Tool gestützte Berechtigungs- Optimierung als Basis zur Einführung von SAP GRC Access Control

Ähnliche Dokumente
MHP Auditmanagement Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung!

SAP LIZENZMANAGEMENT. SAP-Lizenzberatung zum Festpreis

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

wikima4 mesaforte firefighter for SAP Applications

Sicherheit auch für SAP

IDENTITY & ACCESS MANAGEMENT. Marc Burkhard CEO

SERVICE SUCHE ZUR UNTERSTÜTZUNG

Toolgestütztes Redesign der SAP HCM Zeitwirtschaft mit dem Schemenanalyzer Zeitwirtschaft. LM CONSULTING GMBH im AdManus Beratungsnetzwerk

SAP-Systemsicherheit und Content-Security Continuous Monitoring

CellCo integrated Rules & Regulations

IDV Assessment- und Migration Factory für Banken und Versicherungen

Neue Wege im Berechtigungswesen: Einführung von SAP Identity Management bei der BARMER GEK

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Rechtssichere -Archivierung

Herzlich willkommen! SIEVERS-SNC - IT mit Zukunft.

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

MHP Audit Process Optimization Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung!

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

G+H SoftwareSolutions Oktober Software zur unternehmensweiten Identitäts- und Berechtigungsüberprüfung

Integrierter IKS-, Risiko- und Verlustmanagementprozess bei der Freiburger Kantonalbank.

Euler Hermes SmartLink

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen. Wir bringen Qualität. Wir beraten Sie. Wir unterstützen Sie. Wir schaffen Lösungen

Kostenstellen verwalten. Tipps & Tricks

Erfolgreiche Realisierung von grossen Softwareprojekten

Success Story. Einführung des SAP Berechtigungs konzeptes in ausgewählten Bereichen beim Photovoltaikunternehmen

Identity Management Service-Orientierung Martin Kuppinger, KCP

RMeasy das SAP IS U Add On für Versorgungsunternehmen. Optimieren Sie Ihre Prozesse in Kundengewinnung und Kundenbindung.

SSZ Policy und IAM Strategie BIT

Arbeitsvorbereitung Stand nach 9 Jahren

Know & Decide das Werkzeug für Manager auf dem iphone

6. Oracle DWH Community Mainz Koexistenz SAP BW und mit unternehmensweitem zentralen DWH

Muster-Angebotsinformation

IT-Unterstützung Umfrage zur Zufriedenheit der IT-Unterstützung im HR-Bereich

Compliant Identity Management bei Daimler

agens 2009 Sicherheit als Bestandteil eines integrierten Compliance Systems aus betriebswirtschaftlicher Sicht

Sind Sie fit für neue Software?

Automatisierung eines ISMS nach ISO mit RSA Archer

SIRIUS virtual engineering GmbH

Informationssicherheit als Outsourcing Kandidat

Informatik 2 Labor 2 Programmieren in MATLAB Georg Richter

Identity Management an der Freien Universität Berlin

RÜSTZEITEN SENKEN, PRODUKTION BESCHLEUNIGEN DER SMED-PRAXIS-WORKSHOP IN IHREM HAUS

Wozu Identitäts- und Berechtigungsmanagement? Alle Wege führen zum IAM.

Unsere Produkte. Wir automatisieren Ihren Waren- und Informationsfluss. Wir unterstützen Ihren Verkaufsaußendienst.

BuP

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

Naturgewalten & Risikoempfinden

Festpreispaket. Testautomatisierung in der Abrechnung in SAP HCM

Lieferantenintegration via Open Catalog Interface (OCI)


HowTo: Einrichtung & Management von APs mittels des DWC-1000

Workshops. Gewinnen Sie mehr Zeit und Qualität im Umgang mit Ihrem Wissen

Unsere Produkte. Wir automatisieren Ihren Waren- und Informationsfluss. Wir unterstützen Ihren Verkaufsaußendienst.

Kompetenz. rund um. Ihren. Entwicklungsprozess. Über uns. Technische Software. Modellbasierter Test. Prüfplätze. Automatisierung.

Governance, Risk & Compliance für den Mittelstand

Wir erledigen alles sofort. Warum Qualität, Risikomanagement, Gebrauchstauglichkeit und Dokumentation nach jeder Iteration fertig sind.

