Po zbudowaniu reguł SoD należy przejść do właściwego zadania w procesie rozwiązywania konfliktów rozdziału obowiązków.
Zadanie to można podzielić na 3 kluczowe fazy:
Dla przykładu, w kroku tym proces może wyglądać następująco:
Dlatego też równocześnie z działaniami na poziomie użytkowników należy rozpocząć pracę nad przebudową ról przypisanych do użytkowników. Docelowo, wszystkie role w systemie (pojedyncze, zbiorcze, biznesowe) powinny być wolne od konfliktów rozdziału obowiązków. Pozostałe role powinny zostać zmodyfikowane w taki sposób aby spełnić wymagania dla procesu rozwiązywania konfliktów użytkowników (np. powinno być możliwe odebranie dostępu do danej funkcji użytkownikowi). W kroku tym należy również przemyśleć kwestię ewentualnych działań zaradczych (mechanizmów kontrolnych) oraz procedur dla wyjątków dotyczących nadawania dostępu, które zostaną doprecyzowane dla kroku 5.
Jak wspomniano w poprzednich krokach, fazy te mogą być w całości bądź częściowo wykonywane na dwa sposoby:
Ręczna analiza konfliktów wiąże się z przeglądem dostępu dla poszczególnych użytkowników do funkcji będących elementem matrycy SoD. Rozwiązanie takie wymaga znacznie większego nakładu czasu i innych zasobów potrzebnych do analizy. Dodatkowo, wbudowane w dedykowane narzędzia moduły raportowe pozwalają na prezentację danych w wielu widokach, czego nie oferuje ręczna analiza SoD.
Na potrzeby tego artykułu skupimy się na możliwości wykorzystania rozwiązań. Omówione zostaną dwa z nich: SAP GRC (moduł: SAP GRC Access Risk Analysis (ARA)) oraz smartGRC (moduł: smartSoD).
Analizy te mogą być wykonywane zarówno na poziomie użytkownika (dając informację o ryzykach SoD), jak i na poziomie ról czy profili. Analiza na poziomie ról może być wykorzystana jako punkt wyjścia w rozwiązaniu konfliktów SoD w organizacji.
Raportowanie i analiza prowadzona może być na trzech poziomach: zarządczy (w oparciu o dashboardy), biznesowy (zrozumiały dla biznesu język funkcji biznesowych), techniczny (szczegółowa informacja dla IT/Konsultantów SAP).
Natomiast, wykorzystując aplikację smartGRC firma może przeanalizować poziom ryzyka związanego z dostępem, a także podjąć świadomą decyzję, jaki poziom ryzyka jest akceptowalny oraz jakie mechanizmy kontrolne umożliwiające jego mitygację należy wdrożyć. Poprzez właściwe wdrożenie narzędzia i komunikację do pracowników firma może zbudować świadomość silnej kontroli wewnętrznej nad użytkowaniem systemów IT, tym samym znacznie ograniczając próby popełnienia nadużyć. Ponadto uniwersalność narzędzia smartGRC umożliwia współpracę z różnymi systemami i aplikacjami biznesowymi (nie tylko klasy ERP) dostępnymi na rynku.
smartSoD jest jednym z najnowocześniejszych i najbardziej innowacyjnych rozwiązań dedykowanych do prowadzenia prewencyjnych symulacji oraz cyklicznych audytów uprawnień z perspektywy dostępu do transakcji wrażliwych i analizy konfliktów rozdziału obowiązków. Ze względu na uniwersalne mechanizmy wbudowane w aplikację, rozpatrywanie konfliktów rozdziału obowiązków działa w warstwie czynności biznesowej, która z wykorzystaniem mechanizmów interfejsowych (tzw. konektorów) jest interpretowana dla wszystkich kluczowych systemów IT obecnych w firmie.
Moduł ten jest w pełni zintegrowany z modułem smartWorkFlow, ale ma również możliwość integracji z praktycznie dowolnym rozwiązaniem typu workflow stosowanym przez firmy do zarządzania uprawnieniami.
Dzięki dostępnej analizie danych kluczowe osoby w organizacji mogą na bieżąco i w łatwy sposób uzyskać dostęp do informacji na temat stanu bezpieczeństwa wpiętych do narzędzia smartSoD systemów IT. Aplikacja posiada możliwości wpięcia różnych systemów IT, co pozwala monitorować uprawnienia nie tylko w systemach z grupy SAP.
Dodatkowo, silna integracja modułu smartSoD z smartReport pozwala, np. określić konflikty rozdziału obowiązków (SoD) występujące w przedsiębiorstwie zarówno na poziomie użytkowników jak i ról.
Moduł smartSoD to:
Należy zdawać sobie sprawę, że proces zarządzania rozdziałem obowiązków w organizacji jest procesem ciągłym. Jego ostatnim krokiem powinno być uzyskanie stałej kontroli nad konfliktami rozdziału obowiązków poprzez ich ciągłe monitorowanie. Aby było to możliwe, w ramach tego kroku należy przede wszystkim wziąć pod uwagę następujące kluczowe kwestie:
Proces zarządzania rozdziałem obowiązków jest kluczową kwestią dla każdej organizacji, bez względu na skalę jej działania. Jego udane wdrożenie pozwoli organizacji na ograniczenie ryzyka zbyt szerokiego dostępu użytkownika i uzyskanie zgodności np. z wymaganiami audytowymi.
Kontrola nad rozdziałem obowiązków nie jest zamknięta w momencie rozwiązania istniejących konfliktów. Wraz z rozwiązaniem dotychczasowych kwestii należy zmodyfikować zasady działania i procedury występujące w organizacji tak, aby konflikty nie występowały w przyszłości.