Soterion wird als Anbieter von SAP Access Management-Lösungen ausgezeichnet
Die SAP-Zugangsverwaltung ist für Unternehmen ein komplexes Unterfangen. Der zunehmende regulatorische Druck auf Unternehmen führt zu einer strengeren Verwaltung der Benutzerzugriffsrechte - das bedeutet, dass die Zugriffsverwaltung für die Unternehmenssicherheit entscheidend ist.
Die Vorteile einer verbesserten Zugangsverwaltung gehen jedoch über eine einfache Risikominderung hinaus.
Das führende IT-Marktforschungs- und Beratungsunternehmen IDC hat in einem aktuellen IDC Vendor Spotlight, das von Soterion gesponsert wurde, einige dieser Vorteile sowie die mit der SAP-Zugangsverwaltung verbundenen Herausforderungen und die erforderlichen Maßnahmen zur Verbesserung der Zugangskontrolle dargelegt.
Lesen oder downloaden Sie den vollständigen IDC Spotlight
Erkenntnis Nr. 1: Die SAP-Zugriffsverwaltung ist sehr komplex und lässt sich nur schwer aufrechterhalten, wenn sich das Geschäft, die Prozesse und die Vorschriften ändern.
Die Verwaltung von SAP-Zugriffsrechten ist aufgrund der Vielzahl von Prozess- und Rollenkonfigurationen, die Unternehmen in ihren SAP-Anwendungen verwenden können und dies auch tun, äußerst komplex. In dem Maße, in dem sich Unternehmen weiterentwickeln und neue Anwendungen einführen, steigt der Aufwand für die Verwaltung der Zugriffsrechte, was zu höheren Kosten und Risiken führt, insbesondere zu der Gefahr, dass bei Audits Kontrollschwächen aufgrund von Unregelmäßigkeiten beim SAP-Zugriff aufgedeckt werden.
Es ist eine Herausforderung, den Überblick über die SAP-Zugriffsrechte zu behalten, denn es gibt eine große Anzahl möglicher Zugriffsvarianten und die Geschwindigkeit, mit der sie aktualisiert werden müssen, um mit dem organisatorischen Wandel Schritt zu halten. Das Tempo der Unternehmensumwandlung und die Geschwindigkeit der regulatorischen Änderungen werden weiter zunehmen. Daher müssen Unternehmen einen Weg finden, um zu verhindern, dass das erhöhte SAP-Zugriffsrisiko ein Produkt dieser Umgebung wird.
Wichtigste Erkenntnis Nr. 2: Schlechtes Zugriffsmanagement kann zu kompromittierten Prozessen führen, die ein Geschäftsrisiko darstellen und bei Prüfungen versagen.
Ein mangelhaftes Zugangsmanagement wird am ehesten bei einer gesetzlichen oder internen Prüfung festgestellt, da diese Prüfungen darauf abzielen, Schwachstellen in den Prozessen einer Organisation aufzudecken, die ein Risiko für die Organisation und ihre verschiedenen Interessengruppen, Kunden und Lieferanten darstellen.
Doch wie der IDC Spotlight zeigt, gehen die Kosten einer schlechten Zugangsverwaltung über das Betrugsrisiko und die Kosten für die Behebung des Problems hinaus. Falsche Zugriffsrechte können die Ursache für eine Reihe ineffizienter Prozesse sein, bei denen die Benutzer die ihnen zur Verfügung stehende Technologie nicht ausreichend nutzen, da sie nicht in der Lage sind, diese voll auszuschöpfen.
Wenn SAP-Benutzer nicht über die richtigen Zugriffsrechte verfügen, kann es in Unternehmen zu Ausfallzeiten kommen (Endbenutzer warten auf einen geeigneten Zugriff), da die Zuweisung neuer Zugriffsrechte und die Einholung der erforderlichen Genehmigungen von Vorgesetzten und Risikoverantwortlichen Zeit in Anspruch nehmen kann. Es besteht auch ein Zusammenhang zwischen Zugriffsrechten und Softwarelizenzen. Eine übermäßige Zuweisung von Zugriffsrechten kann dazu führen, dass mehr Lizenzen bezahlt werden, als für das Unternehmen erforderlich sind.
Wichtige Erkenntnis Nr. 3: Das SAP-Zugriffsmanagement ist technischer Natur, aber Zugriffsentscheidungen werden am besten von Risikoverantwortlichen und Linienmanagern getroffen
SAP ERP verwaltet den Zugang über den Transaktionscode, der einer SAP-Rolle zugeordnet ist. Die SAP-Rolle wiederum ist dem SAP-Benutzer zugeordnet.
Das hört sich vernünftig und einfach an, ist es aber aufgrund der enormen Dimensionen typischer SAP-Installationen nicht:
- Über 140.000 Transaktionscodes in SAP ECC
- Tausende von Nutzern, die nicht ohne weiteres in Rollen mit identischen oder sehr ähnlichen Zugangsanforderungen zusammengefasst werden können
- Häufig mehrere rechtliche oder geografische Einheiten mit separaten SAP-Installationen und separaten Anforderungen an die Zugangsverwaltung
- Häufige Änderungen der Anforderungen an die Zugangsverwaltung aufgrund von Umstrukturierungen, Ausgliederungen, Konsolidierungen, Änderungen des Geschäftsumfangs usw.
Trotz dieses technischen Charakters sollte dies laut IDC nicht allein den technischen Experten überlassen werden.
