EINZELHANDELSBRANCHE

Neuordnung der Zuständigkeiten von SAP und SoD

SAP-Sicherheit

EINZELHANDELSBRANCHE

Kundenprofil

Einzelhandelsunternehmen

Der Marktführer unter den Convenience-Stores in Polen, der schnelle Einkäufe in der Nähe des Wohnortes bietet. Dank ihres breiten Sortiments, innovativer Lösungen und Dienstleistungen entspricht die Marke den täglichen Bedürfnissen der Kunden und verbindet Komfort mit Modernität.

Herausforderungen

Der Kunde sah sich mit mehreren Problemen bei der Verwaltung von SAP-Ansprüchen konfrontiert, darunter:

Mangelnde Kontrolle über den Inhalt der Rollen (Rollen "schwollen an", d.h. es wurden ständig neue Transaktionen zugewiesen, kein Eigentümer, keine zyklische Überprüfung der Rollen)

Hohe Anzahl von SoD-Konflikten und damit ein hohes Gefährdungsniveau, d.h. die Möglichkeit der Schädigung des Unternehmens durch eingeräumte Befugnisse weit über die täglichen Arbeitsaufgaben hinaus

Analyse

Während des SoD-Audits, das mit dem SAST-Berechtigungsmanagement-Tool durchgeführt wurde, stellten wir fest, dass die Anzahl der Konflikte auf dem Produktivsystem (S4) die Risikotoleranzschwelle der Organisation bei weitem überstieg. In Anbetracht des agilen Charakters des Projekts und der engen Zusammenarbeit mit den Geschäftsanwendern konzentrierten wir uns auf die Qualität der Umstrukturierung der SAP-Berechtigungen und nicht auf die Geschwindigkeit, mit der die nächsten Projektphasen und der Produktionsstart angegangen wurden. Nach mehr als einem Jahr haben wir das Projekt in allen Bereichen des Finanzwesens oder im Umfeld des Finanzwesens abgeschlossen, darunter: Rechnungswesen, Controlling, Unternehmenssteuerung, Treasury.

Ein wichtiger Meilenstein war sicherlich die Erstellung des neuen Berechtigungskonzepts und die Implementierung der Prozesse und des sogenannten "Ownerships" (eng. Ownership) der neuen SAP-Rollen. Dies war ein entscheidender Schritt, da in vielen Unternehmen die Verantwortung für den Inhalt der SAP-Rollen (Transaktionen, Berichte, Tabellen, Aktivitätswerte) vom Business auf die IT übertragen wird. Wir sind uns bewusst, dass dies nicht der Fall sein sollte, oder? Deshalb hat der Enthusiasmus des Kunden auf der Geschäftsseite, sich über die wichtigsten Fragen und die besten Praktiken bei der gemeinsamen Nutzung und Verwaltung von Rollen zu informieren, das gesamte Projektteam beflügelt.

Das Projekt im Bereich Finanzen wurde erfolgreich abgeschlossen,

Bernadeta Szwarc

Projektleiter / Lukardi S.A.

Wichtige Informationen über das Projekt

Projektphasen

Analyse

Konzept und Konfiguration

Testphase

Inbetriebnahme der Produktion

Umsetzung

Stufe 1: Analyse

Ein Empowerment- und SoD-Umstrukturierungsprojekt ist ein konzeptionelles Projekt. Sie müssen sich genau überlegen, was Sie mit dem Projekt erreichen wollen, welche Risiken akzeptabel sind und welche Sie aus dem Weg räumen müssen. Daher ist die erste Phase - die ANALYSEPHASE - die wichtigste Phase des Projekts. Es ist notwendig, sich auf das zu konzentrieren, was wir im SAP-System sehen (lesen Sie: aktueller Stand der Rollen vs. verwendete Transaktionen, Berichte, angezeigte und bearbeitete Tabellen) und Diskussionen zu beginnen, bei denen Vertreter der Geschäftsseite und SAP-Administratoren von der technischen Seite anwesend sein werden. Jeder Teilnehmer sollte einen solchen Workshop mit einem Grundwissen über SAP-Sicherheit und spezifische Aufgaben verlassen.

Um den Ist-Zustand zu überprüfen, haben wir das SAST-Autorisierungsmanagement-Tool verwendet, das u.a. Folgendes ermöglicht

Bericht über die während des betreffenden Zeitraums verwendeten Transaktionen und Berichte

Transaktionsverbrauchsbericht für die Rolle (beantwortet die Frage: Was müssen wir definitiv nicht in die Rolle aufnehmen)

einen Bericht über die den Benutzern derzeit zugewiesenen Rollen (genau wie SUIM, aber mit mehr projektrelevanten Daten)

SoD-Bericht über bestimmte Nutzer/Gruppen mit Risikobeschreibungen

Die oben genannten Berichte sind unser Ausgangspunkt für jedes Projekt. Wir müssen herausfinden, wie die Situation ist, WER Zugang zu WAS hat und WANN die (kritischen) Berechtigungen genutzt wurden.

Stufe 2: Konzept und Konfiguration

In den folgenden Projektphasen können wir uns, sobald wir "wissen, was wir haben", was wir im Projekt wollen und worauf wir im SAP-System keinen Zugriff haben sollten, auf die Konzeptions- und Konfigurationsarbeit konzentrieren. Nach einer Zeit der Besprechungen, der Analyse, der gemeinsamen Workshops, der Verhandlungen ("Ich benutze diese Transaktionen nicht, aber es könnte nützlich sein", "Ich nehme nicht an, dass Sie mir die Berechtigungen wegnehmen, die ich für meine Arbeit brauche?") ist dies oft schon das reine Vergnügen.

Stufe 3: Prüfung

Für die Testphase ist eine geeignete Testumgebung ein wichtiges Thema, d.h. es lohnt sich, über eine frische Kopie des Produktionssystems nachzudenken, damit die Tester von der Unternehmensseite die neuen Rollen vollständig (oder zumindest sehr grob) testen können, bevor sie auf das Produktionssystem übertragen werden.

Phase 4: Produktionsstart

Die letzte Phase ist die Übergabe und gemeinsame Diskussion (sehr wichtig) des erstellten Berechtigungskonzepts. Stellen Sie sicher, dass die Konvention und die Nomenklatur für die geschäftlichen und technischen Nutzer klar sind und dass die Verantwortung für die Verwaltung des Konzepts eindeutig zugewiesen ist. Wir organisieren die Produktionseinführung in zwei Phasen, zunächst eine Pilotphase, d. h. die Zuweisung neuer Berechtigungen an einige Benutzer. Hypercare dauert etwa zwei Wochen. Nach einem erfolgreichen Pilotversuch können die übrigen Nutzer mit ihren neuen Berechtigungen arbeiten. Mit diesem Modell konnten wir vermeiden, dass ein kritischer Geschäftsprozess in der letzten Phase des Projekts ins Stocken geriet oder gestört wurde.

Auswirkungen des Projekts

Workshops und gemeinsame Tests mit Fachanwendern ermöglichten den Wissenstransfer in beide Richtungen (Business - IT) und starteten gemeinsame Aktivitäten für die Zukunft zum Thema SAP-Sicherheit

Es wurden neue Verfahren eingeführt, um die SAP-Verwaltungsprozesse für Ansprüche zu versiegeln.

Einführung des Berechtigungskonzepts als "lebendiges" Dokument, d. h. es ist die wichtigste Referenz für Unternehmen und IT bei der Verwaltung von SAP-Berechtigungen

Der Zugang zu kritischen Genehmigungen im FI-Bereich wurde auf ein Minimum reduziert.

Minimierung von SoD-Konflikten

Produkt

Vor dem Projekt

Nach dem Projekt

Berechtigungskonzepte der Abteilungen

0

5

Inhaber von SAP-Abteilungs-/Bereichsrollen

0

21

Maximale Anzahl von Transaktionen in Rollen

750

50

Anzahl der SoD %-Konflikte in den teilnehmenden Dienststellen (statistisch)

100%

30%*

*beseitigt 70% SoD Konflikte

Zusammenfassung

Neben den oben erwähnten Ergebnissen war es sicherlich eine große Verbesserung, die SAP-Rollen in den Griff zu bekommen und die für die neuen Rollen verantwortlichen Personen zu ermitteln. Manchmal lassen wir uns bei Aufräumarbeiten von der Unübersichtlichkeit abschrecken und vergessen die einfachsten Lösungen. Die einfachste Lösung für die Umstrukturierung von SAP-Rollen ist, den Zugriff auf das erforderliche Minimum zu ermöglichen.  

Andererseits stellten wir eine Art psychologischen Trost für die Keyuser fest, die den Entzug kritischer Privilegien von Personen außerhalb des Finanzbereichs miterlebten. Zusätzlich zur Korrekturmaßnahme des Entzugs von Privilegien haben wir eine präventive Kontrolle eingeführt, d. h. wir haben kritische Transaktionen und Tabellen in der SoD-Matrix gesichert, die es einem Administrator im Prinzip nicht erlauben würde, in Zukunft definierte kritische Privilegien zu Rollen außerhalb des Finanzbereichs hinzuzufügen. 
 

Ihre Bedürfnisse,
unsere Unterstützung.
Für weitere Informationen stehen wir Ihnen gerne zur Verfügung.

Ihre Bedürfnisse, unsere Unterstützung.
Für weitere Informationen stehen wir Ihnen gerne zur Verfügung.

Ihre Bedürfnisse, unsere Unterstützung. Lassen Sie uns reden