Upload
ibsolution-gmbh
View
618
Download
9
Embed Size (px)
DESCRIPTION
Vortrag zusammen mit SAP & PWC DSAG Jahreskongress 2010
Citation preview
DSAG–JAHRESKONGRESS 2010
21.– 23. September 2010, CongressCenter Nürnberg
GRC Best Practice Leitfaden
Access Control
Siegfried Filla, PwC AG
Dr. Frank Off, SAP AG
Christoph Reckers, IBSolution GmbH
DSAG-JAHRESKONGRESS 2010
2
Agenda
1. Weshalb Best Practice?
2. Risikogesteuertes Berechtigungskonzept
mit SAP BusinessObjects Access Control:
Wichtige Aspekte bei der Einführung
3. Integration SAP NW IDM / Access Control
4. Zusammenfassung: Empfehlungen
DSAG-JAHRESKONGRESS 2010
DSAG-JAHRESKONGRESS 2010
3
Agenda
1. Weshalb Best Practice?
2. Risikogesteuertes Berechtigungskonzept
mit SAP BusinessObjects Access Control:
Wichtige Aspekte bei der Einführung
3. Integration SAP NW IDM / Access Control
4. Zusammenfassung: Empfehlungen
DSAG-JAHRESKONGRESS 2010
DSAG-JAHRESKONGRESS 2010
4
Weshalb Best Practice?
HSH-Manager wegen Bilanzfälschung angezeigt(NDR Info, 04.02.2010
Bilanzfälschung: Conergy-Aktionäre fordern Schadensersatz(Handelsblatt, 29.06.2009)
Mittelständler besonders sorglos: Firmen unterschätzen Datenklau(Handelsblatt, 10.05.2007)
Betriebsspione nehmen Mittelständler ins Visier
Industriespitzel spähen auch mittelständische Unternehmen im
Auftrag der Konkurrenz aus und stehlen sensible Daten. (Handelsblatt, 21.09.2009)
Die Cyber-Söldner
Bezahlt von Unternehmen und Regierungen, dringen Hacker in
Computer und Firmennetze ein - blitzschnell und hochpräzise. (Handelsblatt, 28.06.2010)
DSAG-JAHRESKONGRESS 2010
5
Weshalb Best Practice?
Der Schutz der Unternehmensprozesse ist aktueller denn je!
Einhaltung rechtlicher Vorgaben (u.a. Finanzberichterstattung, Fraud)
Risikoorientierter Schutz vor unautorisiertem Zugriff
Schutz personenbezogener Daten
Sicherung von Geschäfts- u. Betriebsgeheimnissen, Schutz-
u. Urheberrechten
Die Ziele werden anspruchsvoller!
Effektives und effizientes Compliance Management
Proaktive IT Security
Wirksames, integriertes Identity- und Access Management
Unternehmensweite Datensicherheit u. umfassender Datenschutz
DSAG-JAHRESKONGRESS 2010
6
Weshalb Best Practice?
Rechtliche Regelungen fordern mehr Managementverantwortung!
Deutscher Corporate Governance Kodex
Sarbanes-Oxley-Act (SOX) + u.a. japanische Gesetzgebung (J-SOX)
Transparenzrichtlinien-Umsetzungsgesetz (TUG) Bilanzeid
Besondere BDSG-Anforderungen u.a. bei der Auftragsdatenverarbeitung
BilMoG stellt erhöhte Anforderungen an Vorstand und Aufsichtsrat
Unternehmen optimieren ihre Governance, Risk &
Compliance Managementprozesse und -strukturen:
• Corporate Governance & Compliance
• Internes Kontroll- und Risikomanagementsystem
• Datenschutz und Datensicherheit
DSAG-JAHRESKONGRESS 2010
7
Weshalb Best Practice?
Welche Erfolgsfaktoren sind ausschlaggebend?
Projektorganisation
Einbindung aller Bereiche (nicht nur ein IT-Projekt)
Top-Management trägt die Verantwortung u. sorgt für notwendige Entscheidungen
IT-Vertreter, Schlüsselpersonen aus den Fachbereichen und Endanwender sind nur
im Zusammenspiel erfolgreich
Grundsätzlich auch interne Revision, DSB, Betriebsrat, Abschlussprüfer einbeziehen
Klare Rollen u. Verantwortlichkeiten festlegen (Risikomanager, Risikoeigner,
Kontrolleigner, Rolleneigner)
DSAG-JAHRESKONGRESS 2010
8
Weshalb Best Practice?
Welche Erfolgsfaktoren sind ausschlaggebend?
Projektfokussierung (nicht alles auf einmal implementieren)
Einführungsszenarien gem. Ist-Zustand des IKS ausrichten (z.B. erst Risikoanalyse,
dann Regelwerk, Administrations-Workflow und später unternehmensweites
Rollenmanagement)
Konzentrieren auf die Mindestanforderungen (quick wins)
Erst ein praktikables Berechtigungskonzept erreicht die notwendige Akzeptanz!
Access Control
RAR
SPMCUP
ERM
Berechti-gungs-konzept
DSAG-JAHRESKONGRESS 2010
9
Agenda
1. Weshalb Best Practice?
2. Risikogesteuertes Berechtigungskonzept
mit SAP BusinessObjects Access Control:
Wichtige Aspekte bei der Einführung
3. Integration SAP NW IDM / Access Control
4. Zusammenfassung: Empfehlungen
DSAG-JAHRESKONGRESS 2010
DSAG-JAHRESKONGRESS 2010
10
Schutz der Unternehmenswerte, die mit SAP ERP & anderen Geschäftsanwendungen gemanagt
werden, steht im Vordergrund, dies umfasst:
Vertraulichkeitsschutz
Integritätseinhaltung
Schutz vor betrügerischen Aktivitäten
Branche, Unternehmensgröße, Ort, Globalisierungsgrad mit spezifischer Marktabhängigkeit und
der Notwendigkeit ,verschiedene Gesetze, Verträge und Vorgaben einhalten zu müssen, spielen eine
große Rolle bei der Risikodefinition
Abbildung des spezifischen Unternehmensrisikos
Startpunkt zur Definition von Berechtigungsrisiken bildet die umfangreiche Risikodatenbank in SAP
BusinessObjects Access Control, jedoch ist es wichtig den Informationsschutz und den vom
Unternehmen festgelegten Risikoakzeptanzlevel (Risk Heat Map) nicht zu vernachlässigen.
Folgende Schritte sollten bei der Risikolevelfestlegung befolgt werden: 1. Vertrauliche Business Informationen festlegen und deren Abbildung mit kritischen
Displayberechtigungen in SAP BusinessObjects Access Control (SAP BO AC) sicherstellen
2. Funktionen festlegen, die Möglichkeiten zu Manipulationen eröffnen (wie z.B. Im technischen
Bereich) und mit Hilfe von kritischen Transaktionen in SAP BO AC abbilden
3. Festlegung von klassischen Funktionstrennungsrisiken (SoD Risiken) durch funktionale
Kombinationen, die aber für organisatorische Berechtigungswerte, wie z.B. Buchungskreise, Werke,
Verkaufsgruppe, etc. eingeschränkt werden müssen, um „False Positives“ zu vermeiden
Festlegung von notwendigen kompensierenden Kontrollen für identifizierte Risiken
Gesamtziel:
Risiko-
gesteuertes
Berechtigungs-
management
Abbildung der
Risiken in SAP
BusinessObjects
Access Control
Key-MessageSchutz von Unternehmenskritischen Informationen und Werten steht im Vordergrund, dies umfaßt auch
Vertraulichkeitsschutz und nicht nur Funktionstrennungsrisiken
Mitgelieferte Standardrisikomatrix in SAP BO AC sollte nicht einfach eins zu eins unbewertet angewendet werden
Anpassung auf spezifische Unternehmenssituation ist notwendig, da ansonsten viele „False Positives“ bei der
Analyse des bestehenden Berechtigungskonzeptes identifiziert werden
DSAG-JAHRESKONGRESS 2010
11
Risikogesteuertes Berechtigungskonzept auf
Basis von Informationsverantwortungsprinzip
Informations-
bereiche: SAP &
andere
SD Daten
MM Daten
FI/CO
Daten
Berechtigungs-
objekt: Zugriffs-
einschränkung
SD:
Verkaufs-
gruppe
SD:
Dokument-
type
MM:
Bewegungs-
art
FI/CO :
Kontenplan
FI/CO :
Buchungs-
kreis
T-Code 1
T-Code 2
T-Code 3
T-Code 4
T-Code 5
T-Code 6
T-Code 7
T-Codes:
Funktionale
Limitation
Risikoeigner
Risiko:
Funktions-
trennungs-
probleme
Risiko:
Manipulation
& Integritäts-
verletzung
Risiko:
Abgebildet auf
Berechtigungs-
objekt / feld
Risiko:
Vertraulich-
keitsverletzung
Prozess Schritt 3: T-Code 6 & organisatorische
Einschränkung
Eingabe aus Schritt 2
Endergebnis
Prozess Schritt 2: T-Code 3, T-Code 4 &
organisatorische Einschränkung
Eingabe ausSchritt 1
Ergebnis Schritt 2
Prozess Schritt 1: T-Code 1 &
organisatorische Einschränkung
Beginn Ergebnis
Geschäftsprozeß
für MM Position
Technische
Rollen:
Trennung nach
Informations-
bereichen &
RisikenT-Code
1T-
Code
3
T-
Code
4
Busi-
ness
Grund-
rolle
Neben-
auf-
gaben
oder
kritische
Rolle
Design-
vorgabe für
technische
Rolle
Business-
Rolle
T-Code 1
T-Code 3
T-Code 4
T-Code 6
S
O
D
T-Code
6
DSAG-JAHRESKONGRESS 2010
12
Lösungsansatz RBE:
Zuviele Risiken bei Einführung
Ausgangslage: Bei der Einführung von SAP BusinessObjects Access Control werden oftmals „tausende“ Risiken in
bestehendem Berechtigungskonzept identifiziert
Mögliche Abhilfe: Einsatz von Reverse Business Engineering (RBE) für Rollenredesign hilft oftmals ad hoc ca. 50 –
60 % der bestehenden Risiken zu reduzieren
Bestehendes oftmalshistorisch
gewachsenesBerechtigungskonzept
mit meist manuellhinzugefügten Rollenund Berechtigungen
R B E
NotwendigeBerechti-
gungen fürGeschäfts-prozesse
Kurzbeschreibung: Mit RBE werden auf Benutzerebene über einen Zeitraum von min. 3-6 Monaten die tatsächlich
durchgeführten Aktivitäten (T-Code Ebene) mitgeschrieben. Diese Traces können durch Positionsgruppierung der
einzelnen Benutzer auf das vorgestellte technische Rollenkonzept transformiert werden.
Key-MessageFür die Einführung von SAP BO AC sollte auf jeden Fall auch ein Reengineering des bestehenden Berechtigungs-
konzeptes eingeplant werden, da ansonsten zuviele Risiken „einfach“ kompensiert werden müssen
DSAG-JAHRESKONGRESS 2010
13
Notwendigkeit für Compliance:
Auditierbare Änderungsworkflows
Antrag für Rollen
(Neuanlage,
Änderung,
Löschung)
Mehrstufige SAP BO AC Architektur erforderlich Einstufige SAP BO ACArchitektur ausreichend NW IdM Integration notwendig
Oftmals alleiniger Fokus:
Key-Message „Compliant“ bedeutet nicht nur, einen Beantragungsworkflow für Berechtigungsanfragen einzuführen, sondern
umfasst weitere nachvollziehbare Änderungsprozesse speziell auch für das Risikomanagement
Gesetzlich konformes Berechtigungskonzept
benötigt umfassendes protokollierbares
Änderungsmanagement, welches in SAP BO
Access Control abgebildet wird
Beantragung /
Zuordnung von
Rollen zu BenutzernAntrag für
kompensierende
Kontrolle
(Neuanlage,
Änderung,
Löschung)
Antrag für High
Privilege
Berechtigungen
(Notfall)
Technische
Änderung an SAP
BO Access Control
Installation
Antrag für Risiko-
definition
(Neuanlage,
Änderung,
Löschung)
Antrag für
Identitäten
(Neuanlage,
Änderung,
Löschung)
DSAG-JAHRESKONGRESS 2010
14
Agenda
1. Weshalb Best Practice?
2. Risikogesteuertes Berechtigungskonzept
mit SAP BusinessObjects Access Control:
Wichtige Aspekte bei der Einführung
3. Integration SAP NW IDM / Access Control
4. Zusammenfassung: Empfehlungen
DSAG-JAHRESKONGRESS 2010
DSAG-JAHRESKONGRESS 2010
15
AC
Compliant Identity Management –
Integrationsansätze
IdM
AC
IdM
AC
IdM
AC
IdM
Führendes System: SAP BO AC
(Berechtigungsvergabe)
Kein führendes System
(Berechtigungsvergabe)
Führendes System: SAP NW IdM
(Berechtigungsvergabe)
CIM Best Practice
„Distributed Provisioning“
CIM Best Practice
„Centralized Provisioning“
Key-Message Im Fokus der Integrationsansätze stehen die Prozesse der Berechtigungsvergabe.
DSAG-JAHRESKONGRESS 2010
16
Compliant Identity Management –
Best Practice „Centralized Provisioning“
Key-Message Funktionsumfang der Produkte ergänzt sich im Best-Practice „Centralized Provisioning“ klar.
SAP BO Access Control SAP NW Identity Management
Recalculate
Recalculate
Recalculate
automatisierte
Berechtigungsvergabezentrales Stammdaten-
Management
Consultant
Solution Architekt
Verwalten des
Business Rollen Modells
Dokumentation
keine Genehmigung
Direktzugriff
Auswertung
Manuelle Grenehmi
gung
Auswertung
Manuelle Grenehmi
gung
Aktion 3
Aktion 4
Aktion 2
Aktion 1Erstellen von SAP-
RollenWorkflow-basierte
Berechtigungsvergabe
Superuser
Berechtigungsverwaltung
Risikomanagement
Ziel-Systeme mit Risikoanalyse• SAP Business Suite
• andere ERP-Systeme
• …
Ziel-Systeme ohne Risikoanalyse• Directories/ Email-Postfächer/ Fileshares
• Unternehmensportale
• Anwendungen anderer Anbieter
• Eigene Anwendungen
• …
Auditing
Ziel-Systeme• SAP Business Suite
• Directories/ Email-Postfächer/ Fileshares
• Unternehmensportale
• Anwendungen anderer Anbieter
• Eigene Anwendungen
• …
DSAG-JAHRESKONGRESS 2010
17
Compliant Identity Management –
Best Practice „Centralized Provisioning“
Gesetzlich konformes Berechtigungskonzept
benötigt umfassendes protokollierbares
Änderungsmanagement, welches in SAP BO
Access Control und SAP NW IdM abgebildet
werden kann.
Antrag für
kompensierende
Kontrolle
(Neuanlage,
Änderung)
Antrag für
“Superuser-
zugang”
Technische
Änderung an SAP
BO Access Control
Installation
Antrag für Risiko-
definition
(Neuanlage,
Änderung)
Key-Message Workflows für die einzelnen Zielgruppen werden klar auf die Produkte verteilt.
Antrag für
Identitäten
(Neuanlage,
Stammdaten-
Änderung)
SAP BO Access Control SAP NW IdM
Antrag für Rollen
(Neuanlage,
Änderung)
Beantragung /
Zuordnung von
Rollen zu
Benutzern
Antrag für SAP
Rollen
(Neuanlage,
Änderung)
Antrag für
Business Rollen
(Neuanlage,
Änderung)
Zuordnung
der
Kontrollen
DSAG-JAHRESKONGRESS 2010
18
Compliant Identity Management –
Best Practice „Centralized Provisioning“
Key-Message Im Best-Practice „Centralized Provisioning“
arbeitetet ein „normaler“ Mitarbeiter mit der
Anwendung SAP NW IdM.
Folgende Tätigkeiten werden über die Anwendung
SAP BO Access Control ausgeführt:
Antrag für „Superuser-Zugang“
Erstellung von SAP-Rollen
Risikomanagement
Antrag für Risikodefinition
- Antrag für kompensierende Kontrollen
- Zuordnung von kompensierenden Kontrollen
SAP BO Access Control
Erstellung
von SAP-
Rollen
Risiko-
management
Anträge
genehmigen
(Systemowner,
Rolleneigner,
Vorgesetzter,
Abteilungsleiter
etc.)
Beantragung /
Zuordnung von
Rollen zu
Benutzern
SAP NW IdM
Risikoanalyse
Ziel-Systeme mit Risikoanalyse• SAP Business Suite
• andere ERP-Systeme
• …
Ziel-Systeme ohne Risikoanalyse• Directories/ Email-Postfächer/ Fileshares
• Unternehmensportale
• Anwendungen anderer Anbieter
• Eigene Anwendungen
• …
Antrag für
„Superuser-
Zugang“
Business Rollen
Modell
verwalten
Antrag für
Identitäten
(Neuanlage,
Stammdaten-
Änderung)
DSAG-JAHRESKONGRESS 2010
20
Compliant Identity Management –
Best Practice „Centralized Provisioning“
Voraussetzung der Best Practice „Centralized Provisioning“:
SAP NW IdM 7.1 SP3 (inkl. SAP NW IdM VDS)
SAP BO Access Control 5.3 SP9 (CUP und RAR)
SAP Provisioning Framework / GRC Provisioning Framework
Vorteile der Best Practice „Centralized Provisioning“:
Klare Abgrenzung der Workflows
Einheitliche Oberfläche für das Antragsverfahren (Berechtigungsvergabe)
Einheitliches Provisioning-System
Einsatz des vollen Funktionsumfangs der beiden Produkte möglich
Wichtige Hinweise für die Best Practice „Centralized Provisioning“:
Abhängigkeiten in der Synchronisation (Rollenimport, Workflow-Benutzer)
Result-Handling (jetzt: „Polling“) kann ab SAP BO GRC 2010 Event-basiert realisiert
werden
DSAG-JAHRESKONGRESS 2010
21
Agenda
1. Weshalb Best Practice?
2. Risikogesteuertes Berechtigungskonzept
mit SAP BusinessObjects Access Control:
Wichtige Aspekte bei der Einführung
3. Integration SAP NW IDM / Access Control
4. Zusammenfassung: Empfehlungen
DSAG-JAHRESKONGRESS 2010
DSAG-JAHRESKONGRESS 2010
22
Zusammenfassung: Empfehlungen
Bestandsaufnahme der Prozessrisiken und ihrer Absicherung hat oberste Priorität
Ableitung effektiver und effizienter Maßnahmen zur Absicherung der Risiken
Fokussierung auf kurzfristige (quick wins) und mittelfristige Schutzmaßnahmen und daraus
Ableitung der Implementierungsphasen (RAR, SPM, CUP, ERM)
Anpassung der Standardrisikomatrix auf die spezifische Unternehmensrisikosituation
Klare Verantwortungsprinzipien für Risikodefinitionen, kompensierende Kontrollen, Rollen
und organisatorische Elemente
Ausrichtung des Berechtigungskonzeptes auf eine „beherrschbare“ Struktur (dem Verant-
wortungsprinzip folgend)
Ganzheitliche Betrachtung der Änderungsworkflows und Sicherstellung der Auditierbarkeit
Abhängigkeit der gewählten SAP BO Access Control Landschaft (Transportwesen) von
Änderungsworkflows muss in die Planung einbezogen werden
CIM-Implementierung möglichst am Standard
Parallele Einführung der Produkte SAP NW IdM / SAP BO Access Control RAR ist oft
sinnvoll
DSAG-JAHRESKONGRESS 2010
23
Ihre Fragen?
Die Referenten:
Siegfried Filla
PwC AG
Dr. Frank Off
SAP AG
Christian Reckers
IBSolution GmbH