SAP GRC Access Control

Access Risk Analysis Emergency Access Management Bussiness Role Management Access Request Management User Access Review

Dynamiczny rozwój nowych technologii w ostatnim czasie przyniósł równie dynamiczny rozwój firm i korporacji. Przedsiębiorstwa dążą do tego, by zabezpieczyć się przed różnorakimi zagrożeniami i atakami. Niestety w dalszym ciągu zagrożenia te są identyfikowane jako zagrożenia zewnętrzne. Tymczasem zatrudniając wielu pracowników i korzystając z wielu systemów należy bacznie zwracać uwagę także na zagrożenia pojawiające się wewnątrz organizacji. Ryzyko tego typu jest najczęściej niewidoczne, ale jego materializacja może mieć realne przełożenie również na kondycję finansową przedsiębiorstwa.

Aby umożliwić uzyskanie pełnej kontroli nad procesem identyfikacji i rozwiązywania konfliktów oraz uzyskać zgodność z np. ustawą SOX (Sarbanesa-Oxleya) kadry zarządzające decydują się na wdrożenie odpowiedniego narzędzia klasy GRC. Jednym z tego typu rozwiązań jest dedykowane rozwiązanie SAP – SAP GRC Access Control.

 
 

SAP GRC Access Control to narzędzie stworzone w celu automatyzacji procesu zarządzania uprawnieniami oraz monitorowania ryzyka rozdziału obowiązków SoD. Pozwala na personalizowanie oraz dostosowanie procesów związanych z zarządzaniem uprawnieniami użytkownika, rolami biznesowymi, analizą i monitorowaniem ryzyka rozdziału obowiązków (SoD), dostępu uprzywilejowanego oraz cyklicznych przeglądów uprawnień do specyficznych, indywidualnych wymagań każdego przedsiębiorstwa. SAP GRC Access Control jest rozwiązaniem pozwalającym na zarządzanie tym procesem dla rozwiązań od różnych producentów (nie tylko SAP również np. Oracle, JDEdwards) i wielu systemów (np. SAP HCM, ECC, BW czy CRM).

SAP GRC Access Control składa się z następujących modułów:


  • Access Risk Analysis (ARA)
  • Emergency Access Management (EAM)
  • Bussiness Role Management (BRM)
  • Access Request Management (ARM)
  • User Access Review (UAR)

SAP GRC Access Control to:

  • Zwiększenie świadomości biznesu angażując go w całość procesu zarządzania użytkownikami i uprawnieniami
  • Automatyzacja procesu nadawania uprawnień, co pozwala oszczędzić czas dotychczas przeznaczany na tego typu działania (użytkownicy biznesowi / IT mogą zająć się innymi zadaniami) - dokumentacja dla procesu przechowywana po stronie SAP GRC
  • Automatyczna identyfikacja i łagodzenie ryzyk rozdziału obowiązków w systemie (również uzyskanie ochrony wrażliwych funkcji w systemach) – zarówno w obecnych jak i przyszłych (wnioskowanych) uprawnieniach użytkowników
  • Możliwość zapobiegania niezamierzonym błędom z powodu szerokiego dostępu w systemach backend
  • Optymalizacja pracy użytkowników w systemie SAP: harmonizacja dostępu użytkowników z ich rzeczywistymi obowiązkami organizacyjnymi
  • Dostarczanie niezbędnych informacji/dokumentacji kontroli wymaganych podczas audytów (wewnętrznych / zewnętrznych)
  • Możliwość integracji z pozostałymi aplikacjami oraz korzystania na komputerach, tabletach, smartfonach dzięki SAP Fiori
  • Dashboardy zarządcze pokazujące stan bezpieczeństwa w obszarze dostępu do systemów

Rozporządzenie o Ochronie Danych Osobowych (RODO)

Wychodząc naprzeciw wymaganiom zawartym w RODO, SAP GRC Access Control to narzędzie prewencyjne umożliwiające kontrolę dostępu do danych na poziomie autoryzacji. Adresuje wymagania w zakresie dostępu awaryjnego, modyfikacji uprawnień na poziomie użytkownika oraz roli, raportowania dostępu do danych oraz ryzyk związanych z rozdziałem obowiązków.