VEDA Managed Services IBM POWER SYSTEMS

SAP S/4HANA Finance Geschäftsabläufe vereinfachen. Hannelore Lang, SAP Deutschland SE & Co. KG Leipzig, 28. Oktober 2015

IBS - Smart Repair. Risiken in Ihrem IT- oder SAP -System? IBS - Smart Repair bietet Ihnen schnelle und kostengünstige Hilfestellung!

J e t z t h e l f e i c h m i r s e l b s t S A P S o l u t i o n M a n a g e r o p t i m a l e i n s e t z e n Hintergrund Ihr Nutzen

CheckAud for SAP Systems

Effizienterer Zahlungsverkehr dank SAP-Integration

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

statuscheck im Unternehmen

Identity Maturity Assessment

First Climate AG IT Consulting und Support. Information Security Management System nach ISO/IEC 27001:2013 AUDIT REVISION BERATUNG

Executive Information. «Setup and forget it!» So automatisieren Sie Ihr Datacenter mit dem Microsoft System Center Orchestrator 2012.

Urlaubsregel in David

Cad-OasEs Int. GmbH. 20 Jahre UG/NX Erfahrung prägen Methodik und Leistungen. Nutzen Sie dieses Wissen!

Rollen, Prozesse und Regeln als Voraussetzung für IT-Grundschutz

Gefahrstoffmanagement in Kraftwerken

Wir organisieren Ihre Sicherheit

Umfrage zum praktischen Einsatz von Change Management

Leichte-Sprache-Bilder

Risiko- und Compliancemanagement mit

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd

Zugriff auf Unternehmensdaten über Mobilgeräte

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Task: Nmap Skripte ausführen

Operational Excellence Effizienzoptimierung und Qualitätssteigerung mit Lean Sigma in der IT

MehrWert durch IT. REALTECH Assessment Services für SAP Kosten und Performance Optimierung durch Marktvergleich

Lead Architects Forum Architekten im Dialog zu ILOG BRMS Moderation: Lars Klein, S&D

Leitfaden zur Durchführung eines Jahreswechsels in BüroWARE 5.x

Die CLC-Mitarbeiterbefragung. Eine solide Datenbasis für Ihre Unternehmensentwicklung.

Integrierte IT Portfolioplanung

Projektbericht. Aufbau & Implementierung eines neuen Identity & Access- Management Systems basierend auf den Forefront Identity Manager 2010

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

Erfahrungsbericht ISIS der Firmen OrgaTech und Accel

e-books aus der EBL-Datenbank

Installationsanleitung Webhost Windows Flex

Wichtige Information zur Verwendung von CS-TING Version 9 für Microsoft Word 2000 (und höher)

Projektcontrolling in der Praxis

Transkript:

Tool gestützte Berechtigungs- Optimierung als Basis zur Einführung von SAP GRC Access Control ALESSANDRO BANZER, XITING AG UWE SCHUBKEGEL, ALPIQ AG

SAP Access Control Agenda - Vorstellung Redner - Compliant Identity & Role Management (CIRM) - Success Story Alpiq AG - Vorteile von SAP GRC Access Control - SOD Management Prozess - Key Messages Seite 2

Vorstellung Redner Alessandro Banzer SAP Senior Security Consultant, Xiting AG Ausbildungen: - Informatiker mit Schwerpunkt IT Applications - Wirtschaftsinformatikstudium Erfahrung: - ERP-Erfahrung seit 2008 - SAP seit 2010 Sonstiges: - SAP Certified Application Associate SAP GRC Access Control - SAP SCN Moderator Governance, Risk and Compliance - SAP SCN Topic Leader SAP GRC - SAP SCN Member of the month October 2014 Seite 3

Vorstellung Redner Uwe Schubkegel Head ERP applications Alpiq AG Seite 4

CIRM SAP Access Control Compliant Identity & Role Management (CIRM) Seite 5

Success Story Schnelles und Revisionskonformes Redesign der SAP Berechtigungen mit XAMS Uwe Schubkegel, Head ERP Applications

ALPIQ IN KÜRZE In über 20 Ländern Europas präsent Rund 8 300 Mitarbeitende (Energy Services: 6 900) Umsatz: 8 058 Millionen CHF Installierte Leistung: rund 6 400 MW Produktion: rund 16 300 GWh (CH: rund 70 %) Versorgt ein Drittel der Schweiz mit Strom Hauptsitz in Lausanne Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 7

STROMPRODUKTION NACH ERZEUGUNGSART 541 GWh 5 280 GWh Produktion Alpiq (16 307 GWh) 4 249 GWh Wasserkraft 32 % Kernenergie 38 % Thermisch 26 % Neue erneuerbare 3 % 6 238 GWh Quelle: Geschäftsbericht 2014 Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 8

HINTERGRUND ZUM PROJEKT ONESAP Zwei SAP ERP Umgebungen aus Zeiten vor dem Merger ATEL + EOS = ALPIQ Das Project OneSAP startet in 2012 Phase 1: beide Systeme ERP 5.05 ERP 6.06, per 1.1.2014 arbeiten die Benutzer aber noch in getrennten Systemen Phase 2: alle Gesellschaften arbeiten mit dem gleichen Kontenplan, per 1.4.2014, aber immer noch in 2 Systemen Phase 3: alle Gesellschaften (ca. 140 Buchungskreise) arbeiten per 1.1.2015 mit gemeinsamen Prozessen auf einer SAP Landschaft ( OneSAP System) Das Projekt wird aus dem Business mit einem externen Dienstleister mehr oder weniger ohne die interne IT geführt. Im Juli 2014 wird die interne IT beauftragt, das Berechtigungskonzept aus OneSAP zu implementieren Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 9

PROJEKTZIELE UND UNTERNEHMENSNUTZEN Zusammenführung mehrerer SAP ERP Systeme zu einem zentralen ERP System Neustrukturierung der SAP-Berechtigungen Redesign der Berechtigungen für die Module : FI, CO, MM, SD, TR und das HCM System Automatisierte Erstellung eines Best-practice basierten Berechtigungskonzeptes Höhere Effektivität Kostenreduzierung Zeitersparnis Offen für weitere SAP Produkte, wie BW, BPC Reduzierung des Aufwandes für das IT-Audit 2015 Nachhaltig sicherer GO-LIVE Revisionskonforme SAP-Berechtigungen Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 10

HERAUSFORDERUNG SAP COE im Aufbau Kein interner Know-how Träger seit 31.3.2014 Neuer SAP Security MA startet per 1.11.2014 OneSAP Zielsystem schon seit 1.1.2014 produktiv - Enger Projektzeitplan von 3 Monaten (User acceptance test in 10/2015) - Konsolidierung mehrerer ERP-Systeme auf ein neues ERP-System basierend auf 2 komplett unterschiedlichen Berechtigungskonzepten - Fristgerechte Produktivsetzung der relevanten Rollen (Golive 1.1.2015) - Einhaltung des neuen Berechtigungskonzeptes beim Redesign - Gewährleistung der Produktivität Key User testmüde OneSAP Berechtigungskonzept umfasste nur FI Budget für den Berechtigungsteil extrem klein Internal Audit höchst kritisch - Ein professioneller Partner muss helfen. - Das funktioniert nur toolgestützt. Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 11

PROJEKTABLAUF MIT XAMS Durchführung des Redesigns gemäss best practice Vorgehensweise der Xiting unter Nutzung des Werkzeugs Xiting Authorizations Management Suite (XAMS) Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 12

PROJEKTABLAUF MIT XAMS August September Oktober November (Dezember) Januar 2015 Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 13

ERGEBNISSE Erfolgreiches Redesign von IKS konformen Jobrollen mit der einfachen Möglichkeit SAP GRC und / oder SAP IDM schnell einführen zu können. Reduzierung & Optimierung der Rollen. Gelöste Audit findings: - Transparenz: 340 statt > 1 000 Rollen in Produktion, klar strukturiert - Transparenz: 100%ige Integration in IAM Prozess jetzt möglich - Zu viele Berechtigungen: User haben jetzt passende Rollen - Zuständigkeit: jede Rolle gehört einem Business Prozess-Owner - Berechtigungskonzept passt zur Ist-Situation im System Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 14

