Denkanstöße

Verbessern Sie Ihr Emergency Access Management: Ein Leitfaden für den Elevated Rights Manager von Soterion

9. Dezember 2024 Von Soterion

Jedes Unternehmen muss gelegentlich bestimmten Benutzern einen erweiterten Zugriff auf SAP gewähren, entweder in regelmäßigen Abständen oder auf Ad-hoc-Basis, um geschäftskritische oder sensible Aktivitäten durchzuführen. Dieser Prozess, der gemeinhin als Fire-Fighter-Prozess bekannt ist, spielt eine entscheidende Rolle für die SAP-Sicherheit und Governance, Risk und Compliance (GRC).

In diesem Artikel werden wir zunächst die SAP-Sicherheits- und GRC-Kontrollaktivitäten aus einer breiteren Perspektive betrachten, bevor wir uns eingehender mit dem Emergency Access Management-Prozess befassen. Wir werden erörtern, wie die Wirksamkeit dieser Kontrolle durch das Zusammenspiel von Menschen, Prozessen, Technologie und Design bestimmt wird.

Abschließend wird erläutert, wie der Elevated Rights Manager von Soterion eine einzigartige, workflowgesteuerte Lösung für die Gewährung von sensiblem Zugang zur Brandbekämpfung bietet, die einen nahtlosen und effektiven Prozess für das Notfall-Zugangsmanagement gewährleistet.

SAP Security & GRC - Implementierung wirksamer Kontrollen

Wirksame Kontrollen sind für Unternehmen von entscheidender Bedeutung, um Risiken zu verwalten und zu verringern. Während ein gewisses Maß an Risiko in den Geschäftsabläufen inhärent ist, stoßen SAP-Anwender aufgrund begrenzter Ressourcen häufig auf Risiken der Funktionstrennung (Segregation of Duty, SoD). Daher liegt der wahre Wert eines GRC-Programms in der Einrichtung und Aufrechterhaltung effektiver Kontrollen, die diese Risiken angehen.

Um die mit dem Zugriff von SAP-Benutzern verbundenen Risiken zu beherrschen, müssen Unternehmen diese Risiken zunächst verstehen. Sobald sie identifiziert sind, ist es entscheidend, die notwendigen Kontrollen zu definieren, um sie abzuschwächen, und Kontrollmaßnahmen einzurichten, um ihre Wirksamkeit zu gewährleisten.

Wir empfehlen Unternehmen, die folgenden Kontrollaktivitäten in ihr GRC-Programm zu integrieren, um SAP-Zugangsrisiken effektiv zu verwalten:

  • Risikobewertung des Zugangs
  • Simulation des Zugangsrisikos (Was-wäre-wenn)
  • Verwaltung von Regelsätzen und Definition abschwächender Kontrollen
  • Notfall-Zugangsmanagement
  • Benutzerzugang Bewertungen
  • Kontinuierliche Überwachung der Kontrolle

Das nachstehende Diagramm veranschaulicht diese wesentlichen Kontrollaktivitäten und wie sie die SAP-Zugangsrisiken im Rahmen des GRC-Programms eines Unternehmens mindern.


Werfen wir nun einen Blick auf den Prozess des Emergency Access Management.

Notfall-Zugangsmanagement und die Rolle von Menschen, Prozessen, Technologie und Design

Die Wirksamkeit dieser Kontrolle wird durch das Zusammenspiel von Menschen, Verfahren, Technologie und Design beeinflusst. Entscheidend ist, die richtigen Personen für die Compliance-Aufgaben zu finden, klare Prozesse zu definieren, die geeignete Technologie auszuwählen und ein robustes Design zu implementieren.

Im Folgenden werden die allgemeinen Herausforderungen untersucht, denen sich Organisationen während des Zeitraums des erweiterten Zugriffs auf Rechte gegenübersehen, und es werden wichtige Überlegungen zur Bewältigung dieser Probleme angestellt.


Menschen

Herausforderungen mit erhöhtem Zugang:

  • Unklarheit über die Verantwortung für den Prozess innerhalb der Organisation.
  • Die Bewertungen sind oft technischer Natur, was es den Unternehmern erschwert, fundierte Entscheidungen zu treffen.
  • Unterscheidung zwischen den Nutzern des erweiterten Zugangs - IT-Benutzer oder Geschäftsbenutzer.

