Aufbau einer effektiveren Zugangskontrolle durch geschäftsorientiertes GRC

Bür eine effektivere Zugangskontrolle durch geschäftsorientiertes GRC

Wenn Ihre SAP-Rollen und -Regelsätze solide sind, ist Ihre Zugangskontrolllösung für den Erfolg gerüstet.

Dieser Artikel basiert auf einem Tech Insights Brief von Craig powers, Research Analyst bei SAPinsider. Der Brief geht näher darauf ein, was erforderlich ist, um ein Unternehmen in Bezug auf die Zugangskontrolle erfolgreich zu machen.

Lesen Sie unten eine Zusammenfassung von Craigs Ergebnissen oder laden Sie den vollständigen SAPInsider Tech Insights Brief.

Der Tech Insights Brief von SAPInsider zeigt die Highlights:

• Die geschäftsorientierte Zugriffskontrolle bezieht die Geschäftsanwender in den Prozess des Zugriffsrisikomanagements ein, um den Zugriff besser auf die Geschäftsanforderungen abzustimmen.
• SAP-Rollenbereinigung und GRC-Regelsatzanpassung sind wichtige Grundelemente einer erfolgreichen Zugangskontrolllösung.
• Durch eine stärkere Einbindung der Unternehmen in die Zugangskontrolle können Unternehmen das Zugangsrisiko und die übermäßige Zuteilung von Zugängen erheblich reduzieren.

Unternehmen setzen Lösungen zur Zugangskontrolle ein, um Risiken innerhalb ihrer Benutzerbasis zu erkennen. Diese Lösungen und Prozesse sind oft technisch und von der Audit- und IT-Perspektive aus gesteuert, ohne dass die Geschäftsanwender, die die technische GRC-Sprache möglicherweise nur schwer entziffern können, einen Beitrag leisten. An dieser Stelle kommt die Idee des geschäftsorientierten GRC für die Zugangskontrolle ins Spiel - die Bereitstellung einer leichter verständlichen, weniger technischen Sprache für das Unternehmen, damit es die Daten besser interpretieren kann.

Risikoverständnis = mehr Eigenverantwortung

Wenn die Geschäftsanwender die ihnen präsentierten Zugriffsrisiken verstehen, ist es wahrscheinlicher, dass sie letztendlich die Verantwortung dafür übernehmen. Und wenn die Geschäftsanwender die Verantwortung für das Zugangsrisiko übernehmen, können sie auch zur Rechenschaft gezogen werden.

 Eine geschäftsorientierte Zugangskontrolle ist jedoch intern schwer zu realisieren. In den meisten Fällen ist eine Lösung erforderlich, die sich an die Geschäftsanwender richtet, wie z. B. Access Risk Manager von Soterion, der benutzerfreundliche Schnittstellen und Geschäftsprozessabläufe für eine einfache Risikobeseitigung und ein effektives Zugriffskontrollmanagement bietet. 

Aufbau einer soliden Grundlage für die Zugangskontrolle

Auch wenn es die richtige geschäftsorientierte GRC-Lösung braucht, um Geschäftsanwender für die Zugriffskontrolle zu begeistern, ist es ein Fehler, die Software als Allheilmittel zu betrachten.
Zunächst muss das SAP-Rollendesign innerhalb von SAP korrigiert werden, um jede Technologieinvestition zu optimieren. Sobald das Unternehmen ein gutes SAP-Rollendesign implementiert hat, muss es sicherstellen, dass sein GRC-Regelwerk an seine individuellen Zugriffs- und Risikoanforderungen angepasst ist.   

Wenn Ihre SAP-Rollen und -Regelsätze solide sind, ist Ihre Zugangskontrolllösung für den Erfolg gerüstet. Dann stellt sich die Frage: Wie lässt sich der Erfolg der Zugriffskontrolle messen? Eine Möglichkeit, dies zu tun, besteht darin, zu messen, wie gut die Geschäftsanwender die Aktivitäten des Zugriffsrisikomanagements durchführen.

Das Problem ist, dass Geschäftsanwender oft bestimmte GRC-Funktionen ausführen müssen, aber nur sehr wenig über GRC selbst wissen. Sie erledigen die Aufgaben eher, um ein Audit-Kästchen anzukreuzen, als um einen bestimmten Bedarf innerhalb des Unternehmens zu decken. Aus diesem Grund ist die Einbeziehung der Geschäftsanwender so wichtig.

Die 4 wichtigsten Anforderungen und Strategien für die Zugangskontrolle

Es gibt mehrere Gründe, warum Unternehmen eine Zugangskontrolllösung einsetzen.

1. Erstens müssen sie sicherstellen, dass ihre SAP-Systeme sicher sind, was häufig durch interne und externe Audits erreicht wird. Mit diesen Prüfungen soll überwacht werden, ob den Mitarbeitern ein angemessener Zugang gewährt wird, und es soll das Betrugsrisiko im Zusammenhang mit unsachgemäßem Zugang ermittelt werden.
2. Die Unternehmen sind auch daran interessiert, die Effizienz ihrer SAP-Benutzerbereitstellungsprozesse zu verbessern und die Verwaltung von Berechtigungen zu erleichtern. Ziel ist es, die Geschäftsanwender dazu zu bringen, Compliance-Aufgaben und Zugriffsrisiko-Management-Aktivitäten viel effizienter durchzuführen.
3. Auch bei der Implementierung von Zugangskontrollverfahren und -lösungen hat die Einhaltung von Vorschriften oberste Priorität, insbesondere wenn es um den Datenschutz geht. In SAP gibt es eine beträchtliche Menge an sensiblen personenbezogenen Daten. Es ist wichtig zu verstehen, wo sich diese Daten befinden und wer Zugriff darauf hat - insbesondere wenn es um die Einhaltung von Datenschutzbestimmungen geht.
4. Schließlich sehen die Unternehmen die Notwendigkeit, die Verantwortung für das Zugangsrisiko von den IT-Abteilungen auf die Geschäftsanwender zu verlagern. Diese Verlagerung bedeutet, dass GRC-Lösungen nicht mehr nur als Back-End-Tools eingesetzt werden, sondern dass die Verwaltung von Zugangsrisiken stärker auf das Geschäft ausgerichtet wird.

Um diese Ziele zu erreichen, sollten Unternehmen versuchen, die Bereitstellungsprozesse zu rationalisieren und die Effizienz durch Automatisierung zu steigern. Ein Beispiel ist die Nutzung von Geschäftsrollen.

Dies ist eine Sammlung von SAP-Zugängen aus einer Reihe von SAP-Systemen. Wenn einem SAP-Benutzer eine Business Role zugewiesen wird, werden alle erforderlichen Zugriffe aus den verschiedenen SAP-Systemen (einschließlich DEV und QAS) für diesen Benutzer zugewiesen. Dies reduziert den Aufwand und die Zeit, die für die Zuweisung des entsprechenden Zugriffs benötigt werden.

Vorteile einer geschäftszentrierten Zugangskontrolle

Es besteht die Tendenz, in SAP zu viele Zugriffsrechte zu vergeben. Dies ist entweder darauf zurückzuführen, dass SAP-Benutzer Rollen erben, wenn sie intern wechseln, oder dass einem Benutzer eine SAP-Rolle zugewiesen wird, die 50 Transaktionscodes hat, obwohl der Benutzer nur einen Transaktionscode verwenden muss (SAP-Berechtigungsschleiche).

 Eine geschäftsorientierte GRC-Lösung stellt sicher, dass Compliance-Aufgaben wie die Überprüfung des Benutzerzugriffs effektiver sind und kann dazu führen, dass ein Großteil der übermäßig zugewiesenen Zugriffsrechte entfernt wird, was zu einer SAP-Berechtigungslösung führt, die gut auf die Aktivitäten der Benutzer im SAP-System abgestimmt ist. Diese Abhilfemaßnahmen verringern den Aufwand für künftige Überprüfungen des Benutzerzugriffs, d. h. mit einer gut abgestimmten Lösung müssen die Geschäftsanwender viel weniger Benutzer-Rollen-Beziehungen überprüfen, was für das Unternehmen eine erhebliche Kosteneinsparung bedeuten kann.

Soterion hat festgestellt, dass Unternehmen das Zugriffsrisiko um bis zu 80 % senken und damit das Betrugspotenzial deutlich minimieren konnten. Eine geschäftsorientierte Zugangskontrolle reduziert das Risiko, indem die Geschäftsanwender fundierte Entscheidungen darüber treffen, ob ihre Benutzer einen bestimmten SAP-Zugang benötigen oder ob dieser ein zu großes Risiko für das Unternehmen darstellt. Dieser fundierte Entscheidungsprozess führt dazu, dass den Benutzern nur angemessene Zugriffsrechte zugewiesen werden, was das Betrugspotenzial im Unternehmen verringert.

Was bedeutet das für Sie?

Im Folgenden finden Sie die drei wichtigsten Punkte, die Sie bei der Planung Ihrer geschäftsorientierten GRC- und Zugangskontrollstrategie berücksichtigen sollten:

1. Die korrekte Definition Ihrer SAP-Rollen und GRC-Regelsätze ist von entscheidender Bedeutung.
   Wenn Ihre SAP-Rollen und GRC-Regelsätze nicht angemessen eingerichtet und an Ihr Unternehmen angepasst sind, wird es schwierig, den entsprechenden Zugriff zuzuweisen. In diesem Fall spielt es keine Rolle, wie gut Ihre GRC-Lösung ist, denn ohne genaue Rollen- und Regelsatzdaten kann sie das Risiko nicht korrekt bewerten.
2. Machen Sie die Zugangskontrolle für Geschäftsanwender zugänglich.
   Viele Unternehmen verlassen sich bei der Zugangskontrolle durch GRC-Software auf die IT-Abteilung, doch die Fachanwender müssen ein angemessenes Risikomanagement für den Zugang durchführen. Bieten Sie den Geschäftsanwendern benutzerfreundliche Schnittstellen und eine leicht verständliche (sprich: nicht-technische) Sprache für das notwendige Risikomanagement. Sie werden sich dann eher engagieren und das Zugriffsrisiko wirksam begrenzen.
3. Gehen Sie bei der Messung der GRC-Effektivität über Audits hinaus.
   Es ist verlockend, sich auf Audits zu verlassen, wenn es darum geht, die Effektivität Ihrer GRC- und Zugangskontrollprogramme und -technologien zu messen. Dabei geht es jedoch eher um die Messung des Ergebnisses und nicht des Prozesses. Unternehmen können Audits zuvorkommen, indem sie prüfen, wie gut Geschäftsanwender ihre Aufgaben im Bereich des Zugangsrisikomanagements wahrnehmen.

Wie kann Soterion Ihnen helfen?

Soterion ist Marktführer im Bereich Business-zentriertes GRC. Durch die Umwandlung der technischen GRC-Sprache in eine Sprache, die die Geschäftsanwender verstehen können, erleichtern wir die Akzeptanz und Verantwortlichkeit der Unternehmen.

Sie können uns eine E-Mail schicken an [email protected]. Wir helfen Ihnen, Ihr GRC auf die nächste Stufe zu heben.