SAP GRC Access Control a RODO:

  • Ograniczenie oraz monitorowanie dostępu do danych osobowych/wrażliwych
  • Administrowanie oraz zarządzanie rolami biznesowymi poprzez definiowanie atrybutów ról oraz ścieżek akceptacji dla danych wymagających szczególnej kontroli
  • Analiza ryzyka dostępu do danych oraz zapewnienie stałego monitorowania dostępu do nich
  • Kompleksowy przegląd oraz weryfikacja dostępu do danych dla wszystkich użytkowników w systemie
  • Szczegółowy monitoring kont specjalnych (Firefighter) używanych do pracy z danymi wrażliwymi

Moduł ARA – Access Risk Analysis

SAP GRC ARA to dedykowane narzędzie do analizy rozdziału obowiązków (SoD – Segregation of Duties). Moduł ten zaprojektowany został do identyfikacji, analizy i rozwiązywania wszystkich problemów związanych z bezpieczeństwem pracy oraz audytu związanego z przestrzeganiem przepisów i procedur.


W ramach rozwiązania dostępny jest standardowy zestaw reguł rozdziału obowiązków, oparty o najlepsze praktyki w poszczególnych obszarach biznesowych, który może być dostosowany do specyfiki klienta. Zapewnia kompleksową funkcję zarządzania ryzykiem dostępu dla jednego lub między kilkoma systemami. Umożliwia identyfikację, mitygację, raportowanie ryzyka jak również pozwala na przeprowadzenie symulacji. Analizy prowadzone mogą być zbiorczo lub per jednostka (na podstawie dedykowanych reguł organizacyjnych).






Raportowanie i analiza prowadzona może być na trzech poziomach: zarządczy (w oparciu o dashboardy), biznesowy (zrozumiały dla biznesu język funkcji biznesowych), techniczny (szczegółowa informacja dla IT/Konsultantów SAP).


Moduł ARA to:

  • Matryca konfliktów SoD odzwierciedlająca aktualne procesy w przedsiębiorstwie
  • Wykrywanie zagrożeń wynikających ze zbyt szerokiego dostępu i autoryzacji użytkowników
  • Przeprowadzanie analizy ryzyka i generowanie raportów SoD
  • Możliwość wdrożenia kontroli mitygujących
  • Narzędzie do symulacji przy podejmowaniu decyzji dotyczących nadawania nowych uprawnień użytkownikom

Moduł EAM – Emergency Access Management

Monitorowanie dostępu awaryjnego i uprzywilejowanego lub dostępu konsultantów IT do systemów produkcyjnych jest kluczowym aspektem z perspektywy bezpieczeństwa danych biznesowych bardzo często zgłaszanym przez zespoły audytowe. Dzięki odpowiednio wdrożonemu modułowi SAP GRC EAM, obsługa takich zdarzeń odbywa się za pomocą kont Firefighter ID, a wszelkie działania podjęte podczas pracy na takim koncie są monitorowane i podlegają przeglądowi przez odpowiednie osoby (Kontrolerzy) w formie czytelnych logów w aplikacji.




Praca z modułem EAM jest niezwykle prosta i intuicyjna. Konsultant zgłasza potrzebę użycia konta z szerokimi uprawnieniami i wnioskuje o jedno z dostępnych kont Firefighter ID. Dodatkowo proces ten można zautomatyzować dzięki wprowadzeniu odpowiedniego Workflow w ramach SAP GRC.


Moduł EAM to:

  • Jasna i przejrzysta polityka zarządzania kontami specjalnymi (Firefighter ID)
  • Pełna kontrola nad działaniami wykonywanymi w systemie na dedykowanych kontach
  • Skrócenie czasu wymaganego do uzyskania zgody na uprzywilejowany dostęp do systemu
  • Pokrycie najczęstszych rekomendacji audytu w zakresie zbyt szerokiego dostępu konsultantów do systemów produkcyjnych

Moduł BRM – Business Role Management

Moduł BRM, będący elementem rozwiązania SAP GRC Access Control automatyzuje proces zarządzania katalogowaniem i definicjami ról w sposób przyjazny dla użytkowników biznesowych.



Dzięki zastosowaniu mechanizmów Workflow pozwala on na pełną kontrolę i automatyzację procesu zarządzania zmianami w rolach (ich projektowanie, tworzenie, definiowanie, testowanie, jak również generowanie może mieć miejsce z poziomu SAP GRC, bez potrzeby logowania na systemy backend).

