Nutzungsoptimierte Lizenzvergabe ADV Wien, Juni 2013 wikima4 Produkte und Dienstleistungen für Compliant User Provisioning Role Factory Controls Management Audit Services
Agenda Kurze Firmenpräsentation wikima4 Transformation zur Informatik 4.0 Nutzungsgerechte Lizenzierung Lösungsvorschläge Zusammenfassung (C) wikima4 2013 2
wikima4 AG Hauptsitz wikima4 AG, Zug (CH) Entwicklungszentrum wikima4 SA, Vevey (CH) wikima4, gegründet 2001, ist ein führendes Schweizer Software- und Beratungsunternehmen im Bereich Sicherheit, Compliance, Prozessoptimierung und Identity Management. Seit 2007 Leitung IGSAP des ISACA Switzerland Chapter Seit 2003 Leitung SAP Roundtable Chancen und Risiken in SAP Systemen, Seit 2008 Leitung IG IT-Governance der SwissICT Seit 2013 Leitung DSAG Projektgruppe Schweiz/Suisse Réunion, Neumitgliedergewinnung Veranstaltungen zu Compliance & Sicherheit SAP/DSAG CCoE Forum 2013, 25-26. Juni in Fuschl (Österreich) DSAG Jahreskongress 2013, 17.-19. September 2013, Nürnberg (Deutschland) L.S.Z Kongress, 17.-19. November 2013 in Loipersdorf (Österreich) Wir unterstützen tagtäglich unsere Kunden im Bestreben, ein sicheres Fundament für IT-Sicherheit und Compliance zu legen. (C) wikima4 2013 3
mesaforte & rolebee Value Chain Compliance/ SOD Security Intern/Extern Mining/ Optimisation Licence Optimisation RoleDesigner RoleTuner Regeln (General IT Controls, SAP FI, SAP SD/MM, GMP, IKS, esox..) Datenschutz Berechtigungsanalyse Nutzungsgerechte Verteilung Rollen Templates Kontinuierliche Prüfungen, Real time Schutz SLA Überwachung Risikomitigation Prozess Zuordnung Organisatorische Kalibrierung Schutz vor Hacking Portfoliomanagement Compliant Vertragsmanagement Rollen Ableitung (c) wikima4 2013 4
SAP License Management mit mesaforte Bringt Unternehmen in eine starke Verhandlungsposition Befähigt die korrekte Provisionierung von Lizenzen via SAP Identity Management Prüft die Nutzung von bestehenden Lizenzen und schlägt die ideale vor Zeigt die zukünftige Entwicklung und finanziellen Aspekte für benötigte SAP Lizenzen auf Mesaforte SAP License Management Stellt Lizenz Management Reports zur Verfügung Ermöglicht eine konforme Zuordnung von Lizenzen
Agenda wikima4 kurze Firmenpräsentation Transformation zur Informatik 4.0 Nutzungsgerechte Lizenzierung Lösungsvorschläge Zusammenfassung (C) wikima4 2013 6
Alte Welt/ Neue Welt
Wozu Industrie und Informatik 4.0? (C) wikima4 2013 8
Heutige Sicht - Komplexität! Stakeholders Business and risk management information Internal External Reporting & Disclosure process Board/ Committees Executive/Senior Management Shareholders Auditors Regulator Rating Agencies Oversight functions Data capture and analysis Risk Management Compliance Internal Audit Finance & Treasury Human Resources Legal Effizientes Non- Compliance Efficiency Management Business Units BU 1 BU 2 BU 3 BU 4 BU 5 BU 6 (C) wikima4 2013 9
Kollaboration Prozesse (Cloud/Outsourcing) BU 3 BU 5 Cloud Lizenzen (Externe) Automatisierung Outsourcer (Kosten) Inhouse Lizenzmanagement (C) wikima4 2013 10
