SAP User Access Review – Warum ist es wichtig, dies richtig zu machen?

3. März 2021 Von Dudley Cartwright

Von Dudley Cartwright,
CEO von Soterion

Betrachtet man alle Komponenten (Aktivitäten), aus denen sich eine Governance-, Risk- und Compliance-Lösung (GRC) zusammensetzt, handelt es sich bei der Mehrheit um Backend-Aktivitäten, die von GRC- oder SAP-Sicherheitsadministratoren ausgeführt werden.

Es gibt jedoch einige GRC-Aktivitäten, die einen großen Berührungspunkt mit Geschäftsanwendern haben, d. h. sie sind die Hauptnutzer dieser Funktionalität, nämlich:

Simulationen des SAP-Zugriffsrisikos (Genehmigung/Ablehnung durch Vorgesetzte)
Überprüfung des Benutzerzugangs

Unternehmen bitten ihre Geschäftsanwender schon seit geraumer Zeit, SAP-Zugriffsänderungsanträge zu überprüfen. Doch auch wenn Vorschriften wie SOX / JSOX seit fast 20 Jahren bestehen, ist die Anforderung, eine Überprüfung des Benutzerzugriffs durchzuführen, für viele Unternehmen eine neuere Anforderung.

Warum wird es so wichtig?

Der Hauptgrund für eine Benutzerzugriffsüberprüfung sind in der Regel Überwachungszwecke. Viele Prüfungsvorschriften wie der Sarbanes Oxley (SOX) Act und JSOX verlangen von gelisteten Organisationen, dass sie in regelmäßigen Abständen, in der Regel jährlich, eine Überprüfung des Benutzerzugriffs durchführen.

Bevor wir weitermachen, sollten wir uns an die Zwecke der Überprüfung des Benutzerzugriffs erinnern:

Im Laufe eines bestimmten Jahres werden SAP-Zugriffsänderungsanträge mit einer Zutrittskontrolllösung simuliert. Vorgesetzte / Geschäftsanwender müssen diese vorgeschlagenen Änderungen überprüfen, wobei genehmigte Anträge in SAP angewendet werden.

Die Funktion der besteht darin, zu überprüfen, ob dieser SAP-Zugang zu einem späteren Zeitpunkt noch gültig ist. Wenn eine Person z. B. Zugriff auf Bestellungen erstellen (ME21N) anfordert, wird dem Benutzer die entsprechende Rolle zugewiesen, wenn sie genehmigt wird. Wenn diese Zuweisung am 1. Januar 2020 erfolgte, wer kann sagen, dass der Zugriff für diesen Benutzer am 1. Januar 2021 noch relevant ist.

Die Überprüfung des Benutzerzugriffs bietet der Organisation daher die Möglichkeit, den Zugriff des Benutzers erneut zu überprüfen, um zu bestätigen, ob er noch relevant und anwendbar ist (da der Benutzer möglicherweise zu einer anderen Funktion gewechselt ist oder sich seine Rolle seit der Rollenzuweisung geändert hat). Einer der großen Vorteile einer Benutzerzugriffsüberprüfung besteht darin, dass sie die schleichende SAP-Autorisierung einschränkt.

Der Nachteil für viele Unternehmen besteht darin, dass eine Überprüfung des Benutzerzugriffs lediglich durchgeführt wird, um das Audit zu besänftigen, und der Wert der Aktivität ist fragwürdig, insbesondere wenn man bedenkt, wie viel Aufwand die Geschäftsanwender für die Durchführung einer Überprüfung des Benutzerzugriffs benötigen.

Es besteht die Notwendigkeit, die Denkweise der Geschäftsanwender von einer Audit-Übung zum Ankreuzen von Kästchen zu einer wertvollen Aktivität bei der Behebung von Zugriffsrisiken zu ändern. Die Gründe dafür sollten nicht darin bestehen, Audits zu besänftigen, sondern vielmehr als wertvolle Aktivität des Zugriffsrisikomanagements.

Um dieses Umdenken zu unterstützen, müssen Unternehmen jedoch mehrere Prozessänderungen in Betracht ziehen, um das Unternehmen zu unterstützen. Für Unternehmen ist es wichtig, die Herausforderungen zu verstehen, mit denen die Fachanwender konfrontiert sind, die die SAP User Access Review durchführen. Wenn die Geschäftsanwender den Prozess der Überprüfung des Benutzerzugriffs als mühsam und/oder herausfordernd empfinden, werden sie den Prozess zurückdrängen und ihn als eine Übung zum Ankreuzen von Kästchen behandeln. Das Ergebnis: Die Organisation extrahiert einen minimalen Wert für die Überprüfung des Benutzerzugriffs.

Wie ermöglichen Sie dieses Umdenken?

Neben der Unterstützung der Geschäftsleitung für die Überprüfung des Benutzerzugriffs ist es wichtig, dass eine Reihe von technischen Aspekten berücksichtigt werden, um den Prozess für die Geschäftsanwender einfacher und einfacher zu machen. Hier sind ein paar Überlegungen:

Role Design

1. Rollengestaltung

Macht es das SAP-Rollendesign der Organisation für die Geschäftsanwender schwierig zu wissen, welchen Zugriff Benutzer haben, d. h. sind SAP-Rollen nicht beschreibend? Sind SAP-Rollen groß und enthalten viele Transaktionscodes?

