Tool gestützte Berechtigungs- Optimierung als Basis zur Einführung von SAP GRC Access Control

Größe: px

Ab Seite anzeigen:

Download "Tool gestützte Berechtigungs- Optimierung als Basis zur Einführung von SAP GRC Access Control"

Gotthilf Bertold Maurer
vor 8 Jahren
Abrufe

1 Tool gestützte Berechtigungs- Optimierung als Basis zur Einführung von SAP GRC Access Control ALESSANDRO BANZER, XITING AG UWE SCHUBKEGEL, ALPIQ AG

2 SAP Access Control Agenda - Vorstellung Redner - Compliant Identity & Role Management (CIRM) - Success Story Alpiq AG - Vorteile von SAP GRC Access Control - SOD Management Prozess - Key Messages Seite 2

3 Vorstellung Redner Alessandro Banzer SAP Senior Security Consultant, Xiting AG Ausbildungen: - Informatiker mit Schwerpunkt IT Applications - Wirtschaftsinformatikstudium Erfahrung: - ERP-Erfahrung seit SAP seit 2010 Sonstiges: - SAP Certified Application Associate SAP GRC Access Control - SAP SCN Moderator Governance, Risk and Compliance - SAP SCN Topic Leader SAP GRC - SAP SCN Member of the month October 2014 Seite 3

4 Vorstellung Redner Uwe Schubkegel Head ERP applications Alpiq AG Seite 4

5 CIRM SAP Access Control Compliant Identity & Role Management (CIRM) Seite 5

6 Success Story Schnelles und Revisionskonformes Redesign der SAP Berechtigungen mit XAMS Uwe Schubkegel, Head ERP Applications

7 ALPIQ IN KÜRZE In über 20 Ländern Europas präsent Rund Mitarbeitende (Energy Services: 6 900) Umsatz: Millionen CHF Installierte Leistung: rund MW Produktion: rund GWh (CH: rund 70 %) Versorgt ein Drittel der Schweiz mit Strom Hauptsitz in Lausanne Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 7

8 STROMPRODUKTION NACH ERZEUGUNGSART 541 GWh GWh Produktion Alpiq ( GWh) GWh Wasserkraft 32 % Kernenergie 38 % Thermisch 26 % Neue erneuerbare 3 % GWh Quelle: Geschäftsbericht 2014 Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 8

9 HINTERGRUND ZUM PROJEKT ONESAP Zwei SAP ERP Umgebungen aus Zeiten vor dem Merger ATEL + EOS = ALPIQ Das Project OneSAP startet in 2012 Phase 1: beide Systeme ERP 5.05 ERP 6.06, per arbeiten die Benutzer aber noch in getrennten Systemen Phase 2: alle Gesellschaften arbeiten mit dem gleichen Kontenplan, per , aber immer noch in 2 Systemen Phase 3: alle Gesellschaften (ca. 140 Buchungskreise) arbeiten per mit gemeinsamen Prozessen auf einer SAP Landschaft ( OneSAP System) Das Projekt wird aus dem Business mit einem externen Dienstleister mehr oder weniger ohne die interne IT geführt. Im Juli 2014 wird die interne IT beauftragt, das Berechtigungskonzept aus OneSAP zu implementieren Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 9

10 PROJEKTZIELE UND UNTERNEHMENSNUTZEN Zusammenführung mehrerer SAP ERP Systeme zu einem zentralen ERP System Neustrukturierung der SAP-Berechtigungen Redesign der Berechtigungen für die Module : FI, CO, MM, SD, TR und das HCM System Automatisierte Erstellung eines Best-practice basierten Berechtigungskonzeptes Höhere Effektivität Kostenreduzierung Zeitersparnis Offen für weitere SAP Produkte, wie BW, BPC Reduzierung des Aufwandes für das IT-Audit 2015 Nachhaltig sicherer GO-LIVE Revisionskonforme SAP-Berechtigungen Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 10

HERAUSFORDERUNG SAP COE im Aufbau Kein interner Know-how Träger seit 31.

11 HERAUSFORDERUNG SAP COE im Aufbau Kein interner Know-how Träger seit Neuer SAP Security MA startet per OneSAP Zielsystem schon seit produktiv - Enger Projektzeitplan von 3 Monaten (User acceptance test in 10/2015) - Konsolidierung mehrerer ERP-Systeme auf ein neues ERP-System basierend auf 2 komplett unterschiedlichen Berechtigungskonzepten - Fristgerechte Produktivsetzung der relevanten Rollen (Golive ) - Einhaltung des neuen Berechtigungskonzeptes beim Redesign - Gewährleistung der Produktivität Key User testmüde OneSAP Berechtigungskonzept umfasste nur FI Budget für den Berechtigungsteil extrem klein Internal Audit höchst kritisch - Ein professioneller Partner muss helfen. - Das funktioniert nur toolgestützt. Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 11

12 PROJEKTABLAUF MIT XAMS Durchführung des Redesigns gemäss best practice Vorgehensweise der Xiting unter Nutzung des Werkzeugs Xiting Authorizations Management Suite (XAMS) Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 12

13 PROJEKTABLAUF MIT XAMS August September Oktober November (Dezember) Januar 2015 Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 13

