Die drei KPIs, die jedes SAP-Sicherheitsteam im Zeitalter von STAR im Auge behalten sollte
Wie Sie die SAP-Zugriffskontrolle mit der finanziellen und betrieblichen Leistung in Einklang bringen.
Mit dem STAR-Lizenzierungsmodell von SAP, das nun vollständig in Kraft ist, hat sich die Rolle des SAP-Sicherheitsteams gewandelt. Sie sind nicht mehr nur für die Einhaltung der Zugriffsregeln und der Funktionstrennung (Segregation of Duties, SoD) zuständig, sondern haben auch einen direkten Einfluss auf die Lizenzkosten, insbesondere bei SAP Cloud ERP Private (früher RISE with SAP).
In dieser neuen Umgebung ist Transparenz alles. Wenn Sie die finanziellen und betrieblichen Auswirkungen Ihrer Zugangskontrollstrategie nicht messen können, können Sie sie auch nicht verbessern. Aus diesem Grund gehen zukunftsorientierte SAP-Teams von reaktiven Kontrollen zu einer KPI-gesteuerten Governance über.
Hier sind die drei KPIs, die jedes SAP-Sicherheitsteam jetzt verfolgen sollte.
1. Tatsächliche vs. zugewiesene FUEs
Was es ist:
Die Differenz zwischen der Anzahl der Full Use Equivalents (FUEs) auf der Grundlage der zugewiesenen Berechtigungen (was Nutzer tun können ) und der tatsächlichen Nutzung (was Nutzer tatsächlich tun).
Warum das wichtig ist:
Das STAR-Modell von SAP klassifiziert Benutzer auf der Grundlage des zugewiesenen Zugriffs, nicht der Nutzung. Dies führt häufig zu einer Überlizenzierung. Die Verfolgung dieses KPIs hilft dabei, zu quantifizieren, wie weit Ihr aktuelles SAP-Rollendesign von Ihrem tatsächlichen Lizenzierungsbedarf abweicht.
Was Sie anstreben sollten:
Eine Abweichung von weniger als 20 % zwischen der zugewiesenen und der tatsächlichen Nutzung ist in der Regel ein guter Richtwert, auch wenn Organisationen mit alten Rollen anfangs möglicherweise eine viel größere Lücke aufweisen.
2. Rollenbereinigungspotenzial
Was es ist:
Die Anzahl (oder der Prozentsatz) der FUEs, die durch das Entfernen ungenutzter oder unnötiger Berechtigungen aus Benutzerrollen eliminiert werden könnten - ohne den Geschäftsbetrieb zu stören.
Warum das wichtig ist:
In den meisten SAP-Umgebungen sammeln sich die Zugriffsrechte im Laufe der Zeit an. Benutzer erhalten Zugriff "für den Fall der Fälle" oder behalten die Berechtigungen aus früheren Rollen. Diese ungenutzten Zugriffsrechte umfassen oft auch High-Tier-Berechtigungen, die die Lizenzkosten in die Höhe treiben.
Was Sie anstreben sollten:
Die Abhilfemaßnahmen, einschließlich der Überprüfung des Benutzerzugangs, sollten regelmäßiger durchgeführt werden.
3. Zugang Risikotoleranz
Was es ist:
Das Verhältnis zwischen potenziellen SoD-Konflikten (basierend auf dem Rollendesign) und tatsächlichen SoD-Verletzungen (basierend auf der tatsächlichen Nutzung).
Warum das wichtig ist:
Es besteht die Tendenz, in SAP zu viele Zugriffsrechte zu vergeben. Durch die Definition eines KPIs für die Zugriffsrisikotoleranz können Unternehmen die Diskrepanz zwischen den potenziellen Zugriffsrisiken, die durch das Rollendesign eingeführt werden, und den tatsächlichen Risiken auf der Grundlage der tatsächlichen Benutzeraktivität messen und so fundiertere und gezieltere Abhilfemaßnahmen ermöglichen.
Was Sie anstreben sollten:
Versuchen Sie, ein Verhältnis von weniger als 3 zu erreichen. Mit anderen Worten: Die Anzahl der potenziellen Risiken sollte nicht mehr als das Dreifache der tatsächlichen Risiken betragen.