Wbudowana integracja z ARA pozwala na uzyskanie efektu synergii w zarządzaniu rolami: proaktywny proces zarządzania ma na celu wyeliminowanie konfliktów rozdziału obowiązków (SoD) występujących wewnątrz roli.

Ponadto, umożliwia on całościowe zarządzanie katalogiem ról dla organizacji, zgodnie z najlepszymi praktykami dla wielu środowisk, dla różnych producentów (nie tylko SAP również np. Oracle, JDEdwards) i wielu systemów (np. SAP HCM, ECC, BW czy CRM). Uproszczona dokumentacja dla ról jest przechowywana w systemie oraz prezentuje ich kluczowe parametry w sposób zrozumiały zarówno dla użytkowników technicznych, jak i biznesowych.

Moduł BRM to:

  • Dostarcza usystematyzowany i przechowywany w jednym miejscu katalog ról biznesowych
  • Umożliwia eliminację ryzyk SoD w rolach
  • Pozwala uzyskać pełną kontrolę nad procesem zarządzania zmianą dla ról
  • Spełnia wymagania zewnętrznych i wewnętrznych audytów w zakresie procesu zarządzania rolami
  • Pozwala na optymalizację kosztów budowy ról w różnych systemach i środowiskach (nie tylko dla systemów SAP)
  • Wspiera budowę zbiorczych ról biznesowych / stanowiskowych
 

Moduł ARM – Access Request Management







Moduł SAP GRC ARM wprowadza automatyzację procesów zarządzania użytkownikami oraz ich uprawnieniami w oparciu o wnioski. Dzięki przejrzystemu interfejsowi w łatwy sposób można stworzyć wniosek, np. o nadanie lub odebranie uprawnień dla siebie lub innego użytkownika. Moduł ARM posiada szerokie możliwości konfiguracji, dzięki czemu możliwe jest stworzenie odrębnych ścieżek akceptacji dla różnych typów wniosków.



Składając wnioski o dostęp można skorzystać z wbudowanego narzędzia do analizy ryzyka, dzięki czemu w czasie rzeczywistym można analizować jak wnioskowane role wpłyną na stan konfliktów w firmie i w razie potrzeby zapobiegać powstawaniu nowych konfliktów. Wszystkie wnioski są archiwizowane i można je łatwo wyszukiwać, w czym pomagają wbudowane mechanizmy wyszukiwania i raportowania.

Moduł ARM to:

  • Automatyzacja procesu zarządzania uprawnieniami
  • Przyspieszenie procesu nadania uprawnień użytkownikom
  • Intuicyjny i zrozumiały sposób wnioskowania o uprawnienia przez wszystkich użytkowników
  • Zapobieganie konfliktom rozdziału obowiązków poprzez analizę ryzyka na wniosku
  • Zmniejszenie nakładów pracy zespołów IT
  • Dostosowanie się do wymagań bezpieczeństwa i audytu

Moduł UAR – User Access Review

SAP GRC UAR wspiera proces okresowego przeglądu / recertyfikacji uprawnień użytkowników. Celem przeglądu jest harmonizacja uprawnień w systemach z zakresem obowiązków pracownika. W szczególności odbierane są nadmiarowe uprawnienia, np. dostępy będące pozostałością po zmianie stanowiska w ramach firmy. Dzięki okresowym przeglądom użytkowników, taka sytuacja może zostać zauważona, a nadmiarowe role mogą zostać odebrane użytkownikowi.

Za pomocą dedykowanych mechanizmów workflow, system dystrybuuje wnioski zawierające informacje o użytkownikach i ich uprawnieniach w systemie. Dzięki temu osoby weryfikujące mogą podjąć decyzje o pozostawieniu danej roli w uprawnieniach użytkownika lub o jej odebraniu. Podjęte decyzje są automatycznie implementowane w systemach.


Moduł UAR to:

  • Usprawnienie i automatyzacja okresowego przeglądu uprawnień
  • Ciągłe monitorowanie przebiegu przeglądu i decyzji weryfikujących
  • Odebranie nadmiarowych uprawnień
  • Poprawa efektywności i przejrzystości procesu przeglądu
  • Dokumentacja procesu na potrzeby audytu
polski