SAP Security & Authorizations

Bezpieczna platforma SAP, to kluczowy element zapewnienia poprawności działania wspieranych przez system procesów biznesowych oraz bezpieczeństwa przechowywanych i przetwarzanych w nich danych. Nasze podejście zakłada spojrzenie na bezpieczeństwo SAP z kilku perspektyw: modułu BASIS (audyt bezpieczeństwa systemu SAP), procesów biznesowych (kontrole automatyczne, konfigurowalne i wbudowane), właściwego poziomu dostępu użytkowników (przeglądy uprawnień oraz zastosowanie narzędzi klasy GRC). Przeprowadzamy także dedykowane szkolenia i warsztaty dla pracowników firm, które pozwalają na poszerzenie wiedzy w zakresie najlepszych praktyk związanych z zapewnieniem bezpieczeństwa systemu SAP. Dzięki naszemu wieloletniemu doświadczeniu w obszarze SAP Security jesteśmy w stanie wspomóc naszych klientów w każdym elemencie tego obszaru.

Bezpieczeństwo SAP

Kompleksowe podejście do tematyki bezpieczeństwa SAP wymaga całościowego spojrzenia na procesy zachodzące w organizacji. Podstawą jest zawsze utworzenie odpowiedniej strategii bezpieczeństwa, dającej wysokopoziomowe wytyczne, pozwalające na budowę spójnych procesów zarządzania dostępem, a co za tym idzie pozwalające na uporządkowanie zarówno działań operacyjnych, jak i autoryzacji w systemie SAP.

Audyt uprawnień

Ważnym elementem oceny bezpieczeństwa jest przeprowadzanie audytu i określenie aktualnego stanu systemu. Podstawową takiej oceny jest weryfikacja aktualnych uprawnień użytkowników w systemie. Proces taki może odbyć się zarówno dla użytkowników biznesowych, jak również pracowników i kontraktorów IT.

Audyt przeprowadzany jest w oparciu o pre-definiowane matryce rozdziału obowiązków (Segragation of duties) dostarczane przez naszą Firmę. Rekomendujemy jednak każdorazowe dostosowanie matryc do specyficznych uwarunkowań przedsiębiorstwa. W zależności od sytuacji, analiza przeprowadzana jest w trybie off-line lub on-line, w oparciu o dane autoryzacyjne zebrane z systemów SAP. Rezultatem audytu jest raport podsumowujący aktualną ilość rzeczywistych konfliktów i krytycznych dostępów w systemie oraz rekomendacje w zakresie poprawy aktualnej sytuacji.

Audyt konfiguracji

Ważnym elementem oceny aktualnego stanu systemu jest przegląd konfiguracji bezpieczeństwa dla kluczowych obszarów BASIS i ustawień parametrów SAP. Jest to niezbędne dla zdiagnozowania poziomu bezpieczeństwa SAP oraz ustalenia i usunięcia potencjalnych słabości systemu. Dzięki rozpoznaniu i wyeliminowaniu tych elementów przez naszych ekspertów organizacja będzie w pełni gotowa na każdy audyt bezpieczeństwa, zarówno dedykowany, jak również ten, wykonywany na potrzeby badania sprawozdań finansowych.

Budowa ról i uprawnień w systemie SAP

Nasza Firma bazując na kompetencjach audytowych oraz wiedzy konsultantów modułowych oferuje usługi w zakresie przebudowy ról i autoryzacji w systemie SAP - od opracowania koncepcji biznesowej ról z uwzględnieniem matryc SoD (z ang. Segregation of Duties), aż do technicznego wdrożenia ról w systemach SAP i wsparcia powdrożeniowego. Nasza propozycja wyróżnia się kompleksowym podejściem uwzględniającym zarówno wymogi wewnętrzne przedsiębiorstwa, jak również zewnętrzne regulacje.



Podejście takie pozwala organizacji na spełnienie biznesowych założeń projektu oraz osiągniecie zgodności wymaganiami prawnymi. Zaadresowanie tych dwóch aspektów znacząco ogranicza koszty utrzymania katalogu ról, minimalizując przy tym ryzyko prawne i finansowe, wynikające z niedostosowania do aktualnych uregulowań.

