Nutzungsoptimierte Lizenzvergabe ADV Wien, Juni 2013

Transkript

1 Nutzungsoptimierte Lizenzvergabe ADV Wien, Juni 2013 wikima4 Produkte und Dienstleistungen für Compliant User Provisioning Role Factory Controls Management Audit Services

2 Agenda Kurze Firmenpräsentation wikima4 Transformation zur Informatik 4.0 Nutzungsgerechte Lizenzierung Lösungsvorschläge Zusammenfassung (C) wikima

3 wikima4 AG Hauptsitz wikima4 AG, Zug (CH) Entwicklungszentrum wikima4 SA, Vevey (CH) wikima4, gegründet 2001, ist ein führendes Schweizer Software- und Beratungsunternehmen im Bereich Sicherheit, Compliance, Prozessoptimierung und Identity Management. Seit 2007 Leitung IGSAP des ISACA Switzerland Chapter Seit 2003 Leitung SAP Roundtable Chancen und Risiken in SAP Systemen, Seit 2008 Leitung IG IT-Governance der SwissICT Seit 2013 Leitung DSAG Projektgruppe Schweiz/Suisse Réunion, Neumitgliedergewinnung Veranstaltungen zu Compliance & Sicherheit SAP/DSAG CCoE Forum 2013, Juni in Fuschl (Österreich) DSAG Jahreskongress 2013, September 2013, Nürnberg (Deutschland) L.S.Z Kongress, November 2013 in Loipersdorf (Österreich) Wir unterstützen tagtäglich unsere Kunden im Bestreben, ein sicheres Fundament für IT-Sicherheit und Compliance zu legen. (C) wikima

4 mesaforte & rolebee Value Chain Compliance/ SOD Security Intern/Extern Mining/ Optimisation Licence Optimisation RoleDesigner RoleTuner Regeln (General IT Controls, SAP FI, SAP SD/MM, GMP, IKS, esox..) Datenschutz Berechtigungsanalyse Nutzungsgerechte Verteilung Rollen Templates Kontinuierliche Prüfungen, Real time Schutz SLA Überwachung Risikomitigation Prozess Zuordnung Organisatorische Kalibrierung Schutz vor Hacking Portfoliomanagement Compliant Vertragsmanagement Rollen Ableitung (c) wikima

5 SAP License Management mit mesaforte Bringt Unternehmen in eine starke Verhandlungsposition Befähigt die korrekte Provisionierung von Lizenzen via SAP Identity Management Prüft die Nutzung von bestehenden Lizenzen und schlägt die ideale vor Zeigt die zukünftige Entwicklung und finanziellen Aspekte für benötigte SAP Lizenzen auf Mesaforte SAP License Management Stellt Lizenz Management Reports zur Verfügung Ermöglicht eine konforme Zuordnung von Lizenzen

6 Agenda wikima4 kurze Firmenpräsentation Transformation zur Informatik 4.0 Nutzungsgerechte Lizenzierung Lösungsvorschläge Zusammenfassung (C) wikima

7 Alte Welt/ Neue Welt

8 Wozu Industrie und Informatik 4.0? (C) wikima

9 Heutige Sicht - Komplexität! Stakeholders Business and risk management information Internal External Reporting & Disclosure process Board/ Committees Executive/Senior Management Shareholders Auditors Regulator Rating Agencies Oversight functions Data capture and analysis Risk Management Compliance Internal Audit Finance & Treasury Human Resources Legal Effizientes Non- Compliance Efficiency Management Business Units BU 1 BU 2 BU 3 BU 4 BU 5 BU 6 (C) wikima

10 Kollaboration Prozesse (Cloud/Outsourcing) BU 3 BU 5 Cloud Lizenzen (Externe) Automatisierung Outsourcer (Kosten) Inhouse Lizenzmanagement (C) wikima

11 Neue Herausforderungen Neue Businessmodelle wie Kollaboration in vielen Unternehmens Bereichen fordern eine flexiblere IT (Industrialisierung 4.0 mit Informatik 4.0) Cloud-Lösungen fordern ein Umdenken im Lizenzmanagement Von «alten» starren Lizenzmodellen hin zu nutzungsgerechten Ansätzen. Globalisierung fordert von Herstellern zunehmende Transparenz Ent-tabuisierung des Themas Lizenzkosten es wird diskutiert Wer tätigt das Lizenzgeschäft (Einkauf oder IT)? (c) wikima

12 Agenda wikima4 kurze Firmenpräsentation Transformation zur Informatik 4.0 Nutzungsgerechte Lizenzierung Lösungsvorschläge Zusammenfassung (C) wikima

13 Erwartungshaltung Nutzungsgerechte Lizenzmodelle...verrechnen nach den effektiv genutzten Prozessen...sind flexibel...sind günstiger...messen in realtime die Nutzung und passen die Preise auch nach unten an (C) wikima

14 Nutzung in SAP Systemen Nutzung in SAP Systemen wird aufgezeichnet Effektive Nutzung verwenden wir für folgende Bereiche Lizenz-Optimierung Portfolio-Management Berechtigungs-Optimierung Compliance-Prüfungen Prozess-Optimierung System-Hygiene (C) wikima

15 Haupttreiber für neue Ansätze Kosten Teil der Prozesskosten Outsourcing Compliance Vertragsmanagement Risiken von Nachlizenzierungen Strategie Flexibilität Dynamik (C) wikima

16 Agenda wikima4 kurze Firmenpräsentation Transformation zur Informatik 4.0 Nutzungsgerechte Lizenzierung Lösungsvorschläge Zusammenfassung (C) wikima

17 Vorgehensweise Mining Prozess-Dokumentation Maturitäts-Analyse (C) wikima

18 Analyse/Vorgehensweise Extrahieren der verwendeten Transaktionen aus den SAP Systemen mit mesaforte. Aktive Benutzer sind diejenigen, die während der Analyse-Periode Transaktionen verwendet haben. Verwenden der mesaforte Lizenzvermessung um festzustellen, welches Verbesserungs-/Einsparungs- Potential bei Lizenzen möglich ist. Feststellen ob es Lizenz-Inkonsistenzen gibt.

