Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell

1,860 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,860
On SlideShare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
30
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell

  1. 1. Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell Christoph Weber dobis GmbH & Co. KG Dortmund www.ibsolution.de © IBSolution GmbH
  2. 2. Strategisches Vorgehensmodell: Sinnvoller Ansatz statt pragmatischem Vorgehen? Status: Pragmatismus beeinflusst vielfach die Entscheidungen, führt aber nicht zum gewünschten Erfolg und nicht zu langfristig nutzbaren Ergebnissen (damit: wirtschaftlich auf Dauer nachteilig). www.ibsolution.de © IBSolution GmbH
  3. 3. AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
  4. 4. AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
  5. 5. Spannungsfelder: beinhalten „Zwänge“, „Konsequenzen“ „Nachteile“, Einschränkungen“, etc. und sorgen für eine Abwehrhaltung. Sie erschweren strategische Ansätze sowie sinnvolle Ursachenforschung. Unwirtschaftliche Reparaturen (kurieren am Symptom) sind die Folge. www.ibsolution.de © IBSolution GmbH
  6. 6. Spannungsfelder Banken Investoren Prüfer Partner Gesetzgeber Fachbereiche EDV interne Revisoren Organisatoren Seite 6 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  7. 7. Spannungsfelder extern Banken  Geschäftsrisiken  Kreditwürdigkeit Investoren  Sicherheit/Schutz  Anfälligkeit gegen Missbrauch Prüfer  Internes Kontrollsystem  Nachvollziehbarkeit Partner Unternehmen  Verlässlichkeit  Transparenz  Schutz der Vertragsdaten  Vertrauen Gesetzgeber  Einhaltung von Gesetzen  Einhaltung von Regulatorien Seite 7 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  8. 8. Spannungsfelder extern innen Spannungsfelder intern Banken Fachbereich  Geschäftsrisiken  Hoher Freiheitsgrad  Kreditwürdigkeit  Schnelle Beseitigung von Hürden Investoren  Keine technischen  Sicherheit/Schutz Details  Anfälligkeit gegen Missbrauch EDV  Lückenlose Dokumentation Prüfer  Klare Prozesse  Internes Kontrollsystem  Revisionssicherheit  Nachvollziehbarkeit  Reibungsloser Betrieb (mit eingeschränkten Partner Unternehmen Rechten)  Verlässlichkeit Int. Revision  Transparenz Transparenz  Schutz der Einhaltung IKS Vertragsdaten Auswirkungen von  Vertrauen Verstößen Datensicherheit Gesetzgeber Organisation  Einhaltung von  Wer macht was ? Gesetzen  Qualifikation und  Einhaltung von Arbeitsplatz ? Regulatorien  Fachrolle pro Stelle Seite 8 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  9. 9. AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
  10. 10. Beispiel aus der Praxis: globale und verzahnte Rechte Maßnahme: „geben Sie die Rolle von M mal dem A“ Risikobetrachtung: Aufgabe Risiken werden häufig nur anhand von Symptomen Funktion 1 Funktion 2 Funktion 3 (z.B. Fehlverhalten auf Anwenderseite) erkannt und beurteilt. Entsprechende Einsatzgebiet/Rechte Analyseergebnisse (z.B.:„zu viele User haben zu viele A B C Rechte“) können von den eigentlichen Ursachen M A ablenken. Konsequenz: Mitarbeiter M und A haben zu viele Rechte Seite 11 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  11. 11. Konsequenz der Risikobetrachtung: Risiken müssen nach Geschäftsprozessen und handelnden Personen (User) getrennt werden. Die Basis für risikoarme Geschäftsprozesse bilden SOD- konforme Funktionsblöcke mit sauberen Berechtigungen. Diese werden über Einzelrollen abgebildet und über Sammelrollen den Prozessen und Arbeitsplätzen flexibel zugeordnet. www.ibsolution.de © IBSolution GmbH