Überlegungen

  • Ermittlung der geeigneten Software und Ressourcen zur Unterstützung der Benutzer bei der Verwaltung des Zugriffs mit erhöhten Rechten.
  • Bestimmen Sie eine technische Ressource, die das Unternehmen beim Überprüfungsprozess unterstützt. Auch wenn der Prozess in den Händen des Unternehmens liegt, ist das Fachwissen eines technischen Anwenders unerlässlich, um während der Überprüfungen Hilfestellung zu leisten.
    - Bestimmen Sie die Art der Daten, die überprüft werden müssen, und warum technisches Verständnis erforderlich ist (z. B. sensible Beziehungen zwischen Tabellen und Feldern, Interpretation von Änderungswerten und die mit der Änderung dieser Felder verbundenen Risiken).

Prozess

Herausforderungen

  • Mangel an klar definierten Prozessen oder Nichteinhaltung definierter Prozesse. Die Prozesse zur Überprüfung von Protokollen, sofern vorhanden, sind oft nicht gründlich genug.
    - Überprüfungen werden nicht rechtzeitig durchgeführt.
    - Berichte sind zu komplex, was fundierte Entscheidungen erschwert.
    - Die für die Genehmigung von Protokollen zuständigen Personen sind oft zu technisch, was eine umfassendere Aufsicht einschränkt.
    - Unvollständige Überprüfungen, insbesondere in Bezug auf sensible Tabellen-/Feldbeziehungen.
  • Gültigkeit der Zugangsdauer (z. B. verlängerter Zugang für Tage statt für Stunden) und Nutzung des Zugangs für mehrere Zwecke, die nicht mit dem ursprünglichen Antrag übereinstimmen.

Überlegungen

  • Dokumentieren Sie die Richtlinien und Verfahren für den Zugriff mit erhöhten Rechten, einschließlich der Art und Weise, wie der Zugriff beantragt/zugewiesen wird, des Zeitrahmens für Protokollprüfungen, der Beziehungen zwischen sensiblen Tabellen und Feldern sowie der zuständigen Prüfer.
  • Erstellen Sie Richtlinien und Verfahren, die geeignete Protokollgenehmiger umfassen, den Zeitrahmen für die Überprüfung und Genehmigung von Aktivitäten festlegen, die Aktivitäten spezifizieren, die einen erweiterten Zugriff erfordern (sowohl für Geschäfts- als auch für IT-Benutzer), und umreißen, welche Benutzer vorab genehmigt werden sollten und welche eine zusätzliche Genehmigung benötigen.

Technologie

Herausforderungen

  • Mangel an Technologie zur Erleichterung des Zugangs zu erhöhten Rechten.
  • Die Vorbereitung von Audittätigkeiten für die Überprüfung erfolgt häufig manuell und nicht durch Automatisierung.
  • Das Verfahren zur Beantragung des Zugangs und die Zeit, die für die Zuteilung benötigt wird, ist ebenfalls manuell, was die Effizienz beeinträchtigt.
  • Die Komplexität der Technologie wirkt sich nicht nur auf die Prozesse zur Verwaltung des Zugangs mit erhöhten Rechten aus, sondern auch auf die an diesen Prozessen beteiligten Benutzer. Diese Komplexität beeinflusst die Darstellung der Aktivitätsprotokollberichte.

Überlegungen

  • Identifizierung geeigneter Software zur Erleichterung des Prozesses der erweiterten Rechte, wobei der Schwerpunkt auf der einfachen Einrichtung und Konfiguration, der Benutzerfreundlichkeit sowohl bei der Beantragung von erweitertem Zugriff als auch bei der Durchführung von Überprüfungen und der klaren Definition sensibler Änderungen, die Teil des Überprüfungsprozesses sein sollten, liegt.
  • Wählen Sie eine Lösung, die die Effektivität maximiert, insbesondere in Bezug auf die Art und Weise, wie die Ergebnisse zu den erhöhten Rechten präsentiert/berichtet werden.

Gestaltung

Herausforderungen

  • Identifizierung der geeigneten Benutzer für den Zugriff mit erweiterten Rechten.
  • Definition der korrekten Zugriffsebene in SAP sowohl für reguläre tägliche Aktivitäten als auch für den erweiterten Zugriff.
    - Definition der Methodik für die Gewährung des erweiterten Zugriffs (Benutzer- oder Rollenmethodik).
    - Abwägung zwischen weitreichenden Zugriffsberechtigungen und SAP-Modul-basiertem Zugriff.

