Erfolgsfaktoren für GRC Access Control Implementierungen · Nur GRC AC Standard wird implementiert...

© Riscomp GmbH, weg, GRC Forum 2014

Erfolgsfaktoren für GRC Access Control

Implementierungen

GRC Forum 2014 11. Juli 2014

Gerhard Wasnick


2

Erfolg

7 : 1


3

ERFOLG

Erfolg ist das Erreichen von Zielen

Selbst gesteckte Ziele (10 Kilo abnehmen, 10 km Joggen, …)

Gemeinschaftlich festgelegte Ziele (Wir werden die Marktführer beim Online-Banking, ….)

Durch Organisationen oder deren Vertreter definierte Ziele

Zeit

Kosten Qualität

Qualität ist die Güte aller, für den Kunden wahrnehmbaren Eigenschaften eines Systems

Funktionalität

Bedienbarkeit

Leistungsfähigkeit / Performance

Gesamtaufwand / Gesamtnutzen


4

Projekterfolgsfaktoren


5

Klare Strategie & Realistische Ziele

Fokus: Compliance

Focus: Effizienz

= Effektivität z.B. Zugriffsrisiken,

Genehmigungen, Audit…

= Kostennutzen z.B. Prozessautomatisierung

Vollständige Ermittlung der Arbeitspakete Customizing, AC Stammdatenaufbereitung,…

Erkennen von Eigenentwicklungen z.B. UAR – Webdynpro, UAM - Berichte, Funktionalität: Zugriffsrisiko-Minderung,…

Identifikation von Stammdatenabhängigkeiten z.B. personalisierte Firefighter, Rollen,..

Vorbereitung des Produktivsystems einplanen z.B. Transportmanagement, Befüllung Stammdaten,…

Focus: Vollständigkeit und Transparenz

Realistische Ziele Strategie


6

Stakeholder / Anspruchsgruppen

Management Unterstützung

Priorisierung, Ressourcenengpässe gegenüber anderen Projekte / Tätigkeiten

Eskalation

Bereitstellung Finanzmittel

Vorbildfunktion

Eigentümer und Verantwortliche festlegen

Herausarbeiten von Verantwortlichkeiten, Befugnissen und Aufgaben

Abgleich der Verantwortlichkeiten mit den manuellen und automatisierten Prozesse z.B. Vorgesetzte, Rollenverantwortliche. Training der Genehmiger

Abstimmung, Freigabe und Kommunikation der Kompetenzen

Nutzer und Genehmiger einbinden

Information / Weiterbildung / Tipps und Tricks

GRC


7

Erfahrene Projektmanager / Klare Organisation

Mit GRC Hintergrund

Projekt-

dokumentation

Klare Projekt-

verantwortlichkeiten

Erfahrene Projektmanager

Compliance Erfahrung

Analytisch, zielorientiert

entscheidungsbewusst


8

Projektumfang (Scope)

Standardinhalten im Projektscope

Sizing / Performance

Schulung / Dokumentation

Quick Wins -> Passwort Selbstservice ODER Regelmäßige Benutzerüberprüfungen

Fit-GAP (Funktionale Anforderungen vs. AC Standard)

Scoping: Festlegung des Projektumfangs - Systeme,

Funktionen, Prozesse, Firmen, …

Fokussierung des Projekt auf Schlüsselthemen

Prozessstandardisierung oder umfangreiches Customizing

Unternehmensgröße (Pilot und Roll-Out hat sich in großen Organisationen bewährt)

Mehrwertermittung der GRC AC Funktionen und Priorisierung nach Kostennutzen

Aufwendig oder gar nicht im Standard implementierbare Anforderungen Proof of Concept

Revisionsfähigkeit der Implementierung (Compliance, IT Prüfungsfeststellungen)

Kundenindividuelle Entwicklungen (Komplexität, Aufwandschätzung, Nutzen


9

Einsatz von Softwarestandards

Standardmethoden

Accellerated Deployment / Standardeinführung

Nur in einfachen Umgebungen

Nur GRC AC Standard wird implementiert

Keine Entwicklungen / Keine kundeneigenen Felder

Riscomp Ansatz (Stufenmethode)

Standardinhalte

Entwicklung

Customizing

Standardinhalte

SAP Standard Zugriffsrisiken (SOD)/(Kritische Berechtigungen)

Standard SAP Antragsprozess (Vorgesetzter - Role Owner)

Standard Rollenmethodologie

Standardprozesse für Anträge, HR OM Provisionierung, beim Emergency Access Management


10

Einsatz von Standardsoftware

Standard System für die Provisionierung

SAP ERP / SAP Enterprise Portal

SAP BI / Industrielösungen z.B. IS-H, IS-U

SAP HANA ab 10.1

SPML / Webservice

Standards für den Endanwenderzugriff (SAP Portal, Netweaver Business Client, Internet Browser)

Standardsoftware für die Identität von Benutzern (LDAP, SAP HR OM)

Validierung von Benutzern gegen spezifische Systeme ( Architekturthema – keine fiktiven Benutzer)

Systeme ohne

Standardschnittstelle

(KOSTEN und ZEIT Risiko)


11

Die Erfolgskarte


Regelmässige Kontrolle von Rollen und Zuweisungen

Definition, Massenpflege und Ableitung von Rollen, Benutzer-/Businessrollen

Automatisierte Berechtigungsvergabe

Zugriffsrisikoidentifikation, Behandlung und Minderung

Überwachung von Benutzern mit erweiterten Berechtigungen

12

Beispiel: Implementenierung Risikoanalyse - Anträge


13

Beispiel: Projekterfolgsfaktoren

Audit & Compliance Audit & Compliance

Anpassung Zugriffsrisikomatrix

Benutzeranträge

SAP ERP, CRM, …

GRC AC

Ablösung eigenentwickelter Antragsworkflow

Sponsor: CFO

IT Abteilung

Poweruser

SAP Zugriffsrisikomatrix

GRC AC Standardprozesse (MSMP) Integration IKS - AC

!


Sta

y C

lean

Get

Cle

an

Tim

e T

o C

om

pli

ance

A

ccess

Govern

ance

Anpassung Zugriffs-

risiken

Zuordnung

Mindernde Kontrollen

Rollenbereinigung

(Zugriffsrisiken)

Benutzerbereinigung

Implementierung

GRC AC

Implementierung

Risk Terminator

Aufbau AC Risiko Reporting

Festlegung: Access Governance Policy

Beispielansatz: Access Governance Framework


15

Aus der Praxis

Umfang

GRC Access Control

Erfahrung

Scope Creep / Anforderungsverschiebung

Lange Projektdauer (niedrige Prio)

Viele Sonderfälle

-> Niedrige Effizienz im Projekt & erhöhte Kosten

Zugriffsrisikodefinition

Drift zu Kritischen Berechtigungen

Teamweise Mitigierung von Risiken

-> Eigenentwicklung: Autom. Mitigierung

Methodik

Schwer oder nicht

Implementierbare Blueprints

-> Hoher Entwicklungsaufwand

Erfolgsfaktoren für GRC Access Control Implementierungen · Nur GRC AC Standard wird implementiert...

Documents

Transcript of Erfolgsfaktoren für GRC Access Control Implementierungen · Nur GRC AC Standard wird implementiert...