REDESIGN DER SAP-
BERECHTIGUNGENEIN EFFIZIENTES VORGEHEN ZUM
EINFACHEN UND SICHEREN
ROLLENMANAGEMENT
Moderation: Rolf-Udo Gilbert
Zeit: 07. März 2017 um 14:00 Uhr
BERECHTIGUNGS-WORKSHOP
14:00 Begrüßung und Moderation
Überarbeitung JA - klassisch oder Redesign ?
14:45 Diskussion und Ende
Danach Qualitätssicherung nicht vergessen!
Wo stehe ich mit meinen Berechtigungen heute ?
„Ist Überarbeitungsbedarf vorhanden?
Wie und Wo fange ich an?“
IDENTITY-MANAGEMENTACCESS-MANAGEMENT
EINFÜHRUNGSEMPFEHLUNG CIAM
3
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
1 2a 2b 3 54
RISK-MANAGEMENT
Startpunkt
AGENDA BERECHTIGUNGS-WORKSHOP
4
1. Vorschriften für Anwendungssicherheit in IT-
Systemen – Maßnahmen und Beteiligte
2. Präsentation der Analyseergebnisse der
aktuellen Berechtigungseinstellungen Ihres
produktiven Systems/Mandanten (Status Quo)
3. Anforderungen an moderne
Berechtigungssysteme – Ihr individuelles
Konzept in der Diskussion mit Experten sowie
mögliche Lösungswege für ein sicheres
Berechtigungskonzept
4. Umgang mit Qualitätssicherung, Compliance und
Risikomanagement / Integration mit HR-ORG und
SAP-IdM
5. Kosten-, Aufwandsbetrachtung und
Ressourcenverbrauch - gesicherte Grundlage für
eine Investitionsentscheidung
6. Zusammenfassung und weitere Schritte
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
STATUS QUO - ANALYSEPUNKTE
5
In der Regel: „Gewachsene intransparente Strukturen, „Mängel“ auf User-
Ebene (zu viele Rechte) , Sicherheitslücken und hoher administrativer
Aufwand
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
SOD-Analyse von Einzelrollen, Sammelrollen und Benutzer
IT-Risiken anhand von Funktionstrennungsvorschriften
Schwachstellen anhand der Empfehlungen des DSAG-Prüfleitfadens
Transaktionen in größeren Bandbreiten mit ihren Auswirkungen
Einhaltung der SAP®-Prüflogik bei Eigenentwicklungen
Verwendung des Sternwertes in sensitiven Feldern
Anzeigerollen mit Bearbeitungsaktivitäten
…….
BMON®-
BASIC+
Prüfung der
Rechte-
einstellungen
TOOLGESTÜTZTES KLASSISCHES VORGEHEN
6
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
Korrektur der Berechtigungen
durch Analyse der aktuellen Einstel-lungen mit Korrekturvorschlägen
(BMON®-Basic) - Coaching für dieeigene Umsetzung (SAP®-Standard)
hochgeringKorrekturbedarf
Berechtigungs-WorkshopBewertung des IST-Zustandes
(Prüfbericht) und Erarbeitung des optimalen individuellen Vorgehens
Redesign der Berechtigungen
durch ein toolgestütztes Redesign-Projekt (BMON®-RE) für neue Rollen
Ihres produktiven SAP®-Systems – aufBasis vorgefertigter Funktionsbausteine
Vereinfachung der Berechtigungspflegeund -zuordnung
durch turnusmäßige Prüfung mit Werkzeugen zurQualitätssicherung (z.B. mit BMON®-QSDOK oderSAP®-GRC/IdM)
nein
EINZELROLLEN DETAILAUSWERTUNG
7
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
TODO-LISTE BEARBEITEN (BENUTZERZUORDNUNG)
8
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
TOOLGESTÜTZTES REDESIGN
9
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
Korrektur der Berechtigungen
durch Analyse der aktuellen Einstel-lungen mit Korrekturvorschlägen
(BMON®-Basic) - Coaching für dieeigene Umsetzung (SAP®-Standard)
hochgeringKorrekturbedarf
Berechtigungs-WorkshopBewertung des IST-Zustandes
(Prüfbericht) und Erarbeitung des optimalen individuellen Vorgehens
Redesign der Berechtigungen
durch ein toolgestütztes Redesign-Projekt (BMON®-RE) für neue Rollen
Ihres produktiven SAP®-Systems – aufBasis vorgefertigter Funktionsbausteine
Vereinfachung der Berechtigungspflegeund -zuordnung
durch turnusmäßige Prüfung mit Werkzeugen zurQualitätssicherung (z.B. mit BMON®-QSDOK oderSAP®-GRC/IdM)
nein
10
REDESIGN-VERFAHREN
Redesign der Berechtigungen
durch automatisierte Redesign-Verfahrenim eigenen SAP-System