Überlegungen

  • Dokumentieren Sie Richtlinien und Verfahren, die die Methodik für erweiterte Rechte definieren, indem Sie die Aktivitäten angeben, die einen erweiterten Zugriff erfordern, und die entsprechenden Zugriffsebenen für jeden SAP-Benutzer und/oder jede Rolle mit erweiterten Rechten festlegen.
  • Identifizieren Sie sensible oder Notfall-Aktivitäten, die über einen erhöhten Zugang ausgeführt werden sollten, während alle routinemäßigen, alltäglichen Aufgaben der regulären SAP-Benutzer-ID des Benutzers zugewiesen bleiben.

Wie unterstützt Soterion Organisationen bei der Bewältigung der Herausforderungen, auf die sie während des Zeitraums des erweiterten Zugangs zu Rechten stoßen?


  • Detaillierte Protokollierung und Geschäftsprozessflüsse
    - Soterion protokolliert Aktivitäten mit erhöhten Rechten mit unterstützenden Geschäftsprozessflüssen.
    - Konvertiert die technische Sprache von SAP in eine geschäftsfreundliche Sprache, um die Überprüfung zu erleichtern.
    - Ermöglicht es Geschäftsanwendern, Aktivitätsprotokolle zu interpretieren, ohne auf technische Ressourcen angewiesen zu sein.
  • Automatisierung des Prozesses der erweiterten Rechte
    - Soterion automatisiert die Verwaltung des Prozesses der erweiterten Rechte und rationalisiert die Abläufe.
  • Überwachung sensibler Felder
    - Definiert Beziehungen zwischen sensiblen Tabellen und Feldern für eine gezielte Überwachung.
    - Erzeugt Berichte über Workflow-Aktivitäten, die Änderungen an sensiblen Feldern hervorheben.
    - Ermöglicht Überprüfern, sich auf kritische Änderungen zu konzentrieren.
  • Compliance und Effizienz
    - Erleichtert Compliance-Aufgaben im Zusammenhang mit erhöhtem Zugang.
    - Verbessert die Effizienz bei der Zuweisung und Überprüfung von erhöhtem Zugang.
  • Benutzerdefinitionen für erweiterte Rechte
    - Unterstützt die Definition von Geschäftsanwendern und IT-Benutzern für den Zugriff mit erweiterten Rechten.
    - Bietet umfassende Aktivitätsberichte zur Unterstützung bei der Umgestaltung von Rollen für den Zugriff mit erweiterten Rechten.
  • Geschäftsorientierte Kontrolleffektivität
    - Betont eine geschäftsorientierte Darstellung der Ergebnisse.
    - Verbessert die Kontrolleffektivität durch detaillierte Berichterstattung und integrierte Geschäftsprozessabläufe.

Sehen Sie sich das Demo-Video zum Elevated Rights Manager von Soterion an

Die wichtigsten Vorteile von Soterions Elevated Rights Manager

  • Geringeres Risiko: Durch die Einführung eines klar definierten Verfahrens für den Zugang in Notfällen wird sichergestellt, dass ein erweiterter Zugang nur im Bedarfsfall gewährt wird. 
  • Kontrolle des Support- und IT-Personals: Der erweiterte Zugang ist zeitlich befristet und wird nur bei Bedarf und nicht dauerhaft gewährt.  
  • Verbesserte Unternehmensaufsicht: Durch die Gewährung des Zugriffs nur mit den erforderlichen geschäftlichen Genehmigungen und die Übermittlung detaillierter Aktivitätsprotokolle an die zuständigen Geschäftsinhaber zur Überprüfung können Unternehmen Transparenz und Verantwortlichkeit bei der Verwaltung privilegierter Zugriffe sicherstellen. 
  • Detaillierte Protokollierung von Aktivitäten: Umfassende Protokollierung stellt sicher, dass alle durchgeführten Aktionen dokumentiert werden, was Prüfpfade und die Einhaltung gesetzlicher Vorschriften erleichtert. 

Schicken Sie uns eine E-Mail an [email protected], wenn Sie Fragen haben oder mehr wissen möchten. Wir helfen Ihnen gerne mit einer Demo, um zu sehen, wie wir Ihnen helfen können.

Das könnte Sie interessieren