GRC Best Practice Leitfaden Access Control

DSAG–JAHRESKONGRESS 2010

21.– 23. September 2010, CongressCenter Nürnberg

GRC Best Practice Leitfaden

Access Control

Siegfried Filla, PwC AG

Dr. Frank Off, SAP AG

Christoph Reckers, IBSolution GmbH

DSAG-JAHRESKONGRESS 2010

2

Agenda

1. Weshalb Best Practice?

2. Risikogesteuertes Berechtigungskonzept

mit SAP BusinessObjects Access Control:

Wichtige Aspekte bei der Einführung

3. Integration SAP NW IDM / Access Control

4. Zusammenfassung: Empfehlungen



3

Agenda









4

Weshalb Best Practice?

HSH-Manager wegen Bilanzfälschung angezeigt(NDR Info, 04.02.2010

Bilanzfälschung: Conergy-Aktionäre fordern Schadensersatz(Handelsblatt, 29.06.2009)

Mittelständler besonders sorglos: Firmen unterschätzen Datenklau(Handelsblatt, 10.05.2007)

Betriebsspione nehmen Mittelständler ins Visier

Industriespitzel spähen auch mittelständische Unternehmen im

Auftrag der Konkurrenz aus und stehlen sensible Daten. (Handelsblatt, 21.09.2009)

Die Cyber-Söldner

Bezahlt von Unternehmen und Regierungen, dringen Hacker in

Computer und Firmennetze ein - blitzschnell und hochpräzise. (Handelsblatt, 28.06.2010)


5


Der Schutz der Unternehmensprozesse ist aktueller denn je!

Einhaltung rechtlicher Vorgaben (u.a. Finanzberichterstattung, Fraud)

Risikoorientierter Schutz vor unautorisiertem Zugriff

Schutz personenbezogener Daten

Sicherung von Geschäfts- u. Betriebsgeheimnissen, Schutz-

u. Urheberrechten

Die Ziele werden anspruchsvoller!

Effektives und effizientes Compliance Management

Proaktive IT Security

Wirksames, integriertes Identity- und Access Management

Unternehmensweite Datensicherheit u. umfassender Datenschutz

http://www.dsag.de/ag/grc


6


Rechtliche Regelungen fordern mehr Managementverantwortung!

Deutscher Corporate Governance Kodex

Sarbanes-Oxley-Act (SOX) + u.a. japanische Gesetzgebung (J-SOX)

Transparenzrichtlinien-Umsetzungsgesetz (TUG) Bilanzeid

Besondere BDSG-Anforderungen u.a. bei der Auftragsdatenverarbeitung

BilMoG stellt erhöhte Anforderungen an Vorstand und Aufsichtsrat

Unternehmen optimieren ihre Governance, Risk &

Compliance Managementprozesse und -strukturen:

• Corporate Governance & Compliance

• Internes Kontroll- und Risikomanagementsystem

• Datenschutz und Datensicherheit


7


Welche Erfolgsfaktoren sind ausschlaggebend?

Projektorganisation

Einbindung aller Bereiche (nicht nur ein IT-Projekt)

Top-Management trägt die Verantwortung u. sorgt für notwendige Entscheidungen

IT-Vertreter, Schlüsselpersonen aus den Fachbereichen und Endanwender sind nur

im Zusammenspiel erfolgreich

Grundsätzlich auch interne Revision, DSB, Betriebsrat, Abschlussprüfer einbeziehen

Klare Rollen u. Verantwortlichkeiten festlegen (Risikomanager, Risikoeigner,

Kontrolleigner, Rolleneigner)


8


Welche Erfolgsfaktoren sind ausschlaggebend?

Projektfokussierung (nicht alles auf einmal implementieren)

Einführungsszenarien gem. Ist-Zustand des IKS ausrichten (z.B. erst Risikoanalyse,

dann Regelwerk, Administrations-Workflow und später unternehmensweites

Rollenmanagement)

Konzentrieren auf die Mindestanforderungen (quick wins)

Erst ein praktikables Berechtigungskonzept erreicht die notwendige Akzeptanz!