14 ERGEBNISSE Erfolgreiches Redesign von IKS konformen Jobrollen mit der einfachen Möglichkeit SAP GRC und / oder SAP IDM schnell einführen zu können. Reduzierung & Optimierung der Rollen. Gelöste Audit findings: - Transparenz: 340 statt > Rollen in Produktion, klar strukturiert - Transparenz: 100%ige Integration in IAM Prozess jetzt möglich - Zu viele Berechtigungen: User haben jetzt passende Rollen - Zuständigkeit: jede Rolle gehört einem Business Prozess-Owner - Berechtigungskonzept passt zur Ist-Situation im System Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 14

15 ERGEBNISSE Pflegeaufwand Rollen und Berechtigungen Von 1.5 FTE intern plus 3 Externe nach Bedarf 1 FTE intern (plus Backup) Geschwindigkeit und Aufwand bei der Zuordnung Von 3-4 Tagen je Antrag auf wenige Stunden Klarheit beim Antragsteller (weniger, aber klare Rollen) Toolgestützt Nachhaltigkeit Keine Rückfragen durch SAP Berechtigungsadministrator Konsequente Nutzung XAMS sichert dauerhafte Einsparungen, nicht nur im Projekt (RUN Kosten) Keine Schnellschüsse notwendig Konzept bleibt eingehalten Auditierbarkeit Konzept auf Knopfdruck aktuell vorhanden (Security Architect ) passt immer zum System SoD Prüfungen implementiert Firefighter Funktionalität (Xiting Times) Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 15

16 CIRM SAP Access Control Compliant Identity & Role Management (CIRM) Seite 16

17 SAP Access Control Vorteile von SAP Access Control Risiko Erkennung Pro-Aktive Risiko-Erkennung und Beseitigung Zentralisierte Mitigationen für User und Rollen Personalisiertes Regelwerk Operational Excellence Reduktion der Durchlaufs Zeiten Frühzeitige Erkennung von SOD Risiken Schnell verfügbares Firefighting Berechtigungen können individuell beantragt werden Automatisierung Automatisierte Benutzer Provisionierungs- Workflows Integrierte Compliance Prüfung Periodische Benutzer Überprüfungen Automatisierte SOD Beseitigung Workflows Seite 17

18 SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Phase 1 Phase 2 Phase 3 Risiko identifizieren Identifikation des zu überwachenden Risikos Bestätigung des Risikos Klassifizierung des Risikos Regeln bilden Übersetzen des Business Risikos in SAP Access Control Identifikation von Transaktionen und Berechtigungsobjekten Ausarbeiten technischer Regeln zur Überprüfung der Verletzung Validierung der Regeln (Test Cases) Seite 18

SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Analyse Phase 1 Phase 2 Phase 3 SAP GRC führt

19 SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Analyse Phase 1 Phase 2 Phase 3 SAP GRC führt die fachliche Compliance Prüfung aus SAP GRC prüft: Risiken auf Benutzer Ebene Risiken auf Rollen Ebene Risiken auf Profil Ebene Risiken auf HR Objekten Seite 19

20 SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Phase 1 Phase 2 Phase 3 Einschränken des Risikos Zwei Möglichkeiten zur Einschränkung von Risiken Beseitigung Mitigation / Minderung Seite 20

21 SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Phase 1 Phase 2 Phase 3 Beseitigung Berechtigungsdesign ist essentiell zur Beseitigung von Risiken Beseitigung von innen nach aussen Benutzern Positionen Benutzer Rollen Sammel Rollen Einzel Rollen Seite 21

22 SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Mitigation Phase 1 Phase 2 Phase 3 Mitigationen bzw. deren kompensierenden Kontrollen müssen intern definiert und dokumentiert werden Technische Mitigation von Benutzern / Rollen im SAP Access Control Beispiele von kompensierenden Kontrollen Zweite Unterschrift Autorisieren von Bank Zahlungen, Bestellungen, etc. mit mind. 2 Unterschriften Änderungsbelege von Buchungskonten periodisch überprüfen Stichprobenprüfung Seite 22

23 SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Betrieb Phase 1 Phase 2 Phase 3 Simulationen an Benutzer und Rollen Überwachen von SOD Konflikten Ad-hoc Risiko Überprüfung im Provisionierungs Prozess (ARM) Firefighting Periodische Benutzerüberprüfung mittels Workflows Automatisches Alerting beim Eintreten von Risiken / SODs Reporting Seite 23

24 Key Messages Und das sind die 3 wichtigsten Dinge die Sie sich merken müssen: - Berechtigungen gehören in den Scope eines jeden SAP Projektes - Einsatz eines Tools spart dramatisch im Projekt aber vor allem im Betrieb - Die Vorgehensweise der Xiting plus Einsatz von XAMS haben einen geräuschlosen Go-Live erlaubt, ohne die betroffenen Benutzer mit langwierigen Tests zu beschäftigen Seite 24

25 Question & Answers Noch Fragen? Seite 25

Ähnliche Dokumente

MHP Auditmanagement Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung!

MHP Auditmanagement Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung! 2015 Mieschke Hofmann und Partner Gesellschaft für Management- und IT-Beratung mbh Agenda Motivation MHP Lösung