  12. 12. Beispiel: SAP-Risikobetrachtung Regelwerk A „Global“ Geschäftsprozess Geschäftsprozess Geschäftsprozess „Beschaffung“ „Rechnungswesen“ „n“ Risiko B: Risiko A: Benutzer kann fiktives Sachkonto Benutzer kann Kreditorenstamm Risiko C: anlegen und Journalaktivitäten pflegen und Zahlungsläufe Benutzer kann …… erzeugen oder Aktivitäten durch anstoßen Buchungen verbergen Funktion 1: Funktion 2: Funktion 3: Funktion 4: Funktion 5: Pflege Bearbeiten Pflege Buchen ??????? Kreditorenstamm Kreditorrechnungen Sachkontenstamm Journaleinträge Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen SAP ERP SAP ERP SAP ERP SAP ERP NON SAP Seite 13 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  13. 13. AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
  14. 14. Grundsätze für ein SAP-Berechtigungskonzept  Erfüllung externer und interner Kontrollanforderungen (nationale Gesetze, SOX, Basel II, Wirtschafts- u. Betriebsprüfer… ) sowie Einhaltung der Kriterien zur Funktionstrennung („Segregation of duties“)  Revisionsgerecht dokumentierte, für alle Zielgruppen verständliche Rollen  Effizienter Einsatz der SAP-Bordmittel und Senkung der Administrationskosten  Qualitätssicherung: Jederzeitige Feststellung von Rollenänderungen im SAP-Produktivsystem Seite 15 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  15. 15. Beispiel aus der Praxis: globale und verzahnte Rechte Maßnahme: „geben Sie die Rolle von M mal dem A“ Aufgabe Funktion 1 Funktion 2 Funktion 3 Einsatzgebiet/Rechte A B C M A Konsequenz: Mitarbeiter M und A haben zu viele Rechte Seite 16 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  16. 16. Strategie  funktionale Rechte für optimale Prozesse Aufgabe Funktion 1 Funktion 2 Funktion 3 SAP Recht A B C M A M und A haben nur die Rechte, die sie benötigen Seite 17 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  17. 17. Lösung: funktionsorientiertes Berechtigungsdesign Fachbereich „Buchhaltung GESAMT“ Mitigation Mitigation -Control -Control Sammelrolle A: Sammelrolle B: Sammelrolle C: „Kreditorbuchhaltung“ „Sachkontenbuchhaltung“ …… Einzelrolle 1: Einzelrolle 2: Einzelrolle 3: Einzelrolle 4: Einzelrolle 5: Pflege Bearbeiten Pflege Buchen ??????? Kreditorenstamm Kreditorrehnungen Sachkontenstamm Journaleinträge Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen Aktionen/Berechtigungen SAP ERP SAP ERP SAP ERP SAP ERP SAP ERP Ableitung / Einhaltung der Kontrollanforderungen F-Baustein 1: F-Baustein 2: F-Baustein 3: F-Baustein 4: F-Baustein 5: Pflege Bearbeiten Pflege Buchen ??????? Kreditorenstamm Kreditorrechnungen Sachkontenstamm Journaleinträge Ableitung Modellierung der unternehmensspezifischen Prozesse Seite 18 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  18. 18. Vorgehensmodell „Arbeitsplatzfunktionen“ Auswahl Funktionsbausteine Zusteuerung Funktionstypen Zusteuerung ORG-Werte Arbeitsplätze (ER zu SR) Bankbuchhaltung Debitorenbuchhaltung Bankbuchhaltung Wareneingang Rechnungsprüfung Bestandsführung Anfragen/Angebote Anfragen/Angebote Debitorenbuchhaltung Bestandsführung Lokation 2 Lokation 1 AP1 AP2 AP3 AP4 AP5 AP… ER1 x x ER2 x x x ER3 x ER4 x ER5 ER x x … Seite 20 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  19. 19. Organisatorische Zwänge Es gibt nur Herrn Müller im Lager 011 Organisations- Kontrolle anweisung Inventur zählen oder Inventur bearbeiten Mitigation- Control Lager 011 Managementebene Management-Entscheidung zugunsten der Zuordnung Inventur Bearbeiten Inventur Zählen beider Funktionen WERKS 011 WERKS 011 Technikebene Technikebene Technikebene Einzelrollen haben Inventur Inventur Bearbeiten Zählen Funktionstrennung WERKS 011 WERKS 011 Seite 21 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  20. 20. AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
  21. 21. Roadmap „Einführungsschritte der Komponenten“ Compliance BMON® HR- IdM Check / SOD ReDesign ORG GRC-Access-Control Seite 23 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  22. 22. Security Life-Cycle Neueinführung SAP-System produktives BMON® BASIC Access Control SAP-System (Authorization Control) (Risk Analysis and Remediation) BMON® (Re)-Design konventionelles Vorgehen (funktionen (Zeitaufwändige Analyse, oft schwierige Informationsbeschaffung, orientiertes Reparaturansatz z.T. ohne gesicherte funktionale Basis) Vorgehensmodell + Wissensdatenbank) Access Control PFCG (Enterprise Role (Profilgenerator) Management) Access IdM SU01/ZBV Control EPE für (Identity- (Benutzerverwaltung) (Superuser Privilege Management & Management) IdM Compliant User Provisioning BMON® MIC (internes Kontrollsystem) Access QS/DOK AIS Control (Role-Quality) (Audit / Compliance) (Risk Analysis and Remediation) www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  23. 23. AGENDA 1. Spannungsfelder 2. Risikobetrachtung 3. Grundsätze für ein Berechtigungskonzept 4. Roadmap und Security Life Cycle 5. Nutzen und Auswirkungen www.ibsolution.de © IBSolution GmbH
  24. 24. Auswirkungen auf das Spannungsfeld Banken  Geschäftsrisiken Fachbereich  Kreditwürdigkeit Hoher Freiheitsgrad Schnelle Beseitigung von Hürden Investoren Keine technischen Details Sicherheit/Schutz Anfälligkeit gegen Missbrauch EDV Lückenlose Dokumentation Prüfer Klare Prozesse Internes Kontrollsystem Revisionssicherheit Nachvollziehbarkeit Reibungsloser Betrieb (mit eingeschränkten Rechten) Unternehmen Partner int. Revision Verlässlichkeit Transparenz Transparenz Einhaltung IKS Schutz der Vertragsdaten Auswirkungen von Vertrauen Verstößen Datensicherheit Gesetzgeber Organisation Einhaltung von Gesetzen Wer macht was ? Einhaltung von Qualifikation und Regulatorien Arbeitsplatz ? Fachrolle pro Stelle Seite 26 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  25. 25. Nutzen und Effizienzsteigerung statt Risikominimierung 1 Einhaltung der geforderten Kontrollen auf Ebene der Einzelrollen 2 Organisationsanweisungen bei Konflikten auf Ebene der Sammelrollen 3 sprechende, revisionsgerechte Dokumentation 4 hohe Transparenz der Berechtigungseinstellungen 5 niedrigerer Rollenpflegeaufwand 6 Effizientere Berechtigungsvergabe Seite 27 www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  26. 26. Strategiefrage: Risikovermeidung oder Optimierung? Alle Mann ins Tor ! Seite 28 www.ibsolution.de © IBSolution GmbH
  27. 27. Im Spannungsfeld von Berechtigungen, Nutzern und Organisation – ein strategisches Vorgehensmodell Christoph Weber dobis GmbH & Co. KG Dortmund www.ibsolution.de © IBSolution GmbH
  28. 28. SAP NetWeaver IdM & GRC Das Dreamteam zur Vereinfachung der Benutzerverwaltung Knauf Information Services - Bernd Neeser 30
  29. 29. Unternehmensgruppe Knauf Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  30. 30. Compliant Identity Management – warum?  Risikobehaftete Berechtigungsrollen  Verantwortlichkeiten nicht definiert Rolle ? Role Owner ? Rolle ? Role Owner Anforderer Rolle ? Role Owner Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  31. 31. Lösung: Neues Berechtigungskonzept Definition funktionaler und risikofreier Einzelrollen Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  32. 32. Lösung: Neues Berechtigungskonzept Arbeitsplatzrollen mit sprechenden Namen Prüfung der Arbeitsplatzrollen auf Compliance Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  33. 33. Compliant Identity Management – warum? Dezentrale Benutzerverwaltung Max Schmitt Administrations-Team Administrations-Team SAP Active Directory Portal SSO SCHMITTM SCHMITT SCHMITTMA 35 www.ibsolution.de © IBSolution GmbH Knauf Information Services - Bernd Neeser
  34. 34. Lösung: SAP Identity Management  Systemübergreifende Benutzerverwaltung Max Schmitt IdM Administrations-Team Administrations-Team SAP Active Directory Portal SSO SCHMITT SCHMITT SCHMITT 36 www.ibsolution.de © IBSolution GmbH Knauf Information Services - Bernd Neeser
  35. 35. Milestones – Step I  Step I - Anbindung von ZBV, SAP Portal, Active Directory - Zentrale Anlage und Pflege von Benutzerstammsätzen - Rückverteilung von Änderungen in den angebundenen Tochtersystemen - Mehrsprachigkeit - Integration ins Unternehmens-Portal  Step II - Self-Service zur Änderung eigener personenbezogener Daten - Self-Service für die Anlage, Änderung und Löschung (Sperrung) von Benutzern mit Genehmigungsworkflow  Step III - Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen - Ablösung der ZBV - Online Compliance Check  Step IV - Definition von “Business Roles” - Erweiterung des Self-Service: Anforderung von Business Roles Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  36. 36. Step I – Portalintegration & Mehrsprachigkeit Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  37. 37. Milestones – Step II  Step I - Anbindung von ZBV, SAP Portal, Active Directory - Zentrale Anlage und Pflege von Benutzerstammsätzen - Rückverteilung von Änderungen in den angebundenen Tochtersystemen - Mehrsprachigkeit - Integration ins Unternehmens-Portal  Step II - Self-Service zur Änderung eigener personenbezogener Daten - Self-Service für die Anlage, Änderung und Löschung (Sperrung) von Benutzern mit Genehmigungsworkflow  Step III - Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen - Ablösung der ZBV - Online Compliance Check  Step IV - Definition von “Business Roles” - Erweiterung des Self-Service: Anforderung von Business Roles Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  38. 38. Step II - Realisierter Workflow CSV Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  39. 39. Step II – Realisierter Workflow Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  40. 40. Step II – Pflege eigener Daten Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  41. 41. Step II - Kundenerweiterungen Wertehilfe für Kostenstellen Schnittstelle zum Solution Manager Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  42. 42. Milestones - Ausblick  Step I - Anbindung von ZBV, SAP Portal, Active Directory - Zentrale Anlage und Pflege von Benutzerstammsätzen - Rückverteilung von Änderungen in den angebundenen Tochtersystemen - Mehrsprachigkeit - Integration ins Unternehmens-Portal  Step II - Self-Service zur Änderung eigener personenbezogener Daten - Self-Service für die Anlage, Änderung und Löschung (Sperrung) von Benutzern mit Genehmigungsworkflow  Step III - Erweiterung des Self-Service: Anforderung von SAP Berechtigungsrollen - Ablösung der ZBV - Online Compliance Check  Step IV - Definition von “Business Roles” - Erweiterung des Self-Service: Anforderung von Business Roles Knauf Information Services - Bernd Neeser www.ibsolution.de © IBSolution GmbH Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
  43. 43. Vielen Dank für Ihre Aufmerksamkeit. Für weitere Fragen stehe ich Ihnen gerne zur Verfügung. Knauf Information Services - Bernd Neeser 45

×