Tool gestützte Berechtigungs- Optimierung als Basis zur Einführung von SAP GRC Access Control ALESSANDRO BANZER, XITING AG UWE SCHUBKEGEL, ALPIQ AG
SAP Access Control Agenda - Vorstellung Redner - Compliant Identity & Role Management (CIRM) - Success Story Alpiq AG - Vorteile von SAP GRC Access Control - SOD Management Prozess - Key Messages Seite 2
Vorstellung Redner Alessandro Banzer SAP Senior Security Consultant, Xiting AG Ausbildungen: - Informatiker mit Schwerpunkt IT Applications - Wirtschaftsinformatikstudium Erfahrung: - ERP-Erfahrung seit 2008 - SAP seit 2010 Sonstiges: - SAP Certified Application Associate SAP GRC Access Control - SAP SCN Moderator Governance, Risk and Compliance - SAP SCN Topic Leader SAP GRC - SAP SCN Member of the month October 2014 Seite 3
Vorstellung Redner Uwe Schubkegel Head ERP applications Alpiq AG Seite 4
CIRM SAP Access Control Compliant Identity & Role Management (CIRM) Seite 5
Success Story Schnelles und Revisionskonformes Redesign der SAP Berechtigungen mit XAMS Uwe Schubkegel, Head ERP Applications
ALPIQ IN KÜRZE In über 20 Ländern Europas präsent Rund 8 300 Mitarbeitende (Energy Services: 6 900) Umsatz: 8 058 Millionen CHF Installierte Leistung: rund 6 400 MW Produktion: rund 16 300 GWh (CH: rund 70 %) Versorgt ein Drittel der Schweiz mit Strom Hauptsitz in Lausanne Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 7
STROMPRODUKTION NACH ERZEUGUNGSART 541 GWh 5 280 GWh Produktion Alpiq (16 307 GWh) 4 249 GWh Wasserkraft 32 % Kernenergie 38 % Thermisch 26 % Neue erneuerbare 3 % 6 238 GWh Quelle: Geschäftsbericht 2014 Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 8
HINTERGRUND ZUM PROJEKT ONESAP Zwei SAP ERP Umgebungen aus Zeiten vor dem Merger ATEL + EOS = ALPIQ Das Project OneSAP startet in 2012 Phase 1: beide Systeme ERP 5.05 ERP 6.06, per 1.1.2014 arbeiten die Benutzer aber noch in getrennten Systemen Phase 2: alle Gesellschaften arbeiten mit dem gleichen Kontenplan, per 1.4.2014, aber immer noch in 2 Systemen Phase 3: alle Gesellschaften (ca. 140 Buchungskreise) arbeiten per 1.1.2015 mit gemeinsamen Prozessen auf einer SAP Landschaft ( OneSAP System) Das Projekt wird aus dem Business mit einem externen Dienstleister mehr oder weniger ohne die interne IT geführt. Im Juli 2014 wird die interne IT beauftragt, das Berechtigungskonzept aus OneSAP zu implementieren Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 9
PROJEKTZIELE UND UNTERNEHMENSNUTZEN Zusammenführung mehrerer SAP ERP Systeme zu einem zentralen ERP System Neustrukturierung der SAP-Berechtigungen Redesign der Berechtigungen für die Module : FI, CO, MM, SD, TR und das HCM System Automatisierte Erstellung eines Best-practice basierten Berechtigungskonzeptes Höhere Effektivität Kostenreduzierung Zeitersparnis Offen für weitere SAP Produkte, wie BW, BPC Reduzierung des Aufwandes für das IT-Audit 2015 Nachhaltig sicherer GO-LIVE Revisionskonforme SAP-Berechtigungen Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 10
HERAUSFORDERUNG SAP COE im Aufbau Kein interner Know-how Träger seit 31.3.2014 Neuer SAP Security MA startet per 1.11.2014 OneSAP Zielsystem schon seit 1.1.2014 produktiv - Enger Projektzeitplan von 3 Monaten (User acceptance test in 10/2015) - Konsolidierung mehrerer ERP-Systeme auf ein neues ERP-System basierend auf 2 komplett unterschiedlichen Berechtigungskonzepten - Fristgerechte Produktivsetzung der relevanten Rollen (Golive 1.1.2015) - Einhaltung des neuen Berechtigungskonzeptes beim Redesign - Gewährleistung der Produktivität Key User testmüde OneSAP Berechtigungskonzept umfasste nur FI Budget für den Berechtigungsteil extrem klein Internal Audit höchst kritisch - Ein professioneller Partner muss helfen. - Das funktioniert nur toolgestützt. Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 11
PROJEKTABLAUF MIT XAMS Durchführung des Redesigns gemäss best practice Vorgehensweise der Xiting unter Nutzung des Werkzeugs Xiting Authorizations Management Suite (XAMS) Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 12
PROJEKTABLAUF MIT XAMS August September Oktober November (Dezember) Januar 2015 Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 13