Um den Prozess der Benutzerzugriffsüberprüfung für die Geschäftsanwender so einfach wie möglich zu gestalten, stellen Sie sicher, dass sich das SAP-Rollendesign für die Vereinfachung des Prozesses eignet. Funktionale Rollenentwürfe haben in der Regel aussagekräftigere Rollennamen, die es Geschäftsanwendern erleichtern, zu verstehen, was in den überprüften SAP-Rollen enthalten ist. Auf diese Weise können die Geschäftsanwender fundiertere Entscheidungen darüber treffen, ob der Zugriff für den Benutzer geeignet ist oder nicht.

Das Aktualisieren des Rollenentwurfs, um ihn beschreibend zu gestalten, kann in der Tat eine vollständige Neugestaltung der Rolle erfordern. Da das Unternehmen auf S4HANA umsteigt, könnte dies eine großartige Gelegenheit sein, das Sicherheits-Framework des Unternehmens zu überdenken und eine Neugestaltung der Rolle in Betracht zu ziehen, die geschäftsfreundlicher und einfacher gestaltet ist, wodurch der Aufwand für eine Benutzerzugriffsüberprüfung reduziert wird.

2. Rollen-Methodik

Leider ist die Diskussion über SAP-Rollenmethoden wie eine Debatte über Religion und Politik. Die Menschen werden mit einer Rollenmethodik vertraut und wissen keine andere Methode voll zu schätzen. Die meisten SAP-Sicherheitsadministratoren verstehen eine abgeleitete Rollenmethodik und haben ein begrenztes Verständnis einer Aufgaben- und Wert-Rollenmethodik (funktional / enabler).

Bei einer Aufgaben- und Wertrollenmethodik trennen Sie Ihren transaktionalen Zugriff von Ihrem Zugriff auf Organisationsebene. Das führt dazu, dass deutlich weniger Rollen angelegt werden müssen – und damit auch weniger Rollen zugewiesen werden. Die Auswahl einer Rollenmethodik mit weniger Rollenzuweisungen reduziert den Aufwand, den die Geschäftsanwender für die Durchführung einer Benutzerzugriffsüberprüfung benötigen.

3. Anpassung des Regelwerks und geschäftliche Aufklärung über das Zugriffsrisiko

Anpassung des Regelsatzes und geschäftliche Aufklärung über das Zugriffsrisiko

Geschäftsanwender, die eine Überprüfung des Benutzerzugriffs durchführen, werden wahrscheinlich den SAP-Rollen mehr Aufmerksamkeit schenken, die ihren Benutzern zugewiesen sind und zu Verletzungen des Zugriffsrisikos beitragen. Wenn die Organisation ein Projekt zur Anpassung des Regelsatzes durchgeführt hat, hat sie wahrscheinlich einen geeigneteren und verfeinerten Regelsatz definiert.

Das Projekt zum Regelsatz für Zugriffsrisiken dient als hervorragendes Instrument, um die Geschäftsanwender über die für ihren Bereich geltenden Zugriffsrisiken aufzuklären. Durch ein besseres Verständnis der einzelnen Zugriffsrisiken im Regelsatz können die Geschäftsanwender während der Überprüfung des Benutzerzugriffs fundiertere Entscheidungen darüber treffen, ob der Zugriff für einen bestimmten Benutzer akzeptabel ist oder nicht.

4. Verwenden Sie ein Tool, um den Überprüfungsprozess des Benutzerzugriffs zu erleichtern.

Das Durchführen einer Benutzerzugriffsüberprüfung in einer Tabelle erweist sich oft als Herausforderung. Obwohl der Prüfer die den Benutzern zugewiesenen Rollen sehen kann, enthalten Tabellenkalkulationen häufig keine Nutzungs- und Risikoinformationen. Dies führt dazu, dass Rollen von einem Benutzer entfernt werden, die Transaktionscodes enthalten, die von diesem Benutzer verwendet werden, d. h. er / sie benötigt diesen Zugriff, um seine Jobfunktion auszuführen. Dies führt zu einer Unterbrechung des Geschäftsbetriebs, und der größte Teil des entfernten Zugriffs wird diesen Benutzern sofort nach der Überprüfung des Benutzerzugriffs wieder zugewiesen.

Durch die Verwendung einer kommerziellen Lösung für die Überprüfung des Benutzerzugriffs können die Geschäftsanwender fundiertere Entscheidungen treffen, da sie über Informationen zur Nutzung von Benutzertransaktionen und zum Zugriffsrisiko verfügen.

