Workshop SAP GRC AC - 18.6.2009 Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.
Představení SAP GRC Access Control Aplikace SAP GRC AC se obsluhuje v prostředí SAP Portál. Technicky se jedná o samostatně instalovaný NetWeaver 2004s + GRC AC s propojením na ostatní systémy (SAP ERP 4.6 6.0, možno i ORACLE, Peoplesoft,..). SAP GRC AC obsahuje čtyři hlavní komponenty: Analýza a eliminace rizik (Risk Analysis And Remediation) Podniková správa rolí (Enterprise Role Management) Konformní zakládání uživatelů (Compliant User Provisioning) Správa privilegií superusera (Superuser Privilege Management)
Představení SAP GRC Access Control
SAP GRC AC Analýza a eliminace rizik Základem pro vyhodnocení konfliktních oprávnění je soubor pravidel s následující strukturou: Riziko potenciální možnost zneužití oprávnění v informačním systému (Kdo pořizuje fakturu nesmí měnit dodavatele) Funkce oblast činností (Účtování přijaté faktury) Pravidlo kritické kombinace akcí a povolení, které způsobují riziko (vzájemné kombinace transakcí) V GRC AC jsou definovány 3 typy rizik: 1. Rozdělení kompetencí (Segregation of Duties) 2. Kritická akce (transakce) 3. Kritické povolení (autorizační objekty a jejich hodnoty)
SAP GRC AC Analýza a eliminace rizik
SAP GRC AC Analýza a eliminace rizik
SAP GRC AC Analýza a eliminace rizik
SAP GRC AC Analýza a eliminace rizik Analýzy rizik na úrovni rolí, uživatelů, profilů, HR objektů. Automatizovaný audit oprávnění v reálném čase. Simulace dopadů plánovaných změn rolí a přístupů uživatelů. Správa kompenzačních kontrol a přiřazení rolím resp. uživatelům. Přehledné reporty (tabulky, grafy) kombinující různé úhly pohledu (manažerský i detailní z pohledu autorizačních objektů). Možnost doplnění databáze pravidel jako základny pro vyhodnocení (doplnit Z transakce, změnit úroveň rizika). Automatické výstrahy upozornění na kritické kombinace transakcí (kdo, v kterém čase, na jakém počítači použil kritické kombinace transakcí).
SAP GRC AC Analýza a eliminace rizik
SAP GRC AC Podniková správa rolí Správa rolí (zakládání, změna) s využitím automatické kontroly z pohledu rozdělení kompetencí. Workflow v procesu schvalování změn rolí, přehled o stavu změnového procesu. Nástroj pro centrální správu rolí a následné automatické generování změněných nebo nově založených rolí. Umožnění auditu provedených změn v rolích.
SAP GRC AC Podniková správa rolí
SAP GRC AC Podniková správa rolí
Podniková správa rolí příklad workflow Garant nebo metodik vytvoří požadavek na změnu nebo vytvoření nové role na základě žádosti oprávněného manažera. IT specialista provede požadovanou úpravu resp. založení role. Role je vygenerována prostřednictvím GRC AC nebo přímo přes transakci PFCG v SAP ERP systému. Nová, případně modifikovaná role prochází bezpečnostním testem aplikace GRC Access Control. Jestliže při testu role nebyly nalezeny konflikty, je odeslána ke schválení garantem. V případě konfliktů je možno žádost zamítnout nebo aplikovat kompenzační kontroly. Role je dokončena a může být využita k přidělení uživateli. Celý proces je automatizován bez nutnosti použití klasických papírových formulářů žádosti a zdlouhavého schvalování.
GRC AC Konformní zakládání uživatelů Automatizovaná aplikace s workflow pro schvalování oprávnění uživatelů. Po podání žádosti o oprávnění GRC AC vyhodnotí riziko z pohledu SoD a následně elektronicky odešle požadavek nadřízené osobě ke schválení nebo zamítnutí požadavku žadatele nebo navrhne aplikaci kompenzační kontroly. Proces schvalování je maximálně usnadněn tím, že GRC AC online prověřuje, zda jsou oprávnění, o které uživatel žádá, konfliktní nebo nikoli a upozorní na to schvalovatele. Workflow v procesu schvalování změn rolí poskytuje přehled o aktuálním stavu změnového procesu. Možnost využití GRC AC funkcionality při volání z jiných aplikací jako například IDM apod.