ERGEBNISSE Pflegeaufwand Rollen und Berechtigungen Von 1.5 FTE intern plus 3 Externe nach Bedarf 1 FTE intern (plus Backup) Geschwindigkeit und Aufwand bei der Zuordnung Von 3-4 Tagen je Antrag auf wenige Stunden Klarheit beim Antragsteller (weniger, aber klare Rollen) Toolgestützt Nachhaltigkeit Keine Rückfragen durch SAP Berechtigungsadministrator Konsequente Nutzung XAMS sichert dauerhafte Einsparungen, nicht nur im Projekt (RUN Kosten) Keine Schnellschüsse notwendig Konzept bleibt eingehalten Auditierbarkeit Konzept auf Knopfdruck aktuell vorhanden (Security Architect ) passt immer zum System SoD Prüfungen implementiert Firefighter Funktionalität (Xiting Times) Uwe Schubkegel Schnelles und Revisionskonformes Redesign mit XAMS 15

CIRM SAP Access Control Compliant Identity & Role Management (CIRM) Seite 16

SAP Access Control Vorteile von SAP Access Control Risiko Erkennung Pro-Aktive Risiko-Erkennung und Beseitigung Zentralisierte Mitigationen für User und Rollen Personalisiertes Regelwerk Operational Excellence Reduktion der Durchlaufs Zeiten Frühzeitige Erkennung von SOD Risiken Schnell verfügbares Firefighting Berechtigungen können individuell beantragt werden Automatisierung Automatisierte Benutzer Provisionierungs- Workflows Integrierte Compliance Prüfung Periodische Benutzer Überprüfungen Automatisierte SOD Beseitigung Workflows Seite 17

SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Phase 1 Phase 2 Phase 3 Risiko identifizieren Identifikation des zu überwachenden Risikos Bestätigung des Risikos Klassifizierung des Risikos Regeln bilden Übersetzen des Business Risikos in SAP Access Control Identifikation von Transaktionen und Berechtigungsobjekten Ausarbeiten technischer Regeln zur Überprüfung der Verletzung Validierung der Regeln (Test Cases) Seite 18

SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Analyse Phase 1 Phase 2 Phase 3 SAP GRC führt die fachliche Compliance Prüfung aus SAP GRC prüft: Risiken auf Benutzer Ebene Risiken auf Rollen Ebene Risiken auf Profil Ebene Risiken auf HR Objekten Seite 19

SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Phase 1 Phase 2 Phase 3 Einschränken des Risikos Zwei Möglichkeiten zur Einschränkung von Risiken Beseitigung Mitigation / Minderung Seite 20

SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Phase 1 Phase 2 Phase 3 Beseitigung Berechtigungsdesign ist essentiell zur Beseitigung von Risiken Beseitigung von innen nach aussen Benutzern Positionen Benutzer Rollen Sammel Rollen Einzel Rollen Seite 21

SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Mitigation Phase 1 Phase 2 Phase 3 Mitigationen bzw. deren kompensierenden Kontrollen müssen intern definiert und dokumentiert werden Technische Mitigation von Benutzern / Rollen im SAP Access Control Beispiele von kompensierenden Kontrollen Zweite Unterschrift Autorisieren von Bank Zahlungen, Bestellungen, etc. mit mind. 2 Unterschriften Änderungsbelege von Buchungskonten periodisch überprüfen Stichprobenprüfung Seite 22

SAP Access Control SOD Management Prozess Identifikation Regeln bilden Analyse Beseitigung Mitigation Betrieb Betrieb Phase 1 Phase 2 Phase 3 Simulationen an Benutzer und Rollen Überwachen von SOD Konflikten Ad-hoc Risiko Überprüfung im Provisionierungs Prozess (ARM) Firefighting Periodische Benutzerüberprüfung mittels Workflows Automatisches Alerting beim Eintreten von Risiken / SODs Reporting Seite 23

Key Messages Und das sind die 3 wichtigsten Dinge die Sie sich merken müssen: - Berechtigungen gehören in den Scope eines jeden SAP Projektes - Einsatz eines Tools spart dramatisch im Projekt aber vor allem im Betrieb - Die Vorgehensweise der Xiting plus Einsatz von XAMS haben einen geräuschlosen Go-Live erlaubt, ohne die betroffenen Benutzer mit langwierigen Tests zu beschäftigen Seite 24

Question & Answers Noch Fragen? Seite 25

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback