więcej na temat kontroli łagodzących.

Zapraszamy do lektury Andrzej Partyka & Filip Nowak

GRC & Security Enthusiasts

Przeczytaj również:

Upływa czas wsparcia SAP GRC 10.0 / 10.1

Nowe funkcjonalności w SAP Access Control 12.0

Cybersecurity / IT Compliance Consultant (GRC)

Przejście z SAP FUE na PUPM – rewolucja czy ewolucja?

SAP LeanIX w Akcji – Kompleksowa Architektura IT i Transformacja Cyfrowa

Twoja firma traci 20% budżetu IT? Chaos w systemach kosztuje więcej, niż myślisz

Autoryzacje bez niespodzianek – jak przygotować się do nowego release SAP S/4HANA Public Cloud?

Jak nie przesadzić z uprawnieniami? – Najmniejszy Wymagany Dostęp w SAP

NA SKRÓTY

Polityka prywatności

BLOG

Przejście z SAP FUE na PUPM – rewolucja czy ewolucja?

SAP LeanIX w Akcji – Kompleksowa Architektura IT i Transformacja Cyfrowa

Twoja firma traci 20% budżetu IT? Chaos w systemach kosztuje więcej, niż myślisz

SAP GRC

SAP Security & Authorizations