Przegląd i certyfikacja uprawnień

Jednym z większych wyzwań, przed którym stają obecnie osoby odpowiedzialne za autoryzacje w systemach SAP jest problematyka przeglądów i certyfikacji uprawnień. Specyfika autoryzacji w SAP oraz niejednokrotnie duża ilość użytkowników w systemie powoduje, że czas takiego przeglądu oraz nakład pracy wymagany do jego wykonania jest bardzo często nieakceptowalny. W skrajnych przypadkach proces ten nie jest wykonywany w pełnym zakresie lub nie odbywa się wcale. Dzięki naszemu doświadczeniu jesteśmy w stanie zoptymalizować procesy przeglądu uprawnień oraz je zautomatyzować, korzystając z narzędzi klasy GRC (SAP GRC, smartGRC). Ze względu na fakt, że przeglądy i certyfikacja uprawnień są procesami powtarzalnymi, optymalizacja w tym zakresie może przynieść znaczące oszczędności wykorzystania wewnętrznych zasobów – zarówno po stronie IT przygotowującego przegląd, jak również po stronie departamentów biznesowych, które często odpowiedzialne są za weryfikację uprawnień.

Wsparcie

Praca nad wzmocnieniem bezpieczeństwa SAP i autoryzacjami są procesami, na które bezpośredni wpływ wywierają audyty, wdrożenia nowych funkcjonalności, czy zmiany w otoczeniu prawnym. Dostosowanie organizacji do nowych wymogów jest działaniem wymagającym gruntownej wiedzy dziedzinowej i znajomości najlepszych praktyk rynkowych.

Jako odpowiedź na te wyzwania oferujemy usługę wsparcia zespołów SAP security w zakresie:

  • Budowy ról i autoryzacji SAP – analiza i projektowanie katalogów ról, techniczna implementacja ról, wsparcie w testach w ról, wsparcie po-wdrożeniowe.
  • Wsparcia w zakresie implementacji nowych wymagań dla aktualnego katalogu ról – np. ograniczenie dostępu do danych osobowych, implementacja rozdziału obowiązków (SoD), usuwanie krytycznych dostępów.
  • Wsparcie przy migracji do S/4HANA – dostosowanie istniejących katalogów ról do wymagań S/4HANA, ocena i implementacja zmian w matrycach rozdziału obowiązków (SoD).
  • Wdrożenia i wsparcia dla narzędzi klasy GRC takich jak smartGRC, SAP GRC i inne – implementacja dodatkowych funkcjonalności i obszarów, obsługa błędów, wsparcie użytkowników.
  • Budowy i modyfikacji matryc rozdziału obowiązków (SoD) – analiza sytuacji obecnej i wymagań klienta, mapowanie transakcji, implementacja zmian w matrycy, testy.
  • Wsparcia użytkowników - obsługa ticketów, przygotowywanie raportów i analiz, wsparcie podczas analiz SoD, przeglądów i certyfikacji uprawnień.

Formy współpracy

Wynajem konsultantów

W tym modelu współpracy konsultant pracuje w pełnym wymiarze czasu pracy pod kierownictwem klienta, realizując zlecone przez niego zadania. Wynajem konsultantów jest idealną propozycją dla firm, które:

  • Mają problemy kadrowe i na okres rekrutacji potrzebują pracowników tymczasowych.
  • Nie są w stanie w pełni obsłużyć wszystkich procesów z uwagi na wzmożoną koncentrację zasobów na priorytetach organizacji.
  • Nie posiadają odpowiedniej wiedzy do przeprowadzenia zleconych zadań.
  • Wsparcie na żądanie

    Realizowane w formule time-material lub jako pakiety dniówek. Ten typ współpracy sprawdzi się w sytuacji, gdy firma potrzebuje rozwiązać bieżące problemy z zakresu GRC / autoryzacji, a nie chce zatrudniać na stałe konsultantów. Podejście takie pozwala na ograniczenie kosztów związanych z rekrutacją i zwiększaniem zespołu.

    polski