Neue Herausforderungen Neue Businessmodelle wie Kollaboration in vielen Unternehmens Bereichen fordern eine flexiblere IT (Industrialisierung 4.0 mit Informatik 4.0) Cloud-Lösungen fordern ein Umdenken im Lizenzmanagement Von «alten» starren Lizenzmodellen hin zu nutzungsgerechten Ansätzen. Globalisierung fordert von Herstellern zunehmende Transparenz Ent-tabuisierung des Themas Lizenzkosten es wird diskutiert Wer tätigt das Lizenzgeschäft (Einkauf oder IT)? (c) wikima4 2011 11
Agenda wikima4 kurze Firmenpräsentation Transformation zur Informatik 4.0 Nutzungsgerechte Lizenzierung Lösungsvorschläge Zusammenfassung (C) wikima4 2013 12
Erwartungshaltung Nutzungsgerechte Lizenzmodelle...verrechnen nach den effektiv genutzten Prozessen...sind flexibel...sind günstiger...messen in realtime die Nutzung und passen die Preise auch nach unten an (C) wikima4 2013 13
Nutzung in SAP Systemen Nutzung in SAP Systemen wird aufgezeichnet Effektive Nutzung verwenden wir für folgende Bereiche Lizenz-Optimierung Portfolio-Management Berechtigungs-Optimierung Compliance-Prüfungen Prozess-Optimierung System-Hygiene (C) wikima4 2013 14
Haupttreiber für neue Ansätze Kosten Teil der Prozesskosten Outsourcing Compliance Vertragsmanagement Risiken von Nachlizenzierungen Strategie Flexibilität Dynamik (C) wikima4 2013 15
Agenda wikima4 kurze Firmenpräsentation Transformation zur Informatik 4.0 Nutzungsgerechte Lizenzierung Lösungsvorschläge Zusammenfassung (C) wikima4 2013 16
Vorgehensweise Mining Prozess-Dokumentation Maturitäts-Analyse (C) wikima4 2013 17
Analyse/Vorgehensweise Extrahieren der verwendeten Transaktionen aus den SAP Systemen mit mesaforte. Aktive Benutzer sind diejenigen, die während der Analyse-Periode Transaktionen verwendet haben. Verwenden der mesaforte Lizenzvermessung um festzustellen, welches Verbesserungs-/Einsparungs- Potential bei Lizenzen möglich ist. Feststellen ob es Lizenz-Inkonsistenzen gibt.
Lizenztypen (Beispiele) 05 Basis only (Basis users) 11 Multiclient/-System 52 mysap Professional 53 mysap Limited Professional 71 SPECIAL MODULE TYPE 1 72 SPECIAL MODULE TYPE 2 73 SPECIAL MODULE TYPE 3 74 SPECIAL MODULE TYPE 4 76 SPECIAL MODULE TYPE 6 77 SPECIAL MODULE TYPE 7 91 - test
Verteilung der Lizenzen auf Systemen Lizenztypen sind unterschiedlich auf den einzelnen Systemen verteilt
Anzahl aktiver und passiver Benutzer XP1: PP1: OP1: UP1: WP1: 11120 Benutzer total (davon 235 aktiv) 19364 Benutzer (davon 4302 aktiv) 20574 Benutzer (davon 691 aktiv) 21173 users (davon 1364 aktiv) 59 users (davon 31 aktiv) (in diesem Beispiel im Zeitraum zwischen Januar bis Juni 2013)
Nicht genutzte Lizenzen über alle Systeme 22
Einsparungspotential Die Lizenztypen Professional und Limited Professional weisen immer das grösste Einsparungspotential auf, (Preisspanne hoch). Je nach Verwendung von SAP-Transaktionen können Benutzer als Limited Professional klassifiziert werden, d.h. ein Wechsel in einen günstigeren Typ kann erfolgen. 23
Einsparpotential (C) wikima4 2013 24
Lizenzoptimimierung (total) (C) wikima4 2013 25
Einsparungspotential Beispiel (C) wikima4 2013 26
Prozess-Dokumentation Ausgangslage: Tätigkeiten der Benutzer/Abteilungen sind bekannt, man weiss, was sie im System nutzen Fragen: Entspricht diese Nutzung dem vorgesehenen Einsatz, Stellenbeschreibung, Aufgabengebiet? Entspricht diese Nutzung dem gewünschten Zustand? Könnte sich ein weiteres Einsparungspotential ergeben? (c) wikima4 2011 27
Weitere Aspekte System-Hygiene (Parameter-Einstellungen) Haben Benutzer die Berechtigungen, die sie auch tatsächlich verwenden? Rollen-Hygiene (Role Mining) Wieviel % einer Rolle werden effektiv genutzt? Benutzerhygiene Wie viele Benutzer sind aktiv? Prüfung Compliance (Rollen, Benutzer) Welche Auswirkungen hat dies auf die Compliance? (C) wikima4 2013 28
Maturitäts Analyse Eine Maturitäts-Analyse dient dazu, die weiteren möglichen Schritte aufzuzeigen. Bereiche in wir diese Analyse durchführen, sind: Prozess Transparenz Historische Altlasten Bereitschaft einer objektiven Betrachtungsweise Kommunikation der Business wie auch IT Anforderung Portfolio-Management (C) wikima4 2013 29
Mapping ISO/COSO (C) wikima4 2013 30
Weitere Schritte Benutzer-Abgleich (unterschiedliche Benutzerkennung)? Erzeugung Lizenz Excel-Tabelle (System/Benutzer/Lizenztyp) System-Hygiene (Parameter-Einstellungen) Rollen-Hygiene (Role Mining) Benutzer-Hygiene Prüfung Compliance (Rollen, Benutzer) (c) wikima4 2013 31
Kontinuierliche Verbesserung 3. Stufe Compliance Kontinuierliche Optimierung von Rollen /Zuweisungen (Qualitäts- Zyklus) -> Umfassende Compliance und Governance erreichen 2. Stufe Compliance Gegenprüfung/Verbesserung von Rollen/ Zuweisungen (Befähigungs- Zyklus) -> Erweiterte Compliance und Governance erreichen 1. Stufe Compliance Initiale Prüfung/Verbesserung Rollen und Zuweisungen (Verbesserungs- Zyklus) -> Grundlegende Compliance und Governance erreichen 32
Fazit Nutzungsorientierte Modelle werden Fuss fassen Benutzerströme müssen bekannt sein Maturität im Unternehmen nutzen Partnerschaftlich mit Lizenzgebern agieren Dank einer fundierten Wissensbasis (C) wikima4 2013 33
Fragen und Antworten Vielen Dank Priska Altorfer Managing Partner wikima4 AG Bahnhofstrasse 28 / 6304 Zug / Switzerland T: +41 (0)41 711 94 54 / F: +41 (0)41 711 96 54 mail@wikima4.com / www.wikima4.com (C) wikima4 2013 wikima4 2009 / Page 34
Purchase to Pay Order to Cash General Ledger Manage & Certify User Access Expense Management Operational Procedures Prozesstransparenz / Stakeholders Outsourcing Partners Finance / CFO GRC Officer CIO/IT Risk Management Human Resources Internal & External Audit Objects Hat jemand etw. geändert.? Transaktionen Kann jemand etw. sehen...? Master Data Sind die zu Grunde liegenden Daten korrekt.? Zugang zur Applications Kann sich jemand...? Appliktion/Prozess Konfiguration Erlauben unsere Systeme jemanden zu...? (C) wikima4 2013 35
Fazit Falsche oder irreführende Annahmen Durchgängige Technologie Verantwortlichkeiten Überforderte Verantwortliche Technik hat zu Überforderung geführt Change Management Überforderte externe Revisoren Kontrolle wurde nicht tief genug durchgeführt (C) wikima4 2013 36