Rozdział obowiązków (SoD) – teoria i praktyka cz.2
Kroki 3-5: Analiza, remediacja oraz mitygacja konfliktów SoD
Po zbudowaniu reguł SoD należy przejść do właściwego zadania w procesie rozwiązywania konfliktów rozdziału obowiązków.
Zadanie to można podzielić na 3 kluczowe fazy:
- Krok 3: Analiza konfliktów rozdziału obowiązków – podczas której wykonane zostaną początkowe analizy zarówno na poziomie ról i użytkowników. W kroku tym ma miejsce analiza uprawnień użytkowników z uwzględnieniem zdefiniowanych reguł SoD.
Jest to również ostatni krok na ewentualne wprowadzenie zmian w definicji reguł. - Krok 4: Remediacja (rozwiązywanie) konfliktów rozdziału obowiązków – dla której ma miejsce analiza otrzymanych wyników, wraz z ewentualną modyfikacją dostępów użytkowników bądź ról.
W zależności od poziomu ryzyka i innych kluczowych ustaleń dla procedur rozwiązywania konfliktów rozdziału obowiązków sposób postępowania może się różnić.
Dla przykładu, w kroku tym proces może wyglądać następująco:
- Kluczowi użytkownicy otrzymują arkusze decyzyjne. Arkusze te zawierają pewną pulę ryzyk i użytkowników.
- W arkuszach tych ma miejsce decyzja o utrzymaniu dostępu do poszczególnej funkcji z matrycy SoD.
- Zgłoszenie zmian w uprawnieniach użytkownika łączy się z wprowadzeniem zmian w systemie i wykonaniem testów przez użytkownika objętego zmianą.
Dlatego też równocześnie z działaniami na poziomie użytkowników należy rozpocząć pracę nad przebudową ról przypisanych do użytkowników. Docelowo, wszystkie role w systemie (pojedyncze, zbiorcze, biznesowe) powinny być wolne od konfliktów rozdziału obowiązków. Pozostałe role powinny zostać zmodyfikowane w taki sposób aby spełnić wymagania dla procesu rozwiązywania konfliktów użytkowników (np. powinno być możliwe odebranie dostępu do danej funkcji użytkownikowi). W kroku tym należy również przemyśleć kwestię ewentualnych działań zaradczych (mechanizmów kontrolnych) oraz procedur dla wyjątków dotyczących nadawania dostępu, które zostaną doprecyzowane dla kroku 5.
- Mitygacja konfliktów rozdziału obowiązków (krok 5) – która dotyczy doprecyzowania mechanizmów kontrolnych i wyjątków w procesie powiązanych z mitygacją ryzyk konfliktów rozdziału obowiązków. Elementem tej fazy powinno być również dokumentowanie mechanizmów kontrolnych dla mitygacji.
Jak wspomniano w poprzednich krokach, fazy te mogą być w całości bądź częściowo wykonywane na dwa sposoby:
- Za pomocą dedykowanego narzędzia np. smartSoD bądź SAP GRC Access Risk Analysis (ARA)
- Ręcznie
Ręczna analiza konfliktów wiąże się z przeglądem dostępu dla poszczególnych użytkowników do funkcji będących elementem matrycy SoD. Rozwiązanie takie wymaga znacznie większego nakładu czasu i innych zasobów potrzebnych do analizy. Dodatkowo, wbudowane w dedykowane narzędzia moduły raportowe pozwalają na prezentację danych w wielu widokach, czego nie oferuje ręczna analiza SoD.
Na potrzeby tego artykułu skupimy się na możliwości wykorzystania rozwiązań. Omówione zostaną dwa z nich: SAP GRC (moduł: SAP GRC Access Risk Analysis (ARA)) oraz smartGRC (moduł: smartSoD).
SAP GRC ARA to moduł narzędzia SAP GRC Access Control poświęcony kwestii analizy rozdziału obowiązków. Moduł ten zaprojektowany został do identyfikacji, analizy i rozwiązywania wszystkich problemów związanych z bezpieczeństwem pracy oraz audytu związanego z przestrzeganiem przepisów i procedur. Zapewnia on kompleksowe zarządzanie ryzykiem dostępu dla jednego lub między kilkoma systemami. Umożliwia identyfikację, mitygację, raportowanie ryzyka jak również pozwala na przeprowadzenie symulacji. Analizy prowadzone mogą być zbiorczo lub per jednostka (na podstawie dedykowanych reguł organizacyjnych).
Analizy te mogą być wykonywane zarówno na poziomie użytkownika (dając informację o ryzykach SoD), jak i na poziomie ról czy profili. Analiza na poziomie ról może być wykorzystana jako punkt wyjścia w rozwiązaniu konfliktów SoD w organizacji.
Raportowanie i analiza prowadzona może być na trzech poziomach: zarządczy (w oparciu o dashboardy), biznesowy (zrozumiały dla biznesu język funkcji biznesowych), techniczny (szczegółowa informacja dla IT/Konsultantów SAP).
Natomiast, wykorzystując aplikację smartGRC firma może przeanalizować poziom ryzyka związanego z dostępem, a także podjąć świadomą decyzję, jaki poziom ryzyka jest akceptowalny oraz jakie mechanizmy kontrolne umożliwiające jego mitygację należy wdrożyć. Poprzez właściwe wdrożenie narzędzia i komunikację do pracowników firma może zbudować świadomość silnej kontroli wewnętrznej nad użytkowaniem systemów IT, tym samym znacznie ograniczając próby popełnienia nadużyć. Ponadto uniwersalność narzędzia smartGRC umożliwia współpracę z różnymi systemami i aplikacjami biznesowymi (nie tylko klasy ERP) dostępnymi na rynku.
smartSoD jest jednym z najnowocześniejszych i najbardziej innowacyjnych rozwiązań dedykowanych do prowadzenia prewencyjnych symulacji oraz cyklicznych audytów uprawnień z perspektywy dostępu do transakcji wrażliwych i analizy konfliktów rozdziału obowiązków. Ze względu na uniwersalne mechanizmy wbudowane w aplikację, rozpatrywanie konfliktów rozdziału obowiązków działa w warstwie czynności biznesowej, która z wykorzystaniem mechanizmów interfejsowych (tzw. konektorów) jest interpretowana dla wszystkich kluczowych systemów IT obecnych w firmie.
Moduł ten jest w pełni zintegrowany z modułem smartWorkFlow, ale ma również możliwość integracji z praktycznie dowolnym rozwiązaniem typu workflow stosowanym przez firmy do zarządzania uprawnieniami.
Dzięki dostępnej analizie danych kluczowe osoby w organizacji mogą na bieżąco i w łatwy sposób uzyskać dostęp do informacji na temat stanu bezpieczeństwa wpiętych do narzędzia smartSoD systemów IT. Aplikacja posiada możliwości wpięcia różnych systemów IT, co pozwala monitorować uprawnienia nie tylko w systemach z grupy SAP.
Dodatkowo, silna integracja modułu smartSoD z smartReport pozwala, np. określić konflikty rozdziału obowiązków (SoD) występujące w przedsiębiorstwie zarówno na poziomie użytkowników jak i ról.
Moduł smartSoD to:
- Automatyzacja i ujednolicenie procesów audytu uprawnień
- Bieżący monitoring środowiska uprawnień
- Świadomy nadzór kierownictwa oraz audytu
Krok 6: Ciągłe monitorowanie konfliktów SoD
Należy zdawać sobie sprawę, że proces zarządzania rozdziałem obowiązków w organizacji jest procesem ciągłym. Jego ostatnim krokiem powinno być uzyskanie stałej kontroli nad konfliktami rozdziału obowiązków poprzez ich ciągłe monitorowanie. Aby było to możliwe, w ramach tego kroku należy przede wszystkim wziąć pod uwagę następujące kluczowe kwestie:
- Rozszerzenie procedur wnioskowania o dostęp do systemu o analizę (symulację) konfliktów rozdziału obowiązków, wraz z odpowiednimi mechanizmami w przypadku zauważenia ryzyka
- Rozszerzenie procedur dotyczących zarządzania zmianą dla ról biznesowych o analogiczną analizę, wraz z przekazaniem nowych wymagań do Właścicieli Ról
- Rozszerzenie procedur dla mechanizmów kontrolnych dotyczących ryzyk SoD (kontrole mitygujące), również o informacje dotyczące testowania kontroli (wymagane do dokumentacji audytowej)
- Rozszerzenie procedur wyjątków od procedur dla kluczowych użytkowników systemu
- Wdrożenie raportowania konfliktów SoD – zarówno poprzez symulację przed nadaniem dostępu (prewencyjnie), jak i po nadaniu (detekcyjnie)
- Wprowadzenie mechanizmów okresowych / cyklicznych weryfikacji konfliktów rozdziału obowiązków w organizacji
- Wprowadzenie mechanizmów okresowych / cyklicznych weryfikacji przypisań kontroli mitygujących dla poszczególnych użytkowników
Podsumowanie
Proces zarządzania rozdziałem obowiązków jest kluczową kwestią dla każdej organizacji, bez względu na skalę jej działania. Jego udane wdrożenie pozwoli organizacji na ograniczenie ryzyka zbyt szerokiego dostępu użytkownika i uzyskanie zgodności np. z wymaganiami audytowymi.
Kontrola nad rozdziałem obowiązków nie jest zamknięta w momencie rozwiązania istniejących konfliktów. Wraz z rozwiązaniem dotychczasowych kwestii należy zmodyfikować zasady działania i procedury występujące w organizacji tak, aby konflikty nie występowały w przyszłości.
O Autorze
Łukasz DudekStarszy Konsultant w Dziale Usług Doradczych, GRC Advisory
Starszy Konsultant GRC specjalizujący się w zakresie przygotowania i wdrażania matrycy konfliktów rozdziału obowiązków (SoD), zarówno na poziomie ryzyk IT jak i ryzyk biznesowych. Członek zespołów dla zróżnicowanych projektów wdrożeniowych rozwiązań klasy GRC (Governance, Risk and Compliance), od takich realizowanych dla średnich przedsiębiorstw aż do projektów, które dotyczą ponad 2000 użytkowników.
