Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.



Podobné dokumenty
Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Workshop SAP GRC AC Představení SAP GRC Access Control Josef Piňos, CONSIT s.r.o.

Workshop SAP GRC AC Úvod do problematiky Petr Stejskal, CONSIT s.r.o.

Bezpečnost dat v prostředí SAP. Leoš Černý KPMG Česká republika

Data Protection Delivery Center, s. r. o. IDENTITY MANAGEMENT, SPRÁVA OPRÁVNĚNÍ. a SINGLE SIGN-ON. DPDC Identity. pro Vaši bezpečnost

Řízení správy rolí v rozsáhlých organizacích. Michal Opatřil Corinex Group

Zvýšení kvality IA s využitím nových technologií: Představení řešení IDEA - SymSure pro CCM

SAP PROCUREMENT DAY 2013

Identity Management centralizovaná správa uživatelů

Nasazení CA Role & Compliance Manager

Business Intelligence

Risk management a Interní audit

10. setkání interních auditorů v oblasti průmyslu

<Insert Picture Here> Jak garantovat bezpečnost systémů ve státní správě

SAP PROCUREMENT DAY SAP CLM (Contract Lifecycle Management) Správa životního cyklu kontraktů. smooth business flow

Zpráva o činnosti a výstupech interního auditu ČT

Portál podpory. Michal Vokáč Minerva Česká republika, a.s. Service Desk

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Jak efektivně ochránit Informix?

Projekt SEPIe - Datový sklad a analytická nadstavba MIS - manažerský informační systém pro vedoucí zaměstnance resortu MV (konference)

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Novell Identity Management. Jaromír Látal Datron, a.s.

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Procesní dokumentace Process Management. Pavel Čejka

Co je riziko? Řízení rizik v MHMP

Připravte se na konjunkturu se systémem řízení údržby SGM. SGM moderní nástroj pro řízení údržby nejen výrobních zařízení

Identity Manager 4. Poskytujte okamžitý přístup ke zdrojům v rámci celého podniku

Bezpečnostní politika společnosti synlab czech s.r.o.

SAP PROCUREMENT DAY 2013

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

IT integrace na univerzitách

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

RDF DSPS ROZVOJ PORTÁLU

Business Intelligence nástroje a plánování

UDS for ELO. Univerzální datové rozhraní. >> UDS - Universal Data Source

Zkušenosti z nasazení a provozu systémů SIEM

Mib:S4Road přechod k SAP S/4HANA. Jiří Palát

INFORMAČNÍ SYSTÉMY (IS) Ing. Pavel Náplava Katedra počítačů K336, ČVUT FEL Praha 2004/2005

Procesy úřadu efektivně

5. Komunikační úředník. Koordinaci (NOK) Tvorba reportingu o využití národních zdrojů a zdrojů EU v regionech ČR

CA Identity Lifecycle Management. Jak na to...

12. Setkání IA z oblasti průmyslu, obchodu a služeb Dva pohledy na audit nákupu

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Koncept řešení EOS EVIDENCE ORGANIZAČNÍ STRUKTURY

Vnitřní kontrolní systém a jeho audit

Informační bezpečnost. Dana Pochmanová, Boris Šimák

egovernment ready úřad

IDENTITY MANAGEMENT Bc. Tomáš PRŮCHA

Příspěvek je věnován základním informacím o způsobu volby vhodné strategie řízení kontinuity činností v organizaci.

Co je doma, to se počítá, aneb Jak ušetřit na komunikaci. Petr SOLNAŘ / Liberecká IS, a.s. Michal NOVÁK / SOITRON CZ, s.r.o

Nadpis presentace. Řízení IT v malých. útvarech aneb Light verze IT governance

SAP Solution Manager. With Enterprise Support 1

<Insert Picture Here> Oracle Identity Management a jeho použití v praxi. Aleš Novák, Oracle

Výuka integrovaných IS firem a institucí na vysokých školách (zkušenosti, nové příležitosti, omezení)

Využití EPM 2013 pro podporu řízení projektů - Případová studie

Využití IT nástrojů pro měření a řízení výkonnosti. Michal Kroutil

Využití identity managementu v prostředí veřejné správy

Elektronický úřad v roce 2018

Gemba Workshopy v rámci Mezinárodního týdne produktivity IPW 2019

O2 a jeho komplexní řešení pro nařízení GDPR

Osnova studie proveditelnosti pro projekt zakládání a rozvoje klastrů

Systém Krizové Komunikace SKK

SAP SuccessFactors. Employee Central

Cloud. Nebo zatím jen mlha? Workshop Day 2011 WG06 Jaromír Šlesinger, CA Technologies Bratislava, 13. október 2011

Vazba na Cobit 5

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

V Brně dne 10. a

POZVÁNKA NA SEMINÁŘ TÜV. Vážená paní / Vážený pane,

Retail Summit 2008 Technologie které mohou pomáhat

2. setkání interních auditorů ze zdravotních pojišťoven

GDPR a vybraná technická opatření

GORDIC + CA = vaše cesta ke zvýšení kvality a efektivity služeb

Možnosti reportingu v produktech řady EPM

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

Návrh aktualizace rámce COSO vymezení ŘKS 2. setkání interních auditorů z finančních institucí

Zákon o kybernetické bezpečnosti: kdo je připraven?

