View
218
Download
0
Category
Preview:
Citation preview
Professionelles SoD-Resolution Management
Beispiele aus der PraxisDSAG AK GRC6. November 2015
www.pwc.de
PwC @ DSAG AK GRC
Agenda
A Ein Startpunkt
B Regulatorische Anforderungen
C SoD-Resolution / Klärung
1 Rollenklärung
2 Ungenutzte Rechte
3 Ungewollte Rechte
4 Gezielte Kompensation
F SoD-Fazit
Seite 2
November 2015SoD-Resolution
PwC @ DSAG AK GRC
A-C
Startpunktbis
SoD-ResolutionSeite 3
November 2015SoD-Resolution
PwC @ DSAG AK GRC
A) Ein StartpunktPräzisierung des Themengebietes
Identity, Access & Governance Management (kurz IAGM) beschreibt
Gesamtlösungen, die Anwender mit allem versorgen, was sie im Rahmen ihrer
Aufgaben für ein Unternehmen an Zugängen zu IT-Ressourcen benötigen. Und
das auch noch schnell, effizient, nachhaltig und regelkonform.
Identity steht für die Anwender, die über Benutzerkonten mit Rechten
versorgt werden sollen. Access bezeichnet Rollen und Berechtigungen, die den
Anwendern Zugang zu den IT-Ressourcen verschaffen. Governance
beschreibt die Organisation und Prozesse sowie die Anforderungen, die hierbei
aus internen oder externen Gründen eingehalten werden müssen.
Seite 4
November 2015SoD-Resolution
PwC @ DSAG AK GRC
A) Ein StartpunktAktuelle Herausforderungen
• Verschmelzung von funktionsgleichen Systemen (z.B. ERP-Transformation-Projekte) ohne angemessene Berechtigungs-Harmonisierung
• Zeitgleich Zunahme von Anwendungen und insbesondere Kleinst-/EUA-& Workflow-Lösungen mit uneinheitlichen Berechtigungen
• Fehlende Komplexitätsreduktion auch bei Anwendungen innerhalb des SAP-Kosmos (ECC, BW, SCM, BO, Native HANA, S/4 ….)
• Zunehmende Verknappung erfahrener Access Management Experten bei gleichzeitiger Verlagerung in SSC oder Outsourcing
• Ansteigende regulatorische Anforderungen insb. in spez. Branchen (Banken/Versicherungen, Pharma und Energieversorger)
• Uneinheitliche IAGM und GRC-Lösungen oft von unterschiedlichen Unternehmensbereichen ausgewählt und betrieben
Seite 5
November 2015SoD-Resolution
PwC @ DSAG AK GRC
B) Regulatorische AnforderungenÜberblick
NATIONAL & INTERNATIONAL STANDARDS
NATIONAL LAWS & REGULATIONS
HGB(GoB)
BilMoGAktG
(KonTraG)KWG &MaRisk
BDSG(§9)
NATIONAL INTERPRETATIONS
GoBD FAIT1 PS330 PS951 BDSG
IDENTITY, ACCESS & GOVERNANCE MANAGEMENT
BSI ISO CobiTITGI-
Frame-work
ITIL
• IAGM sollte Bestandteil eines dokumentierten Informationssicherheits-Management-Systems sein, das wiederum in die IT-Governance & Compliance eingebunden ist.
• IAGM ist darüber hinaus ein essentieller Bestandteil des Steuerungs- und Überwachungssystems eines Unternehmens.
• Insofern unterliegt IAGM einer Reihe komplexer gesetzlicher und freiwilliger Regelungen und Standards.
Seite 6
November 2015SoD-Resolution
PwC @ DSAG AK GRC
B) Regulatorische AnforderungenKomprimierte Version
Minimalprinzip
.. jeder Mitarbeiter verfügt nur über die Rechte, die er für seine Tätigkeit benötigt
Vgl. MaRisk (BA) AT 7.2, Tz. 2
Funktionstrennungsprinzip
… miteinander unvereinbare Tätigkeiten werden durch unterschiedliche Mitarbeiter durchgeführt ..
Vgl. MaRisk (BA) AT 4.3.1, Tz. 1
Seite 7
November 2015SoD-Resolution
PwC @ DSAG AK GRC
C) SoD-ResolutionAm Beispiel ausgewählter Maßnahmen
Das Spektrum der Maßnahmen zur Gestaltung des Benutzer- und Berechtigungs-managements ist vielfältig.