Access Control

RAR

SPMCUP

ERM

Berechti-gungs-konzept


9

Agenda









10

Schutz der Unternehmenswerte, die mit SAP ERP & anderen Geschäftsanwendungen gemanagt

werden, steht im Vordergrund, dies umfasst:

Vertraulichkeitsschutz

Integritätseinhaltung

Schutz vor betrügerischen Aktivitäten

Branche, Unternehmensgröße, Ort, Globalisierungsgrad mit spezifischer Marktabhängigkeit und

der Notwendigkeit ,verschiedene Gesetze, Verträge und Vorgaben einhalten zu müssen, spielen eine

große Rolle bei der Risikodefinition

Abbildung des spezifischen Unternehmensrisikos

Startpunkt zur Definition von Berechtigungsrisiken bildet die umfangreiche Risikodatenbank in SAP

BusinessObjects Access Control, jedoch ist es wichtig den Informationsschutz und den vom

Unternehmen festgelegten Risikoakzeptanzlevel (Risk Heat Map) nicht zu vernachlässigen.

Folgende Schritte sollten bei der Risikolevelfestlegung befolgt werden: 1. Vertrauliche Business Informationen festlegen und deren Abbildung mit kritischen

Displayberechtigungen in SAP BusinessObjects Access Control (SAP BO AC) sicherstellen

2. Funktionen festlegen, die Möglichkeiten zu Manipulationen eröffnen (wie z.B. Im technischen

Bereich) und mit Hilfe von kritischen Transaktionen in SAP BO AC abbilden

3. Festlegung von klassischen Funktionstrennungsrisiken (SoD Risiken) durch funktionale

Kombinationen, die aber für organisatorische Berechtigungswerte, wie z.B. Buchungskreise, Werke,

Verkaufsgruppe, etc. eingeschränkt werden müssen, um „False Positives“ zu vermeiden

Festlegung von notwendigen kompensierenden Kontrollen für identifizierte Risiken

Gesamtziel:

Risiko-

gesteuertes

Berechtigungs-

management

Abbildung der

Risiken in SAP

BusinessObjects

Access Control

Key-MessageSchutz von Unternehmenskritischen Informationen und Werten steht im Vordergrund, dies umfaßt auch

Vertraulichkeitsschutz und nicht nur Funktionstrennungsrisiken

Mitgelieferte Standardrisikomatrix in SAP BO AC sollte nicht einfach eins zu eins unbewertet angewendet werden

Anpassung auf spezifische Unternehmenssituation ist notwendig, da ansonsten viele „False Positives“ bei der

Analyse des bestehenden Berechtigungskonzeptes identifiziert werden


11

Risikogesteuertes Berechtigungskonzept auf

Basis von Informationsverantwortungsprinzip

Informations-

bereiche: SAP &

andere

SD Daten

MM Daten

FI/CO

Daten

Berechtigungs-

objekt: Zugriffs-

einschränkung

SD:

Verkaufs-

gruppe

SD:

Dokument-

type

MM:

Bewegungs-

art

FI/CO :

Kontenplan

FI/CO :

Buchungs-

kreis

T-Code 1

T-Code 2

T-Code 3

T-Code 4

T-Code 5

T-Code 6

T-Code 7

T-Codes:

Funktionale

Limitation

Risikoeigner

Risiko:

Funktions-

trennungs-

probleme

Risiko:

Manipulation

& Integritäts-

verletzung

Risiko:

Abgebildet auf

Berechtigungs-

objekt / feld

Risiko:

Vertraulich-

keitsverletzung

Prozess Schritt 3: T-Code 6 & organisatorische

Einschränkung

Eingabe aus Schritt 2

Endergebnis

Prozess Schritt 2: T-Code 3, T-Code 4 &

organisatorische Einschränkung

Eingabe ausSchritt 1

Ergebnis Schritt 2

Prozess Schritt 1: T-Code 1 &

organisatorische Einschränkung

Beginn Ergebnis

Geschäftsprozeß

für MM Position

Technische

Rollen:

Trennung nach

Informations-

bereichen &

RisikenT-Code

1T-

Code

3

T-

Code

4

Busi-

ness

Grund-

rolle

Neben-

auf-

gaben

oder

kritische

Rolle

Design-

vorgabe für

technische

Rolle

Business-

Rolle

T-Code 1

T-Code 3

T-Code 4

T-Code 6

S

O

D

T-Code

6


12

Lösungsansatz RBE:

Zuviele Risiken bei Einführung

Ausgangslage: Bei der Einführung von SAP BusinessObjects Access Control werden oftmals „tausende“ Risiken in

bestehendem Berechtigungskonzept identifiziert

Mögliche Abhilfe: Einsatz von Reverse Business Engineering (RBE) für Rollenredesign hilft oftmals ad hoc ca. 50 –