Unabhängig davon, welchen KPI Ihre Organisation als ihren KPI definiert, bietet diese Kennzahl dem Sicherheitsteam ein klares Ziel.
Alles zusammenfügen
Diese drei KPIs schaffen einen ganzheitlichen Überblick über Ihre Zugangsumgebung:
- Tatsächliche vs. zugewiesene FUEs zeigen, wo Sie überlizenziert sind
- Rollenbereinigungspotenzial zeigt, wo Sie Kosten reduzieren können
- Access Risk Tolerance bietet einen messbaren KPI, auf den sowohl die Sicherheitsteams als auch die Geschäftsanwender hinarbeiten können
Zusammen geben sie den SAP-Sicherheitsteams die Kennzahlen an die Hand, die sie benötigen, um mit Zuversicht zu arbeiten - und um einen Wert zu demonstrieren, der über die Einhaltung von Audits hinausgeht.
Wie Soterion hilft
Soterion's SAP-Lizenzmanager und Zugriffsrisiko-Manager bieten Echtzeit-Transparenz für diese KPIs. Unsere Plattform analysiert zugewiesene und tatsächliche Berechtigungen, identifiziert Bereinigungsmöglichkeiten und hilft den Teams, SoD-Beseitigungen dort zu konzentrieren, wo sie wirklich wichtig sind.
Hier geht es nicht nur um Berichte, sondern darum, bessere, schnellere und strategischere Entscheidungen zu treffen.
Schlussfolgerung: Von Gatekeepern zu Wertschöpfern
Im Zeitalter von STAR sind SAP-Sicherheitsteams nicht mehr nur Zugangskontrolleure, sondern sie sind auch finanzielle Ermöglicher. Indem sie die richtigen KPIs verfolgen, können sie eine proaktive Rolle bei der Kostenkontrolle, der Verbesserung der Governance und der Erschließung von Geschäftswerten spielen.
Möchten Sie wissen, wie Ihr optimales Lizenzierungsszenario aussieht?
Lassen Sie es uns Ihnen zeigen. Nehmen Sie Kontakt auf mit Soterion für ein maßgeschneidertes SAP-Lizenz-Assessment, das Ihnen helfen kann, Ihre Kosten zu optimieren und Ihren tatsächlichen Lizenzbedarf zu ermitteln.
Treffen Sie Soterion
Wir sind ein Team von Spezialisten für SAP-Sicherheit und Lizenzmanagement und dafür bekannt, dass wir marktführende Technologie mit fundiertem Beratungswissen kombinieren. Mit einer nachweislichen Erfolgsbilanz bei der Bereitstellung robuster, skalierbarer und einfach zu verwaltender SAP-Autorisierungslösungen verstehen wir die praktischen Herausforderungen, mit denen Unternehmen bei der Verwaltung von Zugriff, Compliance und Governance konfrontiert sind, genau.
Wir bei Soterion sind sehr stolz darauf, Lösungen zu entwickeln, die nicht nur technisch solide, sondern auch intuitiv und wartungsarm sind. Dadurch wird sichergestellt, dass unsere Lösungen für IT-Teams leicht zu verwalten und für die Geschäftsinteressenten einfach zu nutzen sind. Unser Ziel ist es, die Komplexität zu beseitigen und die Geschäftsanwender in die Lage zu versetzen, ihre Aktivitäten im Bereich des Zugangsrisikomanagements selbstbewusst und klar zu steuern.
Unsere Lösungen für die Zugriffskontrolle sind besonders effektiv in Projektphasen, in denen sie datengestützte Erkenntnisse liefern, Rollendesigns simulieren und Zugriffsrisiken validieren. Auf diese Weise können wir revisionssichere Lösungen bereitstellen, die mit umfassenderen Unternehmenszielen übereinstimmen, einschließlich Datenschutz (Privacy by Design), Lizenzoptimierung (Licensing by Design) und skalierbaren Governance-Rahmenwerken, die das Unternehmenswachstum unterstützen.
Wenn Sie Fragen haben oder eine Demo sehen möchten, wenden Sie sich bitte per E-Mail an [email protected].
