Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell
-
Upload
ibsolution-gmbh -
Category
Documents
-
view
1.508 -
download
0
description
Transcript of Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell
www.ibsolution.de © IBSolution GmbH
Christoph Weber dobis GmbH & Co. KG Dortmund
Im Spannungsfeld von Berechtigungen, Nutzern undOrganisation –ein strategisches Vorgehensmodell
www.ibsolution.de © IBSolution GmbH
Strategisches Vorgehensmodell:
Sinnvoller Ansatz statt
pragmatischem Vorgehen?
Status: Pragmatismus beeinflusst vielfach die Entscheidungen, führt aber nicht zum gewünschten Erfolg und nicht zu langfristig nutzbaren Ergebnissen (damit: wirtschaftlich
auf Dauer nachteilig).
www.ibsolution.de © IBSolution GmbH
AGENDA1. Spannungsfelder
2. Risikobetrachtung
3. Grundsätze für ein Berechtigungskonzept
4. Roadmap und Security Life Cycle
5. Nutzen und Auswirkungen
www.ibsolution.de © IBSolution GmbH
AGENDA
1. Spannungsfelder
2. Risikobetrachtung
3. Grundsätze für ein Berechtigungskonzept
4. Roadmap und Security Life Cycle
5. Nutzen und Auswirkungen
www.ibsolution.de © IBSolution GmbH
Spannungsfelder:
beinhalten „Zwänge“, „Konsequenzen“ „Nachteile“, Einschränkungen“, etc. und sorgen für eineAbwehrhaltung.
Sie erschweren strategische Ansätze sowie sinnvolleUrsachenforschung. Unwirtschaftliche Reparaturen(kurieren am Symptom) sind die Folge.
www.ibsolution.de © IBSolution GmbH
Spannungsfelder
Seite 6 Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
Banken
Investoren
Prüfer
Partner
Gesetzgeber
Fachbereiche
EDV
interne Revisoren
Organisatoren
www.ibsolution.de © IBSolution GmbHSeite 7
Banken Geschäftsrisiken Kreditwürdigkeit
Partner Verlässlichkeit Transparenz Schutz der
Vertragsdaten Vertrauen
Gesetzgeber Einhaltung von
Gesetzen Einhaltung von
Regulatorien
Prüfer Internes Kontrollsystem Nachvollziehbarkeit
Investoren Sicherheit/Schutz Anfälligkeit gegen
Missbrauch
Unternehmen
Spannungsfelder extern
Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
www.ibsolution.de © IBSolution GmbH
EDV Lückenlose
Dokumentation Klare Prozesse Revisionssicherheit Reibungsloser Betrieb
(mit eingeschränkten Rechten)
Seite 8
innen
Banken Geschäftsrisiken Kreditwürdigkeit
Partner Verlässlichkeit Transparenz Schutz der
Vertragsdaten Vertrauen
Gesetzgeber Einhaltung von
Gesetzen Einhaltung von
Regulatorien
Prüfer Internes Kontrollsystem Nachvollziehbarkeit
Investoren Sicherheit/Schutz Anfälligkeit gegen
Missbrauch
Fachbereich Hoher Freiheitsgrad Schnelle Beseitigung von
Hürden Keine technischen
Details
Int. RevisionTransparenzEinhaltung IKSAuswirkungen von VerstößenDatensicherheit
Unternehmen
Organisation Wer macht was ? Qualifikation und
Arbeitsplatz ? Fachrolle pro Stelle
Spannungsfelder intern
Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
Spannungsfelder extern
www.ibsolution.de © IBSolution GmbH
AGENDA1. Spannungsfelder
2. Risikobetrachtung
3. Grundsätze für ein Berechtigungskonzept
4. Roadmap und Security Life Cycle
5. Nutzen und Auswirkungen
www.ibsolution.de © IBSolution GmbHSeite 11
Maßnahme: „geben Sie die Rolle von M mal dem A“
Konsequenz: Mitarbeiter M und A haben zu viele Rechte
Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
Beispiel aus der Praxis: globale und verzahnte Rechte
Funktion 1
Aufgabe
Einsatzgebiet/Rechte
A B C
M
Funktion 2 Funktion 3
A
Risikobetrachtung:
Risiken werden häufig nur anhand von Symptomen (z.B. Fehlverhalten auf Anwenderseite) erkannt und beurteilt. Entsprechende Analyseergebnisse (z.B.:„zu viele User haben zu viele Rechte“) können von den eigentlichen Ursachen ablenken.
www.ibsolution.de © IBSolution GmbH
Konsequenz der Risikobetrachtung:
Risiken müssen nach Geschäftsprozessen und handelnden Personen (User) getrennt werden. Die Basis für risikoarme Geschäftsprozesse bilden SOD-konforme Funktionsblöcke mit sauberenBerechtigungen. Diese werden über Einzelrollenabgebildet und über Sammelrollen den Prozessen und
Arbeitsplätzen flexibel zugeordnet.
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationSeite 13
Funktion 1:Pflege
Kreditorenstamm
Funktion 2:Bearbeiten
Kreditorrechnungen
Funktion 3:Pflege
Sachkontenstamm
Funktion 4:Buchen
Journaleinträge
Funktion 5:???????
Aktionen/BerechtigungenSAP ERP
Aktionen/BerechtigungenSAP ERP
Aktionen/BerechtigungenSAP ERP
Aktionen/BerechtigungenSAP ERP
Aktionen/BerechtigungenNON SAP
Risiko B:Benutzer kann fiktives Sachkonto
anlegen und Journalaktivitäten
erzeugen oder Aktivitäten durch
Buchungen verbergen
Risiko C:Benutzer kann ……
Risiko A:Benutzer kann Kreditorenstamm
pflegen und Zahlungsläufe
anstoßen
Geschäftsprozess„Beschaffung“
Geschäftsprozess„Rechnungswesen“
Geschäftsprozess„n“
Regelwerk A„Global“
Beispiel: SAP-Risikobetrachtung
www.ibsolution.de © IBSolution GmbH
AGENDA1. Spannungsfelder
2. Risikobetrachtung
3. Grundsätze für ein Berechtigungskonzept
4. Roadmap und Security Life Cycle
5. Nutzen und Auswirkungen
www.ibsolution.de © IBSolution GmbHSeite 15
Erfüllung externer und interner Kontrollanforderungen
(nationale Gesetze, SOX, Basel II, Wirtschafts- u.
Betriebsprüfer… ) sowie Einhaltung der Kriterien zur
Funktionstrennung („Segregation of duties“)
Revisionsgerecht dokumentierte, für alle Zielgruppen
verständliche Rollen
Effizienter Einsatz der SAP-Bordmittel und Senkung der
Administrationskosten
Qualitätssicherung: Jederzeitige Feststellung von
Rollenänderungen im SAP-Produktivsystem
Grundsätze für ein SAP-Berechtigungskonzept
Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
www.ibsolution.de © IBSolution GmbHSeite 16
Maßnahme: „geben Sie die Rolle von M mal dem A“
Konsequenz: Mitarbeiter M und A haben zu viele Rechte
Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
Beispiel aus der Praxis: globale und verzahnte Rechte
Funktion 1
Aufgabe
Einsatzgebiet/Rechte
A B C
M
Funktion 2 Funktion 3
A
www.ibsolution.de © IBSolution GmbHSeite 17
Funktion 1
Aufgabe
Funktion 2 Funktion 3
SAP Recht
A B C
M A
M und A haben nur die Rechte, die sie
benötigen
Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
Strategie funktionale Rechte für optimale Prozesse
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationSeite 18
F-Baustein 1:Pflege
Kreditorenstamm
F-Baustein 2:Bearbeiten
Kreditorrechnungen
F-Baustein 3:Pflege
Sachkontenstamm
F-Baustein 4:Buchen
Journaleinträge
F-Baustein 5:???????
Modellierung der unternehmensspezifischen Prozesse
Ableitung
Fachbereich„Buchhaltung GESAMT“
Einzelrolle 1:Pflege
Kreditorenstamm
Einzelrolle 2:Bearbeiten
Kreditorrehnungen
Einzelrolle 3:Pflege
Sachkontenstamm
Einzelrolle 4:Buchen
Journaleinträge
Einzelrolle 5:???????
Aktionen/BerechtigungenSAP ERP
Aktionen/BerechtigungenSAP ERP
Aktionen/BerechtigungenSAP ERP
Aktionen/BerechtigungenSAP ERP
Aktionen/BerechtigungenSAP ERP
Ableitung / Einhaltung der Kontrollanforderungen
Sammelrolle B:„Sachkontenbuchhaltung“
Sammelrolle C:……
Sammelrolle A:„Kreditorbuchhaltung“
Mitigation-Control
Mitigation-Control
Lösung: funktionsorientiertes Berechtigungsdesign
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationSeite 20
ER
…
ER5
ER4
ER3
ER2
ER1
AP…AP5AP4AP3AP2AP1
Lokation 1
Bankbuchhaltung
Debitorenbuchhaltung
Rechnungsprüfung
Anfragen/Angebote
BestandsführungLokation 2
Wareneingang
Bestandsführung
Debitorenbuchhaltung
Bankbuchhaltung
Anfragen/Angebote
ER
…
xxER5
xER4
xER3
xxxER2
xxER1
AP…AP5AP4AP3AP2AP1
Vorgehensmodell „Arbeitsplatzfunktionen“
Auswahl Funktionsbausteine Zusteuerung Funktionstypen Zusteuerung ORG-Werte Arbeitsplätze (ER zu SR)
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationSeite 21
Lager 011
Inventur zählen
Inventur bearbeiten
Inventur
Zählen
WERKS 011
Technikebene
Inventur
Bearbeiten
WERKS 011
Technikebene
Einzelrollen haben
Funktionstrennung
Technikebene
Management-Entscheidung
zugunsten der Zuordnung
beider Funktionen
Inventur
Bearbeiten
WERKS 011
Inventur
Zählen
WERKS 011
Managementebene
Organisations-anweisung
oder Mitigation-
Control
Kontr
olle
Organisatorische Zwänge
Es gibt nur Herrn
Müller im Lager 011
www.ibsolution.de © IBSolution GmbH
AGENDA1. Spannungsfelder
2. Risikobetrachtung
3. Grundsätze für ein Berechtigungskonzept
4. Roadmap und Security Life Cycle
5. Nutzen und Auswirkungen
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationSeite 23
Compliance
Check / SOD
IdM
GRC-Access-Control
HR-
ORG
BMON®
ReDesign
Roadmap „Einführungsschritte der Komponenten“
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
Security Life-Cycle
Access Control(Risk Analysis and Remediation)
BMON®
QS/DOK(Role-Quality)
konventionelles Vorgehen(Zeitaufwändige Analyse, oft schwierige Informationsbeschaffung,
Reparaturansatz z.T. ohne gesicherte funktionale Basis)
IdM(Identity-
Management)
PFCG(Profilgenerator)
SU01/ZBV(Benutzerverwaltung)
MIC(internes Kontrollsystem)
AIS(Audit / Compliance)
Access
Control(Enterprise Role
Management)
BMON® BASIC(Authorization Control)
BMON®
(Re)-Design(funktionen
orientiertes
Vorgehensmodell +
Wissensdatenbank)
produktivesSAP-System
EPE für
IdM
NeueinführungSAP-System
Access
Control(Superuser Privilege
Management &
Compliant User
Provisioning
Access
Control(Risk Analysis
and Remediation)
www.ibsolution.de © IBSolution GmbH
AGENDA1. Spannungsfelder
2. Risikobetrachtung
3. Grundsätze für ein Berechtigungskonzept
4. Roadmap und Security Life Cycle
5. Nutzen und Auswirkungen
www.ibsolution.de © IBSolution GmbH
EDVLückenlose DokumentationKlare ProzesseRevisionssicherheitReibungsloser Betrieb (mit eingeschränkten Rechten)
Seite 26
Banken Geschäftsrisiken Kreditwürdigkeit
PartnerVerlässlichkeitTransparenzSchutz der VertragsdatenVertrauen
GesetzgeberEinhaltung von GesetzenEinhaltung von Regulatorien
PrüferInternes KontrollsystemNachvollziehbarkeit
InvestorenSicherheit/SchutzAnfälligkeit gegen Missbrauch
FachbereichHoher FreiheitsgradSchnelle Beseitigung von HürdenKeine technischen Details
int. RevisionTransparenzEinhaltung IKSAuswirkungen von VerstößenDatensicherheit
Unternehmen
OrganisationWer macht was ?Qualifikation und Arbeitsplatz ?Fachrolle pro Stelle
Auswirkungen auf das Spannungsfeld
Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationSeite 27
niedrigerer Rollenpflegeaufwand5
Einhaltung der geforderten Kontrollen auf Ebene der Einzelrollen1
sprechende, revisionsgerechte Dokumentation3
Effizientere Berechtigungsvergabe6
hohe Transparenz der Berechtigungseinstellungen4
Organisationsanweisungen bei Konflikten auf Ebene der Sammelrollen2
Nutzen und Effizienzsteigerung statt Risikominimierung
www.ibsolution.de © IBSolution GmbHSeite 28
Strategiefrage: Risikovermeidung oder Optimierung?
Alle Mann ins Tor !
www.ibsolution.de © IBSolution GmbH
Christoph Weber dobis GmbH & Co. KG Dortmund
Im Spannungsfeld von Berechtigungen, Nutzern undOrganisation –ein strategisches Vorgehensmodell
Knauf Information Services - Bernd Neeser 30
SAP NetWeaver IdM & GRC
Das Dreamteam zur Vereinfachung der Benutzerverwaltung
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
31
Unternehmensgruppe Knauf
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
32
Compliant Identity Management – warum?
Risikobehaftete Berechtigungsrollen
Verantwortlichkeiten nicht definiert
Anforderer
Rolle
Rolle
Rolle
?
?
?
?
Role Owner
Role Owner
Role Owner
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
33
Lösung: Neues Berechtigungskonzept
Definition funktionaler und risikofreier Einzelrollen
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
34
Lösung: Neues Berechtigungskonzept
Arbeitsplatzrollen mit sprechenden Namen
Prüfung der Arbeitsplatzrollen auf Compliance
www.ibsolution.de © IBSolution GmbH Knauf Information Services - Bernd Neeser35
Compliant Identity Management – warum?
Dezentrale Benutzerverwaltung
Max Schmitt
Administrations-Team
SAP
SCHMITTMSCHMITT
Administrations-Team
Active Directory
Portal
SCHMITTMA
SSO
www.ibsolution.de © IBSolution GmbH Knauf Information Services - Bernd Neeser36
Lösung: SAP Identity Management
Max Schmitt
IdM
Administrations-Team
SAPAdministrations-Team
Active Directory
SCHMITTSCHMITT
Portal
SCHMITT
SSO
Systemübergreifende Benutzerverwaltung
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
37
Milestones – Step I
Step I
- Anbindung von ZBV, SAP Portal, Active Directory
- Zentrale Anlage und Pflege von Benutzerstammsätzen
- Rückverteilung von Änderungen in den angebundenen Tochtersystemen
- Mehrsprachigkeit
- Integration ins Unternehmens-Portal
Step II
- Self-Service zur Änderung eigener personenbezogener Daten
- Self-Service für die Anlage, Änderung und Löschung (Sperrung) von
Benutzern mit Genehmigungsworkflow
Step III
- Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen
- Ablösung der ZBV
- Online Compliance Check
Step IV
- Definition von “Business Roles”
- Erweiterung des Self-Service: Anforderung von Business Roles
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
38
Step I – Portalintegration & Mehrsprachigkeit
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
39
Milestones – Step II
Step I
- Anbindung von ZBV, SAP Portal, Active Directory
- Zentrale Anlage und Pflege von Benutzerstammsätzen
- Rückverteilung von Änderungen in den angebundenen Tochtersystemen
- Mehrsprachigkeit
- Integration ins Unternehmens-Portal
Step II
- Self-Service zur Änderung eigener personenbezogener Daten
- Self-Service für die Anlage, Änderung und Löschung (Sperrung) von
Benutzern mit Genehmigungsworkflow
Step III
- Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen
- Ablösung der ZBV
- Online Compliance Check
Step IV
- Definition von “Business Roles”
- Erweiterung des Self-Service: Anforderung von Business Roles
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
40
Step II - Realisierter Workflow
CSV
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
41
Step II – Realisierter Workflow
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
42
Step II – Pflege eigener Daten
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
43
Step II - Kundenerweiterungen
Wertehilfe für Kostenstellen
Schnittstelle zum Solution Manager
Massenanlage / -änderung von Benutzern
www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser
44
Milestones - Ausblick
Step I
- Anbindung von ZBV, SAP Portal, Active Directory
- Zentrale Anlage und Pflege von Benutzerstammsätzen
- Rückverteilung von Änderungen in den angebundenen Tochtersystemen
- Mehrsprachigkeit
- Integration ins Unternehmens-Portal
Step II
- Self-Service zur Änderung eigener personenbezogener Daten
- Self-Service für die Anlage, Änderung und Löschung (Sperrung) von
Benutzern mit Genehmigungsworkflow
Step III
- Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen
- Ablösung der ZBV
- Online Compliance Check
Step IV
- Definition von “Business Roles”
- Erweiterung des Self-Service: Anforderung von Business Roles
Knauf Information Services - Bernd Neeser 45
Vielen Dank für Ihre Aufmerksamkeit.
Für weitere Fragen stehe ich Ihnen gerne zur Verfügung.