SAP Security & Authorizations

S/4 Hana security conversionBezpieczeństwo SAPWsparcie

Bezpieczna platforma SAP, to kluczowy element zapewnienia poprawności działania wspieranych przez system procesów biznesowych oraz bezpieczeństwa przechowywanych i przetwarzanych w nich danych. Nasze podejście zakłada spojrzenie na bezpieczeństwo SAP z kilku perspektyw: modułu BASIS (audyt bezpieczeństwa systemu SAP), procesów biznesowych (kontrole automatyczne, konfigurowalne i wbudowane), właściwego poziomu dostępu użytkowników (przeglądy uprawnień oraz zastosowanie narzędzi klasy GRC). Przeprowadzamy także dedykowane szkolenia i warsztaty dla pracowników firm, które pozwalają na poszerzenie wiedzy w zakresie najlepszych praktyk związanych z zapewnieniem bezpieczeństwa systemu SAP. Dzięki naszemu wieloletniemu doświadczeniu w obszarze SAP Security jesteśmy w stanie wspomóc naszych klientów w każdym elemencie tego obszaru.

S/4 Hana security conversion

Podczas przejścia z SAP ECC na S/4HANA podstawowa architektura i modele danych ulegają znaczącym zmianom. Może to wpłynąć na sposób zarządzania dostępem użytkowników i uprawnieniami w nowym systemie. Dlatego ważne jest, aby podczas procesu konwersji do S/4 Hana przeglądać i aktualizować zabezpieczenia i autoryzacje, aby były zgodne z nową architekturą systemu i spełniały wymagania Państwa organizacji.

S/4HANA wprowadza nowe funkcje i możliwości, które wymagają zdefiniowania nowych uprawnień. Na przykład, nowe aplikacje Fiori mogą wymagać autoryzacji dla określonych ról użytkowników. Dlatego ważne jest, aby w kontekście nowych możliwości systemowych przeglądać i aktualizować autoryzacje. Przy konwersji na S/4HANA należy wziąć pod uwagę kilka kluczowych kwestii dotyczących zabezpieczeń i autoryzacji:

  • Przegląd i aktualizacja ról użytkowników i autoryzacji: S/4HANA wprowadza nowe funkcje i możliwości, które wymagają zdefiniowania nowych autoryzacji. Dlatego ważne jest, aby w kontekście nowych możliwości systemowych przeglądać i aktualizować role użytkowników i autoryzacje. To pomoże zapewnić, że użytkownicy mają niezbędny dostęp do wykonywania swoich zadań, minimalizując jednocześnie ryzyko nieautoryzowanego dostępu.
  • Przegląd i aktualizacja kontroli segregacji obowiązków (SoD): S/4HANA może wprowadzać nowe procesy biznesowe i transakcje, które wymagają wdrożenia nowych kontroli SoD. Dlatego ważne jest, aby przeglądać i aktualizować kontrole SoD w kontekście nowych możliwości systemowych.
  • Szkolenie użytkowników w zakresie nowych funkcji zabezpieczeń i autoryzacji: Użytkownicy mogą potrzebować szkolenia w zakresie nowych funkcji zabezpieczeń i autoryzacji w S/4HANA, takich jak korzystanie z aplikacji Fiori i nowych autoryzacji. Ważne jest, aby upewnić się, że użytkownicy są świadomi wszelkich zmian w ustawieniach zabezpieczeń i autoryzacji oraz w jaki sposób ich dotyczą.

Techniczne kroki wymagane do przekonwertowania autoryzacji na S/4HANA mogą się różnić w zależności od konkretnej architektury systemowej i wymagań Państwa organizacji. Niemniej jednak, oto kilka kroków, które można podjąć podczas procesu konwersji:

  • Przed rozpoczęciem procesu Konwersji do S4/Hana ważne jest, aby dokładnie przeanalizować aktualną koncepcje ról i uprawnień. Analiza ta powinna identyfikować potencjalne konflikty, redundancje lub nieefektywności w istniejących koncepcjach autoryzacji. Warto zweryfikować korzystanie z transakcji i odpowiadających im programów niestandardowych, aby zidentyfikować transakcje, które już nie są używane i które należy wycofać ze systemu aby uniknąć ich przenoszenia do nowego S/4 Hana. Przykładem jest ograniczanie dostępu do konkretnego obiektu w większości ról a jednocześnie przyznawania nieograniczonego dostępu do tego samego obiektu w innym obszarze biznesowym, gdzie administrator uprawnień lub dedykowany projekt nie miał świadomości tych ograniczeń.
  • Następnie należy ocenić wpływ procesu konwersji do S/4HANA na istniejącą koncepcje autoryzacji, role i profile. Na tym etapie warto zidentyfikować role i profile, które wymagają dostosowania w PFCG, korzystając z trybu eksperta.
  • W oparciu o analizę wykonaną przed procesem konwersji i ocenę wpływu S/4HANA powinien zostać opracowany plan konwersji. Plan ten powinien określić role i profile, które wymagają dostosowania, nowe autoryzacje, które należy zdefiniować, oraz wszelkie inne zmiany, które trzeba wprowadzić, aby dopasować istniejące koncepcje autoryzacji do nowej architektury systemu.
  • Dostosuj role i profile – w systemie S/4HANA może to obejmować usuwanie redundancji, optymalizowanie przypisania autoryzacji oraz definiowanie nowych ról i profili. Przed dostosowaniem ważne jest, aby oczyścić (zaktualizować) powiązania transakcji i programów używając do tego transakcji SU25 oraz poszczególnych etapów procesu 2a, 2b i 2c. Należy pamiętać o aktualizacji technicznej definicji obecnej macierzy rozdziału obowiązków SoD, aby odzwierciedlić zmiany wynikające z przekształceń w zakresie bezpieczeństwa i autoryzacji w S/4HANA.
  • Następnie należy zdefiniować nowe autoryzacje – ponieważ S/4HANA wprowadza nowe funkcje i funkcjonalności, konieczne jest zdefiniowanie nowych autoryzacji w bieżącym modelu ról oraz w macierzy SoD, która chroni twoją koncepcję autoryzacji.
  • Testowanie nowych uprawnień - po zdefiniowaniu nowych uprawnień, należy dokładnie je przetestować, aby upewnić się, że działają zgodnie z zamierzeniem i spełniają wymagania biznesowe. Upewnij się, że twoje raporty SOD definiują aktualne ryzyka SOD, które obejmują zmiany wynikające z konwersji do S/4 HANA.
  • Szkolenie użytkowników: Użytkownicy powinni być szkoleni w zakresie nowych koncepcji uprawnień, ról i profili, aby zapewnić, że rozumieją zmiany i jak są nimi dotknięci.

gh/hana

Nasza usługa konwersji bezpieczeństwa i uprawnień S/4 pomaga organizacjom optymalizować ustawienia bezpieczeństwa i dostęp użytkowników podczas procesu konwersji do S/4HANA. Obejmuje kompleksową analizę przed rozpoczęciem procesu konwersji, ocenę wpływu S/4HANA, opracowanie planu konwersji, dostosowanie ról i profili, definiowanie nowych uprawnień, testowanie i szkolenie użytkowników. Nasz zespół posiada szerokie doświadczenie w konwersji uprawnień do S/4HANA i jest na bieżąco z najnowszymi funkcjami i najlepszymi praktykami dotyczącymi bezpieczeństwa. Do tej pory zrealizowaliśmy już kilkanaście takich projektów, chętnie umówimy spotkanie z naszymi Klientami aby porozmawiać o szczegółach.

 

 Skontaktuj się z nami dzisiaj, aby dowiedzieć się więcej o tym, jak nasza usługa konwersji bezpieczeństwa i uprawnień S/4 może pomóc Twojej organizacji w jej transformacji cyfrowej.

Bezpieczeństwo SAP

Kompleksowe podejście do tematyki bezpieczeństwa SAP wymaga całościowego spojrzenia na procesy zachodzące w organizacji. Podstawą jest zawsze utworzenie odpowiedniej strategii bezpieczeństwa, dającej wysokopoziomowe wytyczne, pozwalające na budowę spójnych procesów zarządzania dostępem, a co za tym idzie pozwalające na uporządkowanie zarówno działań operacyjnych, jak i autoryzacji w systemie SAP.

Audyt uprawnień

Ważnym elementem oceny bezpieczeństwa jest przeprowadzanie audytu i określenie aktualnego stanu systemu. Podstawową takiej oceny jest weryfikacja aktualnych uprawnień użytkowników w systemie. Proces taki może odbyć się zarówno dla użytkowników biznesowych, jak również pracowników i kontraktorów IT.

Audyt-3-1
Audyt przeprowadzany jest w oparciu o pre-definiowane matryce rozdziału obowiązków (Segragation of duties) dostarczane przez naszą Firmę. Rekomendujemy jednak każdorazowe dostosowanie matryc do specyficznych uwarunkowań przedsiębiorstwa. W zależności od sytuacji, analiza przeprowadzana jest w trybie off-line lub on-line, w oparciu o dane autoryzacyjne zebrane z systemów SAP. Rezultatem audytu jest raport podsumowujący aktualną ilość rzeczywistych konfliktów i krytycznych dostępów w systemie oraz rekomendacje w zakresie poprawy aktualnej sytuacji.

Audyt konfiguracji

Ważnym elementem oceny aktualnego stanu systemu jest przegląd konfiguracji bezpieczeństwa dla kluczowych obszarów BASIS i ustawień parametrów SAP. Jest to niezbędne dla zdiagnozowania poziomu bezpieczeństwa SAP oraz ustalenia i usunięcia potencjalnych słabości systemu. Dzięki rozpoznaniu i wyeliminowaniu tych elementów przez naszych ekspertów organizacja będzie w pełni gotowa na każdy audyt bezpieczeństwa, zarówno dedykowany, jak również ten, wykonywany na potrzeby badania sprawozdań finansowych.