19 Lizenztypen (Beispiele) 05 Basis only (Basis users) 11 Multiclient/-System 52 mysap Professional 53 mysap Limited Professional 71 SPECIAL MODULE TYPE 1 72 SPECIAL MODULE TYPE 2 73 SPECIAL MODULE TYPE 3 74 SPECIAL MODULE TYPE 4 76 SPECIAL MODULE TYPE 6 77 SPECIAL MODULE TYPE test

20 Verteilung der Lizenzen auf Systemen Lizenztypen sind unterschiedlich auf den einzelnen Systemen verteilt

21 Anzahl aktiver und passiver Benutzer XP1: PP1: OP1: UP1: WP1: Benutzer total (davon 235 aktiv) Benutzer (davon 4302 aktiv) Benutzer (davon 691 aktiv) users (davon 1364 aktiv) 59 users (davon 31 aktiv) (in diesem Beispiel im Zeitraum zwischen Januar bis Juni 2013)

22 Nicht genutzte Lizenzen über alle Systeme 22

23 Einsparungspotential Die Lizenztypen Professional und Limited Professional weisen immer das grösste Einsparungspotential auf, (Preisspanne hoch). Je nach Verwendung von SAP-Transaktionen können Benutzer als Limited Professional klassifiziert werden, d.h. ein Wechsel in einen günstigeren Typ kann erfolgen. 23

24 Einsparpotential (C) wikima

25 Lizenzoptimimierung (total) (C) wikima

26 Einsparungspotential Beispiel (C) wikima

27 Prozess-Dokumentation Ausgangslage: Tätigkeiten der Benutzer/Abteilungen sind bekannt, man weiss, was sie im System nutzen Fragen: Entspricht diese Nutzung dem vorgesehenen Einsatz, Stellenbeschreibung, Aufgabengebiet? Entspricht diese Nutzung dem gewünschten Zustand? Könnte sich ein weiteres Einsparungspotential ergeben? (c) wikima

28 Weitere Aspekte System-Hygiene (Parameter-Einstellungen) Haben Benutzer die Berechtigungen, die sie auch tatsächlich verwenden? Rollen-Hygiene (Role Mining) Wieviel % einer Rolle werden effektiv genutzt? Benutzerhygiene Wie viele Benutzer sind aktiv? Prüfung Compliance (Rollen, Benutzer) Welche Auswirkungen hat dies auf die Compliance? (C) wikima

29 Maturitäts Analyse Eine Maturitäts-Analyse dient dazu, die weiteren möglichen Schritte aufzuzeigen. Bereiche in wir diese Analyse durchführen, sind: Prozess Transparenz Historische Altlasten Bereitschaft einer objektiven Betrachtungsweise Kommunikation der Business wie auch IT Anforderung Portfolio-Management (C) wikima

30 Mapping ISO/COSO (C) wikima

31 Weitere Schritte Benutzer-Abgleich (unterschiedliche Benutzerkennung)? Erzeugung Lizenz Excel-Tabelle (System/Benutzer/Lizenztyp) System-Hygiene (Parameter-Einstellungen) Rollen-Hygiene (Role Mining) Benutzer-Hygiene Prüfung Compliance (Rollen, Benutzer) (c) wikima

32 Kontinuierliche Verbesserung 3. Stufe Compliance Kontinuierliche Optimierung von Rollen /Zuweisungen (Qualitäts- Zyklus) -> Umfassende Compliance und Governance erreichen 2. Stufe Compliance Gegenprüfung/Verbesserung von Rollen/ Zuweisungen (Befähigungs- Zyklus) -> Erweiterte Compliance und Governance erreichen 1. Stufe Compliance Initiale Prüfung/Verbesserung Rollen und Zuweisungen (Verbesserungs- Zyklus) -> Grundlegende Compliance und Governance erreichen 32

33 Fazit Nutzungsorientierte Modelle werden Fuss fassen Benutzerströme müssen bekannt sein Maturität im Unternehmen nutzen Partnerschaftlich mit Lizenzgebern agieren Dank einer fundierten Wissensbasis (C) wikima

34 Fragen und Antworten Vielen Dank Priska Altorfer Managing Partner wikima4 AG Bahnhofstrasse 28 / 6304 Zug / Switzerland T: +41 (0) / F: +41 (0) mail@wikima4.com / (C) wikima wikima / Page 34

35 Purchase to Pay Order to Cash General Ledger Manage & Certify User Access Expense Management Operational Procedures Prozesstransparenz / Stakeholders Outsourcing Partners Finance / CFO GRC Officer CIO/IT Risk Management Human Resources Internal & External Audit Objects Hat jemand etw. geändert.? Transaktionen Kann jemand etw. sehen...? Master Data Sind die zu Grunde liegenden Daten korrekt.? Zugang zur Applications Kann sich jemand...? Appliktion/Prozess Konfiguration Erlauben unsere Systeme jemanden zu...? (C) wikima

36 Fazit Falsche oder irreführende Annahmen Durchgängige Technologie Verantwortlichkeiten Überforderte Verantwortliche Technik hat zu Überforderung geführt Change Management Überforderte externe Revisoren Kontrolle wurde nicht tief genug durchgeführt (C) wikima