Wir wählen hieraus den Ausschnitt des Access Compliance Managements und hier wiederum ausgesuchte Maßnahmen zur Klärung von SoD-Konflikten, die dazu beitragen können, dem IAGM-Thema den „Schrecken“ zu nehmen.
Identifizierung von Rollen, die vom Benutzer nicht
benötigt werden und insofern entzogen werden
können
Identifizierung von Rollen, die für die Tätigkeit eines Benutzers nicht gewollt
sind und insofern entzogen werden sollten
Kompensation von nicht auflösbaren Konflikten
durch „gezielte“ Kontrollen realisierter SoD-Konflikte
Klärung der Rollen sowohl der äußeren Deklaration als auch der beinhalteten
technischen Berechtigungen
1Rollen-klärung
2Ungenutzte
Rechte
3Ungewollte
Rechte
4Gezielte
Kompensation
Seite 8
November 2015SoD-Resolution
PwC @ DSAG AK GRC
1-4Einzelne
SoD-Klärungs-
MaßnahmenSeite 9
November 2015SoD-Resolution
PwC @ DSAG AK GRC
1) Rollenklärung Deklaration & Strukturgebung
Benutzer
(=natürliche Person)
Businessrolle
(= Tätigkeit)
Applikationsrecht
(= Prozessschritt)
• Benutzer-ID
• Vorname
• Nachname
• Abteilung
• OrgEinheit
• Kostenstelle
• Standort
• BR-Name
• BR-Text
• BR-Beschreibung
• OrgEinheit& Teileinheit
• Differenzierungstyp & -wert
• Risikotyp & -klasse
• AR-Name
• AR-Text
• AR-Beschreibung
• Applikation & -typ
• Prozess/Teilprozess
• Differenzierungstyp & -wert
• Risikotyp & -klasse
Seite 10
November 2015SoD-Resolution
PwC @ DSAG AK GRC
2) Ungenutzte BerechtigungenAm Beispiel
SA-P-Regel:Bestellungen
Pflegen[EKORG ALL]
SA-N-Regel:Bestellungen
pflegen
Viele Benutzer verfügen über
Berechtigungen mit Zugriff auf
Funktionen, die sie für die Ausführung
ihrer übertragenen Verantwortung
überhaupt nicht benötigen. Wir
nennen dies „ungenutzte Berechtigungen“
oder „Berechtigungs-Überhänge“.
Die Ursachen sind u. a. zu weitreichende
initiale Berechtigungsvergaben, fehlende
Anpassungen an Wechsel der Tätigkeiten
oder das Fehlen angemessener Rollen.
Mit Auswertungen der Nutzungsanalyse
kann die reale Nutzung von Funktionen
über SAP-Beleg- & -Änderungsbeleg-
tabellen ausgewertet werden. So können
in Kombination mit der Berechtigungs-
analyse von Funktionen Lösch-
Vorschlagslisten erstellt werden.
Dies gewährleistet, dass mit dem Entzug der Funktionen
grundsätzlich keine Einschränkung der Mitarbeiter in
ihren ausgeübten Funktionen entsteht.
SAP-Belegtabelle:Bestellungen
EKKO
SAP-Änderungs-belegtabelle:
CDHDR
Seite 11
November 2015SoD-Resolution
PwC @ DSAG AK GRC
3) Ungewollte BerechtigungenAm Beispiel
OrgUnit-Regel:
Rahmenvertrag & Zentraler
Einkauf
SA-P-Regel:Rahmen-verträgepflegen
OrgUnit:Vertrieb
Deutschland
Dadurch können signifikante Abweichungen zwischen
Erwartungshaltung und tatsächlicher Zuordnung von
Berechtigungen ermittelt werden, selbst wenn ein
Benutzer eine Funktion unberechtigter Weise genutzt hat.
Die Zuordnung der Benutzer im GRC AC
zur Organisationshierarchie und damit
zu einem OrgUnit-Knoten (einer
Planstelle in SAP HCM) ermöglicht
grundsätzlich eine organisatorische
Einordnung.
Hierzu sollte/n die Organisations-
hierarchie/Planstellen nicht nur primär
für die Gehaltseinstufung verwendet
werden, sondern eine prozessuale und
organisatorische Einordnung ermöglicht,
aus der eine Verknüpfung mit den
Aufgaben eines Mitarbeiters möglich ist.
Wenn dies vorliegt, kann eine
Verknüpfung zwischen sensitiven
Funktionen und OrgUnits hergestellt
werden.
Seite 12
November 2015SoD-Resolution
PwC @ DSAG AK GRC
4) Gezielte KompensationAm Beispiel
SoD-P-Regel:Rechnung buchen &
Wareneingangbestätigen
SA-N-Regel:Wareneingang
bestätigen
SAP-Belegtabelle:
MKPFBelegkopf
Materialbeleg
SAP-Belegtabelle:
MSEGBelegsegment
Material
SA-N-Regel:Rechnung buchen
SAP-Belegtabelle:
BKPFBelegkopf für Buchhaltung
SAP-Belegtabelle:
BSEGBelegsegment Buchhaltung
SoD-N-Regel:Rechnung buchen &
Wareneingangbestätigen
Sind bei kleineren Einheiten
SoD-Konflikte unvermeidbar,
schlägt die Stunde der
kompensierenden Kontrollen.
Hierbei kristallisiert sich in
der Praxis zunehmend die
fehlende Eignung „normaler“
Kontrollen des Internen
Kontrollsystems zur Deckung
der Risiken aus SoD-
Konflikten heraus.
Lösung hierfür kann die
Identifizierung konkreter,
vollzogener SoD-Konflikte von
Benutzern und deren
Kontrolle nach dem 4-Augen-
Prinzip sein.
Seite 13
November 2015SoD-Resolution
PwC @ DSAG AK GRC
F
SoD-Fazit
November 2015SoD-Resolution
Seite 14
PwC @ DSAG AK GRC
A) SoD-Fazit
• Neben der klassischen SoD-Potenzial-Analyse bieten SAP- und auch Non-SAP-Systeme eine Vielzahl von Nutzungs-Informationen, um die Klärung von Funktionstrennungskonflikten (Segregation of Duties - SoD) erheblich vereinfachen zu können.
• Voraussetzung ist ein transparentes Rollenkonzept, mindestens mit sensitiven Funktionen (Sensitive Access – SA) in eigenständigen Einzelrollen, ein sinnvolles und verständliches Regelwerk (SoD und SA) als Bestandteil einer Lösung zur SoD- und SA-Potenzialanalyse(z. B. SAP GRC AC ARA).
• Ebenfalls ist eine Lösung zur Nutzungsanalyse von Sensitiven Funktionen und Funktionstrennungen auf Belegebene und ein auf das Potenzial-Analyse-Regelwerk abgestimmter Content für die Nutzungsanalyse erforderlich. Diese Lösung sollte sinnvoll in die bestehende IAM-/GRC-Landschaft integriert sein.
• So kann die Analyse unter Nutzung von Standardanwendungen wie Fraud Management, SAP GRC AC (& AVM), GRC PC oder anderen Marktlösungen z. B. für Identity, Access und GovernanceManagement oder Data Warehousing erfolgen.
• Die Beleganalysemaßnahmen sollten hierbei nahtlos in die übrigen SoD-Klärungsmaßnahmen sowie insgesamt in das interne Kontrollsystem für Access Controls und weiter für ProcessControls eingebunden sein.
Seite 15
November 2015SoD-Resolution
Ihre Ansprechpartner
© 2015 PricewaterhouseCoopers Aktiengesellschaft Wirtschaftsprüfungsgesellschaft.
Alle Rechte vorbehalten. „PwC“ bezeichnet in diesem Dokument die PricewaterhouseCoopers
Aktiengesellschaft Wirtschaftsprüfungsgesellschaft, die eine Mitgliedsgesellschaft der
PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL
ist eine rechtlich selbstständige Gesellschaft.
Johannes Liffers Kapelle-Ufer 410117 BerlinTel.: +49 30 2636-1658email: johannes.liffers@de.pwc.com
Timm SchwarzMoskauer Str. 1940227 DüsseldorfTel.: +49 211 981 - 2956email: timm.schwarz@de.pwc.com
Recommended