Budowa ról i uprawnień w systemie SAP

Nasza Firma bazując na kompetencjach audytowych oraz wiedzy konsultantów modułowych oferuje usługi w zakresie przebudowy ról i autoryzacji w systemie SAP - od opracowania koncepcji biznesowej ról z uwzględnieniem matryc SoD (z ang. Segregation of Duties), aż do technicznego wdrożenia ról w systemach SAP i wsparcia powdrożeniowego. Nasza propozycja wyróżnia się kompleksowym podejściem uwzględniającym zarówno wymogi wewnętrzne przedsiębiorstwa, jak również zewnętrzne regulacje.

zarzadzanie-tozsamoscia


Podejście takie pozwala organizacji na spełnienie biznesowych założeń projektu oraz osiągniecie zgodności wymaganiami prawnymi. Zaadresowanie tych dwóch aspektów znacząco ogranicza koszty utrzymania katalogu ról, minimalizując przy tym ryzyko prawne i finansowe, wynikające z niedostosowania do aktualnych uregulowań.

Przegląd i certyfikacja uprawnień

Jednym z większych wyzwań, przed którym stają obecnie osoby odpowiedzialne za autoryzacje w systemach SAP jest problematyka przeglądów i certyfikacji uprawnień. Specyfika autoryzacji w SAP oraz niejednokrotnie duża ilość użytkowników w systemie powoduje, że czas takiego przeglądu oraz nakład pracy wymagany do jego wykonania jest bardzo często nieakceptowalny. W skrajnych przypadkach proces ten nie jest wykonywany w pełnym zakresie lub nie odbywa się wcale. Dzięki naszemu doświadczeniu jesteśmy w stanie zoptymalizować procesy przeglądu uprawnień oraz je zautomatyzować, korzystając z narzędzi klasy GRC (SAP GRC, smartGRC). Ze względu na fakt, że przeglądy i certyfikacja uprawnień są procesami powtarzalnymi, optymalizacja w tym zakresie może przynieść znaczące oszczędności wykorzystania wewnętrznych zasobów – zarówno po stronie IT przygotowującego przegląd, jak również po stronie departamentów biznesowych, które często odpowiedzialne są za weryfikację uprawnień.

Wsparcie

Praca nad wzmocnieniem bezpieczeństwa SAP i autoryzacjami są procesami, na które bezpośredni wpływ wywierają audyty, wdrożenia nowych funkcjonalności, czy zmiany w otoczeniu prawnym. Dostosowanie organizacji do nowych wymogów jest działaniem wymagającym gruntownej wiedzy dziedzinowej i znajomości najlepszych praktyk rynkowych.

Support

Jako odpowiedź na te wyzwania oferujemy usługę wsparcia zespołów SAP security w zakresie:

  • Budowy ról i autoryzacji SAP – analiza i projektowanie katalogów ról, techniczna implementacja ról, wsparcie w testach w ról, wsparcie po-wdrożeniowe.
  • Wsparcia w zakresie implementacji nowych wymagań dla aktualnego katalogu ról – np. ograniczenie dostępu do danych osobowych, implementacja rozdziału obowiązków (SoD), usuwanie krytycznych dostępów.
  • Wsparcie przy migracji do S/4HANA – dostosowanie istniejących katalogów ról do wymagań S/4HANA, ocena i implementacja zmian w matrycach rozdziału obowiązków (SoD).
  • Wdrożenia i wsparcia dla narzędzi klasy GRC takich jak smartGRC, SAP GRC i inne – implementacja dodatkowych funkcjonalności i obszarów, obsługa błędów, wsparcie użytkowników.
  • Budowy i modyfikacji matryc rozdziału obowiązków (SoD) – analiza sytuacji obecnej i wymagań klienta, mapowanie transakcji, implementacja zmian w matrycy, testy.
  • Wsparcia użytkowników - obsługa ticketów, przygotowywanie raportów i analiz, wsparcie podczas analiz SoD, przeglądów i certyfikacji uprawnień.

Formy współpracy

Wynajem konsultantów

W tym modelu współpracy konsultant pracuje w pełnym wymiarze czasu pracy pod kierownictwem klienta, realizując zlecone przez niego zadania. Wynajem konsultantów jest idealną propozycją dla firm, które:

  • Mają problemy kadrowe i na okres rekrutacji potrzebują pracowników tymczasowych.
  • Nie są w stanie w pełni obsłużyć wszystkich procesów z uwagi na wzmożoną koncentrację zasobów na priorytetach organizacji.
  • Nie posiadają odpowiedniej wiedzy do przeprowadzenia zleconych zadań.

 

Wsparcie na żądanie

Realizowane w formule time-material lub jako pakiety dniówek. Ten typ współpracy sprawdzi się w sytuacji, gdy firma potrzebuje rozwiązać bieżące problemy z zakresu GRC / autoryzacji, a nie chce zatrudniać na stałe konsultantów. Podejście takie pozwala na ograniczenie kosztów związanych z rekrutacją i zwiększaniem zespołu.