Daniela Lišková Solution Specialist Windows Client.

Jak na GDPR? Petr Mayer, duben 2017

Dopad fenoménu Industrie 4.0 do finančního řízení

PŘÍLOHA C Požadavky na Dokumentaci

Nejlepší přítel správce sítě! Řešení bezpečnosti Vaší sítě v Cloudu. Pavel Minařík CTO, AdvaICT,a.s.

eidas electronic IDENTITY PORTAL SOLUTION DEFINICE PRODUKTU TS-MyeID PORTAL

V Brně dne a

Agenda rady a zastupitelstva Ústeckého kraje elektronicky

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

eobec Vít Drbohlav Hradec Králové, 7. dubna 2008

Technická a organizační opatření pro ochranu údajů

Uživatelské hodnocení kvality a dostupnosti ICT služeb. Zbyšek Chvojka, Mylène Veillet

QAD Business Intelligence

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

ČSOB: Upgrade systému Microsoft Dynamics CRM

Management rizika Bc. Ing. Karina Mužáková, Ph.D. BIVŠ,

Vnitřní integrace úřadu Středočeského kraje

ČESKÁ TECHNICKÁ NORMA

powerful SAP-Solutions

Mobile Device Management atlantis software spol. s r.o. Jiří Konečný, Key Account Manager, atlantis software spol. s r.o. konecny@atlantis.

PRIMÁRNÍ SYSTÉM DOHLEDU Z POHLEDU MANAŽERA. Eva Janoušková

ČSN ISO/IEC P D. Informační technologie - Bezpečnostní techniky Systémy managementu bezpečnosti informací - Požadavky. Struktura normy ISO 27001

Transkript:

Řízení rizik s nástroji SAP BusinessObjects GRC AC Josef Piňos, CONSIT s.r.o.

Bezpečnost informačních systémů Využívání informačních technologií, zejména sofistikovaných ERP systémů jako je SAP, znamená vedle mnoha nesporných výhod i řadu rizik. Jedním z podstatných rizik je i možnost zneužití informačního systému ze strany vlastních uživatelů. Tato skutečnost byla potvrzena analýzou společnosti Ogilvy Public Relations dotazováním u top managementu 150 vybraných společností působících v České republice. 78 % dotazovaných firem označilo jako největší bezpečnostní hrozbu vlastní zaměstnance. 57,5 % považuje bezpečnost IT za maximálně důležitou. 80% vidí prostor pro zlepšení. Zdroj: http://www.lupa.cz/tiskove-zpravy/vysledky-vyzkumu-mezi-top-managementem/)

Potenciální možnosti zneužití IS Defraudace (za účelem vlastního obohacení). Únik citlivých dat (k vlastnímu obohacení nebo za účelem úmyslnému poškození firmy, konkurenční boj). Omezení činnosti informačních systémů, odstávka (ať už způsobená záměrně nebo náhodně). Nezamýšlené chyby uživatelů, manipulace s daty.

Vybraný příklad zneužití IS ze zahraničí Zdroj: http://businessworld.cz/bezpecnost-a-rizeni-rizik/societe-generale-pouceni-zkrizoveho-vyvoje-1360

Vybrané příklady zneužití IS v ČR

Vybrané příklady zneužití IS v ČR

Zákon Sarbanes-Oxley (SOX) Krachy společností ENRON a World Com vedly v USA k přijetí zákona Sarbanes-Oxley, EU reaguje postupným přijímáním obdobných norem. Zdroj: http://www.finance-management.cz/080vypispojmu.php?idpojpass=42

Segregation of Duties - rozdělení pravomocí SoD je dle Sarbanes-Oxley 404 základní a klíčovou interní kontrolou, zároveň je však jednou z nejobtížněji dosažitelných. Používá se k pravidelnému předcházeníči nalezení případných chyb nebo zneužití systému uživateli, které vznikají v rámci každodenní činnosti. Základním principem je, že žádný uživatel by neměl mít kontrolu nad více fázemi transakce nebo dokonce celého procesu. Jak ale SoD řešit v prostředí informačních systémů ERP?

Doporučený přístup k problematice SoD Definice rizik Vytvoření pravidel 1 2 1. DEFINICE RIZIK Analýza Analýza Odstranění konfliktů Vytvoření kompenzačních kontrol 3 4 5 6 Trvalé dodržování pravidel Rozpoznání konfliktů a schválení výjimek. Kategorizace rizik vysoké, střední, nízké apod.. Definování specifických rizik a pravidel pro jejich monitorování v budoucnosti. 2. VYTVOŘENÍ PRAVIDEL Využití obecně uznávaných principů pro daný obor ( best practice ). Revize a přizpůsobení pravidel podmínkám konkrétní společnosti. Schválení souboru přijatých pravidel. Ověřování pravidel na testovacích případech uživatelů nebo rolí. 3. ANALÝZA Analýza rolí a uživatelů v informačním systému. Odhad pracnosti při eliminaci nalezených konfliktů. Soubor varování k rozlišení uskutečněných rizik.