Ein großer Vorteil der Verwendung eines Tools zur Erleichterung der Benutzerzugriffsüberprüfung besteht darin, dass es so konfiguriert werden kann, dass der Prozess beschleunigt wird. Beispielsweise kann eine Benutzerzugriffsüberprüfung erstellt werden, die nur Rollen enthält, die zum Zugriffsrisiko beitragen, wodurch die Anzahl der zu überprüfenden Rollenzuweisungen reduziert wird. Ein weiteres Beispiel ist die Erstellung einer Benutzerzugriffsüberprüfung, die Rollen kennzeichnet, die zuvor "genehmigt" wurden, damit der Fokus auf neuen Zuweisungen seit der letzten Überprüfung liegen kann. Damit die Prüfer eine Benutzerzugriffsprüfung gut durchführen können, ist es wichtig, dass die Lösung die technische SAP-Rollensprache in eine Sprache umwandelt, die die Fachanwender verstehen können.

5. Geteilte Bewertungen

Geteilte Bewertungen

Wenn Sie SAP-Sammel- oder Business-Rollen verwenden, sollten Sie die Überprüfung in eine Überprüfung des Benutzerzugriffs und eine Überprüfung des Rolleninhalts aufteilen.
– Überprüfung des Rolleninhalts: Ein Rolleninhaber prüft den Inhalt der SAP-Sammel- oder Benutzerrolle.
– Überprüfung des Benutzerzugriffs: Ein Vorgesetzter überprüft die Rollenzuordnungen auf SAP-Sammel- oder Benutzerrollenebene. Sie prüfen nicht die zugrundeliegenden SAP-Einzelrollen, sondern lediglich, ob die Sammel- oder Business-Rolle für den Benutzer geeignet ist.

6. Iterative Überprüfungen

Anstatt eine große jährliche Überprüfung des Benutzerzugriffs durchzuführen, bei der alle Benutzerzugriffe überprüft werden, prüfen Sie, ob es möglich ist, diese in kleinere iterative Überprüfungen im Jahr aufzuteilen. Dies kann unterteilt werden durch:
– Geografie: Überprüfung des Benutzerzugriffs nach Region.
– Risikostufe: Überprüfung des Benutzerzugriffs nach Risikostufe.
– SAP-Modul: Überprüfung des Benutzerzugriffs durch das SAP-Modul.

Es ist wichtig, die Herausforderung der Zertifizierungsmüdigkeit im Auge zu behalten. Hier bemängeln die Gutachter den Aufwand für die Durchführung einer Benutzerzugriffsprüfung.

Wie kann Soterion Ihnen helfen?

Soterion ist Marktführer im Bereich Business-zentriertes GRC. Durch die Umwandlung der technischen GRC-Sprache in eine Sprache, die die Geschäftsanwender verstehen können, erleichtern wir die Akzeptanz und Verantwortlichkeit der Unternehmen.

Der Periodic Review Manager von Soterion ermöglicht die Überprüfung auf Geschäftsprozessebene, was es für die Geschäftsanwender einfacher und schneller macht, ihre Aktivitäten im Bereich des Zugriffsrisikomanagements durchzuführen. Dies ermöglicht es dem Unternehmen, fundiertere Entscheidungen zu treffen, und reduziert die Zeit, die für die Durchführung der Benutzerzugriffsüberprüfung benötigt wird, was dem Unternehmen Zeit und Geld spart.

Zögern Sie nicht, uns eine E-Mail auf [email protected] zu senden. Lassen Sie uns Ihnen helfen, Ihr GRC auf die nächste Stufe zu heben.

Verwandtes Tag: SAP-Zugriffskontrollen

Cookie	Dauer	Beschreibung
cookiegesetzinfo-kontrollfeld-analytik	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Analytik“.
cookiegesetzinfo-kontrollfeld-funktionell	11 Monate	Das Cookie wird durch die GDPR-Cookie-Zustimmung gesetzt, um die Zustimmung des Benutzers für die Cookies der Kategorie „Funktional“ aufzuzeichnen.
cookiegesetzinfo-kontrollfeld-notwendig	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Notwendig“.
cookiegesetzinfo-kontrollfeld-anderes	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Andere“.
cookiegesetzinfo-kontrollfeld-leistung	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung des Nutzers für die Cookies in der Kategorie „Leistung“.
gesehen_cookie_richtlinie	11 Monate	Dieses Cookie wird vom GDPR-Plugin für Cookie-Zustimmung gesetzt. Es speichert die Zustimmung oder Ablehnung des Nutzers zur Verwendung von Cookies, aber keine persönlichen Daten.

SAP User Access Review – Warum ist es wichtig, dies richtig zu machen?

Warum wird es so wichtig?

Wie ermöglichen Sie dieses Umdenken?

Wie kann Soterion Ihnen helfen?

Das könnte Sie interessieren

Such[wort] eingeben

SAP User Access Review – Warum ist es wichtig, dies richtig zu machen?

Warum wird es so wichtig?

Wie ermöglichen Sie dieses Umdenken?

Wie kann Soterion Ihnen helfen?

Das könnte Sie interessieren

Ihr SAP-Rollenkonzept war nie für RISE ausgelegt: die versteckten FUE-Kosten, die die meisten Unternehmen übersehen

SAP Access Risk Management: SoD-Risiko und FUE-Exposure – zwei Geschäftsrisiken mit derselben Ursache

Die Bedeutung der Abstimmung der SAP-Zugriffssteuerung mit der FUE-Lizenzierung

Such[wort] eingeben