• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell
 

Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell

on

  • 1,339 views

 

Statistics

Views

Total Views
1,339
Views on SlideShare
1,339
Embed Views
0

Actions

Likes
0
Downloads
20
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell Presentation Transcript

    • Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell Christoph Weber dobis GmbH & Co. KG Dortmund www.ibsolution.de © IBSolution GmbH
    • Strategisches Vorgehensmodell: Sinnvoller Ansatz statt pragmatischem Vorgehen? Status: Pragmatismus beeinflusst vielfach die Entscheidungen, führt aber nicht zum gewünschten Erfolg und nicht zu langfristig nutzbaren Ergebnissen (damit: wirtschaftlich auf Dauer nachteilig). www.ibsolution.de © IBSolution GmbH
    • AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
    • AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
    • Spannungsfelder: beinhalten „Zwänge“, „Konsequenzen“ „Nachteile“, Einschränkungen“, etc. und sorgen für eine Abwehrhaltung. Sie erschweren strategische Ansätze sowie sinnvolle Ursachenforschung. Unwirtschaftliche Reparaturen (kurieren am Symptom) sind die Folge. www.ibsolution.de © IBSolution GmbH
    • Spannungsfelder Banken Investoren Prüfer Partner Gesetzgeber Fachbereiche EDV interne Revisoren Organisatoren Seite 6 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Spannungsfelder extern Banken  Geschäftsrisiken  Kreditwürdigkeit Investoren  Sicherheit/Schutz  Anfälligkeit gegen Missbrauch Prüfer  Internes Kontrollsystem  Nachvollziehbarkeit Partner Unternehmen  Verlässlichkeit  Transparenz  Schutz der Vertragsdaten  Vertrauen Gesetzgeber  Einhaltung von Gesetzen  Einhaltung von Regulatorien Seite 7 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Spannungsfelder extern innen Spannungsfelder intern Banken Fachbereich  Geschäftsrisiken  Hoher Freiheitsgrad  Kreditwürdigkeit  Schnelle Beseitigung von Hürden Investoren  Keine technischen  Sicherheit/Schutz Details  Anfälligkeit gegen Missbrauch EDV  Lückenlose Dokumentation Prüfer  Klare Prozesse  Internes Kontrollsystem  Revisionssicherheit  Nachvollziehbarkeit  Reibungsloser Betrieb (mit eingeschränkten Partner Unternehmen Rechten)  Verlässlichkeit Int. Revision  Transparenz Transparenz  Schutz der Einhaltung IKS Vertragsdaten Auswirkungen von  Vertrauen Verstößen Datensicherheit Gesetzgeber Organisation  Einhaltung von  Wer macht was ? Gesetzen  Qualifikation und  Einhaltung von Arbeitsplatz ? Regulatorien  Fachrolle pro Stelle Seite 8 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
    • Beispiel aus der Praxis: globale und verzahnte Rechte Maßnahme: „geben Sie die Rolle von M mal dem A“ Risikobetrachtung: Aufgabe Risiken werden häufig nur anhand von Symptomen Funktion 1 Funktion 2 Funktion 3 (z.B. Fehlverhalten auf Anwenderseite) erkannt und beurteilt. Entsprechende Einsatzgebiet/Rechte Analyseergebnisse (z.B.:„zu viele User haben zu viele A B C Rechte“) können von den eigentlichen Ursachen M A ablenken. Konsequenz: Mitarbeiter M und A haben zu viele Rechte Seite 11 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Konsequenz der Risikobetrachtung: Risiken müssen nach Geschäftsprozessen und handelnden Personen (User) getrennt werden. Die Basis für risikoarme Geschäftsprozesse bilden SOD- konforme Funktionsblöcke mit sauberen Berechtigungen. Diese werden über Einzelrollen abgebildet und über Sammelrollen den Prozessen und Arbeitsplätzen flexibel zugeordnet. www.ibsolution.de © IBSolution GmbH
    • Beispiel: SAP-Risikobetrachtung Regelwerk A „Global“ Geschäftsprozess Geschäftsprozess Geschäftsprozess „Beschaffung“ „Rechnungswesen“ „n“ Risiko B: Risiko A: Benutzer kann fiktives Sachkonto Benutzer kann Kreditorenstamm Risiko C: anlegen und Journalaktivitäten pflegen und Zahlungsläufe Benutzer kann …… erzeugen oder Aktivitäten durch anstoßen Buchungen verbergen Funktion 1: Funktion 2: Funktion 3: Funktion 4: Funktion 5: Pflege Bearbeiten Pflege Buchen ??????? Kreditorenstamm Kreditorrechnungen Sachkontenstamm Journaleinträge Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen SAP ERP SAP ERP SAP ERP SAP ERP NON SAP Seite 13 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