Doporučovaný přístup k problematice SoD Definice rizik 1 Vytvoření pravidel 2 Analýza Analýza ODSTRANĚNÍ ANALÝZA KONFLIKTŮ Odstranění konfliktů Vytvoření kompenzačních kontrol 3 4 5 6 Trvalé dodržování pravidel Zjištění Analýza možností rolí a uživatelů. eliminace rizik. Vypracování Odhad pracnosti analýzy čištění a volba nalezených způsobu odstranění konfliktů. konfliktů. Odstranění Soubor varování konfliktůk v rozlišení existujících uskutečněných rolích nebo vytvoření rizik. rolí nových. VYTVOŘENÍ KOMPENZAČNÍCH KONTROL Stanovení alternativních řešení pro zmírnění rizik. Zapojení businessu, schvalování a monitorování konfliktů. Aktualizace procesů a směrnic. Dohled nad reálnou aplikací kompenzačních kontrol. TRVALÉ DODRŽOVÁNÍ PRAVIDEL Interní komunikace ohledně změn oprávnění a jejich přidělování uživatelům. Simulace změn v rolích a uživatelských oprávněních ještě před jejich nasazením v produktivním systému. Implementace výstrah u vybraných typů rizik.

Časté bariéry realizace principů SoD Business a IT nespolupracují. Každý mluví svou řečí a zohledňuje zájmy svého oddělení. Pokud existuje nějaká snaha o spolupráci, tak se jednáčasto jen o aktivity jednotlivců. Nefungují kvalitní schvalovací mechanismy, management si dostatečně neuvědomuje rizika spojená s hromadným přidělováním autorizací a možné následky pro firmu. IT ovšem přiděluje oprávnění na základě žádosti a schválení těchto business manažerů. Neexistuje kontrola superuserů (konzultantů, administrátorů, ) v produktivním systému. Jak k dané problematice přistoupit? S řešením může pomoci

SAP GRC Access Control Prostřednictvím aplikace SAP GRC Access Control je možné komplexně řešit problematiku uživatelských oprávnění včetně požadavků na rozdělení pravomocí. Aplikace obsahuje následující komponenty: Analýza a eliminace rizik Podniková správa rolí Konformní zakládání uživatelů Správa privilegií superusera

SAP GRC Access Control 5.3 Analýza a eliminace rizik (Risk Analysis And Remediation) Analýzy rizik na úrovni rolí, uživatelů, profilů, HR objektů. Automatizovaný audit oprávnění v reálném čase. Simulace dopadů plánovaných změn rolí a přístupů uživatelů. Správa kompenzačních kontrol a přiřazení rolím resp. uživatelům. Automatické výstrahy upozornění na kritické kombinace transakcí. Přehledné reporty (tabulky, grafy) kombinující různé úhly pohledu (manažerský i detailní z pohledu autorizačních objektů). Podniková správa rolí (Enterprise Role Management) Správa rolí (zakládání, změna) s využitím automatické kontroly SoD. Workflow v procesu schvalování změn rolí, přehled o stavu procesu. Nástroj pro centrální správu rolí. Umožnění auditu provedených změn v rolích.

SAP GRC Access Control 5.3 Konformní zakládání uživatelů (Compliant User Provisioning) Automatizovaná aplikace s workflow pro schvalování oprávnění uživatelů, okamžitý přehled o stavu změnového procesu. GRC AC online prověřuje, zda jsou oprávnění, o které uživatel žádá, v souladu s definovanými pravidly SoD. Možnost využití GRC AC funkcionality při volání z jiných aplikací (například pro Identity Management apod.). Správa privilegií superusera (Superuser Privilege Management) Pro případ, že by uživatel potřeboval nouzově využít oprávnění nad rámec svých běžných přístupů (např. z důvodu měsíční uzávěrky atd.). S využitím této komponenty by mohl mít přístup k vybraným rolím. Veškerá jeho činnost je ale v tu chvíli monitorována a reportována.

Schéma využití SAP GRC AC komponent

Pozvánka na workshop SAP GRC AC Termín: Místo: 17. září 2009 od 9:00h do cca 13:00h. Praha 5, Pekařská 7, sídlo SAP ČR, jednací místnost Neptun. Program akce: 09:00-09:30 Registrace účastníků Recepce SAP ČR 09:30-09:45 Zahájení workshopu a představení SAP GRC produktů Martin Dvořák, produktový manager, SAP ČR 09:45-10:30 Představení aplikace SAP GRC Access Control a možnosti využití Josef Piňos, projektový manager, CONSIT s.r.o. 10:30-10:45 Přestávka, občerstvení 10:45-12:00 Technické předvedení SAP GRC Access Control 5.3, přímá ukázka práce s aplikací, prostor pro dotazy účastníků. Vít Veselý, Josef Piňos, SAP konzultanti, CONSIT s.r.o. 12:00-13:00 Oběd, volná diskuse s prezentujícími, zakončení akce.

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář