Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell

www.ibsolution.de © IBSolution GmbH

Christoph Weber dobis GmbH & Co. KG Dortmund

Im Spannungsfeld von Berechtigungen, Nutzern undOrganisation –ein strategisches Vorgehensmodell


Strategisches Vorgehensmodell:

Sinnvoller Ansatz statt

pragmatischem Vorgehen?

Status: Pragmatismus beeinflusst vielfach die Entscheidungen, führt aber nicht zum gewünschten Erfolg und nicht zu langfristig nutzbaren Ergebnissen (damit: wirtschaftlich

auf Dauer nachteilig).


AGENDA1. Spannungsfelder

2. Risikobetrachtung

3. Grundsätze für ein Berechtigungskonzept

4. Roadmap und Security Life Cycle

5. Nutzen und Auswirkungen


AGENDA

1. Spannungsfelder






Spannungsfelder:

beinhalten „Zwänge“, „Konsequenzen“ „Nachteile“, Einschränkungen“, etc. und sorgen für eineAbwehrhaltung.

Sie erschweren strategische Ansätze sowie sinnvolleUrsachenforschung. Unwirtschaftliche Reparaturen(kurieren am Symptom) sind die Folge.


Spannungsfelder

Seite 6 Im Spannungsfeld von Berechtigungen, Nutzern und Organisation

Banken

Investoren

Prüfer

Partner

Gesetzgeber

Fachbereiche

EDV

interne Revisoren

Organisatoren

www.ibsolution.de © IBSolution GmbHSeite 7

Banken Geschäftsrisiken Kreditwürdigkeit

Partner Verlässlichkeit Transparenz Schutz der

Vertragsdaten Vertrauen

Gesetzgeber Einhaltung von

Gesetzen Einhaltung von

Regulatorien

Prüfer Internes Kontrollsystem Nachvollziehbarkeit

Investoren Sicherheit/Schutz Anfälligkeit gegen

Missbrauch

Unternehmen

Spannungsfelder extern

Im Spannungsfeld von Berechtigungen, Nutzern und Organisation


EDV Lückenlose

Dokumentation Klare Prozesse Revisionssicherheit Reibungsloser Betrieb

(mit eingeschränkten Rechten)

Seite 8

innen


Partner Verlässlichkeit Transparenz Schutz der

Vertragsdaten Vertrauen

Gesetzgeber Einhaltung von

Gesetzen Einhaltung von

Regulatorien

Prüfer Internes Kontrollsystem Nachvollziehbarkeit

Investoren Sicherheit/Schutz Anfälligkeit gegen

Missbrauch

Fachbereich Hoher Freiheitsgrad Schnelle Beseitigung von

Hürden Keine technischen

Details

Int. RevisionTransparenzEinhaltung IKSAuswirkungen von VerstößenDatensicherheit

Unternehmen

Organisation Wer macht was ? Qualifikation und

Arbeitsplatz ? Fachrolle pro Stelle

Spannungsfelder intern


Spannungsfelder extern








Maßnahme: „geben Sie die Rolle von M mal dem A“

Konsequenz: Mitarbeiter M und A haben zu viele Rechte


Beispiel aus der Praxis: globale und verzahnte Rechte

Funktion 1

Aufgabe

Einsatzgebiet/Rechte

A B C

M

Funktion 2 Funktion 3

A

Risikobetrachtung:

Risiken werden häufig nur anhand von Symptomen (z.B. Fehlverhalten auf Anwenderseite) erkannt und beurteilt. Entsprechende Analyseergebnisse (z.B.:„zu viele User haben zu viele Rechte“) können von den eigentlichen Ursachen ablenken.


Konsequenz der Risikobetrachtung:

Risiken müssen nach Geschäftsprozessen und handelnden Personen (User) getrennt werden. Die Basis für risikoarme Geschäftsprozesse bilden SOD-konforme Funktionsblöcke mit sauberenBerechtigungen. Diese werden über Einzelrollenabgebildet und über Sammelrollen den Prozessen und

Arbeitsplätzen flexibel zugeordnet.

www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationSeite 13

Funktion 1:Pflege

Kreditorenstamm

Funktion 2:Bearbeiten

Kreditorrechnungen

Funktion 3:Pflege

Sachkontenstamm

Funktion 4:Buchen

Journaleinträge

Funktion 5:???????

Aktionen/BerechtigungenSAP ERP




Aktionen/BerechtigungenNON SAP

Risiko B:Benutzer kann fiktives Sachkonto

anlegen und Journalaktivitäten

erzeugen oder Aktivitäten durch

Buchungen verbergen

Risiko C:Benutzer kann ……

Risiko A:Benutzer kann Kreditorenstamm

pflegen und Zahlungsläufe

anstoßen

Geschäftsprozess„Beschaffung“

Geschäftsprozess„Rechnungswesen“

Geschäftsprozess„n“

Regelwerk A„Global“

Beispiel: SAP-Risikobetrachtung








Erfüllung externer und interner Kontrollanforderungen

(nationale Gesetze, SOX, Basel II, Wirtschafts- u.

Betriebsprüfer… ) sowie Einhaltung der Kriterien zur

Funktionstrennung („Segregation of duties“)

Revisionsgerecht dokumentierte, für alle Zielgruppen

verständliche Rollen

Effizienter Einsatz der SAP-Bordmittel und Senkung der

Administrationskosten

Qualitätssicherung: Jederzeitige Feststellung von

Rollenänderungen im SAP-Produktivsystem

Grundsätze für ein SAP-Berechtigungskonzept


C:/Dokumente und Einstellungen/Weber/Lokale Einstellungen/Temporary Internet Files/Anwendungssicherhet/Praesentationen_ITS/ITSicherheit_Kapitel/3_5 Datenschutz.pptx

C:/Dokumente und Einstellungen/Weber/Lokale Einstellungen/Temporary Internet Files/Anwendungssicherhet/Praesentationen_ITS/ITSicherheit_Kapitel/3_5 Datenschutz.pptx


Maßnahme: „geben Sie die Rolle von M mal dem A“

Konsequenz: Mitarbeiter M und A haben zu viele Rechte


Beispiel aus der Praxis: globale und verzahnte Rechte

Funktion 1

Aufgabe

Einsatzgebiet/Rechte

A B C

M


A


Funktion 1

Aufgabe


SAP Recht

A B C

M A

M und A haben nur die Rechte, die sie

benötigen


Strategie funktionale Rechte für optimale Prozesse


F-Baustein 1:Pflege

Kreditorenstamm

F-Baustein 2:Bearbeiten

Kreditorrechnungen

F-Baustein 3:Pflege

Sachkontenstamm

F-Baustein 4:Buchen

Journaleinträge

F-Baustein 5:???????

Modellierung der unternehmensspezifischen Prozesse

Ableitung

Fachbereich„Buchhaltung GESAMT“

Einzelrolle 1:Pflege

Kreditorenstamm

Einzelrolle 2:Bearbeiten

Kreditorrehnungen

Einzelrolle 3:Pflege

Sachkontenstamm

Einzelrolle 4:Buchen

Journaleinträge

Einzelrolle 5:???????






Ableitung / Einhaltung der Kontrollanforderungen

Sammelrolle B:„Sachkontenbuchhaltung“

Sammelrolle C:……

Sammelrolle A:„Kreditorbuchhaltung“

Mitigation-Control

Mitigation-Control

Lösung: funktionsorientiertes Berechtigungsdesign


ER

…

ER5

ER4

ER3

ER2

ER1

AP…AP5AP4AP3AP2AP1

Lokation 1

Bankbuchhaltung

Debitorenbuchhaltung

Rechnungsprüfung

Anfragen/Angebote

BestandsführungLokation 2

Wareneingang

Bestandsführung

Debitorenbuchhaltung

Bankbuchhaltung

Anfragen/Angebote

ER

…

xxER5

xER4

xER3

xxxER2

xxER1

AP…AP5AP4AP3AP2AP1

Vorgehensmodell „Arbeitsplatzfunktionen“

Auswahl Funktionsbausteine Zusteuerung Funktionstypen Zusteuerung ORG-Werte Arbeitsplätze (ER zu SR)


Lager 011

Inventur zählen

Inventur bearbeiten

Inventur

Zählen

WERKS 011

Technikebene

Inventur

Bearbeiten

WERKS 011

Technikebene

Einzelrollen haben

Funktionstrennung

Technikebene

Management-Entscheidung

zugunsten der Zuordnung

beider Funktionen

Inventur

Bearbeiten

WERKS 011

Inventur

Zählen

WERKS 011

Managementebene

Organisations-anweisung

oder Mitigation-

Control

Kontr

olle

Organisatorische Zwänge

Es gibt nur Herrn

Müller im Lager 011








Compliance

Check / SOD

IdM

GRC-Access-Control

HR-

ORG

BMON®

ReDesign

Roadmap „Einführungsschritte der Komponenten“

www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation

Security Life-Cycle

Access Control(Risk Analysis and Remediation)

BMON®

QS/DOK(Role-Quality)

konventionelles Vorgehen(Zeitaufwändige Analyse, oft schwierige Informationsbeschaffung,

Reparaturansatz z.T. ohne gesicherte funktionale Basis)

IdM(Identity-

Management)

PFCG(Profilgenerator)

SU01/ZBV(Benutzerverwaltung)

MIC(internes Kontrollsystem)

AIS(Audit / Compliance)

Access

Control(Enterprise Role

Management)

BMON® BASIC(Authorization Control)

BMON®

(Re)-Design(funktionen

orientiertes

Vorgehensmodell +

Wissensdatenbank)

produktivesSAP-System

EPE für

IdM

NeueinführungSAP-System

Access

Control(Superuser Privilege

Management &

Compliant User

Provisioning

Access

Control(Risk Analysis

and Remediation)








EDVLückenlose DokumentationKlare ProzesseRevisionssicherheitReibungsloser Betrieb (mit eingeschränkten Rechten)

Seite 26


PartnerVerlässlichkeitTransparenzSchutz der VertragsdatenVertrauen

GesetzgeberEinhaltung von GesetzenEinhaltung von Regulatorien

PrüferInternes KontrollsystemNachvollziehbarkeit

InvestorenSicherheit/SchutzAnfälligkeit gegen Missbrauch

FachbereichHoher FreiheitsgradSchnelle Beseitigung von HürdenKeine technischen Details

int. RevisionTransparenzEinhaltung IKSAuswirkungen von VerstößenDatensicherheit

Unternehmen

OrganisationWer macht was ?Qualifikation und Arbeitsplatz ?Fachrolle pro Stelle

Auswirkungen auf das Spannungsfeld



niedrigerer Rollenpflegeaufwand5

Einhaltung der geforderten Kontrollen auf Ebene der Einzelrollen1

sprechende, revisionsgerechte Dokumentation3

Effizientere Berechtigungsvergabe6

hohe Transparenz der Berechtigungseinstellungen4

Organisationsanweisungen bei Konflikten auf Ebene der Sammelrollen2

Nutzen und Effizienzsteigerung statt Risikominimierung


Strategiefrage: Risikovermeidung oder Optimierung?

Alle Mann ins Tor !


Christoph Weber dobis GmbH & Co. KG Dortmund

Im Spannungsfeld von Berechtigungen, Nutzern undOrganisation –ein strategisches Vorgehensmodell

Knauf Information Services - Bernd Neeser 30

SAP NetWeaver IdM & GRC

Das Dreamteam zur Vereinfachung der Benutzerverwaltung

www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und OrganisationKnauf Information Services - Bernd Neeser

31

Unternehmensgruppe Knauf


32

Compliant Identity Management – warum?

Risikobehaftete Berechtigungsrollen

Verantwortlichkeiten nicht definiert

Anforderer

Rolle

Rolle

Rolle

?

?

?

?

Role Owner

Role Owner

Role Owner


33

Lösung: Neues Berechtigungskonzept

Definition funktionaler und risikofreier Einzelrollen


34

Lösung: Neues Berechtigungskonzept

Arbeitsplatzrollen mit sprechenden Namen

Prüfung der Arbeitsplatzrollen auf Compliance

www.ibsolution.de © IBSolution GmbH Knauf Information Services - Bernd Neeser35

Compliant Identity Management – warum?

Dezentrale Benutzerverwaltung

Max Schmitt

Administrations-Team

SAP

SCHMITTMSCHMITT


Active Directory

Portal

SCHMITTMA

SSO

www.ibsolution.de © IBSolution GmbH Knauf Information Services - Bernd Neeser36

Lösung: SAP Identity Management

Max Schmitt

IdM


SAPAdministrations-Team

Active Directory

SCHMITTSCHMITT

Portal

SCHMITT

SSO

Systemübergreifende Benutzerverwaltung


37

Milestones – Step I

Step I

- Anbindung von ZBV, SAP Portal, Active Directory

- Zentrale Anlage und Pflege von Benutzerstammsätzen

- Rückverteilung von Änderungen in den angebundenen Tochtersystemen

- Mehrsprachigkeit

- Integration ins Unternehmens-Portal

Step II

- Self-Service zur Änderung eigener personenbezogener Daten

- Self-Service für die Anlage, Änderung und Löschung (Sperrung) von

Benutzern mit Genehmigungsworkflow

Step III

- Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen

- Ablösung der ZBV

- Online Compliance Check

Step IV

- Definition von “Business Roles”

- Erweiterung des Self-Service: Anforderung von Business Roles


38

Step I – Portalintegration & Mehrsprachigkeit


39

Milestones – Step II

Step I




- Mehrsprachigkeit


Step II




Step III


- Ablösung der ZBV


Step IV




40

Step II - Realisierter Workflow

CSV


41

Step II – Realisierter Workflow


42

Step II – Pflege eigener Daten


43

Step II - Kundenerweiterungen

Wertehilfe für Kostenstellen

Schnittstelle zum Solution Manager

Massenanlage / -änderung von Benutzern


44

Milestones - Ausblick

Step I




- Mehrsprachigkeit


Step II




Step III


- Ablösung der ZBV


Step IV



Knauf Information Services - Bernd Neeser 45

Vielen Dank für Ihre Aufmerksamkeit.

Für weitere Fragen stehe ich Ihnen gerne zur Verfügung.

Date post:	05-Dec-2014
Category:	Documents
Upload:	ibsolution-gmbh
View:	1,508 times
Download:	0 times

Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell

Documents