    • Grundsätze für ein SAP-Berechtigungskonzept  Erfüllung externer und interner Kontrollanforderungen (nationale Gesetze, SOX, Basel II, Wirtschafts- u. Betriebsprüfer… ) sowie Einhaltung der Kriterien zur Funktionstrennung („Segregation of duties“)  Revisionsgerecht dokumentierte, für alle Zielgruppen verständliche Rollen  Effizienter Einsatz der SAP-Bordmittel und Senkung der Administrationskosten  Qualitätssicherung: Jederzeitige Feststellung von Rollenänderungen im SAP-Produktivsystem Seite 15 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Beispiel aus der Praxis: globale und verzahnte Rechte Maßnahme: „geben Sie die Rolle von M mal dem A“ Aufgabe Funktion 1 Funktion 2 Funktion 3 Einsatzgebiet/Rechte A B C M A Konsequenz: Mitarbeiter M und A haben zu viele Rechte Seite 16 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Strategie  funktionale Rechte für optimale Prozesse Aufgabe Funktion 1 Funktion 2 Funktion 3 SAP Recht A B C M A M und A haben nur die Rechte, die sie benötigen Seite 17 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Lösung: funktionsorientiertes Berechtigungsdesign Fachbereich „Buchhaltung GESAMT“ Mitigation Mitigation -Control -Control Sammelrolle A: Sammelrolle B: Sammelrolle C: „Kreditorbuchhaltung“ „Sachkontenbuchhaltung“ …… Einzelrolle 1: Einzelrolle 2: Einzelrolle 3: Einzelrolle 4: Einzelrolle 5: Pflege Bearbeiten Pflege Buchen ??????? Kreditorenstamm Kreditorrehnungen Sachkontenstamm Journaleinträge Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen SAP ERP SAP ERP SAP ERP SAP ERP SAP ERP Ableitung / Einhaltung der Kontrollanforderungen F-Baustein 1: F-Baustein 2: F-Baustein 3: F-Baustein 4: F-Baustein 5: Pflege Bearbeiten Pflege Buchen ??????? Kreditorenstamm Kreditorrechnungen Sachkontenstamm Journaleinträge Ableitung Modellierung der unternehmensspezifischen Prozesse Seite 18 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Vorgehensmodell „Arbeitsplatzfunktionen“ Auswahl Funktionsbausteine Zusteuerung Funktionstypen Zusteuerung ORG-Werte Arbeitsplätze (ER zu SR) Bankbuchhaltung Debitorenbuchhaltung Bankbuchhaltung Wareneingang Rechnungsprüfung Bestandsführung Anfragen/Angebote Anfragen/Angebote Debitorenbuchhaltung Bestandsführung Lokation 2 Lokation 1 AP1 AP2 AP3 AP4 AP5 AP… ER1 x x ER2 x x x ER3 x ER4 x ER5 ER x x … Seite 20 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Organisatorische Zwänge Es gibt nur Herrn Müller im Lager 011 Organisations- Kontrolle anweisung Inventur zählen oder Inventur bearbeiten Mitigation- Control Lager 011 Managementebene Management-Entscheidung zugunsten der Zuordnung Inventur Bearbeiten Inventur Zählen beider Funktionen WERKS 011 WERKS 011 Technikebene Technikebene Technikebene Einzelrollen haben Inventur Inventur Bearbeiten Zählen Funktionstrennung WERKS 011 WERKS 011 Seite 21 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
    • Roadmap „Einführungsschritte der Komponenten“ Compliance BMON® HR- IdM Check / SOD ReDesign ORG GRC-Access-Control Seite 23 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Security Life-Cycle Neueinführung SAP-System produktives BMON® BASIC Access Control SAP-System (Authorization Control) (Risk Analysis and Remediation) BMON® (Re)-Design konventionelles Vorgehen (funktionen (Zeitaufwändige Analyse, oft schwierige Informationsbeschaffung, orientiertes Reparaturansatz z.T. ohne gesicherte funktionale Basis) Vorgehensmodell + Wissensdatenbank) Access Control PFCG (Enterprise Role (Profilgenerator) Management) Access IdM SU01/ZBV Control EPE für (Identity- (Benutzerverwaltung) (Superuser Privilege Management & Management) IdM Compliant User Provisioning BMON® MIC (internes Kontrollsystem) Access QS/DOK AIS Control (Role-Quality) (Audit / Compliance) (Risk Analysis and Remediation) www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
    • Auswirkungen auf das Spannungsfeld Banken  Geschäftsrisiken Fachbereich  Kreditwürdigkeit Hoher Freiheitsgrad Schnelle Beseitigung von Hürden Investoren Keine technischen Details Sicherheit/Schutz Anfälligkeit gegen Missbrauch EDV Lückenlose Dokumentation Prüfer Klare Prozesse Internes Kontrollsystem Revisionssicherheit Nachvollziehbarkeit Reibungsloser Betrieb (mit eingeschränkten Rechten) Unternehmen Partner int. Revision Verlässlichkeit Transparenz Transparenz Einhaltung IKS Schutz der Vertragsdaten Auswirkungen von Vertrauen Verstößen Datensicherheit Gesetzgeber Organisation Einhaltung von Gesetzen Wer macht was ? Einhaltung von Qualifikation und Regulatorien Arbeitsplatz ? Fachrolle pro Stelle Seite 26 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Nutzen und Effizienzsteigerung statt Risikominimierung 1 Einhaltung der geforderten Kontrollen auf Ebene der Einzelrollen 2 Organisationsanweisungen bei Konflikten auf Ebene der Sammelrollen 3 sprechende, revisionsgerechte Dokumentation 4 hohe Transparenz der Berechtigungseinstellungen 5 niedrigerer Rollenpflegeaufwand 6 Effizientere Berechtigungsvergabe Seite 27 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Strategiefrage: Risikovermeidung oder Optimierung? Alle Mann ins Tor ! Seite 28 www.ibsolution.de © IBSolution GmbH
    • Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell Christoph Weber dobis GmbH & Co. KG Dortmund www.ibsolution.de © IBSolution GmbH
    • SAP NetWeaver IdM & GRC Das Dreamteam zur Vereinfachung der Benutzerverwaltung Knauf Information Services - Bernd Neeser 30
    • Unternehmensgruppe Knauf Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Compliant Identity Management – warum?  Risikobehaftete Berechtigungsrollen  Verantwortlichkeiten nicht definiert Rolle ? Role Owner ? Rolle ? Role Owner Anforderer Rolle ? Role Owner Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Lösung: Neues Berechtigungskonzept Definition funktionaler und risikofreier Einzelrollen Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Lösung: Neues Berechtigungskonzept Arbeitsplatzrollen mit sprechenden Namen Prüfung der Arbeitsplatzrollen auf Compliance Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Compliant Identity Management – warum? Dezentrale Benutzerverwaltung Max Schmitt Administrations-Team Administrations-Team SAP Active Directory Portal SSO SCHMITTM SCHMITT SCHMITTMA 35 www.ibsolution.de © IBSolution GmbH Knauf Information Services - Bernd Neeser
    • Lösung: SAP Identity Management  Systemübergreifende Benutzerverwaltung Max Schmitt IdM Administrations-Team Administrations-Team SAP Active Directory Portal SSO SCHMITT SCHMITT SCHMITT 36 www.ibsolution.de © IBSolution GmbH Knauf Information Services - Bernd Neeser
    • Milestones – Step I  Step I - Anbindung von ZBV, SAP Portal, Active Directory - Zentrale Anlage und Pflege von Benutzerstammsätzen - Rückverteilung von Änderungen in den angebundenen Tochtersystemen - Mehrsprachigkeit - Integration ins Unternehmens-Portal  Step II - Self-Service zur Änderung eigener personenbezogener Daten - Self-Service für die Anlage, Änderung und Löschung (Sperrung) von Benutzern mit Genehmigungsworkflow  Step III - Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen - Ablösung der ZBV - Online Compliance Check  Step IV - Definition von “Business Roles” - Erweiterung des Self-Service: Anforderung von Business Roles Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Step I – Portalintegration & Mehrsprachigkeit Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Milestones – Step II  Step I - Anbindung von ZBV, SAP Portal, Active Directory - Zentrale Anlage und Pflege von Benutzerstammsätzen - Rückverteilung von Änderungen in den angebundenen Tochtersystemen - Mehrsprachigkeit - Integration ins Unternehmens-Portal  Step II - Self-Service zur Änderung eigener personenbezogener Daten - Self-Service für die Anlage, Änderung und Löschung (Sperrung) von Benutzern mit Genehmigungsworkflow  Step III - Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen - Ablösung der ZBV - Online Compliance Check  Step IV - Definition von “Business Roles” - Erweiterung des Self-Service: Anforderung von Business Roles Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Step II - Realisierter Workflow CSV Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Step II – Realisierter Workflow Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Step II – Pflege eigener Daten Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Step II - Kundenerweiterungen Wertehilfe für Kostenstellen Schnittstelle zum Solution Manager Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Milestones - Ausblick  Step I - Anbindung von ZBV, SAP Portal, Active Directory - Zentrale Anlage und Pflege von Benutzerstammsätzen - Rückverteilung von Änderungen in den angebundenen Tochtersystemen - Mehrsprachigkeit - Integration ins Unternehmens-Portal  Step II - Self-Service zur Änderung eigener personenbezogener Daten - Self-Service für die Anlage, Änderung und Löschung (Sperrung) von Benutzern mit Genehmigungsworkflow  Step III - Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen - Ablösung der ZBV - Online Compliance Check  Step IV - Definition von “Business Roles” - Erweiterung des Self-Service: Anforderung von Business Roles Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
    • Vielen Dank für Ihre Aufmerksamkeit. Für weitere Fragen stehe ich Ihnen gerne zur Verfügung. Knauf Information Services - Bernd Neeser 45