60 % der bestehenden Risiken zu reduzieren

Bestehendes oftmalshistorisch

gewachsenesBerechtigungskonzept

mit meist manuellhinzugefügten Rollenund Berechtigungen

R B E

NotwendigeBerechti-

gungen fürGeschäfts-prozesse

Kurzbeschreibung: Mit RBE werden auf Benutzerebene über einen Zeitraum von min. 3-6 Monaten die tatsächlich

durchgeführten Aktivitäten (T-Code Ebene) mitgeschrieben. Diese Traces können durch Positionsgruppierung der

einzelnen Benutzer auf das vorgestellte technische Rollenkonzept transformiert werden.

Key-MessageFür die Einführung von SAP BO AC sollte auf jeden Fall auch ein Reengineering des bestehenden Berechtigungs-

konzeptes eingeplant werden, da ansonsten zuviele Risiken „einfach“ kompensiert werden müssen


13

Notwendigkeit für Compliance:

Auditierbare Änderungsworkflows

Antrag für Rollen

(Neuanlage,

Änderung,

Löschung)

Mehrstufige SAP BO AC Architektur erforderlich Einstufige SAP BO ACArchitektur ausreichend NW IdM Integration notwendig

Oftmals alleiniger Fokus:

Key-Message „Compliant“ bedeutet nicht nur, einen Beantragungsworkflow für Berechtigungsanfragen einzuführen, sondern

umfasst weitere nachvollziehbare Änderungsprozesse speziell auch für das Risikomanagement

Gesetzlich konformes Berechtigungskonzept

benötigt umfassendes protokollierbares

Änderungsmanagement, welches in SAP BO

Access Control abgebildet wird

Beantragung /

Zuordnung von

Rollen zu BenutzernAntrag für

kompensierende

Kontrolle

(Neuanlage,

Änderung,

Löschung)

Antrag für High

Privilege

Berechtigungen

(Notfall)

Technische

Änderung an SAP

BO Access Control

Installation

Antrag für Risiko-

definition

(Neuanlage,

Änderung,

Löschung)

Antrag für

Identitäten

(Neuanlage,

Änderung,

Löschung)


14

Agenda









15

AC

Compliant Identity Management –

Integrationsansätze

IdM

AC

IdM

AC

IdM

AC

IdM

Führendes System: SAP BO AC

(Berechtigungsvergabe)

Kein führendes System


Führendes System: SAP NW IdM


CIM Best Practice

„Distributed Provisioning“

CIM Best Practice

„Centralized Provisioning“

Key-Message Im Fokus der Integrationsansätze stehen die Prozesse der Berechtigungsvergabe.


16


Best Practice „Centralized Provisioning“

Key-Message Funktionsumfang der Produkte ergänzt sich im Best-Practice „Centralized Provisioning“ klar.

SAP BO Access Control SAP NW Identity Management

Recalculate

Recalculate

Recalculate

automatisierte

Berechtigungsvergabezentrales Stammdaten-

Management

Consultant

Solution Architekt

Verwalten des

Business Rollen Modells

Dokumentation

keine Genehmigung

Direktzugriff

Auswertung

Manuelle Grenehmi

gung

Auswertung

Manuelle Grenehmi

gung

Aktion 3

Aktion 4

Aktion 2

Aktion 1Erstellen von SAP-

RollenWorkflow-basierte

Berechtigungsvergabe

Superuser

Berechtigungsverwaltung

Risikomanagement

Ziel-Systeme mit Risikoanalyse• SAP Business Suite

• andere ERP-Systeme

• …

Ziel-Systeme ohne Risikoanalyse• Directories/ Email-Postfächer/ Fileshares

• Unternehmensportale

• Anwendungen anderer Anbieter

• Eigene Anwendungen

• …

Auditing

Ziel-Systeme• SAP Business Suite

• Directories/ Email-Postfächer/ Fileshares




• …


17



Gesetzlich konformes Berechtigungskonzept

benötigt umfassendes protokollierbares

Änderungsmanagement, welches in SAP BO

Access Control und SAP NW IdM abgebildet

werden kann.

Antrag für

kompensierende

Kontrolle

(Neuanlage,

Änderung)

Antrag für

“Superuser-

zugang”

Technische

Änderung an SAP

BO Access Control

Installation

Antrag für Risiko-

definition

(Neuanlage,

Änderung)

Key-Message Workflows für die einzelnen Zielgruppen werden klar auf die Produkte verteilt.

Antrag für

Identitäten

(Neuanlage,

Stammdaten-

Änderung)

SAP BO Access Control SAP NW IdM

Antrag für Rollen

(Neuanlage,

Änderung)

Beantragung /

Zuordnung von

Rollen zu

Benutzern

Antrag für SAP

Rollen

(Neuanlage,

Änderung)

Antrag für

Business Rollen

(Neuanlage,

Änderung)

Zuordnung

der

Kontrollen


18



Key-Message Im Best-Practice „Centralized Provisioning“

arbeitetet ein „normaler“ Mitarbeiter mit der

Anwendung SAP NW IdM.

Folgende Tätigkeiten werden über die Anwendung

SAP BO Access Control ausgeführt:

Antrag für „Superuser-Zugang“

Erstellung von SAP-Rollen

Risikomanagement

Antrag für Risikodefinition

- Antrag für kompensierende Kontrollen

- Zuordnung von kompensierenden Kontrollen

SAP BO Access Control

Erstellung

von SAP-

Rollen

Risiko-

management

Anträge

genehmigen

(Systemowner,

Rolleneigner,

Vorgesetzter,

Abteilungsleiter

etc.)

Beantragung /

Zuordnung von

Rollen zu

Benutzern

SAP NW IdM

Risikoanalyse

Ziel-Systeme mit Risikoanalyse• SAP Business Suite

• andere ERP-Systeme

• …

Ziel-Systeme ohne Risikoanalyse• Directories/ Email-Postfächer/ Fileshares




• …

Antrag für

„Superuser-

Zugang“

Business Rollen

Modell

verwalten

Antrag für

Identitäten

(Neuanlage,

Stammdaten-

Änderung)


20



Voraussetzung der Best Practice „Centralized Provisioning“:

SAP NW IdM 7.1 SP3 (inkl. SAP NW IdM VDS)

SAP BO Access Control 5.3 SP9 (CUP und RAR)

SAP Provisioning Framework / GRC Provisioning Framework

Vorteile der Best Practice „Centralized Provisioning“:

Klare Abgrenzung der Workflows

Einheitliche Oberfläche für das Antragsverfahren (Berechtigungsvergabe)

Einheitliches Provisioning-System

Einsatz des vollen Funktionsumfangs der beiden Produkte möglich

Wichtige Hinweise für die Best Practice „Centralized Provisioning“:

Abhängigkeiten in der Synchronisation (Rollenimport, Workflow-Benutzer)

Result-Handling (jetzt: „Polling“) kann ab SAP BO GRC 2010 Event-basiert realisiert

werden


21

Agenda









22

Zusammenfassung: Empfehlungen

Bestandsaufnahme der Prozessrisiken und ihrer Absicherung hat oberste Priorität

Ableitung effektiver und effizienter Maßnahmen zur Absicherung der Risiken

Fokussierung auf kurzfristige (quick wins) und mittelfristige Schutzmaßnahmen und daraus

Ableitung der Implementierungsphasen (RAR, SPM, CUP, ERM)

Anpassung der Standardrisikomatrix auf die spezifische Unternehmensrisikosituation

Klare Verantwortungsprinzipien für Risikodefinitionen, kompensierende Kontrollen, Rollen

und organisatorische Elemente

Ausrichtung des Berechtigungskonzeptes auf eine „beherrschbare“ Struktur (dem Verant-

wortungsprinzip folgend)

Ganzheitliche Betrachtung der Änderungsworkflows und Sicherstellung der Auditierbarkeit

Abhängigkeit der gewählten SAP BO Access Control Landschaft (Transportwesen) von

Änderungsworkflows muss in die Planung einbezogen werden

CIM-Implementierung möglichst am Standard

Parallele Einführung der Produkte SAP NW IdM / SAP BO Access Control RAR ist oft

sinnvoll


23

Ihre Fragen?

Die Referenten:

Siegfried Filla

PwC AG

Dr. Frank Off

SAP AG

Christian Reckers

IBSolution GmbH

GRC Best Practice Leitfaden Access Control

Technology

Transcript of GRC Best Practice Leitfaden Access Control