Die Zuständigkeiten für die Zugangsverwaltung müssen zwischen der IT-Funktion und den Prozessverantwortlichen und Managern aufgeteilt werden. Die Verantwortlichen für die Geschäftsprozesse sind am besten in der Lage, die Rechte festzulegen, die für die Ausführung einer Aufgabe im Rahmen der einschlägigen Compliance-Regeln erforderlich sind, während die Manager am besten in der Lage sind, den von ihnen geführten Personen Rollen zuzuweisen.
Wichtig ist, dass diese Unternehmenseigentümer in der Lage sind, die Zugriffsrechte in ihrem Bereich proaktiv zu verwalten und aufrechtzuerhalten, wenn sie über die richtigen Tools verfügen. Dies trägt dazu bei, dass die Zugangsverwaltung nicht mehr eine jährliche reaktive Aktivität ist, sondern eine Übung in kontinuierlicher Compliance.
Befähigte Geschäftsinhaber sind in der Lage, Prozesse abzubilden, Schwachstellen zu erkennen und Verbesserungen umzusetzen. Da sie genau wissen, wie die einzelnen Mitarbeiter mit den SAP-Prozessen interagieren, können sie das Prinzip der geringsten Privilegien auf jeden einzelnen Mitarbeiter anwenden und so Risiken verringern, ohne die Produktivität zu beeinträchtigen.
Wichtigste Erkenntnis Nr. 4: Der SAP-Zugang muss proaktiv verwaltet werden, und dazu ist ein Tool erforderlich, das den Zugang jedes Benutzers entsprechend seiner Rolle überwacht, interpretiert und optimiert.
Im IDC Vendor Spotlight stellt IDC Soterion als SAP-Zugriffsmanagementlösung vor, die Geschäftsführern hilft, den Zugriff auf SAP zu verstehen, zu implementieren und zu überwachen, um Risiken zu reduzieren und die Effizienz zu verbessern.
Hier ist, was sie über Soterion zu sagen hatten:
"Soterion Software stellt sich der Herausforderung der sich verändernden Natur der SAP-Zugriffsrechte - mit einer Zugriffsmanagementlösung, die Geschäftsanwendern dabei hilft, zu erkennen, wie Benutzer ihre Zugriffsrechte in der Praxis nutzen, und die die geschäftlichen Auswirkungen schlecht konfigurierter Zugriffsrechte aufzeigt.
"Die Arbeit, die Soterion geleistet hat, um technische Zugriffsrechtsdaten in Erkenntnisse umzuwandeln, die Entscheidungsträger in Unternehmen verstehen und kontinuierlich überwachen können, wird dazu beitragen, dass das Zugriffsmanagement proaktiv wird und nicht nur in regelmäßigen Abständen vor einem Audit in Angriff genommen werden muss.
IDC hob einige der herausragenden Merkmale der Lösungen von Soterion hervor, darunter die folgenden:
Geschäftsorientiertes Design
"Entscheidungen über den SAP-Zugriff werden am besten von denjenigen getroffen, die den geschäftlichen Kontext verstehen, in dem die Prozesse und die Mitarbeiter, die mit ihnen interagieren, arbeiten. Das Tool von Soterion hilft dabei, die Beziehung zwischen Zugriffsrechten und Geschäftsprozessen zu visualisieren und Schwachstellen auf eine Art und Weise aufzuzeigen, die Manager schnell nachvollziehen können. Die Stärke dieses Tools liegt darin, dass es die Kontrolle in die Hände derjenigen legt, die am besten in der Lage sind, Entscheidungen zu treffen."
Möglichkeiten der Berichterstattung
"Ein wesentliches Unterscheidungsmerkmal von Soterion sind seine Berichtsfunktionen, die Zugriffsrisiken in Geschäftsprozessdiagrammen veranschaulichen."
Vereinfachte Sprache
"Für Geschäftsanwender, die keine Experten für SAP-Transaktionscodes sind, ist es einfacher zu verstehen, wo im Geschäftsprozess der widersprüchliche Zugriff liegt. Die Umwandlung der technischen GRC-Sprache in eine Sprache, die die Geschäftsanwender verstehen, kann dazu beitragen, bessere Entscheidungen zu treffen und die Geschäftsanwender stärker in den Prozess einzubinden und zur Verantwortung zu ziehen. Letzten Endes kann dies die Gesamtkapazität der Organisation zur Verwaltung ihrer Risiken verbessern.
Mehr erfahren
Soterion ist ein international führender Anbieter von Governance-, Risiko- und Compliance-Lösungen für Unternehmen, die SAP einsetzen. Die benutzerfreundlichen GRC-Lösungen von Soterion bieten detaillierte Berichte zu Zugriffsrisiken, mit denen Unternehmen ihre Zugriffsrisiken effektiv verwalten können.
Soterion setzt sich leidenschaftlich für die Vereinfachung von Governance-, Risiko- und Compliance-Prozessen ein, wobei der Schwerpunkt darauf liegt, diese Komplexität in eine geschäftsfreundliche Sprache zu übersetzen, um die Entscheidungsfindung und die Verantwortlichkeit des Unternehmens zu verbessern. Senden Sie eine E-Mail an [email protected] für weitere Informationen.
Setzen Sie sich mit einem unserer SAP-Sicherheitsberater in Verbindung, um zu erfahren, wie wir Sie bei der Lösung Ihrer GRC-Ziele unterstützen können.
Quelle: IDC Vendor Spotlight, gesponsert von Soterion, Soterion: Risikomanagement und Sicherstellung der Compliance durch Application Access Management, Doc. #EUR148915922, März 2022