ERGEBNISSE Erfolgreiches Redesign von IKS konformen Jobrollen mit der einfachen Möglichkeit SAP GRC und / oder SAP IDM schnell einführen zu können. Reduzierung & Optimierung der Rollen. Gelöste Audit findings: - Transparenz: 340 statt > 1 000 Rollen in Produktion, klar strukturiert - Transparenz: 100%ige Integration in IAM Prozess jetzt möglich - Zu viele Berechtigungen: User haben jetzt passende Rollen - Zuständigkeit: jede Rolle gehört einem Business Prozess-Owner - Berechtigungskonzept passt zur Ist-Situation im System Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 14
ERGEBNISSE Pflegeaufwand Rollen und Berechtigungen Von 1.5 FTE intern plus 3 Externe nach Bedarf 1 FTE intern (plus Backup) Geschwindigkeit und Aufwand bei der Zuordnung Von 3-4 Tagen je Antrag auf wenige Stunden Klarheit beim Antragsteller (weniger, aber klare Rollen) Toolgestützt Nachhaltigkeit Keine Rückfragen durch SAP Berechtigungsadministrator Konsequente Nutzung XAMS sichert dauerhafte Einsparungen, nicht nur im Projekt (RUN Kosten) Keine Schnellschüsse notwendig Konzept bleibt eingehalten Auditierbarkeit Konzept auf Knopfdruck aktuell vorhanden (Security Architect ) passt immer zum System SoD Prüfungen implementiert Firefighter Funktionalität (Xiting Times) Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 15
CIRM SAP Access Control Compliant Identity & Role Management (CIRM) Seite 16
SAP Access Control Vorteile von SAP Access Control Risiko Erkennung Pro-Aktive Risiko-Erkennung und Beseitigung Zentralisierte Mitigationen für User und Rollen Personalisiertes Regelwerk Operational Excellence Reduktion der Durchlaufs Zeiten Frühzeitige Erkennung von SOD Risiken Schnell verfügbares Firefighting Berechtigungen können individuell beantragt werden Automatisierung Automatisierte Benutzer Provisionierungs- Workflows Integrierte Compliance Prüfung Periodische Benutzer Überprüfungen Automatisierte SOD Beseitigung Workflows Seite 17
SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Phase 1 Phase 2 Phase 3 Risiko identifizieren Identifikation des zu überwachenden Risikos Bestätigung des Risikos Klassifizierung des Risikos Regeln bilden Übersetzen des Business Risikos in SAP Access Control Identifikation von Transaktionen und Berechtigungsobjekten Ausarbeiten technischer Regeln zur Überprüfung der Verletzung Validierung der Regeln (Test Cases) Seite 18
SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Analyse Phase 1 Phase 2 Phase 3 SAP GRC führt die fachliche Compliance Prüfung aus SAP GRC prüft: Risiken auf Benutzer Ebene Risiken auf Rollen Ebene Risiken auf Profil Ebene Risiken auf HR Objekten Seite 19
SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Phase 1 Phase 2 Phase 3 Einschränken des Risikos Zwei Möglichkeiten zur Einschränkung von Risiken Beseitigung Mitigation / Minderung Seite 20
SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Phase 1 Phase 2 Phase 3 Beseitigung Berechtigungsdesign ist essentiell zur Beseitigung von Risiken Beseitigung von innen nach aussen Benutzern Positionen Benutzer Rollen Sammel Rollen Einzel Rollen Seite 21
SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Mitigation Phase 1 Phase 2 Phase 3 Mitigationen bzw. deren kompensierenden Kontrollen müssen intern definiert und dokumentiert werden Technische Mitigation von Benutzern / Rollen im SAP Access Control Beispiele von kompensierenden Kontrollen Zweite Unterschrift Autorisieren von Bank Zahlungen, Bestellungen, etc. mit mind. 2 Unterschriften Änderungsbelege von Buchungskonten periodisch überprüfen Stichprobenprüfung Seite 22
SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Betrieb Phase 1 Phase 2 Phase 3 Simulationen an Benutzer und Rollen Überwachen von SOD Konflikten Ad-hoc Risiko Überprüfung im Provisionierungs Prozess (ARM) Firefighting Periodische Benutzerüberprüfung mittels Workflows Automatisches Alerting beim Eintreten von Risiken / SODs Reporting Seite 23
Key Messages Und das sind die 3 wichtigsten Dinge die Sie sich merken müssen: - Berechtigungen gehören in den Scope eines jeden SAP Projektes - Einsatz eines Tools spart dramatisch im Projekt aber vor allem im Betrieb - Die Vorgehensweise der Xiting plus Einsatz von XAMS haben einen geräuschlosen Go-Live erlaubt, ohne die betroffenen Benutzer mit langwierigen Tests zu beschäftigen Seite 24
Question & Answers Noch Fragen? Seite 25