ProjektEigenleistungDuchführung
Redesign der Berechtigungen
durch ein toolgestütztesRedesign-Projekt
Redesign der
Berechtigungen
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
Betr
iebsw
irt-
schaft
liche
Pro
zess
rech
te
Rech
te p
ro
Unte
rnehm
ens-
funktion
Rech
te p
roArb
eitsp
latz
Rech
te p
roM
itarb
eiter
Einzelrolle :Debitor bearbeiten
Buchungskreis 002 Buchungskreis 002
Buchungskreis 001+002
BUKRS 001 Werk 100
Einzelrolle :Mahnwesen
Einzelrolle :Kreditor bearbeiten
Sammelrolle FK001:„Kreditorenbuchhaltung
D,A,CH“
Sammelrolle C:„???????“
Sammelrolle FD002:„Debitorenbuchhaltung A,CH“
Einzelrolle :Debitor bearbeiten
Buchungskreis 001
Sammelrolle FD001:„Debitorenbuchhaltung DE“
Einzelrolle :Mahnwesen
Buchungskreis 001 Buchungskreis 001+002
Einzelrolle :Zahlungsvorschlag
F-Baustein 1:
Debitor
bearbeiten
F-Baustein 2:
Mahnwesen
F-Baustein 3:
Kreditor
bearbeiten
F-Baustein 4:
Zahlung
F-Baustein 5:
Zahlungs-
vorschlag
F-Baustein 6:
???????
Einzelrolle XY
Wisse
ns-
date
nbank
toolb
asie
rte P
roje
kta
rbeit
SAP-S
tandard
STRUKTUR UND VORGEHEN BEIM BMON®-REDESIGN
11
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
UNTERNEHMENSFUNKTIONEN
12
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
BAUKASTENPRINZIP
13
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
Schublade: jede Einzelrolle repräsentiert eine klar abgegrenzte betriebliche Funktion
Jede Einzelrolle beinhaltet die benötigten Transaktionen sowie die abgrenzungsrelevanten
Org.-Daten (Berechtigungsobjekte / Felder / Werte)
BANF ErfassenBUKRS 012WERK 22
DebitorenBearbeitenBUKRS 011
DEB AbschlussBearbeitenBUKRS 011
DEB Mahnwes.BearbeitenBUKRS 011
BMON®-Schubladenkonzept
ARBEITSPLÄTZE DURCH BÜNDELUNG
14
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
Privileg1 X
ORG-Management
BANF ErfassenBUKRS 012WERK 22
DebitorenBearbeitenBUKRS 011
DEB AbschlussBearbeitenBUKRS 011
DEB Mahnwes.BearbeitenBUKRS 011
BMON®-Schubladenkonzept
Lokation 1
Bankbuchhaltung
Debitorenbuchhaltung
Rechnungsprüfung
Anfragen/Angebote
Bestandsführung
Lokation 2
Wareneingang
Bestandsführung
Debitorenbuchhaltung
Bankbuchhaltung
Anfragen/Angebote
15
TESTEN MIT DER METHODE
neue Rolle
alte Rolleneue Rolle
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
TOOLGESTÜTZTES REDESIGN
16
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
Korrektur der Berechtigungen
durch Analyse der aktuellen Einstel-lungen mit Korrekturvorschlägen
(BMON®-Basic) - Coaching für dieeigene Umsetzung (SAP®-Standard)
hochgeringKorrekturbedarf
Berechtigungs-WorkshopBewertung des IST-Zustandes
(Prüfbericht) und Erarbeitung des optimalen individuellen Vorgehens
Redesign der Berechtigungen
durch ein toolgestütztes Redesign-Projekt (BMON®-RE) für neue Rollen
Ihres produktiven SAP®-Systems – aufBasis vorgefertigter Funktionsbausteine
Vereinfachung der Berechtigungspflegeund -zuordnung
durch turnusmäßige Prüfung mit Werkzeugen zurQualitätssicherung (z.B. mit BMON®-QSDOK oderSAP®-GRC/IdM)
nein
17
REDESIGN-VERFAHREN
Redesign der Berechtigungen
durch automatisiertes Redesign-Verfahren
im eigenen SAP-System
ProjektEigenleistungDuchführung
Redesign der Berechtigungen
durch ein toolgestütztesRedesign-Projekt
Redesign der
Berechtigungen
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
18
Role Designer
REDESIGN MIT XAMS©
20
17
co
ns
on
oIT
/ do
bis
/ IBs
olu
tion
/ XIT
ING
19
XAMS-ROLLENDESIGN©
20
17
co
ns
on
oIT
/ do
bis
/ IBs
olu
tion
/ XIT
ING
20
ROLLENDESINGN UND VORLAGEROLLEN
SAP-BERECHTIGUNGSMANAGEMENT MIT XAMS
Xiting Role Designer
Virtuelles Rollendesigne durch einfachen „drag and drop“ nach „best practise“ mit
Unterstützung vieler Analyse- und Prüfreports inkl. Vorlagerollen und Best-Friends.
Durch den Einsatz werden Aufwände massiv reduziert und Fehlermöglichkeiten
eliminiert.
Übersicht der genutzten Transaktionen
und Verwendung in den Rollen
Übersicht der „virtuellen“ Rollen mit
beinhaltenden Transaktionen
Übersicht der Benutzer mit
„virtueller“ Rollenzuordnung und
entsprechendem Deckungsgrad
Die virtuellen Rollen können auf
kritische Berechtigungen und SoD
Konflikte überprüft werden.
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
EINFACHES ROLLEN-MANAGEMENT MIT BMON®-QSDOK
21
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
Korrektur der Berechtigungen
durch Analyse der aktuellen Einstel-lungen mit Korrekturvorschlägen
(BMON®-Basic) - Coaching für dieeigene Umsetzung (SAP®-Standard)
hochgeringKorrekturbedarf
Berechtigungs-WorkshopBewertung des IST-Zustandes
(Prüfbericht) und Erarbeitung des optimalen individuellen Vorgehens
Redesign der Berechtigungen
durch ein toolgestütztes Redesign-Projekt (BMON®-RE) für neue Rollen
Ihres produktiven SAP®-Systems – aufBasis vorgefertigter Funktionsbausteine
Vereinfachung der Berechtigungs-pflege und -zuordnung
durch turnusmäßige Prüfung mit Werkzeugen zurQualitätssicherung (z.B. mit BMON®-QSDOK oder
SAP®-GRC/IdM)
nein
SOD-Analyse von Einzelrollen, Sammelrollen und Benutzer
IT-Risiken anhand von Funktionstrennungsvorschriften
Schwachstellen anhand der Empfehlungen des DSAG-Prüfleitfadens
Transaktionen in größeren Bandbreiten mit ihren Auswirkungen
Einhaltung der SAP®-Prüflogik bei Eigenentwicklungen
Verwendung des Sternwertes in sensitiven Feldern
Anzeigerollen mit Bearbeitungsaktivitäten
Risikomanagement (Risikoreduzierung durch organisatorische Anweisungen, wenn keine Funktionstrennung möglich)
QUALITÄTSSICHERUNG DER ROLLENEINSTELLUNGEN
UND BENUTZERZUORDNUNGEN
22
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
RISIKOMANAGEMENT
23
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
RISIKOHERKUNFT
24
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
EINZELROLLENDARSTELLUNG
25
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
COMPLIANCE-MAßNAHME GENERIEREN
26
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
RISIKOSITUATION SAP-SYSTEME
27
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
IDENTITY-MANAGEMENTACCESS-MANAGEMENT
EINFÜHRUNGSEMPFEHLUNG CIAM
28
© 2
01
7c
on
so
no
IT / d
ob
is / IB
so
lutio
n / X
ITIN
G
1 2a 2b 3 54
RISK-MANAGEMENT
Kontakt: Rolf-Udo Gilbert
Email: [email protected]
Tel.: +49 173 21 75 794
www.dobis.de oder www.bmon.eu
dobis GmbH & Co. KG Emil-Figge-Str. 80 44227 Dortmund
REDESIGN DER SAP-
BERECHTIGUNGENEIN EFFIZIENTES VORGEHEN ZUM
EINFACHEN UND SICHEREN
ROLLENMANAGEMENT
