Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.
Bezpečnost informačních systémů Využívání informačních technologií, zejména sofistikovaných ERP systémů jako je SAP, znamená vedle mnoha nesporných výhod i řadu rizik. Jedním z podstatných rizik je i možnost zneužití informačního systému ze strany vlastních uživatelů. Tato skutečnost byla potvrzena analýzou společnosti Ogilvy Public Relations dotazováním u top managementu 150 vybraných společností působících v České republice. 78 % dotazovaných firem označilo jako největší bezpečnostní hrozbu vlastní zaměstnance. 57,5 % považuje bezpečnost IT za maximálně důležitou. 80% vidí prostor pro zlepšení. Zdroj: http://www.lupa.cz/tiskove-zpravy/vysledky-vyzkumu-mezi-top-managementem/)
Potenciální možnosti zneužití IS Defraudace (za účelem vlastního obohacení). Únik citlivých dat (k vlastnímu obohacení nebo za účelem úmyslnému poškození firmy, konkurenční boj). Omezení činnosti informačních systémů, odstávka (ať už způsobená záměrně nebo náhodně). Nezamýšlené chyby uživatelů, manipulace s daty.
Vybraný příklad zneužití IS ze zahraničí Zdroj: http://businessworld.cz/bezpecnost-a-rizeni-rizik/societe-generale-pouceni-zkrizoveho-vyvoje-1360
Vybrané příklady zneužití IS v ČR
Vybrané příklady zneužití IS v ČR
Zákon Sarbanes-Oxley (SOX) Krachy společností ENRON a World Com vedly v USA k přijetí zákona Sarbanes-Oxley, EU reaguje postupným přijímáním obdobných norem. Zdroj: http://www.finance-management.cz/080vypispojmu.php?idpojpass=42
Segregation of Duties - rozdělení pravomocí SoD je dle Sarbanes-Oxley 404 základní a klíčovou interní kontrolou, zároveň je však jednou z nejobtížněji dosažitelných. Používá se k pravidelnému předcházeníči nalezení případných chyb nebo zneužití systému uživateli, které vznikají v rámci každodenní činnosti. Základním principem je, že žádný uživatel by neměl mít kontrolu nad více fázemi transakce nebo dokonce celého procesu. Jak ale SoD řešit v prostředí informačních systémů ERP?
Doporučený přístup k problematice SoD Definice rizik Vytvoření pravidel 1 2 1. DEFINICE RIZIK Analýza Analýza Odstranění konfliktů Vytvoření kompenzačních kontrol 3 4 5 6 Trvalé dodržování pravidel Rozpoznání konfliktů a schválení výjimek. Kategorizace rizik vysoké, střední, nízké apod.. Definování specifických rizik a pravidel pro jejich monitorování v budoucnosti. 2. VYTVOŘENÍ PRAVIDEL Využití obecně uznávaných principů pro daný obor ( best practice ). Revize a přizpůsobení pravidel podmínkám konkrétní společnosti. Schválení souboru přijatých pravidel. Ověřování pravidel na testovacích případech uživatelů nebo rolí. 3. ANALÝZA Analýza rolí a uživatelů v informačním systému. Odhad pracnosti při eliminaci nalezených konfliktů. Soubor varování k rozlišení uskutečněných rizik.
Doporučovaný přístup k problematice SoD Definice rizik 1 Vytvoření pravidel 2 Analýza Analýza ODSTRANĚNÍ ANALÝZA KONFLIKTŮ Odstranění konfliktů Vytvoření kompenzačních kontrol 3 4 5 6 Trvalé dodržování pravidel Zjištění Analýza možností rolí a uživatelů. eliminace rizik. Vypracování Odhad pracnosti analýzy čištění a volba nalezených způsobu odstranění konfliktů. konfliktů. Odstranění Soubor varování konfliktůk v rozlišení existujících uskutečněných rolích nebo vytvoření rizik. rolí nových. VYTVOŘENÍ KOMPENZAČNÍCH KONTROL Stanovení alternativních řešení pro zmírnění rizik. Zapojení businessu, schvalování a monitorování konfliktů. Aktualizace procesů a směrnic. Dohled nad reálnou aplikací kompenzačních kontrol. TRVALÉ DODRŽOVÁNÍ PRAVIDEL Interní komunikace ohledně změn oprávnění a jejich přidělování uživatelům. Simulace změn v rolích a uživatelských oprávněních ještě před jejich nasazením v produktivním systému. Implementace výstrah u vybraných typů rizik.
Časté bariéry realizace principů SoD Business a IT nespolupracují. Každý mluví svou řečí a zohledňuje zájmy svého oddělení. Pokud existuje nějaká snaha o spolupráci, tak se jednáčasto jen o aktivity jednotlivců. Nefungují kvalitní schvalovací mechanismy, management si dostatečně neuvědomuje rizika spojená s hromadným přidělováním autorizací a možné následky pro firmu. IT ovšem přiděluje oprávnění na základě žádosti a schválení těchto business manažerů. Neexistuje kontrola superuserů (konzultantů, administrátorů, ) v produktivním systému. Jak k dané problematice přistoupit? S řešením může pomoci
SAP GRC Access Control Prostřednictvím aplikace SAP GRC Access Control je možné komplexně řešit problematiku uživatelských oprávnění včetně požadavků na rozdělení pravomocí. Aplikace obsahuje následující komponenty: Analýza a eliminace rizik Podniková správa rolí Konformní zakládání uživatelů Správa privilegií superusera
SAP GRC Access Control 5.3 Analýza a eliminace rizik (Risk Analysis And Remediation) Analýzy rizik na úrovni rolí, uživatelů, profilů, HR objektů. Automatizovaný audit oprávnění v reálném čase. Simulace dopadů plánovaných změn rolí a přístupů uživatelů. Správa kompenzačních kontrol a přiřazení rolím resp. uživatelům. Automatické výstrahy upozornění na kritické kombinace transakcí. Přehledné reporty (tabulky, grafy) kombinující různé úhly pohledu (manažerský i detailní z pohledu autorizačních objektů). Podniková správa rolí (Enterprise Role Management) Správa rolí (zakládání, změna) s využitím automatické kontroly SoD. Workflow v procesu schvalování změn rolí, přehled o stavu procesu. Nástroj pro centrální správu rolí. Umožnění auditu provedených změn v rolích.
SAP GRC Access Control 5.3 Konformní zakládání uživatelů (Compliant User Provisioning) Automatizovaná aplikace s workflow pro schvalování oprávnění uživatelů, okamžitý přehled o stavu změnového procesu. GRC AC online prověřuje, zda jsou oprávnění, o které uživatel žádá, v souladu s definovanými pravidly SoD. Možnost využití GRC AC funkcionality při volání z jiných aplikací (například pro Identity Management apod.). Správa privilegií superusera (Superuser Privilege Management) Pro případ, že by uživatel potřeboval nouzově využít oprávnění nad rámec svých běžných přístupů (např. z důvodu měsíční uzávěrky atd.). S využitím této komponenty by mohl mít přístup k vybraným rolím. Veškerá jeho činnost je ale v tu chvíli monitorována a reportována.
Schéma využití SAP GRC AC komponent
Pozvánka na workshop SAP GRC AC Termín: Místo: 17. září 2009 od 9:00h do cca 13:00h. Praha 5, Pekařská 7, sídlo SAP ČR, jednací místnost Neptun. Program akce: 09:00-09:30 Registrace účastníků Recepce SAP ČR 09:30-09:45 Zahájení workshopu a představení SAP GRC produktů Martin Dvořák, produktový manager, SAP ČR 09:45-10:30 Představení aplikace SAP GRC Access Control a možnosti využití Josef Piňos, projektový manager, CONSIT s.r.o. 10:30-10:45 Přestávka, občerstvení 10:45-12:00 Technické předvedení SAP GRC Access Control 5.3, přímá ukázka práce s aplikací, prostor pro dotazy účastníků. Vít Veselý, Josef Piňos, SAP konzultanti, CONSIT s.r.o. 12:00-13:00 Oběd, volná diskuse s prezentujícími, zakončení akce.