GRC AC Konformní zakládání uživatelů
GRC AC Konformní zakládání uživatelů
SAP GRC AC Správa privilegií superusera Při běžném provozu SAP ERP systému mohou nastat situace, kdy je uživatel nucen řešit mimořádné situace s využitím oprávnění, které nemá ve standardním profilu. K tomu slouží SAP GRC AC komponenta Správa privilegií superusera. V takovém případě může uživatel prostřednictvím zmíněné functionality použít běžně nedostupná oprávnění a transakce, například změnit údaje v kmenovém záznamu dodavatele aj. Veškeráčinnost uživatele je v tento okamžik plně monitorována prostřednictvím aplikace SAP GRC AC a umožňuje nadřízeným uživatele kdykoliv zpětně dohledat, co v rámci mimořádné situace v systému prováděl, proč a posoudit, jestli byl zásah oprávněný.
SAP GRC AC Správa privilegií superusera
SAP GRC AC Správa privilegií superusera
Workshop SAP GRC Access Control Referenčním zákazníkem využívajícím přínosy aplikace SAP GRC Access Control verze 5.3 je společnost Letiště Praha, a.s. O zkušenostech z implementace blíže pohovoří v závěrečném bloku dnešního workshopu kolega Vít Veselý.
Konec teoretickéčásti Děkuji za Vaši pozornost Ing. Josef Piňos CONSIT s.r.o. jpinos@consit.cz +420 777 791 971
Analýza a eliminace rizik - ukázka Manažerský pohled na stav rizik na úrovni všech uživatelů v jednom ze systémů a přehledem přes procesy. Analýza uživatele NÁKUPČÍ, ukázka kompenzovaných rizik. Analýza vybrané role ZMM_PURCHASER_M_W bez rizik. Simulace dopadu přidání transakce ME29N do této role. Výstrahy kdo, kdy a jak použil kritické kombinace transakcí. Výstražný monitor kritické akce.
Správa privilegií superusera - ukázka Uživatel ÚČETNÍ se pokusí účtovat v SAP ERP systému doklad do období květen 2009. Období je už uzavřeno, systém to nepovolí. ÚČETNÍ se pokusí otevřít období květen 2009 pro účtování nemá ale oprávnění. ÚČETNÍ využije funkcionality GRC AC, přihlásí se přes nouzový přístup, otevře účetní období. Dokončí účtování rozpracovaného dokladu, opět uzavře otevřené období. Operace je dokončena, účet pro nouzový přístup je uvolněn pro další použití. V GRC AC je zaznamenáno využití nouzového přístupu včetně všech podrobností.
Konformní zakládání uživatelů - ukázka Příklad třístupňového schvalovacího procesu. REFERENT vytvoří požadavek na založení nového zaměstnance. Navrhne přidání tří rolí (podle už existujícího uživatele). MANAGER částečně schvaluje požadavek (dvě role ano, třetí ne). ROLEOWNER schvaluje požadavek tak, jak přišel od managera. SECURITY provede analýzu rizik. Přiradí kompenzační kontroly. Nový uživatel je automaticky založen do SAP ERP systému.
Podniková správa rolí - ukázka Uživatel ROLEMANAGER vytváří novou roli pro založení kmenového záznamu dodavatele. Založí jednu hlavní (master) roli MD_MD01_FK_M, která obsahuje transakce FK01, FK02, FK04, FK05, FK06 a role je bez omezení na organizační úrovni => účetní okruh (firma) = *. Provede údržbu oprávnění prostřednictvím SAP ERP (transakce PFCG). Potom v GRC AC vytvoří dvě odvozené (derivované) role omezené na organizační úrovni na konkrétní účetní okruhy. Následně provede analýzy rizik a odešle ke schválení uživateli ROLEOWNER. Po schválení je role generována a on-line synchronizována se SAP ERP systémem.
Jednorázová analýza přes GRC AC Jako součást pre-sales aktivit je vybraným klientům nabízena možnost provedení jednorázové analýzy stavu oprávnění v jejich SAP ERP systému. Princip provedení analýzy: 1. Download rolí a uživatelů ze SAP ERP systému klienta do externích souborů. 2. Upload rolí a uživatelů do CONSIT demo SAP ERP systému (samostatný klient). 3. Generování a vyrovnání rolí, profilů, přiřazení uživatelům. 4. Provedení analýzy na propojeném SAP GRC AC systému prostřednictvím základní přednastavené konfliktní matice. 5. Závěrečná zpráva včetně výstupních souborů analýzy a doporučení dalšího postupu pro odstranění konfliktů. 6. Závěrečný workshop s klientem spojený s předáváním výsledků analýzy.